Risk Assessment ist ein Konzept, dass in der Branche in letzter Zeit verstärkt diskutiert wurde, aber die Diskussionen zeigen auch, dass viele strategischen Entscheider die Idee noch nicht verinnerlicht haben: Daraus resultieren einige naive Mythen, die als trügerische Basis für die Sicherheitsrichtlinien in Unternehmen dienen und die Cybersicherheit des Unternehmens untergraben.
Um dieses Risiko zu minimieren, sollen im Folgenden die am häufigsten Fehlannahmen richtiggestellt werden, die Unternehmen daran hindern, eine ausgereifte Risikobewertung durchzuführen.
Mythos #1: IT-Risikobewertung ist teuer und kompliziert
Die Komplexität und die Kosten der Risikobewertung hängen vom Umfang und den Prozessen ab: Es gibt viele einfache Möglichkeiten wie eine Risikomatrix zur Bewertung und Priorisierung von Risiken auf Basis ihrer Auswirkungen auf die IT-Infrastruktur. Selbst einfache Maßnahmen, wie eine simple Tabelle mit den Risiken geordnet nach ihrer Schwere, helfen, die Sicherheitslage zu bewerten, ohne Geld für ein Produkt oder einen Berater auszugeben. Wer dennoch zu einer Softwarelösung greifen möchte, sollte auf Automatisierungs- und Integrationsfunktionen achten, um den zeitlichen und finanziellen Aufwand zu minimieren.
Mythos #2: Nur große Datenmenge sind eine gute Rechtfertigung
Zwar verfügen große Unternehmen meist über mehr Mittel als KMUs, um anspruchsvollere Sicherheitsmaßnahmen zu implementieren, aber Angreifer wissen das. Unternehmen jeder Größe speichern wertvolle Daten und die Kriminellen entscheiden sich für jene Ziele, die weniger geschützt sind, auch wenn es weniger zu stehlen gibt. Selbst eine kleine Menge vertraulicher Informationen kann oft wertvoller als eine große Menge trivialer Daten sein. Zum Beispiel könnte ein kleines Unternehmen oder eine kleine Behörde, Zugang zu vertraulichen Projekten haben, die verlockender sind als zahllose alltägliche E-Mails in einem Großunternehmen.
Mythos #3: Der Vorgang ist einmalig
Sowohl die IT-Infrastruktur als auch die Bedrohungslandschaft entwickeln sich ständig weiter, so dass der Prozess zur Risikobewertung und -Minderung regelmäßig wiederholt werden muss, um neue Schwachstellen zu erkennen und zu beheben. Wenn ein Unternehmen allerdings einmal auf den aktuellen Stand ist und Risk Assessment als Teil der Routine etabliert, wird es ihm leichter fallen, auf dem neuesten Stand zu bleiben und Standards oder Regulierungen wie ISO 27.001 oder die DSGVO einzuhalten.
Mythos #4: Berater schaffen eine künstliche Nachfrage
IT-Risikomanagement ist mehr als nur ein Schlagwort, vielmehr ist es sogar ein wesentlicher Bestandteil vieler Compliance-Standards, weil es Unternehmen hilft, ihre Risiken zu reduzieren. Beispiele dafür sind NIST SP 800-171, die DSGVO und ISO 27.001. Die Voraussetzung ist nämlich, die eigene Sicherheitslage zu bewerten, um zu wissen, wo Verbesserungen ansetzen können. In Abschnitt 3.11 des NIST SP 80-171 heißt es beispielsweise, dass Unternehmen Risiken für ihre IT-Umgebung regelmäßig neu bewerten und Sicherheitsprobleme entsprechend den Ergebnissen dieser Risikobewertung beheben müssen.
Die DSGVO hingegen legt wiederum nicht fest, wie Unternehmen ihre Risiken bewerten sollen, aber Artikel 32 fordert, geeignete technische und organisatorische Maßnahmen zu ergreifen, um ein dem Risiko angemessenes Sicherheitsniveau zu gewährleisten. Artikel 35 ermutigt ebenfalls eindeutig dazu die Folgen für den Datenschutz bei risikoreichen Verarbeitungstätigkeiten zu bewerten.
Mythos #5: Das ist nur zur Veranschaulichung und bietet keinen Mehrwert
Tatsächlich ist die IT-Risikobewertung ein sehr mächtiges Werkzeug, um echte Änderungen vorzunehmen, die die Sicherheit verbessern. Der Netwrix IT Risks Report 2017 stellte fest, dass sich in 32 Prozent der Unternehmen die Geschäftsleitung nicht mit den IT-Sicherheitsthemen beschäftigt. Das ist problematisch für IT-Verantwortliche, wenn sie Budget für neue Sicherheitsmaßnahmen oder Personal benötigen. Mit einer konkreten Bewertung der Risiken können sie Schwachstellen für das Management aufzuzeigen und sie über die Wahrscheinlichkeit von Datenverstößen sowie deren finanzielle Auswirkungen aufzuklären. Das sind wichtige Argumente für die Vorgesetzte, um das geforderte Budget zu rechtfertigen.
Mythos #6: Wenn alles in Ordnung ist, ist der Aufwand unnötig
Ein falsches Sicherheitsgefühl ist eines der schlimmsten Dinge, die in einem Unternehmen auftreten können, weil es unabhängig von der Qualität der Kontrollprozesse immer Schwachstellen geben wird. Eine gründliche IT-Risikobewertung wird dabei helfen, diese aufzuspüren, zu priorisieren und geeignete Sicherheitsmaßnahmen zu ergreifen. Sobald sich die IT-Umgebung ändert und sich die Bedrohungslandschaft weiterentwickelt, sollte der Prozess deshalb wiederholt werden, weil neue Schwachstellen wahrscheinlich sind.
Mythos #7: Mit einer Versicherung ist alles gut
Viele Führungskräfte glauben, dass eine Versicherung im Fall eines Datenschutzvorfalls die Kosten decken würde und wiegen sich in falscher Sicherheit. Insbesondere wenn die Untersuchung ergibt, dass das betroffene Unternehmen den Vorfall verschuldet hat, werden Bußgelder und andere Sanktionen unvermeidlich. Gerade die Verantwortlichen in Führungspositionen sind dann die Ersten, die im schlimmsten Fall entlassen werden.
Bei Equifax, der größten Wirtschaftsauskunftei in der USA, läuft noch das Verfahren aufgrund des Datenschutzvorfalls im Mai 2017 und die Kosten belaufen sich bislang auf rund 87,5 Millionen Dollar. Die Endkosten werden zweifellos noch ein Vielfaches höher liegen, aber die Police von Equifax wird wahrscheinlich nur bis zu 150 Millionen Dollar abdecken. Innerhalb weniger Wochen mussten im September letzten Jahres der CIO, der CSO und der CEO zurücktreten und keine Versicherung hätte dagegen helfen können.
Der nächste Schritt
Wer ausgewogene Sicherheitsrichtlinien entwickeln und Daten vor Diebstahl und Verlust schützen möchte, muss zunächst das Konzept der Risikobewertung in der IT verstehen. Anschließend folgt der nächste Schritt: der Aufbau eines effektiven Risk Assessment-Programms. Die Fähigkeit, Sicherheitsrisiken zu identifizieren und zu priorisieren, ist ein wichtiger Schlüssel, um Cyber-Bedrohungen zu minimieren und die Einhaltung verschiedener Standards wie der DSGVO, PSD2 und anderen zu vereinfachen. Deshalb ist es umso wichtiger, dass Unternehmen ihre Sicherheitsstrategie nicht auf Mythen aufbauen.
Gerald Lung, Country Manager DACH von Netwrix
www.netwrix.com