Branchen
Branchen im Überblick
Energie- & Versorgungswirtschaft
Fertigungsindustrie
Gesundheitswesen & Life Science
Handel & Konsumgüter
Media & Entertainment
Öffentlicher Sektor
Beratung & Innovation
Beratung
Business Transformation
Technologieberatung
Prozessberatung
Innovation
Generative KI
Souveräne KI
Metaverse
Beratung
Business Transformation
Business Transformation Consulting
Lösungen & Produkte
Lösungen
Souveräne IT
Business Process Management
Customer Experience
Daten & Automatisierung
Digital Workplace
Digital Commerce
Fälschungssicherheit
Finance
SCM & Logistik
Produkte
Arvato Systems Alive
Unified Commerce mit aroma®
Digital Workplace mit NAVOO®
Logistikprozesse digitalisieren mit platbricks®
Vulnerability Management mit VAREDY
Nachhaltigkeitsmanagement mit green.screen
Weitere Produkte
Technologien
Amazon Web Services
Google Cloud
Microsoft
SAP
Weitere Partner
Lösungen
Business Process Management
Prozessmodellierung und Prozessdokumentation
Process Mining
Prozessautomatisierung
Governance, Risk & Compliance
Lösungen
Customer Experience
API Management
App Entwicklung
Arvato Systems Alive
Customer Experience Consulting
Content Management
Customer Relationship Management
Hyperpersonalisierung
Kundenbindung
Product Information Management
UX- & UI-Design
Lösungen
Daten & Automatisierung
Data Fabric
Data Governance
Generative KI
Hyperautomation
DocuStream
Künstliche Intelligenz
Robotic Process Automation
Self-Service Business Intelligence
Lösungen
Digital Workplace
Digitales Sitzungsmanagement
Digital Workplace mit NAVOO®
Gast User Manager
Microsoft 365
Microsoft 365 Backup-Service
Microsoft 365 Datenschutz
Microsoft Power Platform
Workplace Security
Lösungen
Fälschungssicherheit
Serialisierung in der Konsumgüterindustrie
Serialisierung in der Pharmaindustrie
Lösungen
SCM & Logistik
Warehouse Management
Transport Management
Produktionsplanung
Logistikprozesse digitalisieren mit platbricks®
Künstliche Intelligenz in der Logistik
Logistik 4.0
SCM & Logistik
Logistikprozesse digitalisieren mit platbricks®
Production Supply
Behältermanagement
Warehouse Management System
Mobile Solutions
Analytics
Chatbots
Gamification
Healthcare Suite
Technologien
Amazon Web Services
Amazon Connect Contact Center
AWS Container Acceleration
AWS Cloud Migration
SAP on AWS
Technologien
Google Cloud
API Management mit Apigee
Modern Data Warehouse Management mit BigQuery
SAP on Google Cloud
Google Cloud Landing Zone
Technologien
Microsoft
Microsoft Azure
SAP on Azure
Microsoft 365
Microsoft Power Platform
Technologien
SAP
SAP Application Management Service
SAP Business Technology Platform
SAP Customer Experience
SAP Lizenzmanagement
SAP on Cloud
SAP RISE
SAP S/4HANA
End-2-End Process Monitoring
SAP Datasphere
SAP BW/4HANA
Infrastruktur & Betrieb
Cloud & Data Center Services
Cloud Transformation
IT Outsourcing & Infrastructure Services
Multi & Hybrid Cloud
SAP on Cloud
Virtual Desktop Infrastructure
Workload Automation
Security Services
Cyber Care & CDC
Disaster Recovery
Vulnerability Management mit VAREDY
SAP Security
Managed Services
Cloud Foundation
Managed Workloads
Application Management
Cloud & Data Center Services
Cloud Transformation
Application Modernization on Cloud
Data Center on Cloud
Data Management on Cloud
Enterprise Application Integration
Managed Cloud IT mit Avvia
Cloud & Data Center Services
IT Outsourcing & Infrastructure Services
SAP Hosting
Cloud & Data Center Services
Multi & Hybrid Cloud
Amazon Web Services
Google Cloud
Microsoft Azure
Virtual Private Cloud
Über uns & Aktuelles
Über Arvato Systems
Auszeichnungen
Corporate Responsibility
Management
Mitgliedschaften und Zertifizierungen
Partnerschaften
Referenzen
Standorte
Presse
Termine & Events
Kontakt
pexels-mati-mango-5952651

Die Zeit ist reif für Cyber Security Management

Cyber Security als Geschäftsprozess etablieren

...
Foto_Andreas_Nolte
Verfasst von
Cyber Security Management: IT-Sicherheit als Geschäftsprozess etablieren
25.01.2022
Security
Cloud

Jedes Unternehmen kann – unabhängig von seiner Größe und Branche – einer Cyber-Attacke zum Opfer fallen. Obwohl das Risiko bekannt ist, handelt die Mehrheit der Firmen alles andere als adäquat. Doch woran liegt das? Und was sollten Unternehmen tun?


Man liest immer wieder von spektakulären Cyber-Angriffen. „Uns kann das nicht passieren“, denken dann viele. Damit liegen sie falsch. Und diese Annahme kann fatale Folgen haben.

Mangelndes Verständnis für Cyber Security

Aber warum ist das so? Nun, vielerorts fehlt das Verständnis für Cyber Security – von den Risiken über die Folgen einer Cyber-Attacke bis hin zu geeigneten Vorkehr- und Gegenmaßnahmen. Bereits 2016 hat Gartner herausgefunden, dass 99 Prozent der Schwachstellen, die zu Einbrüchen führen, länger als ein Jahr bekannt sind. Seitdem hat sich die Technologie rasant weiterentwickelt. Der Umgang mit der allgegenwärtigen Bedrohung jedoch nicht.

Cyber Security ist komplex

Warum also gelingt es nicht, dieses Problem in den Griff zu bekommen? Eine Ursache besteht sicherlich darin, dass Cyber Security ein extrem komplexes Handlungsfeld ist. Viele Firmen wissen einfach nicht, an welchen Stellen und womit sie anfangen sollen. Dass es sehr viele gute Referenzen gibt, auf die Unternehmen zurückgreifen könnten, verschärft die Situation eher, als sie zu entlasten.


Das sind die wichtigsten Referenzen:

  • Das MITRE ATT&CK Framework listet alle bekannten Angriffstechniken tagesaktuell auf und erklärt, wie man sie erkennt und mögliche Angriffe abwehrt. Eine Heatmap zeigt, welche Technologie in welcher Branche besonders oft angewendet wird. So erfahren Unternehmen, wie sie am wahrscheinlichsten angegriffen werden, und können ihre kritischsten Infrastrukturen, Daten und Systeme gezielt schützen.
  • Das SANS Institute bietet ein umfangreiches Angebot an über 60 Schulungen und Zertifizierungen für Cyber-Security- Experten.
  • Mit CIS Control 1 und CIS Control 2 verschaffen sich Unternehmen einen ganzheitlichen Überblick über ihr Netzwerk, inventarisieren ihre Endgeräte sowie Applikationen und kontrollieren ihr Inventar wirkungsvoll.
  • Das Bundesamt für Sicherheit in der Informationstechnik (BSI) ist die zentrale Anlaufstelle, um Unternehmen mit kritischen Infrastrukturen (KRITIS) gegen externe Angriffe zu schützen.
  • Das National Institute of Standards and Technology (NIST) zielt mit seinen Cyber-Security-Programmen darauf ab, die Entwicklung und Anwendung von Sicherheitstechnologien und -methoden zu fördern, um die Herausforderungen der Informationssicherheit zu bewältigen.

Vor diesem Hintergrund sollten Unternehmen wissen, was zu tun ist. Doch die Theorie in die alltägliche Praxis zu übertragen – darin besteht die eigentliche Herausforderung.

Es liegt nicht an der Technologie

Das heißt jedoch nicht, dass es keine geeigneten Tools gäbe. Das Gegenteil ist der Fall. Es gibt eine Vielzahl an leistungsstarken Security-Lösungen. Dementsprechend ist es nicht das Tooling, welches als Bremser wirkt. Es braucht vielmehr ein Umdenken in den Unternehmen. In diesem Kontext kommt die Cloud Security Studie 2021 von IDG Research, Arvato Systems und weiteren Partnern zu folgenden Ergebnissen:

  • Security by Default ist die Ausnahme bei Cloud-Projekten – obwohl Unternehmen wissen, dass spätere Anpassungen in Sachen IT-Sicherheit sehr teuer sind.
  • Der Cloud Provider ist der wichtigste Cyber-Security-Partner: Doch um die IT-Sicherheit langfristig hochzuhalten, ist zumeist zusätzliche Unterstützung durch ein externes Security Operations Center (SOC) nötig.
  • Die Mehrheit der Unternehmen stellt kein Zusatzbudget für Cloud Security bereit. Viele glauben, der Cloud Provider sorge für die gebotene IT-Sicherheit. Das ist ein Irrglaube. Er tut das nur mit entsprechender Beauftragung.
  • Büros gelten als sicherer als Remote-Arbeitsplätze. Selbst wenn das so sein sollte – was fraglich ist –, entspricht ein solcher Ansatz nicht mehr der Unternehmensrealität. Stattdessen wird die Komplexität der zu betreibenden Umgebung immer größer – bis hin zu Mobile-Work-Szenarien, bei denen Produktionsprozesse von überall her abzusichern sind.

Vorbereitet sein

Um dem entgegenzuwirken, sollten Unternehmen eine Reihe an Maßnahmen ergreifen:

  • Mit geeigneten Technologien und Schutzmaßnahmen eine proaktive, kontinuierliche Bedrohungsanalyse etablieren.
  • Durch die Nutzung von CIS Control 1 und CIS Control 2 sicherheitsrelevante Geräte und Datenquellen identifizieren.
  • Die richtige Sensorik betreiben und Ressourcen gezielt koordinieren, um Geräte und Umgebungen zu schützen.
  • Eindringlinge zuverlässig erkennen und im Angriffsfall schnell und richtig reagieren (Assume-Breach-Paradigma: Jedes Unternehmen muss davon ausgehen, einmal Opfer einer Cyber-Attacke zu werden).
  • Sicherheitsziele definieren und fortlaufend managen.

Richtig handeln

Das bedeutet nichts Geringeres, als Cyber Security – wie jeden anderen Geschäftsprozess auch – operativ zu steuern. Ein Beispiel aus dem Schwachstellenmanagement (Vulnerability Management): Der Security Scan einer Umgebung liefert detaillierte Ergebnisse über die zum Vermessungszeitpunkt existierenden Risiken (Risk Score Metrik). Der gemessene Wert könnte zunächst bei 20.000 liegen, zwei Wochen später bei 25.000. Laut Scan hat sich das Gesamtrisiko erhöht. Darauf, ob man in der Zwischenzeit an der Problembehebung gearbeitet hat und ob das Vulnerability Management zuverlässig funktioniert, lassen solche Einzelbetrachtungen keine Rückschlüsse zu. Denn IT-Sicherheit ist kein statisches Thema.

Ein ewiger Kreislauf

javier-esteban-JAsWBt-IOj8-unsplash

Darum besteht die Lösung nicht darin, einen Security Score zu erstellen,  dem aggregierte Zahlen auf Wochenebene zugrunde liegen. Vielmehr müssen Unternehmen die aktuelle Situation hinsichtlich Schwachstellen auf Detailebene sowie in Echtzeit untersuchen und ihre Security-Prozesse entsprechend anpassen – und zwar nicht im Rahmen eines Einmal-Projekts, sondern fortlaufend. Dazu gehört auch, Lücken zu klassifizieren (einfach, mittel, schwer) und neue Veröffentlichungen (siehe MITRE ATT&CK) in die Analyse einfließen zu lassen: Gibt es neue Schwachstellen? Führen sie womöglich dazu, dass eine Medium-Schwachstelle zu einer kritischen wird? Braucht es mehr Personal und adaptierte Prozesse, um der neuen Situation gerecht zu werden?

Möglichst wenig Angriffsfläche bieten

In der Praxis verzichten viele Unternehmen auf ein solches Vorgehen. Sie haben keine Maßnahmen in die Wege geleitet, um Angriffsflächen zu identifizieren und zu schließen. Dabei gilt: Je länger eine Schwachstelle besteht, desto leichter hat es der Hacker – zumal hier das Dilemma des Verteidigers zum Tragen kommt: Der Angreifer muss EINE Lücke finden, um sie gezielt ausnutzen zu können. Firmen hingegen müssen idealerweise alle Lücken schließen. Da das gemäß Assume-Breach-Paradigma jedoch unmöglich ist, lautet die Devise: Die Angriffsfläche so gering wie möglich halten.

Fazit

Cyber Security ist die wesentliche Grundvoraussetzung für moderne, digitale Geschäftsprozesse. Um die besondere Komplexität des gesamten Handlungsfelds zu beherrschen, braucht es adäquate Methoden und geeignete Tools. Bewährte Vorgehensweisen aus dem Business Process Management zu adaptieren und Cyber Security als Geschäftsprozess zu behandeln, ist der erste Schritt auf dem Weg hin zu mehr IT-Sicherheit.

Security Services

Sicherheit für Ihr Unternehmen: Sie können sich darauf verlassen, dass Ihre Daten und Anwendungen in unseren Rechenzentren durch modernste Security-Lösungen geschützt werden.

Hier mehr erfahren
Cyber Care & CDC

Unser Komplettpaket gegen Cyber-Attacken für Ihre IT-Sicherheit.

Hier mehr erfahren
Disaster Recovery

Mehr Sicherheit durch Datensicherung in der Cloud.

Hier mehr erfahren
Vulnerability Management mit VAREDY

Beheben Sie Schwachstellen und minimieren Sie das Risiko eines Security Angriffs so schnell und effektiv wie möglich mit Hilfe von VAREDY.

Hier mehr erfahren

Verfasst von

Foto_Andreas_Nolte
Andreas Nolte
Experte für Cyber Security
Abonnieren Sie unseren monatlichen Newsletter
ImpressumDatenschutzAllgemeine EinkaufsbedingungenKarriere bei Arvato SystemsKontaktCookie-Einwilligung anpassen
© 2024 Arvato Systems