ArtikelSecurity

Für mehr Sicherheit: CI(S)Os endlich entlasten

Autor/Redakteur: Philipp Pelkmann, CTO bei Bosch CyberCompare/gg

Security-Verantwortliche stehen heute unter einem enormen Druck. Die wachsende Gefahr durch Cyberangriffe und die immer komplexer werdenden Anforderungen in den Unternehmen sorgen nicht gerade für rosigen Aussichten bei Security-Fachkräften. Eine Entlastung des Cybersecurity-Personals wird für Unternehmen immer wichtiger. Doch wie kann das gelingen, wenn Sicherheitspersonal immer seltener wird?

Bild: Bosch CyberCompare

CI(S)Os tragen heutzutage eine enorme Verantwortung. Bei Angriffen und anderen sicherheitsrelevanten Vorfällen müssen sie Ruhe bewahren und die Verteidigung koordinieren. Doch auch, wenn es nicht zum Ernstfall kommt, haben Sicherheitsverantwortliche eine ganze Reihe an Aufgaben, die es zu bewältigen gilt. Hinzu kommt, dass gerade in mittelständischen Unternehmen eine Person häufig mehrere Aufgabenbereiche in der IT betreut, sodass der Sicherheit nicht die notwendige Aufmerksamkeit geschenkt werden kann. Angesichts stetig neuer Angriffsmuster ist jetzt schon abzusehen, dass der Druck, der heute auf IT-Sicherheitspersonal lastet, in Zukunft weiter ansteigen wird.

Geld allein schießt keine Tore

Immerhin erkennen die meisten Unternehmen den Handlungsbedarf inzwischen und investieren deutlich mehr in ihre Cybersicherheit als früher. Dabei wird jedoch oft übersehen, dass hohe Ausgaben allein noch nicht für mehr Sicherheit sorgen. Die Mittel müssen auch richtig eingesetzt werden. Unter Berücksichtigung des Pareto-Prinzips können auch Unternehmen mit einem moderaten Budget ihre Sicherheitsvorkehrungen stärken. Dieses Prinzip besagt, dass bereits mit 20 Prozent des Einsatzes 80 Prozent des Effektes erzielt werden kann. Allerdings wissen viele Unternehmen nicht, wie sie ihre Ressourcen effektiv einsetzen können. Ein Grund dafür ist der in den letzten Jahren rasant gewachsene Security-Markt, der selbst für Experten immer schwieriger zu überblicken ist. Sicherheitsverantwortliche müssen also nicht nur bei den drohenden Gefahren den Durchblick behalten, sondern auch den Security-Markt im Auge behalten und das alles, während sie den laufenden Betrieb regeln.

Sicherheitsmaßnahmen auf dem Prüfstand

Damit Unternehmen ihr Security-Personal an den richtigen Stellen entlasten, brauchen sie Mittel und Wege, um die Wirtschaftlichkeit von neuen und bestehenden Sicherheitsmaßnahmen zu überprüfen. Die grundlegendste Methode ist die Kosten-Rechnung, auch als TCO-Rechnung (Total Cost of Ownership) bezeichnet. Bei dieser werden alle Kosten der Anschaffung, Implementierung und Betrieb eines Produktes aufgeschlüsselt. Etwas aufwendiger, doch dafür deutlich aussagekräftiger, ist der RoSI (Return of Security Investment). Bei diesem Verfahren wird eine Risikobewertung in monetarisierter Form, also Schadenshöhe mal Eintrittswahrscheinlichkeit, berechnet. Eine weitere Option ist die Durchführung einer Wirtschaftlichkeitsbetrachtung (WiBe). Diese kennt man normalerweise aus anderen Bereichen, doch auch in der Cybersecurity kann sie wertvolle Einsichten liefern. Bei dieser Methode wird eine Kapitalwertrechnung mit einer Nutzwertanalyse verbunden und so die Wirtschaftlichkeit einer Lösung analysiert. Das Ganze geschieht kontinuierlich und automatisiert, benötigt dadurch jedoch auch entsprechende Zeit für die Implementierung. Bei der Prüfung können Unternehmen auf das Know-how externer Partner zurückgreifen, sodass sich der Aufwand bei den komplexeren Methoden in Grenzen hält. Eine Praxiserfahrung: eine Bestandsaufnahme, welche den Status Quo in einen Benchmarkvergleich setzt, hat schon einige Geschäftsführungen abseits von schwierigen Kosten-Nutzenbetrachtungen zum Handeln motiviert.

Die Ziele im Blick behalten

Ist der erste Schritt getan, kann ein Unternehmen weitere Maßnahmen einrichten, um die Sicherheitsverantwortlichen zu entlasten. Eine davon kann der Einsatz eines Informationssicherheitsmanagementsystem (ISMS) sein. Als ISMS bezeichnet man eine Reihe von Richtlinien, Prozessen und Verfahren, die systematisch eingeführt werden, um den Schutz sensibler Daten im Unternehmen sicherzustellen. Basis dafür ist meist eine zentrale Norm wie die ISO 27001. Ein ISMS fußt dabei auf drei Ebenen:

  1. In den Richtlinien werden übergeordnete Ziele des Unternehmens wie der Schutz von Kundendaten zur Informationssicherheit festgelegt. Diese entstammen in der Regel einer Risikoanalyse.
  2. Die Prozesse stellen dann eine Reihe konkreter Maßnahmen dar, die dazu beitragen sollen, die Richtlinien umzusetzen.
  3. Auf der dritten Ebene, den Prozeduren, werden klare Handlungsanweisungen für die Erledigung bestimmter Aufgaben festgelegt.

Ein ISMS kann Sicherheitspersonal in vielerlei Hinsicht entlasten. Zum einen hilft es dabei, die Einhaltung von Compliance-Vorgaben sicherzustellen, da diese bei sämtlichen Prozessen geprüft wird. Zum anderen werden Sicherheitsprozesse standardisiert, sodass Verantwortliche hier nicht immer von Null anfangen müssen, sondern auf Presets zurückgreifen können. Regelmäßige und standardisierte Kontrollen sorgen zudem dafür, dass Ressourcen möglichst effizient eingesetzt werden. Darüber hinaus lässt sich ein ISMS gut skalieren und entlastet CI(S)Os so auch bei anhaltendem Wachstum des Unternehmens.

Struktur im Einkauf – Sicherheit im Unternehmen

Ein Überblick über den aktuellen Status der eigenen Infrastruktur ist entscheidend für alle weiteren Schritte. Intransparenz schafft hier häufig eine Menge Druck. Dasselbe gilt auch für den Cybersecurity-Markt. Dafür braucht es einen strukturierten Beschaffungsprozess, der potenzielle Lösungen hinsichtlich ihrer Wirtschaftlichkeit und Effektivität prüft. Wer den Security-Markt betrachtet, fühlt sich oft von den zahlreichen Angeboten erschlagen. Fakt ist jedoch, dass nicht jedes Produkt zu den Anforderungen des eigenen Unternehmens passt. Ein strukturierter Einkauf sorgt dafür, dass nur diejenigen Lösungen beschafft werden, die den größten Mehrwert bieten. Es empfiehlt sich, einen unabhängigen Partner hinzuzuziehen, der die eigenen Anforderungen analysiert und bei der Auswahl des besten Angebots hilft. Denn gerade interne Betriebsblindheit kann zu Fehleinschätzungen führen, sodass am Schluss nicht die passendste Lösung implementiert wird.

Die Grundlagen für eine solche Struktur kann wiederum ein ISMS legen. Dank der Richtlinien und Prozesse können CI(S)Os prüfen, ob die angebotene Lösung auch wirklich auf die Sicherheitsziele des Unternehmens einzahlt. Darauf aufbauend sollte dann eine Risikobewertung durchgeführt werden, aus welcher sich Maßnahmen ableiten lassen, die ein Unternehmen implementieren muss oder sollte. Unternehmen aus dem KRITIS-Bereich sollten hier einen besonderen Fokus auf einzuhaltende Compliance-Regeln setzen, da diese durch die neue Gesetzgebung wie die NIS 2 oder das IT-Sicherheitsgesetz 2.0 sehr umfangreich sind.

Auf Grundlage der Risikobewertung können Unternehmen eine formelle Ausschreibung starten, die verschiedene Faktoren berücksichtigt:

  • die Kosten verschiedener Lösungen über die Laufzeit
  • die Qualifikation und Erfahrung der Anbieter
  • die Haftungsfälle im Falle eines Schadens
  • die Transparenz im Beschaffungs- und Implementierungsprozess.

Um klassische Fehler zu vermeiden und die Übersicht zu behalten, sollten Unternehmen zunächst also immer klare Ziele formulieren und die eigenen spezifischen Anforderungen genau untersuchen. Denn nur so können die richtigen Produkte beschafft und implementiert werden.

Sicherheit: Eine ganzheitliche Aufgabe

Die Entlastung des Security-Personals ist für Unternehmen ein wichtiger Schritt, um die eigene Sicherheit zu fördern. Doch neben den skizzierten Verfahren ist es dafür entscheidend, dass alle Stakeholder in der Organisation an einem Strang ziehen. Das gilt sowohl für die Security Awareness der Mitarbeiter als auch für die Entscheidungen, die das C-Level trifft. Die Sicherheit des eigenen Unternehmens profitiert davon, wenn für sie Cybersecurity klare Verantwortlichkeiten geschaffen werden und IT-Sicherheit nicht mehr eine Aufgabe unter vielen ist. Unternehmen sind bei dieser Herausforderung jedoch nicht auf sich allein gestellt und können von der Expertise von produktunabhängigen Partnern profitieren, die nicht nur den Cybersecurity-Markt kennen, sondern auch die Anforderungen der jeweiligen Unternehmen.