Aktuelles, Branche - geschrieben von dp am Dienstag, Mai 18, 2021 13:36 - noch keine Kommentare
Cybersecurity-Risikoprozess: Leitfaden für IT-Entscheider
Kudelski Security gibt IT-Experten Tipps für systematische Absicherung kritischer Daten-Assets in Unternehmen
[datensicherheit.de, 18.05.2021] Cyber-Sicherheit sei mit der fortschreitenden Digitalisierung zum elementaren Faktor innerhalb des Risikomanagements moderner Unternehmen und Organisationen avanciert: „Angesichts einer Vielzahl potenzieller Gefahrenquellen für Daten und die digitale Infrastruktur muss der ,CISO‘ in der Lage sein, Risiken auf jeder Systemebene vom Server über die Systemsoftware bis hin zur einzelnen Anwendung zu identifizieren und zu managen.“ Die Herausforderung bestehe darin, Informationen über die Risikobewältigung auf Unternehmensebene zu kommunizieren, während gleichzeitig Risiken operativ ausgeschaltet und detaillierte Reaktionspläne auf Systemebene ausgeführt werden müssten. Um IT-Entscheider dabei zu unterstützen, hat Kudelski Security nach eigenen Angaben die entscheidenden Schritte in einem Leitfaden zusammengefasst:
1. 360-Grad-Sicht auf betriebliche IT: Kontext und Risiken identifizieren
Um eine wirksame Strategie für das Management von Cyber-Risiken zu erarbeiten, sei es unerlässlich, die Erwartungen der Stakeholder und der Geschäftsführung zu verstehen: „Erst im Lichte dessen, was Kunden, Lieferanten, Aufsichtsbehörden und Wettbewerber für eine Motivation und Herangehensweise an das Thema haben, wird eine 360-Grad-Sicht möglich.“ Dies schließe auch die grundsätzliche Haltung des Managements hinsichtlich Risikobereitschaft, Unternehmens- und Führungskultur sowie Marktstrategie mit ein.
„Nur wer seine Vermögenswerte lückenlos kennt – also auch die digitalen – kann gezielt und verlässlich Bedrohungen, Schwachstellen und Konsequenzen von Risikoszenarien bewerten.“ Beispielsweise biete die Richtlinie „NIST 800-30 Guide for Conducting Risk Assessments“ eine detaillierte Methodik zur Identifizierung und Bewertung von Cyber-Sicherheitsrisiken für Informationssysteme in den USA und diene zugleich als nützlicher Leitfaden für nicht-staatliche Einrichtungen. Ebenso leiste die Norm „ISO/IEC 27005 Information Security Risk Management“ wertvolle Unterstützung bei der Risikoidentifikation.
2. IT-Risikoanalyse: Risiken analysieren und bewerten
Überaus hilfreich sei es, die Wahrscheinlichkeit zu kennen, „mit der ein Risikoereignis eintritt, und die möglichen Konsequenzen“. Wenngleich dies primär eine Ermessensentscheidung sei, gebe es dennoch Techniken, welche bei der Risikoanalyse helfen könnten. Die gängigsten Ansätze seien der qualitative, „der auf der Zuweisung eines Wertes wie hoch, mittel oder gering basiert“ und der quantitative, „der einen numerischen Wert für die Auswirkungen, basierend auf statistischen Wahrscheinlichkeiten und monetären Werten von Verlusten oder Gewinnen zugrundelegt“.
Ein dritter Ansatz werde als semi-qualitativ bezeichnet und basiere auf der Zuweisung von numerischen Werten zu qualitativen Kategorien. Alle drei lieferten eine Grundlage dafür, ein Risikoprofil zu erstellen. Typischerweise würden die Risiken in einer Matrix dargestellt, um die Wahrscheinlichkeit und die Auswirkungen des Risikos abzubilden. Die Visualisierung von Risiken helfe Führungskräften und Geschäftsführern bei der Priorisierung entsprechender Gegenmaßnahmen.
3. IT-Sicherheitsinitiative: Reaktionsstrategien und geeignete Maßnahmen implementieren
Risikostrategien im IT-Sektor sollten so gestaltet sein, „dass die identifizierten Risiken den Rahmen nicht überschreiten, den die Risikobereitschaft und Risikotoleranz des Unternehmens setzen“. Ein wichtiger Teil dieser Bewertung sei es, die Kosten für die Gegenmaßnahmen zu bestimmen und diese mit dem potenziellen Verlust oder den Auswirkungen des eingetretenen Risikofalls zu vergleichen.
Üblicherweise werde eine der folgenden vier Reaktionsarten ausgewählt: akzeptieren, übertragen, abmildern oder vermeiden. Als Reaktion empfehle sich vielfach eine spezifische Sicherheitsinitiative oder ein Projekt, welches lösungsorientiert geplant und ausgeführt werden sollte. „Abgerundet werden sollte jeder Cybersecurity-Risikoprozess, egal wie er konkret beschaffen ist, durch regelmäßiges Monitoring und eine systematische Statusaktualisierung der Gegenmaßnahmen oder der Risikomerkmale.“
Weitere Informationen zum Thema:
datensicherheit.de, 22.08.2020
Microsoft 365: Auf diese Angriffsarten sollten Firmen verstärkt achten
NIST
Privacy Framework / NIST SP 800-30
KOMPASS Informationssicherheit und Datenschutz
ISO/IEC 27005 / Information Security Risk Management / Management von Informationssicherheitsrisiken
Aktuelles, Experten - Juli 5, 2026 0:43 - noch keine Kommentare
Internationale Operation der Strafverfolgungsbehörden gegen sexualisierte Gewalt an sedierten Opfern
weitere Beiträge in Experten
- Reformpaket der Koalition: Bitkom begrüßt „Aufbruchsignal“ zum Durchbrechen des Stillstands
- Reformagenda: TÜV-Verband fordert Stärkung der Innovation ohne Schwächung der Sicherheit
- Informationsfreiheit: Vermeintliche IFG-Reform könnte De-Facto-Abschaffung bedeuten
- Forscher der TU Berlin machen Weg zur Serienfertigung von Quantenchips frei
- Wenn KI theoretische Risiken in reale Angriffe verwandelt
Aktuelles, Branche - Juli 6, 2026 10:38 - noch keine Kommentare
NetNut: GTIG meldet Zerschlagung eines bösartigen Proxy-Netzwerks
weitere Beiträge in Branche
- US Supreme Court: FTC-Urteil finaler Weckruf für Datensouveränität
- Kaspersky-Umfrage: Online-Betrug betraf 2025 bereits 56 Prozent der Internetnutzer
- Die eigentliche Herausforderung beginnt erst jetzt: NIS-2-Registrierung genügt nicht
- Wenn KI theoretische Risiken in reale Angriffe verwandelt
- Versteckte Datenverlustrisiken: Hitzewelle als Bedrohung für Festplatten, SSDs und Smartphones
Aktuelles, A, Experten, Service, Wichtige Adressen - Jan. 13, 2026 1:08 - noch keine Kommentare
Registrierung bei ELEFAND: Krisen- und Katastrophenvorsorge bei Auslandsaufenthalten
weitere Beiträge in Service
- DigiCert-Umfrage: Manuelle Zertifikatsprozesse führen zu Ausfällen, Compliance-Fehlern und hohen Verlusten im Unternehmen
- Threat Hunting: Bedeutung und Wertschätzung steigt
- Umfrage: 71 Prozent der IT-Entscheidungsträger besorgt über Mehrfachnutzung von Passwörtern
- Fast die Hälfte der Unternehmen ohne geeignete Sicherheitsrichtlinien für Remote-Arbeit
- Umfrage: Bedeutung der Konsolidierung von IT-Sicherheitslösungen



Kommentieren