Ein Kommentar von unserem Gastautor Andre Schindler, General Manager EMEA und SVP Global Sales bei NinjaOne

[datensicherheit.de, 08.05.2025] Laut des ifo-Instituts arbeiten 24,5 Prozent der Beschäftigten in Deutschland zumindest teilweise von zu Hause aus. Diese Zahl ist in den letzten Jahren stabil geblieben und trotz mancher Diskussion ist das Thema Homeoffice in vielen Unternehmen fest etabliert. Im Zuge dessen hat sich die Anzahl von Endpunkten entsprechend erhöht und auch die Möglichkeit für potenzielle Schwachstellen für die IT-Systeme.

Bedrohungen rechtzeitig erkennen

Reaktive Sicherheitsansätze und komplexe und ineffiziente Patch-Prozesse erhöhen diese Risiken und viele Unternehmen haben Schwierigkeiten, Schwachstellen – bevor sie eine ernsthafte Bedrohung darstellen – zu erkennen. Deshalb sind effiziente und effektive Prozesse für das Patch- und Schwachstellenmanagement wichtiger denn je.  Nur so können IT-Teams einen proaktiven, risikobasierten Ansatz verfolgen, mit dem sie Schwachstellen erkennen, bewerten, priorisieren und beheben können, bevor sie eskalieren.

Automatisierung und Priorisierung senken das Risiko von Cyberangriffen

Durch automatisiertes Patch-Management wird die Belastung der IT-Abteilungen deutlich reduziert und Fehler im Zusammenhang mit umständlichen, manuellen Prozessen minimiert. Das händische Einspielen von Patches ist zeitaufwendig und birgt Sicherheitsrisiken, wohingegen automatisierte Patch-Management-Lösungen Zeit für die Erkennung, das Testen und die Bereitstellung kritischer Updates einsparen und so eine schnellere Reaktion auf eventuelle Schwachpunkte ermöglichen.

Priorisierung von Schwachstellen wichtig

Die gute Nachricht ist hier, dass nicht alle Schwachstellen das gleiche Maß an Bedrohung darstellen. Deshalb können sie priorisiert werden, was wiederum noch mehr Zeit und Ressourcen schont. Automatisierte Risikobewertungen ermöglichen IT-Abteilungen, zuerst die kritischsten Schwachstellen anzugehen und dadurch Gefährdung durch schwerwiegende Sicherheitsbedrohungen zu verringern.   Der Einsatz künstlicher Intelligenz kann den Patch-Prozess noch weiter optimieren. KI-gesteuerte Tools liefern IT-Teams kontextbezogene Empfehlungen dazu, welche Patches wann installiert werden sollten, wodurch der Aufwand für die Fehlerbehebung und die Systemausfallzeiten weiter minimiert werden.

Fazit

Ohne effektives Patch-Management bleibt die Bewältigung von Cybersicherheitsrisiken eine ständige Herausforderung. Durch die Automatisierung des Patch-Managements können Unternehmen nicht nur das Risiko von Cyberangriffen verringern, sondern auch Ressourcen in den IT-Abteilungen für strategische Aufgaben freisetzen. Dadurch wird das Unternehmen effizienter, produktiver und letztlich sicherer.

Weitere Informationen zmum Thema:

NinjaOne
Automate the hardest parts of IT

datensicherheit.de, 31.07.2020
Das VPN nicht überlasten – wie moderne Patchvorgänge auch Homeoffices abdecken

[datensicherheit.de, 16.08.2022] „Wenn es um Sicherheit geht – sowohl bei der IT (Informationstechnologie) als auch der OT (Prozesstechnologie), weiß man nie, was alles passieren könnte“, betont Michael Benis, „Security Architect“ und „Chief Information Security Officer“ bei OTORIO, in seiner aktuellen Stellungnahme. Deshalb sei es wichtig, regelmäßig eine Risiko-Bewertung hinsichtlich der Cyber-Sicherheit durchzuführen – „bevor etwas passiert“. Eine Risiko-Bewertung sei jedoch eine Sache, die tatsächliche Risiko-Minderung eine ganz andere. Oftmals machten sich Unternehmen nicht einmal die Mühe, es zu versuchen. „Sie ergreifen einfach Vorsichtsmaßnahmen und hoffen auf das Beste. Wenn Unternehmen keine regelmäßigen Bewertungen der Cyber-Sicherheitsrisiken durchführen, setzen sie sich einem Risiko aus.“ Benis erläutert zentrale Aspekte einer Cyber-Sicherheitsrisiko-Bewertung und wie daraus Schlüsse gezogen werden können:

Foto: OTORIO

Michael Benis: Eine Risiko-Bewertung besteht aus drei Hauptkomponenten: Bedrohung, Anfälligkeit und Auswirkungen

4 Risiko-Haupttypen: Umwelt-, Personal-, physische und finanzielle Sicherheitsrisiken

Eine Risiko-Bewertung besteht demnach aus drei Hauptkomponenten: Bedrohung, Anfälligkeit und Auswirkungen. „Hierbei geht es darum, die Bedrohungen für das Unternehmen zu ermitteln und dann zu bewerten, wie diese Bedrohungen ausgenutzt werden könnten.“ Darüber hinaus gelte es, alle potenziellen Schwachstellen bei Mitarbeitern (Personal), Prozessen und Technologien, wie z.B. IT-Systeme, Betriebstechnologie (OT)-Systeme und Einrichtungen, zu ermitteln. Schließlich müssten Unternehmen die Auswirkungen möglicher Sicherheitsverletzungen berücksichtigen.

Es gebe vier Haupttypen von Sicherheitsrisiken: Umweltrisiken, Personalrisiken, physische Sicherheitsrisiken und finanzielle Risiken. Umweltbezogene Risiko-Bewertungen befassten sich mit den Risiken, „die durch Umweltfaktoren wie Wetterbedingungen entstehen“. Bei der Bewertung von Sicherheitsrisiken im Bereich der Personalressourcen werde untersucht, wie anfällig die Mitarbeiter für Ausnutzung oder Diebstahl sind. Bei den physischen Sicherheitsrisiken werde die physische Sicherheit des Betriebsgeländes bewertet, einschließlich der Zugangskontrollmaßnahmen und der Verfahren zum Verschließen des Gebäudes. Bei den finanziellen Risiken werde geprüft, „wie das Unternehmen in der Lage ist, seinen finanziellen Verpflichtungen nachzukommen und sein Vermögen vor Gläubigern zu schützen“.

Ordnungsgemäße Risiko-Bewertung erfordert Sammlung verschiedener Daten

„Sobald alle oben genannten Komponenten einer Cyber-Sicherheitsrisiko-Bewertung ermittelt sind, ist es an der Zeit, eine tatsächliche Analyse durchzuführen“,so Benis. Für eine ordnungsgemäße Risiko-Bewertung sei es erforderlich, verschiedene Daten zu sammeln: über die Zielgruppe (Kunden), die Zielumgebung (die Orte, an denen sich die Kunden wahrscheinlich aufhalten), die Vermögenswerte (Eigentum oder Geld, das gefährdet sein könnte), die Verbindlichkeiten (wer für Schäden aufkommt, wenn etwas schiefgeht) und die Betriebsabläufe (wie man vorgeht, wenn etwas schiefgeht).
Benis führt weiter aus: „Wenn diese Informationen zur Verfügung stehen, ist es Zeit für die Planung.“ Verantwortliche müssten einen Aktionsplan erstellen, welcher die einzelnen Schritte aufzeigt, „damit sie diese auch tatsächlich erfolgreich durchführen können“.

Sicherheitsrisiko-Bewertung setzt Plan-Erstellung voraus

Um eine Sicherheitsrisiko-Bewertung durchzuführen, müssten die Beteiligten zunächst einen Plan erstellen. Dieser Plan sollte Folgendes enthalten:

• Welche Informationen werden in die Risiko-Bewertung einbezogen?
• Welche Risiken werden bewertet und wie wahrscheinlich ist es, dass sie eintreten?
• Wie können diese Risiken minimiert oder beseitigt werden?
• Wer ist für die Durchführung der Bewertung verantwortlich und über welche Qualifikationen verfügt er?
• Welche Maßnahmen werden ergriffen, um Vorfälle in Zukunft zu verhindern?

Das Risiko muss gemildert, übertragen, vermieden oder akzeptiert werden können

„Sobald ein Unternehmen seinen Bewertungsplan erstellt hat, ist es an der Zeit, die richtigen Lösungen für die Cyber-Sicherheit zu finden. Dazu muss es herausfinden, welche Arten von Sicherheitsservices es benötigt und ob diese im finanziellen Rahmen liegen oder nicht“, erläutert Benis.

Außerdem gelte es, die mit den einzelnen Diensten verbundenen Risiken zu bewerten und sicherzustellen, „dass sie gemildert, übertragen, vermieden oder akzeptiert werden können“. Sobald all diese Informationen vorliegen, sei es an der Zeit, die ausgewählten Sicherheitslösungen zu implementieren.

Bewertung der Sicherheitslösungen wesentlicher Bestandteil der Risikomanagement-Strategie

Sobald der Bewertungsplan steht, sei es an der Zeit, zu ermitteln, wie gut jede Lösung funktioniert. „Sicherheitsverantwortliche möchten dafür sorgen, dass während der Bewertung kein Zwischenfall eintritt, aber auch, dass es keine Auswirkungen auf das Unternehmen oder die Kunden gibt, die nicht vorhergesehen wurden.“

Die Bewertung der Sicherheitslösungen sei ein wesentlicher Bestandteil der Erstellung einer Risikomanagement-Strategie. Benis unterstreicht: „Eine Sicherheitsrisiko-Bewertung ist wichtig für Unternehmen jeder Größe. Wenn Unternehmen die Risiken verstehen und potenzielle Bedrohungen erkennen, können sie fundierte Entscheidungen für Schutzmaßnahmen treffen.“

Mittels Sicherheitsrisiko-Bewertung allgemeine Sicherheitslage verbessern und potenzielle Schwachstellen verringern

Mithilfe einer Sicherheitsrisiko-Bewertung könnten Unternehmen die allgemeine Sicherheitslage verbessern und potenzielle Schwachstellen verringern. „Indem sie die Risiken des Unternehmens verstehen und angehen, können sie außerdem eine sichere Geschäftsumgebung, ihre Mitarbeiter und die Kunden schaffen.“

Benis Fazit: „Eine Cyber-Sicherheitsrisiko-Bewertung ist ein wertvolles Instrument für Unternehmen unabhängig von deren Größe. Durch die Erstellung eines Bewertungsplans und die Bewertung der Sicherheit können Unternehmen fundierte Entscheidungen darüber treffen, wie sie sich vor potenziellen Bedrohungen schützen können.“ Darüber hinaus könne eine Risiko-Bewertung der Cyber-Sicherheit dazu beitragen, das Unternehmen insgesamt zu verbessern, „indem optimierungsbedürftige Bereiche identifiziert werden“.

Weitere Informationen zum Thema:

datensicherheit.de, 28.06.2021
Netzwerkverkehr: Transparenz zur Risikominderung / Heim-Arbeitsplätze schaffen zusätzliche Angriffsvektoren für betrieblichen Netzwerkverkehr

datensicherheit.de, 18.05.2021
Cybersecurity-Risikoprozess: Leitfaden für IT-Entscheider / Kudelski Security gibt IT-Experten Tipps für systematische Absicherung kritischer Daten-Assets in Unternehmen

[datensicherheit.de, 28.11.2014] ENISA bringt heute, 28.11.2014,  ein Bewertungsrahmenwerk zur nationalen Cyber-Sicherheitsstrategie (NCSS) heraus, das sich an Regelwerksexperten und Regierungsbeamte richtet, die eine NCSS entwerfen, implementieren und evaluieren müssen. Das Rahmenwerk entspricht strikt der von der Europäischen Union vorgeschriebenen EU CSS, der EU Cyber Security Strategy und soll den Mitgliedstaaten dabei helfen, im Bereich der NCSS Fähigkeiten und Möglichkeiten zu entwickeln.

Das hierzu entwickelte Rahmenwerk ist ein flexibler und pragmatischer Ansatz, der auf den bewährten Praktiken führender NCSS-Experten aus 18 EU NCSS und acht außereuropäischen NCSS beruht. Es lässt sich je nach dem bereits erreichten Reifegrad im Lebenszyklus einer NCSS leicht an die Erfordernisse und Bedürfnisse eines einzelnen Mitgliedsstaates anpassen.

Das Rahmenwerk empfiehlt eine schrittweise Herangehensweise und präsentiert ein Set an praktischen Schlüsselleistungsindikatoren (key performance indicators – KPIs). Darüber hinaus macht es Vorschläge zur korrekten Implementierung des Rahmenwerkes.

Der Bericht baut auf früheren Arbeiten der ENISA zur NCSS auf. 2012 führte die ENISA ein Handbuch zu bewährten Praktiken bei der Implementierung einer NCSS auf der Grundlage eines wohldefinierten Lebenszyklus ein. Das Handbuch enthielt unter anderem eine Analyse dazu, wie man den Privatsektor in den Prozess einbeziehen kann, wie sich politische, betriebliche und gesetzliche Ziele miteinander vereinbaren lassen und wie Fähigkeiten und Möglichkeiten in Bezug auf Cybersicherheitsfragen zu entwickeln sind.

Udo Helmbrecht kommentierte das Projekt folgendermaßen: „Die nationale Cyber-Sicherheitsstrategie ist ein wichtiger Schritt, der es den Mitgliedsstaaten der EU erlaubt, Cybersicherheitsrisiken und die damit einhergehenden Herausforderungen anzugehen. Es handelt sich dabei um einen fortlaufenden Prozess, der eine korrekte Evaluierung erfordert, damit er sich den ständig neuen Bedürfnissen der Gesellschaft, Technologie und Wirtschaft anpassen kann. Mit dieser Arbeit liefert die ENISA ein systematisches und praktisches Bewertungsrahmenwerk, das den EU-Mitgliedsstaaten die Möglichkeit gibt, ihre Fähigkeiten bei der Erarbeitung einer eigenen NCSS zu verbessern.“

Der Bericht wurde am 27. November 2014 anlässlich des von der ENISA organisierten ersten Workshops zu Nationalen Cybersicherheitsstrategien in Brüssel präsentiert. Führende Experten aus allen EU-Mitgliedsstaaten stellten ihre nationalen Aktionspläne zur Cybersicherheit vor und nahmen teil an Diskussionsforen zur Infrastruktur bei kritischen Informationen, zu öffentlich-privaten Partnerschaften und zu nationalen Entwicklungsmöglichkeiten im Bereich der Cybersicherheit. Im Laufe des Workshops wurde von allen Seiten betont, wie wichtig die Anwendung eines pragmatischen Evaluierungsrahmenwerks angesichts eines ständig wachsenden Bedarfs und hoher Priorität desselben ist.

Die ENISA unterhält auf ihrer Webseite eine nach Ländern sortierte aktuelle Liste mit EU- und außereuropäischen NCSS. Hier haben öffentliche und private Interessenvertreter die Möglichkeit,sich über den aktuellen Stand zu NCSS-Fragen zu informieren und sich relevantes Material herunterzuladen.

Die Veröffentlichung folgt auf den NCSS-Bericht und den Good Practice Guide on NCSS von 2012.

Weitere Informationen zum Thema:

ENISA – European Union Agency for Network and Information Security
Vollständigen Bericht

datensicherheit.de, 23.01.2014
ENISA fordert Tauglichkeitsprüfungen für industrielle Steuerungssysteme auf EU-Ebene