Best Practices für das Cybersecurity-Risikomanagement

In der schnelllebigen modernen Geschäftsumgebung sind die Modernisierung der IT und die digitale Transformation für jedes Unternehmen, das seine Wettbewerbsfähigkeit erhalten möchte, strategische Voraussetzungen. Da immer mehr digitale Technologien zum Einsatz kommen, steigt auch die Gefahr von Cybersecurity-Bedrohungen, was die Notwendigkeit eines strategischeren Cybersecurity-Ansatzes unterstreicht.

Der Schutz Ihres Unternehmens und Ihrer Daten ist in dieser Umgebung besonders schwierig, weil die traditionellen Netzwerkgrenzen immer mehr verschwinden. Mit dem Cybersecurity-Risikomanagement können Sie Ihre Cyberrisiken besser verstehen und deren potenzielle Auswirkungen reduzieren.

Im Folgenden finden Sie einige Best Practices, die Sie berücksichtigen sollten.

1. Verfolgen Sie einen risikoorientierten Ansatz.

Wie bei jeder anderen Art von Risiko ist es auch bei Cyberrisiken nicht realistisch zu erwarten, dass Sie diese vollständig eliminieren können. Sie können die Bedrohungen jedoch vorhersehen, für sie planen und das Risiko effektiver reduzieren. Ein auf Risiken basierender Ansatz für das Cybersecurity-Risikomanagement ist eine Best Practice, bei der Sie Risiken auf Basis von Kriterien wie Wahrscheinlichkeit, Gefährdung und Auswirkungen priorisieren können.

Vereinfacht ausgedrückt besteht das Cybersecurity-Risikomanagement bzw. die Risikominderung darin, kontinuierlich:

• Cybersecurity-Risiken und -Schwachstellen zu identifizieren, zu analysieren und zu bewerten
• Bewertungstools zur Priorisierung einzusetzen
• Strategien zur Abschwächung und Reduzierung des Risikos durch eine Vielzahl von Kontrollen zu implementieren.

Der Zweck eines Cybersecurity-Riskmanagement-Plans geht über den Schutz Ihres Unternehmens vor Cyberbedrohungen hinaus. Er dient anderen Zielen, wie zum Beispiel:

• Minimierung von Unterbrechungen und deren Auswirkungen auf den Betrieb und den Service
• Gewährleistung der Geschäftskontinuität
• Reduzierung der Betriebseinbußen, Wiederholungsschäden und anderer nachteiliger Auswirkungen

Ein risikobasierter Ansatz ist ein schrittweiser Prozess – stellen Sie ihn sich als dynamisches Tool vor, mit dem Sie kontinuierlich strategische Entscheidungen treffen können.

2. Entwickeln Sie eine Strategie für das Cybersecurity-Risikomanagement.

Eine Strategie für das Cybersecurity-Risikomanagement dient als Wegweiser für Ihre Maßnahmen zur Risikominimierung. Dabei empfiehlt die U.S. Cybersecurity and Infrastructure Security Agency (CISA), sich bei der Ausarbeitung folgende Fragen zu stellen:

• Inwiefern können sich Cyberbedrohungen auf die verschiedenen Unternehmensbereiche auswirken, von der Personalabteilung über die Lieferkette bis hin zu Öffentlichkeitsarbeit und Geschäftsbetrieb?
• Welche kritischen Daten könnten verloren gehen oder kompromittiert werden? Dies können unter anderem sensible Kundendaten, geistiges Eigentum und personenbezogene Daten sein.
• Wie können Sie Cyberrisiken minimieren, um langfristig widerstandsfähig zu sein?
• Wie hoch ist das aktuelle Cyberrisiko in Ihrem Unternehmen?
• Auf welche Weise setzt Ihr Cybersecurity-Risikomanagement-Plan Best Practices und Standards um?

Dies sind einige Schritte, die bei der Erstellung eines Risikomanagement-Plans berücksichtigt werden können::

• Informieren Sie sich darüber, auf welche wertvollen, kritischen Assets – einschließlich Daten, Netzwerke und Computersysteme – es Cyberkriminelle abgesehen haben könnten. Das sind die Assets, die Sie schützen müssen.
• Ermitteln Sie die Risiken, die diese Assets betreffen – nicht nur vergangene und aktuelle, sondern auch mögliche zukünftige. Dazu gehören Insider-Bedrohungen, Angriffe wie Ransomware und mehr.
• Priorisieren Sie die Maßnahmen zur Risikominderung auf Basis von Risikoanalysen. So können Sie die Ressourcen auf die Bereiche konzentrieren, die Ihnen den größten Schutz bieten.
• Evaluieren Sie Ihre aktuellen Kontrollmechanismen und identifizieren Sie dann Lücken, die es zu schließen gilt. Sorgen Sie für eine kontinuierliche Überwachung, da Ihre Risiken, genau wie Ihr Umfeld, dynamisch sind und sich ständig weiterentwickeln.
• Dokumentieren Sie Ihre Sicherheitsziele, Richtlinien und Prozesse und überprüfen Sie diese regelmäßig.

3. Führen Sie ein Framework für das Cybersecurity-Risikomanagement ein.

Ein Framework dient als Vehikel für die Entwicklung eines risikobasierten Ansatzes, da es sich auf die kritischsten Risiken konzentriert. Sie können zwar Ihr eigenes Framework entwickeln, doch für viele Unternehmen ist der Einsatz eines etablierten, gängigen Frameworks der bessere Weg, da diese Frameworks auf branchenweit anerkannten Best Practices aufgebaut sind.

Diese Standard-Frameworks bieten eine Reihe von Prozessen, die Sie zur Risikoanalyse und zur Entwicklung von Abwehrmaßnahmen in Ihrem Unternehmen anwenden können. Dies sind drei der gängigsten Frameworks:

National Institute of Standards and Technology (NIST) Risk Management Framework (RFM): Nach der Beschreibung des NIST bietet das RFM „einen flexiblen, ganzheitlichen und wiederholbaren siebenstufigen Prozess zur Verwaltung von Sicherheits- und Datenschutzrisiken und ist mit einer Reihe von NIST-Standards und -Richtlinien gekoppelt, um die Umsetzung von Risikomanagementprogrammen zu unterstützen und die Anforderungen des Federal Information Security Modernization Act (FISMA) zu erfüllen.“ Das RFM wurde zwar für Bundesbehörden entwickelt, es kann jedoch von allen Einrichtungen, unabhängig von Sektor und Größe, für das Cybersecurity-Risikomanagement verwendet werden.

NIST Cybersecurity Framework: Das NIST Cybersecurity Framework (CSF) wurde vom NIST als Ergänzung zum RFM in Zusammenarbeit mit dem privaten Sektor entwickelt. Viele Unternehmen nutzen es jedoch als Hauptinstrument zur Verwaltung von Cyberrisiken.

Laut NIST ist das CSF „anpassungsfähig und bietet eine flexible und risikobasierte Implementierung, die mit einer Vielzahl von Cybersecurity-Risikomanagement-Prozessen eingesetzt werden kann.“

Das Framework konzentriert sich auf fünf Kernaktivitäten:

• Identifizierung: Gewinnen Sie ein Verständnis für den Unternehmenskontext und die damit verbundenen Risiken, um Prioritäten setzen zu können.
• Schutz: Entwickeln Sie die Sicherheitsvorkehrungen und Kontrollen, mit denen Sie kritische Services aufrechterhalten können.
• Aufdeckung: Stellen Sie sicher, dass Sie Cybersecurity-Ereignisse identifizieren können.
• Reaktion: Setzen Sie im Falle eines Cybersecurity-Ereignisses die entsprechenden Maßnahmen um.
• Wiederherstellung: Stellen Sie sicher, dass Sie Services und Betriebsabläufe wiederherstellen und die Ausfallsicherheit aufrechterhalten können.

ISO/IEC 27001: Die International Organization for Standardization (ISO) hat dieses Framework in Zusammenarbeit mit der International Electrotechnical Commission (IEC) speziell für Informationssysteme entwickelt. Die ISO stellt nicht nur internationale Standards und Best Practices für die Implementierung eines Systems zur Verwaltung der Informationssicherheit zur Verfügung, sondern bietet auch ein Zertifizierungsprogramm nach ISO/IEC 27001, das von unabhängigen, akkreditierten Stellen durchgeführt wird.

4. Belassen Sie es nicht bei der Compliance.

Die Einhaltung gesetzlicher Vorschriften ist angesichts der Vielzahl von Bestimmungen für Unternehmen in allen Sektoren ein wichtiges Thema, vor allem aber für stark regulierte Branchen wie den Finanzsektor und den Gesundheitssektor. Allerdings ist es ein weit verbreiteter Irrtum zu glauben, dass Compliance gleichbedeutend mit Risikomanagement ist.

Compliance-Standards sind oft die niedrigsten Benchmarks für Sicherheit, sie bieten lediglich eine gute Grundlage für minimale Anforderungen. Wenn Sie sie als Ausgangspunkt nehmen, müssen Sie Best Practices – wie die von NIST, dem Center for Internet Security und anderen Branchenführern – berücksichtigen, mit denen Sie Ihre Assets proaktiv schützen können, statt ständig Feuer löschen zu müssen.

5. Verteidigen Sie in der Tiefe.

Cybersecurity-Experten haben das Konzept der Tiefenverteidigung aus dem Militär übernommen. Die Idee dabei ist, Barrieren zu schaffen, die das Vorankommen des Gegners erschweren und ihn daran hindern, sein Endziel zu erreichen. In der Cybersicherheit bedeutet dies die Implementierung von Maßnahmen zur Erkennung und Abwehr von Eindringlingen, insbesondere bei fortgeschrittenen, anhaltenden Bedrohungen.

Dies sind einige der Abschwächungsmaßnahmen, die die National Security Agency für die Tiefenverteidigung empfiehlt:

• Automatisierung von Software-Updates und -Upgrades soweit möglich, um das Zeitfenster zu minimieren, in dem Bedrohungsakteure Exploits erstellen können
• Verteidigung von Privilegien und Konten mit Tools wie Privileged Access Management (PAM), automatischer Verwaltung von Zugangsdaten und Zugriffskontrollen
• Implementierung der Multi-Faktor-Authentifizierung (MFA), wobei Konten mit Remote-Zugriff, erweiterten Berechtigungen und Zugriff auf hochwertige Assets priorisiert werden
• Erstellung, Bewertung und Anwendung eines Plans für die Systemwiederherstellung zur Gewährleistung einer wirksamen Datenwiederherstellung
• Kontinuierliche Fahndung nach Netzwerkeindringlingen zur Aufdeckung, Eindämmung und Eliminierung von Bedrohungen in Ihrem Netzwerk

6. Wenden Sie Metriken zur Messung der Wirksamkeit an.

Mit aussagekräftigen und messbaren Metriken lässt sich die Performance des Cybersecurity-Risikomanagements bewerten. Unternehmen können sich dabei auf eine Reihe von wichtigen Performance-Indikatoren stützen, die in der Branche üblich sind, wie z. B:

• Mean Time to Patch (MTTP): die Zeit, die benötigt wird, um kritische Sicherheitslücken zu schließen
• SOC-Warnungen: die Anzahl der Sicherheitswarnungen, die wöchentlich oder monatlich vom Security Operations Center (SOC) empfangen und gelöst werden
• Mean time to detect (MTTD): die durchschnittliche Zeit, die das Sicherheitsteam für die Erkennung einer Bedrohung benötigt
• Mean Time to Recovery (MTTR): die durchschnittliche Zeit bis zur Wiederherstellung nach der Entdeckung eines Vorfalls
• Sicherheits-Ratings: Einstufung durch Scoring-Plattformen von Drittanbietern für Cybersicherheit

7. Testen Sie Ihren Abwehr- und Wiederherstellungsplan für Vorfälle.

Pläne zur Abwehr von Vorfällen, zur Wiederherstellung im Katastrophenfall und zur Geschäftskontinuität sind ein gängiger Bestandteil des Cybersecurity-Risikomanagements. Der Schritt, den Unternehmen jedoch häufig übersehen, ist der praktische Teil dieser Pläne. Im Eifer des Gefechts verlangt die Krise die volle Aufmerksamkeit Ihres Abwehrteams – und wenn die erforderlichen Schritte nicht eingeübt wurden, ist die Wahrscheinlichkeit einer Überforderung groß.

Durch Trockenübungen, Planspiele, Simulationstests und andere praxisnahe Aktivitäten kann sich Ihr Risikomanagementteam mit den Verfahren vertraut machen, wodurch reale Vorfälle schneller abgewehrt werden können und es zu weniger Eskalationen kommt. Führen Sie diese Übungen für das gesamte Unternehmen durch, nicht nur für das IT-Team.

Verwalten Sie Ihre Risiken proaktiv.

In einer digitalen, dynamischen Umgebung können Sie durch die Umstellung Ihrer Sicherheit von einem technologiezentrierten auf einen menschenzentrierten Ansatz Risiken proaktiv verwalten, anstatt ständig nur auf neue Bedrohungen zu reagieren. SailPoint schützt Ihr Unternehmen und hilft Ihnen beim Risikomanagement, indem es den sicheren Zugriff auf Ihre wertvollen Assets von überall aus ermöglicht. Erfahren Sie mehr über den Identity Security-Ansatz von SailPoint.