•  

Sieben Mythen und Wahrheiten bei der IT-Risikobewertung

Jürgen Venhorst, Country Manager DACH bei Netwrix

Obwohl die Risikobewertung in letzter Zeit ein häufiges Thema in Diskussionen innerhalb der Branche war, zeigen die Diskussionen auch, dass viele strategische Entscheidungsträger die Idee noch nicht verinnerlicht haben: daraus resultieren einige naive Mythen, die eine irreführende Grundlage für Sicherheitsvorschriften bilden und damit die Cybersicherheit des Unternehmens untergraben. Um dieses Risiko zu minimieren, werden im Folgenden die häufigsten Missverständnisse aufgeklärt, die Unternehmen daran hindern, eine umfassende Risikobewertung durchzuführen.

Mythos #1 IT-Risikobewertung ist kostspielig und kompliziert

Im Allgemeinen werden der Umfang und die Prozesse von der Komplexität und den Kosten der Risikobewertung bestimmt: Es gibt viele einfache Möglichkeiten wie eine Risikomatrix, die zur Bewertung und Priorisierung von Risiken auf Basis ihrer Auswirkungen auf die IT-Infrastruktur dienen kann. Selbst eine einfache Risikotabelle kann schon weiterhelfen. Diese Methoden helfen dabei, die Sicherheitslage zu beurteilen, ohne Geld für ein Produkt oder einen Berater auszugeben. Auch eine Softwarelösung kann implementiert werden, allerdings müssen Unternehmen auf Automatisierungs- und Integrationsfunktionen achten, um den Zeit- und Kostenaufwand zu minimieren.

Mythos #2. Große Datenmengen sind für Angreifer attraktiver

Angreifer wissen, dass große Unternehmen in der Regel über mehr Ressourcen verfügen als kleine und mittlere Unternehmen, um anspruchsvollere Sicherheitsmaßnahmen umzusetzen. Unternehmen jeder Größe speichern wertvolle Daten und Kriminelle ziehen Unternehmen mit schwachen Sicherheitsmaßnahmen vor, auch wenn es weniger zu stehlen gibt. Kleine Menge an vertraulichen Informationen sind oft wertvoller als eine große Menge an trivialen Daten. Zum Beispiel ist ein kleines Unternehmen oder eine kleine Regierungsbehörde mit Zugang zu vertraulichen Projekten viel lukrativer als zahllose alltägliche E-Mails in einem Großunternehmen.

Mythos #3. Der Prozess wiederholt sich nicht

Angesichts der ständigen Weiterentwicklung von sowohl der IT-Infrastruktur als auch der Bedrohungslandschaft, muss der Prozess bei Risikobewertung und -minderung regelmäßig wiederholt werden, um neue Schwachstellen im Netzwerk zu identifizieren und zu beheben. Sobald ein Unternehmensnetzwerk jedoch auf dem neuesten Stand ist und die Risikobewertung als Teil seiner Routine etabliert hat, wird die Einhaltung den Normen oder Vorschriften wie ISO 27.001 oder die DSGVO einfacher.

Mythos #4. Berater erzeugen eine künstliche Nachfrage

IT-Risikomanagement ist ein integraler Bestandteil vieler Compliance-Standards, da es Unternehmen dabei unterstützt, Risiken zu reduzieren, zum Beispiel NIST SP 800-171, die DSGVO und ISO 27.001. Außerdem hilft es dabei, die Sicherheitslage eines Unternehmens zu beurteilen, um Verbesserungsmöglichkeiten zu identifizieren und festzustellen. Abschnitt 3.11 der NIST SP 80-171 besagt beispielsweise, dass Unternehmen regelmäßig Risiken für ihre IT-Umgebung neu bewerten und Sicherheitsprobleme auf der Grundlage der Ergebnisse dieser Risikobewertung lösen müssen.

Obwohl die DSGVO nicht vorschreibt, wie Unternehmen ihre Risiken bewerten sollten, verlangt Artikel 32, dass geeignete technische und organisatorische Sicherheitsmaßnahmen ergriffen werden, die dem Risiko entsprechen. Artikel 35 ermutigt ebenfalls eindeutig dazu die Folgen für den Datenschutz bei risikoreichen Verarbeitungstätigkeiten zu bewerten.

Mythos #5. Das ist nur zur Veranschaulichung und bietet keinen Mehrwert

Um echte Veränderungen vorzunehmen, die die Sicherheit verbessern, muss eine IT-Risikobewertung durchgeführt werden. Der Netwrix Cloud Data Security Report 2019 stellte fest, dass 54 % der deutschen Unternehmen den Bedrohungsakteur hinter ihren Sicherheitsvorfällen nicht ausmachen konnten. Dies kann für IT-Manager ein Problem darstellen, wenn sie Budgets für neue Sicherheitsmaßnahmen oder Personal benötigen. Eine gründliche Bewertung der Risiken kann es unterstützen, Managementschwachstellen zu identifizieren und IT-Manager über die Wahrscheinlichkeit von Datenschutzverletzungen und deren finanzielle Auswirkungen zu informieren. Vorgesetzte können diese Argumente nutzen, um das erforderliche Budget zu rechtfertigen.

Mythos #6: Anstrengung ist unnötig, wenn alles in Ordnung ist

Sich in falscher Sicherheit zu wiegen, ist für Unternehmen und ihre Verantwortlichen risikoreich, denn es wird immer Schwächen geben, unabhängig von der Qualität der Kontrollprozesse. Eine gründliche IT-Risikobewertung trägt dazu bei, geeignete Sicherheitsmaßnahmen zu identifizieren, zu priorisieren und zu ergreifen. Da sich die IT-Umgebung ständig ändert und sich die Bedrohungslandschaft weiterentwickelt, sollte dieser Prozess wiederholt werden, da neue Schwachstellen im System vorhanden sein könnten.

Mythos #7. Mit einer Versicherung ist alles in Ordnung

Viele Führungskräfte neigen dazu, zu glauben, dass ein Versicherungsvertrag im Falle eines Datenschutzvorfalls die Kosten decken würde. Dadurch schaffen sie unwissentlich ein falsches Sicherheitsgefühl im Unternehmen. Unternehmen müssen nachweisen, dass Sie genug für Ihre eigene Sicherheit getan haben. Wenn es doch zu einem Sicherheitsvorfall kommt, sind Geldbußen und andere Sanktionen unvermeidlich. Oft werden Mitarbeiter in Führungspositionen zur Rechenschaft gezogen und im schlimmsten Fall entlassen.

Equifax, die größte Auskunftei der USA, kostete das Verfahren für einen Datenschutzvorfall im Mai 2017 mehr als 87.5 Millionen Dollar, der Versicherungsvertrag von Equifax allerdings hatte nur 150 Millionen Dollar abgedeckt. Innerhalb weniger Wochen nach dem Vorfall mussten der CIO, CSO und CEO zurücktreten und keine Versicherung hätte dagegen helfen können.

Der nächste Schritt

Voraussetzung für ausgewogene Sicherheitsrichtlinien und gesicherte Daten ist ein gutes Verständnis des Konzepts IT-Risikobewertung. Anschließend muss ein wirksames Risikobewertungsprogramm erstellt werden. Die Fähigkeit, Sicherheitsrisiken zu identifizieren und zu priorisieren, ist der Schlüssel, um Cyber-Bedrohungen zu minimieren und die Einhaltung verschiedener Standards wie DSGVO, PSD2 und anderer zu vereinfachen. Dies unterstreicht weiter die Tatsache, dass Unternehmen ihre Sicherheitsstrategie nicht auf Mythen aufbauen sollten.

Autor: Jürgen Venhorst, Country Manager DACH bei Netwrix

 

Diesen Artikel empfehlen