CI(S)Os haben einen undankbaren Job. Solange die Sicherheitsstrategie und -infrastruktur standhält, spricht niemand von ihnen. Kommt es jedoch zu einem sicherheitsrelevanten Vorfall, liegt alle Aufmerksamkeit auf ihnen. Dabei spielt es meist keine Rolle, wer den Vorfall verschuldet hat. Selbst die besten Sicherheitsvorkehrungen können umgangen werden. Eine Bitkom-Studie zeigt: Jährlich entsteht ein Schaden in Höhe von 203 Milliarden Euro durch Cyberangriffe auf deutsche Unternehmen. CISOs und IT-Administratoren stehen bereits jetzt unter gewaltigem Druck, und in absehbarer Zeit ist keine Besserung in Sicht. Doch die gute Nachricht lautet, dass die Awareness für Cybersicherheit bei deutschen Unternehmen wächst.

Das geht aus einer weiteren Bitkom-Studie aus dem letzten Jahr hervor. Sie zeigt, dass deutsche Unternehmen mehr als je zuvor in Cybersicherheit investieren. Doch hohe Ausgaben allein reichen nicht. Eine effiziente Nutzung der Mittel ist fast noch wichtiger. Viele Unternehmen wissen oft nicht, wo ihr Geld richtig aufgehoben ist. Besonders dort, wo kein eigener CISO die Geschicke leitet, sondern Cybersicherheit eine Aufgabe des IT-Administrators oder -Leiters ist, geht der Überblick schnell verloren. Der Markt wächst rasant und ist inzwischen so unübersichtlich geworden, dass er selbst für Experten immer schwerer zu überblicken ist. Sicherheitsverantwortliche müssen also nicht nur die Gefahren im Auge behalten, sondern auch kontinuierlich nach passenden Werkzeugen Ausschau halten – und all das neben den täglichen Aufgaben und Herausforderungen.

Diese Maßnahmen lohnen sich
Um Entlastung zu schaffen, müssen Unternehmen den Überblick darüber gewinnen, welche Maßnahmen sich für sie lohnen und welche eher weniger. Das gilt sowohl für bereits verwendete als auch für neue Tools. Die Wirtschaftlichkeit zählt. Dafür gibt es zahlreiche Verfahren, wie Sicherheitsverantwortliche diese nachprüfen können. Die einfachste Möglichkeit ist dabei die klassische Kosten- oder TCO-Rechnung (Total Cost of Ownership). Diese schlüsselt die Kosten für die Anschaffung, Einführung und den Betrieb eines Werkzeugs transparent auf und ist ein guter Anfang. Allerdings beinhaltet eine TCO-Rechnung keine Risikobewertung.

Die zweite Möglichkeit, der RoSI (Return of Security Investment), wiederum beachtet Risikobewertungen für verschiedenste Fälle in monetarisierter Form (Schadenshöhe x Eintrittswahrscheinlichkeit). Die Durchführung ist jedoch nicht immer einfach und mit einem höheren Aufwand verbunden.

Als dritte Möglichkeit können Unternehmen auf eine Wirtschaftlichkeitsbetrachtung – oder WiBe – zurückgreifen. Dieses Verfahren stammt ursprünglich nicht aus der IT-Security, kann hier aber Anwendung finden. Die WiBe verknüpft eine Kapitalwertrechnung mit einer Nutzwertanalyse. Zu guter Letzt stellt die QUANTSEC (Quantifying Security) eine Möglichkeit dar, um die Wirtschaftlichkeit zu prüfen. Dabei wird die Effektivität der Sicherheitsmaßnahmen objektiv, automatisiert und kontinuierlich gemessen. Hier liegt der Aufwand vor allem in der Implementierung.

Doch egal für welche Möglichkeit sich Unternehmen entscheiden, CISOs sollten immer auch die eigenen Ressourcen im Auge behalten. Dabei hilft das Pareto-Prinzip, das besagt, dass sich bereits mit dem adäquaten Einsatz von 20 Prozent der Ressourcen 80 Prozent des Effektes erreichen lässt. Dieses Prinzip lässt sich unmittelbar auf die IT-Sicherheit übertragen. Mit diesem Wissen können sich Sicherheitsverantwortliche viel Kopfzerbrechen sparen. Natürlich sollte ein Unternehmen nicht nur nach 80-prozentiger Sicherheit streben, doch gerade für kleinere Firmen kann es ein guter Anfang sein.

Das ISMS als stabiles Fundament
Auch ein Informationssicherheitsmanagementsystem (ISMS) kann dabei helfen, die Struktur der eigenen Sicherheitsmaßnahmen zu verbessern und die Verantwortlichen zu entlasten. Dabei wird ein Set aus Richtlinien, Prozessen und Verfahren implementiert, die den Schutz sensibler Daten und die Sicherheit des Unternehmens verbessert. Grundlage für ein ISMS ist dabei meist eine zentrale Norm, beispielsweise die ISO 27001. Sie enthält eine Reihe von Best Practices und hilft Organisationen dabei, das ISMS zu implementieren und zu pflegen. Das ISMS selbst regelt die Sicherheit dann auf drei Ebenen:

• Richtlinien: Diese beinhalten die übergeordneten Ziele des Unternehmens zur Informationssicherheit.
• Prozesse: Die zweite Ebene bezieht sich auf die spezifischen Schritte, die eine Firma vornimmt, um die Richtlinien umzusetzen.
• Prozeduren: Auf der untersten Ebene finden sich die Prozeduren. Sie geben klare Handlungsanweisungen, wie bestimmte Aufgaben und Verfahren auszuführen sind, um die Sicherheitsvorgaben zu erfüllen.

Ein ISMS bietet dabei eine Reihe konkreter Vorteile. Zum einen wird die Einhaltung von Compliance-Vorschriften in jedem Arbeitsschritt geprüft und so enorm erleichtert. Zum anderen schafft das ISMS standardisierte Sicherheitsprozesse zum Schutz der eigenen Daten und Informationen. Zu guter Letzt lassen sich die Kosten für die Cybersicherheit senken, da standardisierte Prüfungsverfahren eingeführt werden, die Ressourcenverschwendung und unnötigen Kontrollen vorbeugen. All das hilft dabei, dem CI(S)O die Kontrolle zu erleichtern – und das über einen langen Zeitraum hinweg.

Denn ein ISMS lässt sich sehr gut skalieren. So kann ein Unternehmen von Anfang an darauf setzen und schafft gleichzeitig eine langfristige Struktur in den eigenen Sicherheitsmaßnahmen, auf die sich alle Verantwortlichen verlassen können. Durch ein ISMS ist sichergestellt, dass alle Beteiligten an einem Strang ziehen und jeder Prozess auf die übergeordneten Sicherheitsziele des Unternehmens einzahlt.

Struktur im Einkauf
Struktur ist außerdem ein wichtiger Faktor für den Beschaffungsprozess von Cybersecurity-Produkten. Selbstredend sollte ein Unternehmen nicht nur bei bestehenden Werkzeugen auf die Wirtschaftlichkeit achten, sondern auch bei neuen. Eine grundlegende Struktur hilft dabei, die Effizienz und Effektivität im Einkaufsprozess zu erhöhen. Zudem lassen sich neue Anschaffungen an den übergeordneten Security-Richtlinien des Unternehmens ausrichten. Ein ISMS ist also auch hierfür eine gute Basis: Es gibt Kriterien, die die Auswahl von Anbietern und Produkt präzisieren.

Hat ein Unternehmen als übergeordnete Richtlinie beispielsweise festgelegt, dass die gesamte Belegschaft tiefgreifende Security-Awareness entwickeln soll, lassen sich hieraus diverse Kriterien für den Einkaufsprozess ableiten. Ein solches Kriterium könnte sein, dass Anbieter für Awareness-Trainings die Mitarbeiter nicht nur in der Theorie schulen sollen, sondern auch praktisch auf die Gefahren von Cyberattacken aufmerksam machen. Viele Anbieter testen die Mitarbeiter beispielsweise durch fingierte Phishing-Mails. Dienstleister, die ein solches Angebot nicht im Portfolio haben, fallen dann schon aus der Auswahl. So lässt sich also sicherstellen, dass jedes neue Werkzeug die langfristigen Ziele des Unternehmens voranbringt.

Doch wie sieht der Aufbau eines solchen strukturierten Prozesses aus? Dafür sollte zunächst immer eine Risikobewertung als Grundlage dienen. Diese ist in einem ISMS bereits standardmäßig enthalten. Daraus lässt sich ableiten, welche Sicherheits- und Kontrollmaßnahmen ein Unternehmen dringend implementieren muss, welche eingeführt werden können und welche zum jetzigen Zeitpunkt von geringer Bedeutung sind. Ein besonderer Fall sind dabei Unternehmen aus dem KRITIS-Umfeld. Hier gelten besonders hohe Compliance-Anforderungen wie die NIS-2 Richtlinie oder das IT-Sicherheitsgesetz 2.0. Auf Grundlage der Risikobewertung kann ein formelles Ausschreibungsverfahren gestartet werden. Dieses hilft dabei,

• Kosten der verschiedenen Anbieter zu vergleichen.
• Qualifikation, Verständnis und Erfahrung der Anbieter zu prüfen.
• Haftungsfälle zu regeln. Hier sollten Unternehmen bei Vertragsschluss immer darauf achten, dass der Anbieter für die Bereitstellung sicherer Dienste und Produkte verantwortlich ist und eine regelmäßige Meldung von Sicherheitsverletzungen stattfindet.
• den Beschaffungsprozess transparent zu gestalten.

Es gibt dabei eine Reihe häufiger Fehler, die ein Unternehmen unbedingt vermeiden sollte. Der Prozess beginnt immer bei der Zieldefinition. Klar festgelegte Ziele führen dazu, dass der Markt übersichtlich bleibt und sich die Anbieterauswahl eingrenzen lässt. Zu häufig achten Firmen zudem nur auf die Kosten eines Angebots, sodass unzureichende Leistungen eingekauft werden, die den Anforderungen des Unternehmens oder des Gesetzgebers nicht entsprechen.

Darüber hinaus sollten Organisationen immer auf die Skalierbarkeit und Zukunftsorientierung eines Produkts achten. Vor zehn Jahren war Ransomware beispielsweise noch kein großes Thema – heute ist es Cyberbedrohung Nummer eins. Das gilt auch für die spezifischen Anforderungen des Unternehmens. Diese sind überall unterschiedlich. Was in einer anderen Organisation gut funktioniert hat, muss im eigenen Umfeld nicht zwangsläufig genauso erfolgreich sein.

Fazit
Abschließend lässt sich sagen, dass Struktur und festgelegte Prozesse ein wichtiger Faktor sind, um den CISO und IT-Verantwortliche zu entlasten. so lassen sich klare Verantwortlichkeiten schaffen und vor allem Komplexität reduzieren. Jedes Unternehmen, ungeachtet der Größe, sollte zudem danach streben, eine möglichst hohe Security Awareness bei den Mitarbeitern zu erreichen. Ein hohes Maß an Bewusstsein schafft nicht nur Sicherheit, sondern reduziert auch Stress und unnötigen Ballast für die Sicherheitsexperten.

ln/Simeon Mussler, COO bei Bosch CyberCompare