Warum Risikomanagement eine kritische Komponente ist

Wenn Sie 10 Sicherheitsexperten die obige Frage stellen, erhalten Sie 12 verschiedene Antworten. Jede dieser Antworten mag eine Berechtigung haben, aber was für Sie persönlich richtig ist, hängt davon ab, wie viel Risiko Sie selbst eingehen möchten. Das richtige Maß an Schutz gleicht das Risiko aus, das Ihre Organisation bereit ist zu tragen, und diese Antwort muss aus Ihrer Organisation und vom Managementteam kommen, nicht von den IT-, Betriebs- oder Sicherheitsteams.

Durch die Einführung von Risikomanagementrichtlinien erhalten Sie eine sich weiterentwickelnde und umfassende Analyse der Stärken und Schwächen der Sicherheitslage Ihres Unternehmens und wo Ihre Schwachstellen in der aktuellen Bedrohungslandschaft liegen. Mit einem Risikomanagementprogramm können Sie stattdessen fragen: „Welchen Schutz benötige ich, um diese Systeme vor diesen Bedrohungen zu schützen?“, was zu einer viel konsistenteren Antwort führt.

Erstellen eines Risikomanagementprogramms

Ein Risikomanagementprogramm wird zwar von der Informationstechnologie beeinflusst und letztendlich umgesetzt, ist aber in Wirklichkeit eine klassische Managementrichtlinie. Als Richtlinie ist es ratsam, das Programm in Bezug auf Ziele, Strategie und Vorgaben zu definieren und keine spezifischen Technologien, Methoden oder Implementierungen vorzuschreiben. Durch die Trennung von Ziel und Umsetzung schaffen Sie einen viel flexibleren Prozess, der sich schnell an neue Technologien und Bedrohungen anpassen kann. Schließlich ist es fast immer schneller, eine neue Technologie einzuführen, als eine Unternehmensrichtlinie zu ändern UND eine neue Technologie einzuführen.

Zusammenfassung

Die Zusammenfassung dient dazu, dass Leser auf einen Blick feststellen können, ob und warum die Richtlinien in einer bestimmten Situation gelten. Sie sollte prägnant sein und drei Hauptpunkte abdecken: Warum das Programm erforderlich ist, welche Organisationseinheiten dem Programm unterliegen und welche Ergebnisse von einem erfolgreichen Programm erwartet werden. Diese drei Punkte werden im Allgemeinen als Zweck, Umfang und Hauptziele bezeichnet.

1. Zweck: Definieren Sie den Zweck des Programms zum Management von Cybersicherheitsrisiken, einschließlich seiner Bedeutung für den Schutz der Vermögenswerte, des Rufs und der betrieblichen Integrität der Organisation.
2. Umfang: Skizzieren Sie den Umfang des Programms (z. B. alle internen Netzwerke, Anwendungen, Cloud-Infrastruktur, Mitarbeiterendpunkte).
3. Hauptziele: Gewährleistung der Geschäftskontinuität, Schutz sensibler Daten, Verwaltung von Compliance-Anforderungen und Minderung von Risiken durch interne und externe Bedrohungen.

Governance und Führung

Wie bereits erwähnt, geht es beim Risikomanagementprogramm in erster Linie um die Umsetzung von Richtlinien, da ein erfolgreiches Risikomanagementprogramm von der Führung vorangetrieben werden muss. Die Richtlinie sollte spezifische Rollen und Verantwortlichkeiten für die Erstellung und Pflege, sowie die Umsetzung und die regelmäßige Überprüfung des Programms festlegen.

• Cybersicherheit-Führung: Legen Sie Rollen wie Chief Information Security Officer (CISO) oder Cybersicherheitsdirektor fest, um die Risikomanagement-Initiative zu leiten.
• Risikomanagementausschuss: Richten Sie ein abteilungsübergreifendes Team (IT, Recht, Betrieb und Risiko) ein, das die Umsetzung der Cybersicherheitsstrategie überwacht.
• Richtlinien und Verfahren: Entwickeln Sie Cybersicherheitsrichtlinien, einschließlich Reaktionsplänen für Vorfälle, Datenschutzprotokollen und Benutzerzugriffskontrolle.

Risikobewertung und Bedrohungsidentifizierung

Nach der Definition von „Warum“ und „Wer“ sollte im nächsten Abschnitt der Risikomanagementrichtlinie definiert werden, „Was“ vor „welchen“ Bedrohungen geschützt werden soll. Diese Fragen werden manchmal als Bestandsaufnahme von Vermögenswerten und Bedrohungen bezeichnet. Ihr Vermögensbestand kann Hardware, Software, Prozesse und sogar Personal umfassen, das für den erfolgreichen Betrieb der Organisation von entscheidender Bedeutung ist. Wie oben erwähnt, sollten die Einzelheiten dieser Liste in separaten Dokumenten enthalten sein. Die Richtlinie sollte den Zweck, den Umfang und die erforderlichen Informationen für jedes dieser Bestände definieren.

• Vermögensidentifizierung: Erstellen Sie ein Verzeichnis der kritischen Vermögenswerte (Daten, Systeme, Anwendungen und Infrastruktur).
• Bedrohungslandschaft: Identifizieren Sie häufige Cybersicherheitsbedrohungen, wie z. B.:
  • DDoS-Angriffe: Distributed Denial-of-Services, die auf die Netzwerkverfügbarkeit abzielen.
  • Malware: Viren, Ransomware, Trojaner und Spyware.
  • Phishing und Social Engineering: Versuche, Mitarbeiter zur Offenlegung sensibler Informationen zu verleiten.
  • Insider-Bedrohungen: Risiken durch Mitarbeiter oder Auftragnehmer, die absichtlich oder unabsichtlich Daten preisgeben.
  • Advanced Persistent Threats (APTs): Lang anhaltende, gezielte Angriffe, die darauf abzielen, geistiges Eigentum oder andere wertvolle Daten zu stehlen.
  • Datenpannen: Unbefugter Zugriff auf personenbezogene oder sensible Daten.
  • Schwachstellen in Software/Hardware: Bekannte Schwachstellen in Anwendungen, Betriebssystemen oder IoT-Geräten.
  • Bedrohungsmodellierung: Verwenden Sie Tools wie das MITRE ATT&CK-Framework, um verschiedene Angriffstechniken zu kategorisieren und zu modellieren.

Risikoanalyse und -bewertung

Mit den oben definierten Bestands- und Bedrohungsinventaren müssen Sie regelmäßige Risikoanalysen durchführen. Dies ist keine einmalige Aufgabe, und die Durchführung der Risikoanalyse wird zu Dokumenten führen, die außerhalb der Risikomanagementrichtlinie liegen. Innerhalb der Richtlinie sollten Sie die Häufigkeit dieser Analysen sowie einen konsistenten Analyserahmen klar formulieren.

• Wahrscheinlichkeits- und Folgenabschätzung:
  • Wahrscheinlichkeit: Bewerten Sie die Wahrscheinlichkeit des Auftretens verschiedener Bedrohungen (niedrig, mittel, hoch).
  • Auswirkungen: Bewerten Sie die potenziellen Auswirkungen auf die Organisation (finanzielle Verluste, Rufschädigung, Betriebsunterbrechung).
• Risikomatrix: Erstellen Sie eine Risikomatrix, die Bedrohungen nach Wahrscheinlichkeit und Auswirkungen kategorisiert und bei der Priorisierung hilft, welche Risiken eine sofortige Aufmerksamkeit erfordern.

Darüber hinaus sollten Sie Verfahren für eine regelmäßige proaktive Bewertung Ihrer Sicherheitslage zur kontinuierlichen Verbesserung einrichten und potenzielle Schwachstellen aufdecken, bevor sie ausgenutzt werden.

• Schwachstellenbewertung: Führen Sie regelmäßige Schwachstellen-Scans und Penetrationstests durch, um Lücken in der Verteidigung zu identifizieren.

Strategien zur Risikominderung

Welche spezifischen Bedrohungen Strategien zur Risikominderung erfordern, ergibt sich wahrscheinlich als natürliches Nebenprodukt sowohl der oben genannten Risikoanalyse als auch aller anwendbaren regulatorischen Anforderungen (PCI-DSS, DSGVO usw.). Zumindest sollten Sie wahrscheinlich eine Anforderung für die Organisation einführen, aktuelle Strategien für Folgendes zu entwickeln:

• DDoS-Schutz:
  • Implementieren Sie eine Filterung und Ratenbegrenzung des Datenverkehrs, um bösartigen Datenverkehr zu blockieren.
  • Verwenden Sie ein Content Delivery Network (CDN) oder einen cloudbasierten DDoS-Schutz.
  • Erstellen Sie einen Reaktionsplan für Vorfälle, der speziell auf DDoS-Attacken zugeschnitten ist und Kommunikationsprotokolle und Eskalationsverfahren umfasst.
• Endpoint Security:
  • Setzen Sie Endpoint Protection Platforms (EPP) ein, um Geräte vor Malware und Viren zu schützen.
  • Regelmäßige Patches und Updates zur Behebung bekannter Software-Schwachstellen.
• Network Security:
  • Verwenden Sie Firewalls, Intrusion Detection Systeme (IDS) und Intrusion Prevention Systeme (IPS).
  • Implementieren Sie ein oder mehrere sichere virtuelle private Netzwerke (VPNs) für den Fernzugriff.
  • Trennen Sie sensible Systeme durch Netzwerksegmentierung, um die Auswirkungen von Angriffen zu begrenzen.
• E-Mail-Sicherheit:
  • Implementieren Sie Spam-Filter, E-Mail-Authentifizierung (DMARC, SPF, DKIM) und schulen Sie Mitarbeiter in Phishing-Risiken.
  • Verwenden Sie die Multi-Faktor-Authentifizierung (MFA) für E-Mails und kritische Anwendungen.
• Zugriffsverwaltung:
  • Verwenden Sie die rollenbasierte Zugriffskontrolle (RBAC), um den Datenzugriff auf autorisiertes Personal zu beschränken.
  • Überprüfen Sie regelmäßig die Zugriffsrechte und entfernen Sie inaktive Benutzer umgehend.
  • Setzen Sie MFA für kritische Systeme und Daten durch.

Reaktion auf Vorfälle und Wiederherstellung

Mehr als jedes andere Dokument, das aus dem Risikomanagementprogramm hervorgeht, sollte ein Plan zur Reaktion auf Vorfälle (Incident Response Plan, IRP) kontinuierlich aktualisiert werden. Zusätzlich zur regelmäßigen Überprüfung und Aktualisierung sollte nach jedem Vorfall eine Nachbesprechung stattfinden, bei der der IRP mit den gewonnenen Erkenntnissen aktualisiert wird. Der IRP ist kein einzelnes Dokument; es sollte einen allgemeinen IRP sowie einen spezifischen IRP für jede Bedrohung geben, die in der Risikobewertung als besonders markiert wurde. Es sollte auch die Anforderung bestehen, im Rahmen der Nachbesprechung zu Vorfällen einen IRP für alle neuen Bedrohungen zu erstellen.

• Incident Response Plan:
  • Entwickeln Sie einen detaillierten Incident Response Plan (IRP) mit klaren Rollen und Verantwortlichkeiten.
  • Definieren Sie spezifische Verfahren für den Umgang mit verschiedenen Arten von Angriffen, einschließlich DDoS, Datenverletzungen und Malware-Infektionen.
  • Erstellen Sie ein Kommunikationsprotokoll für die Benachrichtigung von Interessengruppen, Mitarbeitern und Kunden.
• Business Continuity und Disaster Recovery (BC/DR):
  • Stellen Sie sicher, dass Backup-Systeme vorhanden sind und regelmäßig getestet werden, um DDoS-Angriffe, Ransomware oder Datenlecks zu beheben.
  • Entwickeln und testen Sie Pläne zur Aufrechterhaltung des Geschäftsbetriebs, um die Betriebsstabilität bei Cybervorfällen zu gewährleisten.
• Lessons Learned: Führen Sie nach jedem Sicherheitsvorfall eine Nachbesprechung durch, um verbesserungswürdige Bereiche zu ermitteln.

Überwachung und Erkennung

Effektive IT-Sicherheit ist kein einmaliges Unterfangen. Die Bedrohungslandschaft entwickelt sich ständig weiter, und kontinuierliche Überwachung und Früherkennung sind Schlüsselkomponenten für die Aufrechterhaltung einer starken Sicherheitslage. Die Risikomanagementrichtlinie sollte den Zweck, die Mindestanforderungen und die erwarteten Ergebnisse der Überwachungs- und Erkennungsmaßnahmen Ihrer Organisation darlegen. In der Regel umfasst dies:

• Security Information and Event Management (SIEM):
  • Implementieren Sie eine SIEM-Lösung für die kontinuierliche Überwachung, Korrelation und Analyse von Sicherheitsereignissen im gesamten Netzwerk.
• Threat Hunting:
  • Führen Sie regelmäßig proaktive Bedrohungsjagden durch, um potenzielle Bedrohungen zu erkennen, bevor sie eskalieren.
• Sicherheitsprüfungen:
  • Planen Sie regelmäßige interne und externe Prüfungen, um die Wirksamkeit von Cybersicherheitsmaßnahmen zu bewerten.
• DDoS-Erkennung:
  • Implementieren Sie Echtzeit-Überwachungstools zur Erkennung von DDoS-Angriffsmustern, wie z. B. ungewöhnliche Verkehrsspitzen oder fehlerhafte Pakete.
• Leistungskennzahlen: Definieren Sie Leistungskennzahlen (KPIs) für das Cybersicherheitsprogramm, z. B. Reaktions- und Wiederherstellungszeiten.

Konzentrieren Sie sich bei der Definition von Leistungskennzahlen auf Kennzahlen, die Sie beeinflussen können und die die gewünschte positive Verbesserung fördern. Beispiel: Die „Anzahl der Angriffe“ ist zwar eine verlockende Kennzahl, liegt jedoch außerhalb Ihrer Kontrolle (und ist daher kein Maß für Ihre Aktivitäten) und führt dazu, dass Vorfälle nicht gemeldet werden.

Schulung und Sensibilisierung

Mitarbeiterschulungen sind ein entscheidender Aspekt jeder Sicherheitsrichtlinie, und dies gilt insbesondere für Führungspositionen. Daher ist die Forderung nach Schulungen und Sicherheitsbewusstsein auf allen Ebenen der Organisation (nicht nur innerhalb der IT) ein entscheidender Bestandteil des Risikomanagementprogramms.

• Mitarbeiterschulung:
  • Führen Sie regelmäßige Schulungen zur Erkennung von Phishing-E-Mails, sicheren Internetpraktiken und Social-Engineering-Taktiken durch.
  • Führen Sie simulierte DDoS- und Cyberangriffsübungen durch, um die Mitarbeiter mit den Reaktionsprotokollen vertraut zu machen.
• Sicherheitsbewusstseinsprogramm: Entwickeln Sie ein kontinuierliches Programm, um die Mitarbeiter über neue Bedrohungen und bewährte Verfahren auf dem Laufenden zu halten.
• Sensibilisierung auf Vorstands- und Geschäftsführungsebene: Stellen Sie sicher, dass die Führungskräfte die Cyber-Risikolandschaft verstehen und in die Entscheidungsfindung auf hoher Ebene eingebunden sind.
  

Compliance und rechtliche Überlegungen

Während spezifische regulatorische Konformitäten in der Regel in der Zusammenfassung erwähnt werden, müssen sie in jedem nachfolgenden Abschnitt und in jedem nachfolgenden Dokument, das die Risikomanagementrichtlinie umfasst, ständig berücksichtigt werden. Ein wichtiger und oft übersehener Aspekt dabei ist außerdem die Aufrechterhaltung eines Programms zur Bewertung und Minderung von Risiken, die mit der Nutzung von Dienstleistungen Dritter verbunden sind, und die Sicherstellung, dass alle Drittverarbeiter die Vorschriften einhalten.

• Regulatorische Anforderungen: Stellen Sie sicher, dass das Cybersicherheitsprogramm den einschlägigen Vorschriften (DSGVO, HIPAA, CCPA, PCI-DSS) entspricht.
• Datenschutz: Entwickeln Sie Datenschutzrichtlinien, die den Datenschutzbestimmungen entsprechen, und stellen Sie sicher, dass sensible Informationen angemessen geschützt sind.
• Risikomanagement durch Dritte: Bewerten Sie die Cybersecurity von Drittanbietern und stellen Sie sicher, dass vertragliche Verpflichtungen in Bezug auf die Datensicherheit bestehen.

Das richtige Maß an Schutz

Ein solides Risikomanagementprogramm ist zwar kein leichtes Unterfangen, doch die Ergebnisse übertreffen die Anstrengungen, die für die Umsetzung und Aufrechterhaltung erforderlich sind, bei Weitem.

• Sie können schneller auf Bedrohungen reagieren und sich von ihnen erholen.
• Sie können sowohl die Risiko- als auch die Sicherheitskosten senken, indem Sie die Sicherheitsmaßnahmen auf die Bereiche konzentrieren, in denen sie am dringendsten benötigt werden.
• So haben Sie die Gewissheit, dass Ihre Sicherheitsmaßnahmen echte und messbare Ergebnisse erzielen.

Share this post