03.11.2021

Wie viel IT-Security tut Not?

Der effektivste Weg, um Bedrohungen durch Hacker abzuwehren, ist ein ausgereiftes und vor allem proaktives IT-Security-Konzept. Dafür müssen erstmal ein IT-Security-Status ermittelt und klare Zielsetzungen festgelegt werden.

Viele Unternehmen sind sich nicht sicher, gegen welche Hacker-Attacken sie sich schützen müssen und ob ihre IT-Security-Maßnahmen genügen, um die laufenden Geschäftsprozesse aufrecht zu erhalten. Des Weiteren existieren Unsicherheiten, ihren IT-Security-Status einzuschätzen und die richtigen Maßnahmen umzusetzen, damit sich das Schutzniveau verbessert.

Dafür ist es zwingend notwendig, einen Ist- und Soll-Zustand zu identifizieren, der dann den Bedarf an Aktivitäten sowie das entsprechende Budget für Security-Investitionen zielgenau vorgibt. Um mehr Klarheit zu erhalten, gilt es zuerst, ein erforderliches Sicherheitslevel als anvisierten Sicherheitszustand zu definieren. Anschließend kann das aktuelle Schutzniveau, also der Ist-Zustand, dazu ins Verhältnis gestellt und Lücken in der IT-Security transparent gemacht werden.





















Erstellung eines Bewertungsprozessrahmens

Ein zuverlässiges IT-Security-Programm erfordert einen fortlaufenden Prozessrahmen zur Bewertung der jeweiligen Maßnahmen zur Cybersicherheit. Dies ermöglicht es den Unternehmen, regelmäßig Risiken und Herausforderungen zu erkennen, sodass entsprechende Maßnahmen angepasst und ergriffen werden können, um so die gesteckten Ziele zu erreichen.

Da jedes Unternehmen auf einem unterschiedlichen Security-Status steht, müssen zunächst einmal die verschiedenen Entwicklungsstufen der Sicherheitslevels bewertet und mögliche Maßnahmen davon abgeleitet werden. Zusätzlich sollten als weitere Kriterien geeignete Vergleichsunternehmen aus der jeweiligen Branche als Referenzen dienen.

Level 1: Einsteiger

Unternehmen auf diesem Level verfügen über keine formalen Sicherheitsrichtlinien oder funktionierende Security-Governance. Obwohl die meisten Unternehmen über einem solchen Anfangsniveau punkten, gibt es nach wie vor Organisationen, die sich auf diesem Sicherheitslevel befinden.

Eine Bewertung auf dieser Ebene ist für jedes Unternehmen, das IT-Assets besitzt, verwaltet und gegenüber Aktionären, Investoren, Aufsichtsbehörden oder Steuerzahlern Verpflichtungen hat, inakzeptabel. Für die Sicherheits-Roadmap als Starter empfehlen sich Crash-Programme, um eine starke CISO-Position oder ähnliches aufzubauen, Sicherheits-Governance-Ausschüsse einzurichten und Personal für Sicherheitsinfrastruktur-Positionen aufzustocken.






















Level 2: Fortgeschritten

Ein typisches Unternehmen in dieser Entwicklungsphase hat bereits ein Security-Programm, einige Security-Prozesse sowie Infrastruktur-Elemente, die effektiv funktionieren, in der Entwicklung. Solche Unternehmen neigen jedoch dazu, in grundlegenden Bereichen wie beispielsweise Netzwerk-Segmentierung bzw. Zonierung Schwächen aufzuweisen. Daher punkten sie beim allgemeinen Identitäts- und Zugriffsmanagement (IAM) relativ gering.

In dieser Phase findet man auch eher selten ein hohes Maß an Verantwortlichkeiten sowie Automatisierung hinsichtlich Sicherheitsprozesse oder fortschrittlicher Technologien für das Schwachstellen-Management, Aktivitäten zur Verhinderung von Datenverlusten (DLP) oder des Sicherheitsinformations- und Ereignismanagements (SIEM).

Für die Sicherheits-Roadmap auf dieser Stufe sollten die größten identifizierten Lücken auch geschlossen werden. Hierzu empfiehlt sich in verschiedenen Schritten vorzugehen, indem erst die Grundlagen und im Anschluss dazu die erweiterten Funktionen vollständig bereitgestellt werden. Aus diesem Grunde sollte die Implementierung anspruchsvoller DLP- und SIEM-Funktionen oder die umfassende Bereitstellung eines Privileged Access Management (PAM) in der Regel erst dann erfolgen, wenn sich die Einführung grundlegender IT-Funktionen wie beispielsweise Service-Ticketing, Asset-Management und IAM bewährt haben.

Level 3: Reifegrad

Unternehmen, die sich in der Reifegrad-Phase befinden, haben bereits eine umfassende Reihe von Sicherheitsprozessen, Richtlinien und dokumentierten technischen Kontrollen eingeführt. Allerdings verlassen sie sich meist weiterhin zu sehr auf individuelle Bemühungen. Prozesse wie Change Management, Audit und Security der Lieferketten müssen noch verbessert werden. Darüber hinaus sollten die Unternehmen noch aktiver werden, um das Wissen und das Bewusstsein für die Sicherheit in den einzelnen Aufgabenbereichen zu erhöhen sowie die Sicherheitsüberwachung, die Analyse und die Kontrolle der Verwaltung des privilegierten Zugriffs zu verfeinern.

Für die Sicherheits-Roadmap auf dieser Stufe liegt der Schwerpunkt auf Audit, Change Management, erweiterte Sicherheitsüberwachung und Instrumentarien, um den Schutz im Hinblick auf Verifizierung und Verantwortlichkeiten zu verbessern. Mit einer grundlegenden Prozess- und Technologieinfrastruktur können Risikomanagement, Schwachstellenmanagement, SIEM und PAM dann auf Hochtouren laufen.

Unternehmen mit „Reifegrad“ sollten sich noch mehr auf folgende Instrumentarien konzentrieren: Kennzahlen (KPI) und Risikokennzahlen (KRI), die in der Anfangs- oder Entwicklungsphase eingeführt wurden, müssen nun überprüft und erweitert werden. Denn optimierte Instrumentarien verbessern auch die Rechenschaftspflicht hinsichtlich einer Risiko- bzw. Finanzperspektive.






















Level 4: Administrativer Reifegrad

Unternehmen in dieser Entwicklungsphase verfügen bereits über umfassende Maßnahmen an Personen-, Prozess- und Technologie-Kontrollen. Sie sind jedoch nach wie vor auf manuelle Prozesse angewiesen und stehen angesichts der ständigen Veränderungen der Bedrohungs-, Regulierungs-, Technologie- und Geschäftssituation vor neuen Herausforderungen, um das Security-Programm am Laufen zu halten.

Daher müssen sich Sicherheits-Roadmaps auf dieser Stufe darauf konzentrieren, den Automatisierungsgrad der Infrastruktur und der Prozesse zu erhöhen, durch die das Security-Programm kostengünstiger bzw. skalierbarer werden soll. So könnten beispielsweise komplexe Funktionen wie beispielsweise ein Schwachstellen-Management oder eine Sicherheitsüberwachung zunehmend über hybride Public/Private-Cloud-Umgebungen hinweg orchestriert werden.

Level 5: Optimierter Reifegrad

Auf dieser Stufe sind die implementierten Security-Programme bereits sehr umfassend ausgestattet. Jedoch sind solche Unternehmen meist auch sehr saturiert und neigen zu einem trügerischen Sicherheitsdenken. Dabei wird gerne missachtet, dass die Aufrechterhaltung vieler, wenn nicht sogar der meisten optimierten Security-Programme eine kontinuierliche Risiko-, Geschäfts-, Technologie- und Finanzanalyse im Hinblick der ständigen Veränderungen erfordern.

Die Sicherheits-Roadmap für ein Unternehmen der 5. Stufe konzentriert sich auf Nachhaltigkeit und Anpassungsfähigkeit durch kontinuierliche Arbeit an zukunftsfähigen Prozess- und Technologie-Schnittstellen. Ziel ist es, eine Organisation zu etablieren, die eine kontinuierliche Optimierung des Security-Programms unterstützt.