Cyber-Sicherheitsrisiko-Bewertung: Neuer Leitfaden von OTORIO

Das Risiko kennen und ihm frühzeitig begegnen

[datensicherheit.de, 16.08.2022] „Wenn es um Sicherheit geht – sowohl bei der IT (Informationstechnologie) als auch der OT (Prozesstechnologie), weiß man nie, was alles passieren könnte“, betont Michael Benis, „Security Architect“ und „Chief Information Security Officer“ bei OTORIO, in seiner aktuellen Stellungnahme. Deshalb sei es wichtig, regelmäßig eine Risiko-Bewertung hinsichtlich der Cyber-Sicherheit durchzuführen – „bevor etwas passiert“. Eine Risiko-Bewertung sei jedoch eine Sache, die tatsächliche Risiko-Minderung eine ganz andere. Oftmals machten sich Unternehmen nicht einmal die Mühe, es zu versuchen. „Sie ergreifen einfach Vorsichtsmaßnahmen und hoffen auf das Beste. Wenn Unternehmen keine regelmäßigen Bewertungen der Cyber-Sicherheitsrisiken durchführen, setzen sie sich einem Risiko aus.“ Benis erläutert zentrale Aspekte einer Cyber-Sicherheitsrisiko-Bewertung und wie daraus Schlüsse gezogen werden können:

Foto: OTORIO

Michael Benis: Eine Risiko-Bewertung besteht aus drei Hauptkomponenten: Bedrohung, Anfälligkeit und Auswirkungen

4 Risiko-Haupttypen: Umwelt-, Personal-, physische und finanzielle Sicherheitsrisiken

Eine Risiko-Bewertung besteht demnach aus drei Hauptkomponenten: Bedrohung, Anfälligkeit und Auswirkungen. „Hierbei geht es darum, die Bedrohungen für das Unternehmen zu ermitteln und dann zu bewerten, wie diese Bedrohungen ausgenutzt werden könnten.“ Darüber hinaus gelte es, alle potenziellen Schwachstellen bei Mitarbeitern (Personal), Prozessen und Technologien, wie z.B. IT-Systeme, Betriebstechnologie (OT)-Systeme und Einrichtungen, zu ermitteln. Schließlich müssten Unternehmen die Auswirkungen möglicher Sicherheitsverletzungen berücksichtigen.

Es gebe vier Haupttypen von Sicherheitsrisiken: Umweltrisiken, Personalrisiken, physische Sicherheitsrisiken und finanzielle Risiken. Umweltbezogene Risiko-Bewertungen befassten sich mit den Risiken, „die durch Umweltfaktoren wie Wetterbedingungen entstehen“. Bei der Bewertung von Sicherheitsrisiken im Bereich der Personalressourcen werde untersucht, wie anfällig die Mitarbeiter für Ausnutzung oder Diebstahl sind. Bei den physischen Sicherheitsrisiken werde die physische Sicherheit des Betriebsgeländes bewertet, einschließlich der Zugangskontrollmaßnahmen und der Verfahren zum Verschließen des Gebäudes. Bei den finanziellen Risiken werde geprüft, „wie das Unternehmen in der Lage ist, seinen finanziellen Verpflichtungen nachzukommen und sein Vermögen vor Gläubigern zu schützen“.

Ordnungsgemäße Risiko-Bewertung erfordert Sammlung verschiedener Daten

„Sobald alle oben genannten Komponenten einer Cyber-Sicherheitsrisiko-Bewertung ermittelt sind, ist es an der Zeit, eine tatsächliche Analyse durchzuführen“,so Benis. Für eine ordnungsgemäße Risiko-Bewertung sei es erforderlich, verschiedene Daten zu sammeln: über die Zielgruppe (Kunden), die Zielumgebung (die Orte, an denen sich die Kunden wahrscheinlich aufhalten), die Vermögenswerte (Eigentum oder Geld, das gefährdet sein könnte), die Verbindlichkeiten (wer für Schäden aufkommt, wenn etwas schiefgeht) und die Betriebsabläufe (wie man vorgeht, wenn etwas schiefgeht).
Benis führt weiter aus: „Wenn diese Informationen zur Verfügung stehen, ist es Zeit für die Planung.“ Verantwortliche müssten einen Aktionsplan erstellen, welcher die einzelnen Schritte aufzeigt, „damit sie diese auch tatsächlich erfolgreich durchführen können“.

Sicherheitsrisiko-Bewertung setzt Plan-Erstellung voraus

Um eine Sicherheitsrisiko-Bewertung durchzuführen, müssten die Beteiligten zunächst einen Plan erstellen. Dieser Plan sollte Folgendes enthalten:

• Welche Informationen werden in die Risiko-Bewertung einbezogen?
• Welche Risiken werden bewertet und wie wahrscheinlich ist es, dass sie eintreten?
• Wie können diese Risiken minimiert oder beseitigt werden?
• Wer ist für die Durchführung der Bewertung verantwortlich und über welche Qualifikationen verfügt er?
• Welche Maßnahmen werden ergriffen, um Vorfälle in Zukunft zu verhindern?

Das Risiko muss gemildert, übertragen, vermieden oder akzeptiert werden können

„Sobald ein Unternehmen seinen Bewertungsplan erstellt hat, ist es an der Zeit, die richtigen Lösungen für die Cyber-Sicherheit zu finden. Dazu muss es herausfinden, welche Arten von Sicherheitsservices es benötigt und ob diese im finanziellen Rahmen liegen oder nicht“, erläutert Benis.

Außerdem gelte es, die mit den einzelnen Diensten verbundenen Risiken zu bewerten und sicherzustellen, „dass sie gemildert, übertragen, vermieden oder akzeptiert werden können“. Sobald all diese Informationen vorliegen, sei es an der Zeit, die ausgewählten Sicherheitslösungen zu implementieren.

Bewertung der Sicherheitslösungen wesentlicher Bestandteil der Risikomanagement-Strategie

Sobald der Bewertungsplan steht, sei es an der Zeit, zu ermitteln, wie gut jede Lösung funktioniert. „Sicherheitsverantwortliche möchten dafür sorgen, dass während der Bewertung kein Zwischenfall eintritt, aber auch, dass es keine Auswirkungen auf das Unternehmen oder die Kunden gibt, die nicht vorhergesehen wurden.“

Die Bewertung der Sicherheitslösungen sei ein wesentlicher Bestandteil der Erstellung einer Risikomanagement-Strategie. Benis unterstreicht: „Eine Sicherheitsrisiko-Bewertung ist wichtig für Unternehmen jeder Größe. Wenn Unternehmen die Risiken verstehen und potenzielle Bedrohungen erkennen, können sie fundierte Entscheidungen für Schutzmaßnahmen treffen.“

Mittels Sicherheitsrisiko-Bewertung allgemeine Sicherheitslage verbessern und potenzielle Schwachstellen verringern

Mithilfe einer Sicherheitsrisiko-Bewertung könnten Unternehmen die allgemeine Sicherheitslage verbessern und potenzielle Schwachstellen verringern. „Indem sie die Risiken des Unternehmens verstehen und angehen, können sie außerdem eine sichere Geschäftsumgebung, ihre Mitarbeiter und die Kunden schaffen.“

Benis Fazit: „Eine Cyber-Sicherheitsrisiko-Bewertung ist ein wertvolles Instrument für Unternehmen unabhängig von deren Größe. Durch die Erstellung eines Bewertungsplans und die Bewertung der Sicherheit können Unternehmen fundierte Entscheidungen darüber treffen, wie sie sich vor potenziellen Bedrohungen schützen können.“ Darüber hinaus könne eine Risiko-Bewertung der Cyber-Sicherheit dazu beitragen, das Unternehmen insgesamt zu verbessern, „indem optimierungsbedürftige Bereiche identifiziert werden“.

Weitere Informationen zum Thema:

datensicherheit.de, 28.06.2021
Netzwerkverkehr: Transparenz zur Risikominderung / Heim-Arbeitsplätze schaffen zusätzliche Angriffsvektoren für betrieblichen Netzwerkverkehr

datensicherheit.de, 18.05.2021
Cybersecurity-Risikoprozess: Leitfaden für IT-Entscheider / Kudelski Security gibt IT-Experten Tipps für systematische Absicherung kritischer Daten-Assets in Unternehmen