freshidea - Fotolia

Cybersicherheit: Die eigenen Risiken richtig einstufen

Wenn ein Unternehmen die eigenen Sicherheitsrisiken richtig einschätzt, lassen sich Angriffsfläche und mögliche Schäden durch Sicherheitsvorfälle begrenzen.

Ransomware-Attacken, Datendiebstahl, Insider-Angriffe – Unternehmen sind aufgrund der täglichen Meldungen in Sachen Sicherheitsvorfällen und der sich verändernden Bedrohungslandschaft nicht ohne Grund besorgt. Zudem hat sich die Infrastruktur und Arbeitsumgebung in vielen Unternehmen verändert. Cloud Computing, das Internet der Dinge, mobile Anwender und Fernzugriff haben es für Unternehmen nicht gerade einfacher gemacht, die eigene Sicherheit umfassend zu gewährleisten.

Auf dem World Economic Forum im Januar 2015 soll John Chambers, der damalige CEO von Cisco, gesagt haben: „Es gibt zwei Arten von Firmen: Jene, die bereits gehackt wurden und jene, die noch nicht wissen, dass sie gehackt wurden“. Dem ehemaligen FBI-Direktor James Comey wird ein sehr ähnliches Zitat zugeschrieben.

Sind Sicherheitsvorfälle beziehungsweise Cybereinbrüche wirklich unvermeidlich? Wenn dem so ist und entsprechende Sicherheitsverletzungen nicht verhindert werden können, sind dann all die getroffenen Schutzmaßnahmen ihren Aufwand wert? So entmutigend derlei Zitate sein mögen, wenn dem so wäre, würden Unternehmen wahrscheinlich nicht ihr geistiges Eigentum, sensible Finanzdaten und personenbezogene Informationen in vernetzten Systemen speichern. Oder aber die daraus gewonnenen Vorteile überwiegen die entsprechenden Risiken.

Cybersicherheit bedeutet richtig mit Risiken umgehen

Auch wenn Sicherheitsverstöße prinzipiell nicht zu vermeiden sind, gibt es genügend Ansatzpunkte, um Daten und Informationen zu schützen. Wenn bestimme Gefährdungsszenarien nicht vermieden werden können, gibt es immer Möglichkeiten, diesen Risiken bestmöglich zu begegnen. Schließlich beinhaltet das Risiko-Management den richtigen Umgang mit den Risiken. Ließe sich ein Unsicherheitsfaktor zu 100 Prozent eliminieren, dann wäre auch das Risiko kaum ein Problem.

Ist ein Vorfall in Sachen Cybersicherheit nicht zu vermeiden, beziehungsweise das Risiko nicht Null, gibt es zwei Strategien im Hinblick auf den Schutz des Unternehmens. Zum einen gilt es, die Wahrscheinlichkeit zu verringern, dass dieser Vorfall eintritt. Zum anderen heißt es, die Auswirkungen und Schäden, die durch einen solchen Vorfall eintreten können, zu begrenzen.

Diese ganz einfache Herangehensweise eignet sich für den Umgang mit einer Reihe von Risiken, insbesondere in Sachen Cybersicherheit. Dabei gilt es zunächst, die für den Geschäftsbetrieb entscheidenden Faktoren zu identifizieren. Das heißt, die zu schützenden Elemente, Werte, Daten und Informationen müssen als solche erkannt werden. Dabei kann es sich um Rohdaten, Personen, Technologien und natürlich Abläufe und Geschäftsprozesse handeln.

Danach gilt es, die jeweiligen Risiken zu bewerten. Was passiert bei Verlust, unerlaubter Veränderung, Offenlegung der Daten oder Zugangsverlust zu den Daten? Und wie würden die Risikoszenarien aussehen?

Der klassische Fall eines Eindringlings in Sachen Cybersicherheit sieht so aus: Ein Angreifer nutzt eine vorhandene Schwachstelle aus und gefährdet damit die Sicherheit eines der genannten Vermögenswerte des Unternehmens. In diesem Fall besteht das Risiko aus mehreren Faktoren: der Existenz der Schwachstelle, dem Exploit mit dessen Hilfe die Schwachstelle ausgenutzt wird und dem Angreifer, der mit dem Exploit die Schwachstelle angreift und die Sicherheit gefährdet.

In einem so gelagerten Fall kann der Sicherheitsverantwortliche für das Netzwerk dem Risiko begegnen, in dem er sich um die Schwachstellen in der eigenen Infrastruktur kümmert. In diesem Bereich der Cybersicherheit geht es um die Identifizierung und Behebung von Schwachstellen.

Im Idealfall wird eine Sicherheitslücke auch geschlossen, wenn sie identifiziert wird. Das Risiko, dass genau diese Schwachstelle ausgenutzt wird, ist damit so weit wie möglich reduziert.

Cyberrisiken priorisieren

Das Risiko-Management hilft dabei, die eigene Vorgehensweise in Sachen Cybersicherheit zu optimieren. Sind die beschriebenen Risiken für die einzelnen Vermögenswerte identifiziert, unterstützt das Risiko-Management dabei, die Reihenfolgen zu priorisieren, in der die einzelnen Risiken behoben werden können.

Die Priorisierung ist dabei von elementarer Bedeutung. Häufig sind nicht genügend Ressourcen vorhanden, um wirklich alle Schwachstellen zu beseitigen. Und selbst wenn die Ressourcen zur Verfügung stehen, ist es wichtig zu wissen, welche Sicherheitslücken zuerst geschlossen werden müssen. Dies geschieht häufig im Hinblick auf die möglichen Auswirkungen auf das Unternehmen.

Die Folgen von Angriffen

Üblicherweise werden Schwachstellen nach den Auswirkungen ihrer möglichen Ausnutzung priorisiert. Hierzu werden die Risikoszenarien entsprechend durchgespielt. Dazu muss man sich über die Folgen der Ausnutzung im Klaren sein.

Wird die Schwachstelle angegriffen beziehungsweise ausgenutzt, dann hat dies ein Ergebnis zur Folge. Das Ergebnis des Angriffs könnte etwa die unerwünschte Offenlegung, die unbefugte Änderung oder der Verlust des Zugangs zu den Daten sein. Die Auswirkung auf das Unternehmen ist hingegen, was wiederum als Folge aus diesen Tatsachen passiert.

Werden dem Unternehmen beispielsweise Gesundheitsdaten gestohlen, die unter besonderen Datenschutzvorschriften stehen, dann ist das Ergebnis des Angriffs die Offenlegung der Daten. Die Auswirkung können dann die Kosten für etwaige Vertragsverletzungen oder auch Bußgelder und Zivilstrafen sein.

Schwachstellen richtig einstufen

Die Priorisierung der Schwachstellen hinsichtlich ihres Schweregrades kann auf unterschiedliche Art und Weise erfolgen. Ein gängiges System ist CVSS (Common Vulnerability Scoring System). CVSS verwendet einen Algorithmus, um drei unterschiedliche Werte für den Schweregrad einer Sicherheitslücke zu ermitteln. In den USA existiert die staatliche National Vulnerability Database, die Einstufungen für bekannte Schwachstellen enthält. Dabei unterscheidet sich die Bewertung des Schweregrades von der oben genannten Einstufung. Hierzulande findet sich beim Bundesamt für Sicherheit in der Informationstechnik die Schwachstellenampel, die eine Einstufung von Sicherheitslücken anzeigt.

Das CVSS ist eine ganz gute Grundlage, um Sicherheitsrisiken beziehungsweise Schwachstellen zu priorisieren. Dennoch ist es unabdingbar, dass Unternehmen überprüfen, ob diese Herangehensweise bei allen Schwachstellen richtig greift. Beispielsweise wenn eine Sicherheitsanfälligkeit vom CVSS als nicht wirklich schwerwiegend eingestuft wird. Dies könnte Unternehmen dazu verleiten, diese zunächst nicht zu beheben, oder ganz außen vor zu lassen.

Sollten aber im eigenen Unternehmen besonders viele Systeme mit der betroffenen Software im Einsatz seien, und diese mit geschäftskritischen Daten arbeiten, dann hat die Schwachstelle für das Unternehmen eine ganz andere Bedeutung. Daher ist es wichtig, die Bedeutung der Schwachstellen immer in den eigenen Kontext zu setzen.

Fazit

Es ist richtig, dass Sicherheitsvorfälle an sich nicht zu vermeiden sind. Tatsächlich ist es nur nicht möglich, ein gewisses Maß an Unsicherheit im Hinblick auf Verstöße in Sachen Cybersicherheit auszuräumen.

Und entsprechenden Unsicherheitsfaktoren begegnet man mit Risiko-Management. Und wenn man sich darüber im Klaren ist, dass Cybersicherheit stets mit Risiko-Management Hand in Hand geht, lassen sich auch alle dort üblichen Methoden anwenden.

Folgen Sie SearchSecurity.de auch auf Twitter, Google+, Xing und Facebook!

Nächste Schritte

Risiko-Management: Risiken erkennen und verstehen

So können Unternehmen einen Cybersicherheitsplan aufstellen

Technologie löst keine Security-Probleme

Artikel wurde zuletzt im September 2017 aktualisiert

Pro+

Premium-Inhalte

Weitere Pro+ Premium-Inhalte und andere Mitglieder-Angebote, finden Sie hier.

Erfahren Sie mehr über Enterprise-Vulnerability-Management

Diskussion starten

Schicken Sie mir eine Nachricht bei Kommentaren anderer Mitglieder.

Mit dem Absenden dieser Daten erklären Sie sich bereit, E-Mails von TechTarget und seinen Partnern zu erhalten. Wenn Ihr Wohnsitz außerhalb der Vereinigten Staaten ist, geben Sie uns hiermit Ihre Erlaubnis, Ihre persönlichen Daten zu übertragen und in den Vereinigten Staaten zu verarbeiten. Datenschutz

Bitte erstellen Sie einen Usernamen, um einen Kommentar abzugeben.

- GOOGLE-ANZEIGEN

SearchStorage.de

SearchNetworking.de

SearchEnterpriseSoftware.de

SearchDataCenter.de

Close