Die schnelle Migration von Unternehmen in die Cloud als Reaktion auf die die Covid-19-Pandemie hatte einen unangenehmen Nebeneffekt. Cyber-Kriminelle, die selbst schnell agieren wollten, fokussierten bei Angriffen auf Cloud-gebundene Unternehmen und drängten damit das Thema Sicherheit auf der Unternehmensagenda weiter nach oben als je zuvor.
Laut ESG Research steht der CISO mittlerweile auf der Hälfte aller vierteljährlichen Tagesordnungen der Vorstände weltweit. Das ist wenig überraschend, da die weltweiten Durchschnittskosten einer Datenschutzverletzung laut IBM im Jahr 2021 bei 4,24 Millionen US-Dollar lagen.
Das ist der steilste Anstieg im Vergleich zum Vorjahr, den das Technologieunternehmen in den 17 Jahren, in denen es seinen Bericht „Cost of a Data Breach“ veröffentlicht, verzeichnet hat.
Von der Schwachstellenbeobachtung zur Risikobeobachtung
Aber jetzt, wo Vorstände, Aktionäre und andere Führungskräfte versuchen zu erkennen, was in punkto Cybersecurity getan werden kann, müssen Sicherheitsteams ein klares Bild der Bedrohungslandschaft schaffen. Das Zählen von Schwachstellen reicht nicht aus, um einen Bericht zu erstellen, der den Vorstand von der wichtigen Rolle des CISOs überzeugt und ihm Gehör verschafft.
Es stimmt, dass Schwachstellen eine unwiderlegbare Risikoquelle darstellen, und dass sie weiter zunehmen. Qualys hat beobachtet, wie die Zahl der gemeldeten Schwachstellen von Tausenden in den 90er Jahren über Zehntausende in den 2000er Jahren auf Hunderttausende heute gestiegen ist – ein kumulatives Wachstum von mehr als 5.000 %.
Aber was bedeuten diese Zahlen für einen Unternehmensleiter, der einen unterbrechungsfreien Betrieb und ein stetiges Wachstum sicherstellen will? Betrachtet man die enorm hohen Zahlen durch eine Risikobewertung, dann können sie weitaus weniger panisch machen.
Qualys fand heraus, dass bei 185.446 Schwachstellen, die zum Zeitpunkt der Erstellung des Berichts bekannt waren, nur für 29 % der Schwachstellen Exploits zur Verfügung stehen und nur 2 % über angreifbaren Exploit-Code verfügen. Und weniger als zwei von tausend Schwachstellen werden von Angreifern aktiv ausgenutzt.
Dennoch sind Sicherheitsanalysten besessen vom Common Vulnerability Scoring System (CVSS) und handeln ohne Rücksicht darauf, ob die Schwachstelle zu den zwei von tausend gehört, die von Angreifern ausgenutzt werden, oder ob die Schwachstelle für die betreffende Umgebung von wesentlicher Bedeutung ist.
Eine hochgradig gefährdete Schwachstelle ist nicht besonders besorgniserregend, wenn kompensierende Kontrollen vorhanden sind, um jedes potenzielle Risiko zu mindern. Anstatt also über Angriffsvektoren und Schwachstellen zu sprechen, sollten CISOs und Sicherheitsverantwortliche dazu übergehen, das Bedrohungsszenario in Form von Geschäftsrisiken darzustellen.
Die „Bedrohungslandschaft“
Die heutigen IT-Ökosysteme bestehen aus einer bunten Mischung aus lokalen, virtuellen, serverlosen, öffentlichen, privaten, hybriden, IT-, OT- und IoT-Systemen. Ganz zu schweigen von den Operations-Teams, die ihre eigenen „Machtbereiche“ und die zahlreichen Konten und Privilegien verwalten, die sie besitzen.
Die Komplexität erstreckt sich auch auf die Sicherheitslösungen selbst. Laut Gartners CISO Effectiveness Survey 2020 verwendet das durchschnittliche Unternehmen mehr als 16 Sicherheitstools. Gleichzeitig stellt der Mangel an Fachkräften im digitalen Bereich eine Herausforderung dar, wenn es darum geht, das richtige Team für die Sicherheit des Unternehmens aufzubauen.
All das sind nicht die richtigen Voraussetzungen für den CISO, die richtige Sicherheitsstrategie zu erarbeiten und umzusetzen. Unterschiedliche Organisationen haben unterschiedliche Anforderungen an die Einhaltung der Vorschriften. Was für das eine Unternehmen ein hohes Risiko darstellt, kann für ein anderes eine vernachlässigbare Kleinigkeit sein.
Die Aufgabe des CISO besteht darin, das Unwichtige auszusieben und das Kritische so zu schützen, dass die Vorschriften eingehalten werden und die Flexibilität des Unternehmens nicht beeinträchtigt wird, während gleichzeitig verständliche Kennzahlen gemessen werden, die es ermöglichen, Erfolge nachzuweisen und aus Fehlern zu lernen.
Risikobasierte Sicherheit funktioniert standardmäßig aus drei Schritten:
- Assessment
Vollständige Sichtbarkeit in den heutigen IT-Umgebungen zu erreichen, steht an erster Stelle – und erscheint zunächst schwer möglich. Sobald jedoch alle Ressourcen katalogisiert sind, rückt die Angriffsfläche ins Blickfeld.
Eine Bedrohungsanalyse ist ohne umfassende Sichtbarkeit nicht möglich, sobald jedoch jedes Element sichtbar ist, können dessen Schwachstellen aufgelistet und quantifiziert werden. Auf diese Weise können Unternehmen Bedrohungen effektiver nach Prioritäten ordnen.
- Vereinheitlichung
Die unterschiedlichen Sicherheitstools von heute arbeiten oft in Silos. Durch die Konsolidierung dieser Tools in einer einheitlichen Plattform, die Automatisierungsfunktionen für die Risikoüberwachung, -erkennung und -behebung bietet, machen Sicherheitsteams den nächsten wichtigen Schritt in Richtung Risikomanagement.
Solche Plattformen liefern verwertbare Informationen, die es den Teams ermöglichen, Risiken zu reduzieren. Überwachungstools können je nach den Anforderungen des jeweiligen Unternehmens in Sicherheits-, IT- und Compliance-Teams eingesetzt werden.
- Report
Eine einheitliche Plattform bietet eine Vielzahl von Berichtsoptionen und automatisierten Dashboards. Die moderne Sicherheitsberichterstattung geht neue Wege und liefert präzise, risikodefinierte Metriken, die sowohl geschäftsspezifische Anforderungen als auch Branchenstandards, Benchmarks, Best Practices und gesetzliche Rahmenbedingungen berücksichtigen.
Fazit: Mehr Risikobereitschaft zeigen
Die Schlussfolgerung für Sicherheitsentscheider liegt auf der Hand: Das Unternehmen betrachtet das Risiko aus dem Blickwinkel des potenziellen Schadens und nicht der Eintrittswahrscheinlichkeit. Es ist an der Zeit, dass Sicherheitsexperten ihre Bedrohungshaltung pragmatischer gestalten.