Wachsende Bedrohungen - begrenzte Budgets

Die Security-Prioritäten von CISOs

Kommentar  18.08.2020
Von   
Nach 15 Jahren als Senior Regional Director Germany bei Fortinet hat Christian Vogt Anfang 2020 die Rolle des Vice President DACH übernommen. Er verfügt über langjährige Leadership-Erfahrung und Expertise im Umgang mit großen und strategischen Kunden und Partnern im Markt für Sicherheits- und Netzwerktechnologie sowie in der Telekommunikationsbranche. Er studierte Betriebswirtschaft in Deutschland und den USA und hatte vor seinem Eintritt bei Fortinet 2006 unter anderem Positionen bei Cable & Wireless Deutschland, Inktomi und Oracle inne.
Das Risiko für Cyber-Angriffe steigt. Doch CISOs kämpfen mit Fachkräftemangel und knappen Budgets. Umso wichtiger wird es, die Security-Strategie zu fokussieren.
Cyber-Security ist ein breites Thema, das Chief Information Security Officers zu verantworten haben. Das tun sie am besten mit einem Plan.
Cyber-Security ist ein breites Thema, das Chief Information Security Officers zu verantworten haben. Das tun sie am besten mit einem Plan.
Foto: Elnur - shutterstock.com

In einer idealen Welt hätten CISOs unbegrenzte Budets und jede Menge Mitarbeiter, um den wachsenden Cyber-Bedrohungen die Stirn zu bieten. Die Realität sieht leider anders aus. Gerade in der Security-Branche sind Fachkräfte rar und Teams meist knapp besetzt. Zudem können CISOs mit eingeschränkten finanziellen Mitteln kämpfen, während das Risiko für Cyber-Angriffe steigt und die Angriffsfläche durch die zunehmende Digitalisierung und Vernetzung wächst.

Eine von Fortinet in Auftrag gegebene Umfrage von Forbes Insights unter mehr als 200 Security-Verantwortlichen zeigt: 84 Prozent der Befragten glauben, dass die Bedrohungslage in den kommenden Jahren eskalieren wird. 21 Prozent halten die Cyber-Kriminellen sogar für überlegen. Dabei beklagt ein Drittel, dass zu geringe Budgets erhebliche Auswirkungen auf ihre Cyber-Security-Maßnahmen haben.

Welche Strategien verfolgen CISOs?

Angesichts dieser angespannten Lage müssen CISOs gut mit ihren Ressourcen haushalten und genau überlegen, wie sie sie einsetzen. Das erfordert harte Entscheidungen, denn überall für optimale Sicherheit zu sorgen, geht schlichtweg nicht. Vielmehr gilt es, die begrenzten Mittel dort anzuwenden, wo sie am wichtigsten sind und den größten Erfolg versprechen. Die von den befragten CISOs geplanten Strategien stellen sich wie folgt dar:

  • Automatisierung und KI nehmen zu: 42 Prozent der Sicherheitsverantwortlichen wollen künftig verstärkt eine Automatisierungsstrategie verfolgen. Der Großteil der übrigen Befragten tut dies bereits schon. 45 Prozent setzen zudem auf fortschrittliche Analyseverfahren, um Sicherheitsvorfälle schnell zu entdecken. Automatisierung und künstliche Intelligenz entlasten Security-Teams und nehmen ihnen Routine-Aufgaben ab.

  • Incident Detection and Response rückt in den Fokus: CISOs sind sich zunehmend einig, dass man das Risiko für Cyber-Angriffe nie ganz ausmerzen kann. Sicherheitsverantwortliche verlagern daher den Fokus ihrer Security-Strategie von der Prävention mehr in Richtung Incident Detection & Response. Während sie derzeit noch 36 Prozent ihres Budegts für die Gefahrenerkennung und -bekämpfung ausgeben, wollen sie laut Studie nach Möglichkeit künftig 40 Prozent dafür bereitstellen.

  • Investitionen in neue Mitarbeiter und Security-Kultur: Investieren wollen CISOs auch in menschliche Expertise und eine Cyber-Security-Kultur. So haben es sich 14 Prozent als oberste Priorität gesetzt, ihr Team aufzustocken und mehr Security-Spezialisten einzustellen. Genauso viele der Befragten (14 Prozent) finden es am wichtigsten, mehr Bewusstsein für Security im Unternehmen zu schaffen, und 13 Prozent wollen in bessere Schulungs-Maßnahmen für Mitarbeiter investieren.

  • Schutz der Marke und des geistigen Eigentums ist höchstes Ziel: Oberste Priorität bei ihrer Security-Strategie hat für die Mehrheit der CISOs (36 Prozent) der Schutz von Unternehmensmarke und Kundendaten. Ein Fünftel der Befragten fokussiert auf den Schutz von geistigem Eigentum. Letzteres bildet den Kern des Unternehmens und ist daher ein beliebtes Ziel für Cyber-Kriminelle.

Die richtigen Prioritäten setzen

Wie aber findet man heraus, was für das Unternehmen am wichtigsten ist und welche Security-Maßnahmen man ergreifen sollte? Eine gute Methode ist die 100-Münzen-Frage, die sieben führenden CIOs gestellt wurde: "Wenn Sie nur 100 Münzen für sämtliche Cyber-Security-Maßnahmen zur Verfügung hätten - wofür würden Sie sie ausgeben?" Das Ergebnis zeigt: Alle der Befragten würden in automatisiertes Schwachstellen-Scanning und in Multi-Faktor-Authentifizierung investieren. Sechs von sieben finden zudem Incident-Reponse-Fähigkeiten besonders wichtig. Fünf von sieben halten die Inspizierung von Content via Sandbox und SSL-Entschlüsselung sowie Governance, Risiko-Management und Compliance Tools für essenziell.

Wie kamen die CISOs zu dieser Entscheidung? Eine hilfreiche Methode besteht darin, eine Hierarchie der Security-Funktionen aufzustellen, die man benötigt. Dabei sind fünf Dimensionen zu berücksichtigen:

  • Verschlüsselung,

  • Authentifizierung,

  • Logging und Erkennung,

  • Asset Management sowie

  • Sicherheitszonen und Eindämmung.

Verschlüsselung ist ein übergeordneter Schutz. Sie greift auch dann noch, wenn das Unternehmen keine optimalen Authentifizierungsregeln hat. Die erste Verteidigungslinie ist demzufolge eine gute Authentifizierung. Sie stellt die Identität eines Nutzers sicher, sodass die Autorisierung folgen kann. Technologien zur Auswertung von Logfiles dienen dazu, Informationen zu sammeln und Anzeichen für Bedrohungen zu erkennen. Asset Management ist wichtig, um ein genaues Bild von der Angriffsfläche zu gewinnen. Und Sicherheitszonen sorgen dafür, dass Applikationen in der richtigen Umgebung mit einem geeigneten Schutzniveau eingesetzt werden. In jeder der fünf Dimensionen gilt es, angemessene Maßnahmen zu ergreifen. Diese können zunächst einfach sein, und dann immer weiter vertieft werden.

Lesetipp: Was Sie über PGP, SSL, RSA und Co wissen sollten

Ein anderer empfehlenswerter Ansatz, um Prioritäten zu klären, besteht darin, sich das schlimmste mögliche Szenario vorzustellen. Was ist das wichtigste Asset für das Unternehmen? Sind es die Kundendaten, das geistige Eigentum oder das Bankkonto? Wo würde ein Hackerangriff katastrophale Folgen haben? Sobald CISOs dies herausgefunden haben, sollten sie durchspielen, was alles passieren kann. Verfügen sie über die Möglichkeiten, die Szenarien zu verhindern? Diese Fragen helfen dabei herauszufinden, was am wichtigsten ist.

Um gegen die wachsende Bedrohungslage gewappnet zu sein, sollten CISOs versuchen, ihre Ressourcen zu maximieren. Dafür müssen sie das Management davon überzeugen, dass sich Investitionen in Security lohnen. Die Rechnung ist im Grunde einfach: Ein Datenschutzvorfall kann deutsche Unternehmen im Durchschnitt 4,33 Millionen Euro kosten. Sicherheitsmaßnahmen sind im Vergleich dazu günstiger. Erfolgreiche CISOs werden ihre Security-Strategie zudem genau auf ihre Ziele fokussieren. Dafür müssen sie ihre Prioritäten ermitteln, die richtigen Tools auswählen und ihre Mitarbeiter dort einsetzen, wo sie am meisten zum Erfolg beitragen. So sind sie in der Lage, die wichtigen Unternehmens-Assets auch mit begrenzten Ressourcen effektiv zu schützen. (bw)