{"id":24867,"date":"2023-08-28T11:21:00","date_gmt":"2023-08-28T09:21:00","guid":{"rendered":"https:\/\/www.sysbus.eu\/?p=24867"},"modified":"2023-08-21T10:30:05","modified_gmt":"2023-08-21T08:30:05","slug":"fuer-mehr-sicherheit-cisos-endlich-entlasten","status":"publish","type":"post","link":"https:\/\/www.sysbus.eu\/?p=24867","title":{"rendered":"F\u00fcr mehr Sicherheit: CI(S)Os endlich entlasten"},"content":{"rendered":"\n

Autor\/Redakteur: Philipp Pelkmann, CTO bei Bosch CyberCompare<\/a>\/gg<\/p>\n\n\n\n

Security-Verantwortliche stehen heute unter einem enormen Druck. Die wachsende Gefahr durch Cyberangriffe und die immer komplexer werdenden Anforderungen in den Unternehmen sorgen nicht gerade f\u00fcr rosigen Aussichten bei Security-Fachkr\u00e4ften. Eine Entlastung des Cybersecurity-Personals wird f\u00fcr Unternehmen immer wichtiger. Doch wie kann das gelingen, wenn Sicherheitspersonal immer seltener wird?<\/p>\n\n\n\n

\"\"<\/a>
Bild: Bosch CyberCompare<\/figcaption><\/figure>\n\n\n\n\n\n\n\n

CI(S)Os tragen heutzutage eine enorme Verantwortung. Bei Angriffen und anderen sicherheitsrelevanten Vorf\u00e4llen m\u00fcssen sie Ruhe bewahren und die Verteidigung koordinieren. Doch auch, wenn es nicht zum Ernstfall kommt, haben Sicherheitsverantwortliche eine ganze Reihe an Aufgaben, die es zu bew\u00e4ltigen gilt. Hinzu kommt, dass gerade in mittelst\u00e4ndischen Unternehmen eine Person h\u00e4ufig mehrere Aufgabenbereiche in der IT betreut, sodass der Sicherheit nicht die notwendige Aufmerksamkeit geschenkt werden kann. Angesichts stetig neuer Angriffsmuster ist jetzt schon abzusehen, dass der Druck, der heute auf IT-Sicherheitspersonal lastet, in Zukunft weiter ansteigen wird.<\/p>\n\n\n\n

Geld allein schie\u00dft keine Tore<\/strong><\/p>\n\n\n\n

Immerhin erkennen die meisten Unternehmen den Handlungsbedarf inzwischen und investieren deutlich mehr in ihre Cybersicherheit<\/a> als fr\u00fcher. Dabei wird jedoch oft \u00fcbersehen, dass hohe Ausgaben allein noch nicht f\u00fcr mehr Sicherheit sorgen. Die Mittel m\u00fcssen auch richtig eingesetzt werden. Unter Ber\u00fccksichtigung des Pareto-Prinzips k\u00f6nnen auch Unternehmen mit einem moderaten Budget ihre Sicherheitsvorkehrungen st\u00e4rken. Dieses Prinzip besagt, dass bereits mit 20 Prozent des Einsatzes 80 Prozent des Effektes erzielt werden kann. Allerdings wissen viele Unternehmen nicht, wie sie ihre Ressourcen effektiv einsetzen k\u00f6nnen. Ein Grund daf\u00fcr ist der in den letzten Jahren rasant gewachsene Security-Markt, der selbst f\u00fcr Experten immer schwieriger zu \u00fcberblicken ist. Sicherheitsverantwortliche m\u00fcssen also nicht nur bei den drohenden Gefahren den Durchblick behalten, sondern auch den Security-Markt im Auge behalten und das alles, w\u00e4hrend sie den laufenden Betrieb regeln.<\/p>\n\n\n\n

Sicherheitsma\u00dfnahmen auf dem Pr\u00fcfstand<\/strong><\/p>\n\n\n\n

Damit Unternehmen ihr Security-Personal an den richtigen Stellen entlasten, brauchen sie Mittel und Wege, um die Wirtschaftlichkeit von neuen und bestehenden Sicherheitsma\u00dfnahmen zu \u00fcberpr\u00fcfen. Die grundlegendste Methode ist die Kosten-Rechnung, auch als TCO-Rechnung (Total Cost of Ownership) bezeichnet. Bei dieser werden alle Kosten der Anschaffung, Implementierung und Betrieb eines Produktes aufgeschl\u00fcsselt. Etwas aufwendiger, doch daf\u00fcr deutlich aussagekr\u00e4ftiger, ist der RoSI (Return of Security Investment). Bei diesem Verfahren wird eine Risikobewertung in monetarisierter Form, also Schadensh\u00f6he mal Eintrittswahrscheinlichkeit, berechnet. Eine weitere Option ist die Durchf\u00fchrung einer Wirtschaftlichkeitsbetrachtung (WiBe). Diese kennt man normalerweise aus anderen Bereichen, doch auch in der Cybersecurity kann sie wertvolle Einsichten liefern. Bei dieser Methode wird eine Kapitalwertrechnung mit einer Nutzwertanalyse verbunden und so die Wirtschaftlichkeit einer L\u00f6sung analysiert. Das Ganze geschieht kontinuierlich und automatisiert, ben\u00f6tigt dadurch jedoch auch entsprechende Zeit f\u00fcr die Implementierung. Bei der Pr\u00fcfung k\u00f6nnen Unternehmen auf das Know-how externer Partner zur\u00fcckgreifen, sodass sich der Aufwand bei den komplexeren Methoden in Grenzen h\u00e4lt. Eine Praxiserfahrung: eine Bestandsaufnahme, welche den Status Quo in einen Benchmarkvergleich setzt, hat schon einige Gesch\u00e4ftsf\u00fchrungen abseits von schwierigen Kosten-Nutzenbetrachtungen zum Handeln motiviert.<\/p>\n\n\n\n

Die Ziele im Blick behalten<\/strong><\/p>\n\n\n\n

Ist der erste Schritt getan, kann ein Unternehmen weitere Ma\u00dfnahmen einrichten, um die Sicherheitsverantwortlichen zu entlasten. Eine davon kann der Einsatz eines Informationssicherheitsmanagementsystem (ISMS) sein. Als ISMS bezeichnet man eine Reihe von Richtlinien, Prozessen und Verfahren, die systematisch eingef\u00fchrt werden, um den Schutz sensibler Daten im Unternehmen sicherzustellen. Basis daf\u00fcr ist meist eine zentrale Norm wie die ISO 27001. Ein ISMS fu\u00dft dabei auf drei Ebenen:<\/p>\n\n\n\n

    \n
  1. In den Richtlinien werden \u00fcbergeordnete Ziele des Unternehmens wie der Schutz von Kundendaten zur Informationssicherheit festgelegt. Diese entstammen in der Regel einer Risikoanalyse.<\/li>\n\n\n\n
  2. Die Prozesse stellen dann eine Reihe konkreter Ma\u00dfnahmen dar, die dazu beitragen sollen, die Richtlinien umzusetzen.<\/li>\n\n\n\n
  3. Auf der dritten Ebene, den Prozeduren, werden klare Handlungsanweisungen f\u00fcr die Erledigung bestimmter Aufgaben festgelegt.<\/li>\n<\/ol>\n\n\n\n

    Ein ISMS kann Sicherheitspersonal in vielerlei Hinsicht entlasten. Zum einen hilft es dabei, die Einhaltung von Compliance-Vorgaben sicherzustellen, da diese bei s\u00e4mtlichen Prozessen gepr\u00fcft wird. Zum anderen werden Sicherheitsprozesse standardisiert, sodass Verantwortliche hier nicht immer von Null anfangen m\u00fcssen, sondern auf Presets zur\u00fcckgreifen k\u00f6nnen. Regelm\u00e4\u00dfige und standardisierte Kontrollen sorgen zudem daf\u00fcr, dass Ressourcen m\u00f6glichst effizient eingesetzt werden. Dar\u00fcber hinaus l\u00e4sst sich ein ISMS gut skalieren und entlastet CI(S)Os so auch bei anhaltendem Wachstum des Unternehmens.<\/p>\n\n\n\n

    Struktur im Einkauf \u2013 Sicherheit im Unternehmen<\/strong><\/p>\n\n\n\n

    Ein \u00dcberblick \u00fcber den aktuellen Status der eigenen Infrastruktur ist entscheidend f\u00fcr alle weiteren Schritte. Intransparenz schafft hier h\u00e4ufig eine Menge Druck. Dasselbe gilt auch f\u00fcr den Cybersecurity-Markt. Daf\u00fcr braucht es einen strukturierten Beschaffungsprozess, der potenzielle L\u00f6sungen hinsichtlich ihrer Wirtschaftlichkeit und Effektivit\u00e4t pr\u00fcft. Wer den Security-Markt betrachtet, f\u00fchlt sich oft von den zahlreichen Angeboten erschlagen. Fakt ist jedoch, dass nicht jedes Produkt zu den Anforderungen des eigenen Unternehmens passt. Ein strukturierter Einkauf sorgt daf\u00fcr, dass nur diejenigen L\u00f6sungen beschafft werden, die den gr\u00f6\u00dften Mehrwert bieten. Es empfiehlt sich, einen unabh\u00e4ngigen Partner hinzuzuziehen, der die eigenen Anforderungen analysiert und bei der Auswahl des besten Angebots hilft. Denn gerade interne Betriebsblindheit kann zu Fehleinsch\u00e4tzungen f\u00fchren, sodass am Schluss nicht die passendste L\u00f6sung implementiert wird.<\/p>\n\n\n\n

    Die Grundlagen f\u00fcr eine solche Struktur kann wiederum ein ISMS legen. Dank der Richtlinien und Prozesse k\u00f6nnen CI(S)Os pr\u00fcfen, ob die angebotene L\u00f6sung auch wirklich auf die Sicherheitsziele des Unternehmens einzahlt. Darauf aufbauend sollte dann eine Risikobewertung durchgef\u00fchrt werden, aus welcher sich Ma\u00dfnahmen ableiten lassen, die ein Unternehmen implementieren muss oder sollte. Unternehmen aus dem KRITIS-Bereich sollten hier einen besonderen Fokus auf einzuhaltende Compliance-Regeln setzen, da diese durch die neue Gesetzgebung wie die NIS 2 oder das IT-Sicherheitsgesetz 2.0 sehr umfangreich sind.<\/p>\n\n\n\n

    Auf Grundlage der Risikobewertung k\u00f6nnen Unternehmen eine formelle Ausschreibung starten, die verschiedene Faktoren ber\u00fccksichtigt:<\/p>\n\n\n\n

      \n
    • die Kosten verschiedener L\u00f6sungen \u00fcber die Laufzeit<\/li>\n\n\n\n
    • die Qualifikation und Erfahrung der Anbieter<\/li>\n\n\n\n
    • die Haftungsf\u00e4lle im Falle eines Schadens<\/li>\n\n\n\n
    • die Transparenz im Beschaffungs- und Implementierungsprozess.<\/li>\n<\/ul>\n\n\n\n

      Um klassische Fehler zu vermeiden und die \u00dcbersicht zu behalten, sollten Unternehmen zun\u00e4chst also immer klare Ziele formulieren und die eigenen spezifischen Anforderungen genau untersuchen. Denn nur so k\u00f6nnen die richtigen Produkte beschafft und implementiert werden.<\/p>\n\n\n\n

      Sicherheit: Eine ganzheitliche Aufgabe<\/strong><\/p>\n\n\n\n

      Die Entlastung des Security-Personals ist f\u00fcr Unternehmen ein wichtiger Schritt, um die eigene Sicherheit zu f\u00f6rdern. Doch neben den skizzierten Verfahren ist es daf\u00fcr entscheidend, dass alle Stakeholder in der Organisation an einem Strang ziehen. Das gilt sowohl f\u00fcr die Security Awareness der Mitarbeiter als auch f\u00fcr die Entscheidungen, die das C-Level trifft. Die Sicherheit des eigenen Unternehmens profitiert davon, wenn f\u00fcr sie Cybersecurity klare Verantwortlichkeiten geschaffen werden und IT-Sicherheit nicht mehr eine Aufgabe unter vielen ist. Unternehmen sind bei dieser Herausforderung jedoch nicht auf sich allein gestellt und k\u00f6nnen von der Expertise von produktunabh\u00e4ngigen Partnern profitieren, die nicht nur den Cybersecurity-Markt kennen, sondern auch die Anforderungen der jeweiligen Unternehmen. <\/p>\n","protected":false},"excerpt":{"rendered":"

      Security-Verantwortliche stehen heute unter einem enormen Druck. Die wachsende Gefahr durch Cyberangriffe und die immer komplexer werdenden Anforderungen in den Unternehmen sorgen nicht gerade f\u00fcr rosigen Aussichten bei Security-Fachkr\u00e4ften. Eine Entlastung des Cybersecurity-Personals wird f\u00fcr Unternehmen immer wichtiger. Doch wie kann das gelingen, wenn Sicherheitspersonal immer seltener wird?<\/p>\n","protected":false},"author":81,"featured_media":24869,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"colormag_page_container_layout":"default_layout","colormag_page_sidebar_layout":"default_layout","footnotes":""},"categories":[8,37],"tags":[17502,3128,705,7100,17504,17503],"class_list":["post-24867","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-artikel","category-security","tag-bosch-cybercompare","tag-cio","tag-ciso","tag-isms","tag-it-sicherheitsgesetz-2-0","tag-nis-2-2"],"amp_enabled":true,"_links":{"self":[{"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/posts\/24867","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/users\/81"}],"replies":[{"embeddable":true,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=24867"}],"version-history":[{"count":1,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/posts\/24867\/revisions"}],"predecessor-version":[{"id":24870,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/posts\/24867\/revisions\/24870"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/media\/24869"}],"wp:attachment":[{"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=24867"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=24867"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=24867"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}