Ein Gastbeitrag von Saket Modi.
Branchenführer sind nicht nur darüber besorgt, dass Angreifer in kritische Infrastrukturen eindringen, sondern auch darüber, dass sie den Zugang zu ihnen und die Kontrolle über sie verlieren. Regierungen und kommerzielle Sicherheitsorganisationen haben bereits Kollateralschäden bei Organisationen außerhalb Europas bestätigt. Daher ist es Zeit, in diesen gefährlichen Zeiten einen vorausschauenden Ansatz zu verfolgen und die notwendigen Investitionen so zu begründen, dass eine Investition in adäquate Security-Systeme unumgänglich wird.
Ein globales Problem: Nach Angaben des ukrainischen Außenministeriums verlassen sich mehr als 100 der weltweit führenden 500 Unternehmen zumindest teilweise auf ukrainische IT-Dienstleistungen, wobei mehrere ukrainische IT-Firmen zu den 100 wichtigsten Outsourcing-Optionen für IT-Dienstleistungen weltweit gehören. Heutzutage steht die Frage des Risikos bei allen Gesprächen im Vordergrund.
Wie die Agentur für Cybersicherheit und Infrastruktursicherheit (CISA) in ihrem Leitfaden „Shields Up“ darlegt, besteht der erste Schritt zur Widerstandsfähigkeit darin, die Wahrscheinlichkeit eines schädlichen Cyberangriffs von vornherein zu verringern. Um die Wahrscheinlichkeit eines Vorfalls zu verringern, muss jedoch zunächst die Wahrscheinlichkeit eines solchen Vorfalls erkannt und gemessen werden.
Denn schon seit Jahren drängt die Sicherheitsbranche Unternehmensentscheider, Cyber-Bedrohungen als Unternehmensbedrohungen anzuerkennen und vorausschauend zu handeln. Heute scheinen die Entscheidungsträger der Unternehmen etwas mehr zuzuhören, denn immerhin stiegen im Jahr 2021 die durchschnittlichen Gesamtkosten einer Datenschutzverletzung um fast 10 Prozent auf 4,24 Millionen US-Dollar. Das ist eine Position, die inzwischen weh tut und für mittelständische Unternehmen oft das Aus bedeutet.
Weltweit haben die Investitionen in Cybersicherheit weiter zugenommen, die zwischen 2021 und 2025 voraussichtlich 1,75 Billionen US-Dollar übersteigen werden. Doch trotz der dieser Investitionen nehmen sowohl die Häufigkeit als auch die finanziellen Auswirkungen von Sicherheitsverletzungen weiter zu. Im Oktober 2021 wurden bereits mehr Sicherheitsverletzungen im Jahr 2021 gemeldet als im gesamten Vorjahr.
Das Kind darf erst gar nicht in den Brunnen fallen
Was kann ein Unternehmen tun, um in diesen beispiellosen Zeiten einen vorausschauenden Ansatz zu verfolgen und die notwendigen Investitionen zu begründen? Denn es ist wie immer: Ist das Kind in den Brunnen gefallen, werden schnell immense Gelder in die Handgenommen, um es dort wieder herauszuholen. Ist aber noch nichts passiert, dann glaubt man auch nicht so richtig daran, dass etwas passieren wird. Aber wenn etwas schiefgehen kann, dann wird es irgendwann auch schiefgehen.
Also, was tun? Wenn ein Chief Information Security Officer (CISO) oder Chief Information Officer (CIO) und ein Vorstandsmitglied zusammen in einem Aufzug stehen, sollte er in der Lage sein, die Echtzeit-Cyber-Risikolage des Unternehmens allein in dieser Aufzugsfahrt zu erläutern. Das Risiko sollte in realen, quantifizierbaren Begriffen gemessen werden, die sich auf präzise Datenpunkte und die finanziellen Auswirkungen einer Datenschutzverletzung stützen, die durch rationelle Investitionen abgewendet werden könnten.
Kennzahlen für Sicherheitsrisiken bereitstellen
Das gelingt durch Quantifizierung von Cyberrisiken. Dabei handelt es sich um ein Modell, das sich auf die Verwendung mehrerer Datenpunkte konzentriert, um einen greifbaren Wert des Risikos für jeden Vermögenswert im Unternehmen zu schaffen, der in Echtzeit dargestellt wird. So lässt sich das Risiko leicht in die finanziellen Auswirkungen einer Datenpanne umrechnen. Ein ausgereiftes Unternehmen hat heute aus Sicht der Cybersicherheit mehrere Verteidigungsebenen, wobei der CEO, der Vorstand und die Interessengruppen die Risikoverantwortlichen sind – die oberste Ebene der Cybersicherheit.
Der CTO und der CIO verwalten die Cyberrisiken, während der CISO und der CSO die Führungskräfte befähigen, die Risiken zu erkennen und zu verwalten. In einem solchen Szenario ist das Wissen über die Sicherheitsrisiken auf einer Need-to-Know-Basis angesiedelt. Die Tiefe, in der ein CEO die Cybersicherheit verstehen muss, ist nicht so technisch wie die eines CISO, so dass die Verantwortung für die Risikoerklärung beim CISO liegt.
Die Sprache, die jeder im Vorstand versteht, ist die finanzielle Auswirkung, die eine Datenschutzverletzung auf ein Unternehmen hat. Der Vorstand will dann wissen, um wie viel dieser Wert durch Cybersicherheits-Strategien gesenkt werden kann. Anstatt zu erklären, warum eine bestimmte Cybersicherheits-Richtlinie dazu beiträgt, die Cyberrisikoposition zu verbessern, sollte ein CISO erklären, um wie viel die finanziellen Auswirkungen des Cyberrisikos durch die Richtlinie verringert werden kann.
Informationen sind kontextabhängig, und im Falle der Cybersicherheit müssen die Risikoverantwortlichen (CISO, CSO) den Fachjargon in einen geschäftlichen Kontext stellen, um bessere, robustere Cybersicherheitsstrategien zu ermöglichen. Die Quantifizierung von Cyber-Risiken bringt den fehlenden geschäftlichen Kontext in Sicherheitsgespräche ein, und zwar durch den einen Wert, der für die Entscheidungsfindung wichtig ist – die Auswirkungen auf den endgültigen Geldwert.
Über den Autor:
Saket Modi, Co-founder & CEO Safe Security
Saket Modi ist Mitbegründer und CEO von Safe Security. Modi wurde unter anderem in die 40-unter-40-Liste des Fortune Magazine, die 35-unter-35-Liste des Entrepreneur Magazine und die 30-unter-30-Liste des Forbes Magazine aufgenommen.
Wir bedanken uns bei Saket Modi für seinen Gastbeitrag. Aussagen des Autors und des Interviewpartners geben nicht unbedingt die Meinung der Redaktion und des Verlags wieder.
Vorausschauende Unternehmens-Security durch Quantifizieren der Risiken
Kennen Sie schon unseren aktuellen Marktkommentare?
