So überwinden Sie Hürden für Zero Trust
Der Weg zu Zero Trust kann steinig sein, doch er lohnt sich. Security-Verantwortliche müssen mit einer umfassenden Risikobewertung aller Assets die Geschäftsführung überzeugen.
Der Wechsel zu einem Zero-Trust-Konzept kann technische Schwierigkeiten mit sich bringen, beispielsweise bei der Integration älterer Systeme, aufgrund der Komplexität der Implementierung oder bei der Gewährleistung einer nahtlosen Integration der Sicherheitstechnologie. Zudem ist eine solche Umstellung wegen der Anfangskosten und der laufenden Wartung, Aktualisierung und Schulung mit hohen Investitionen verbunden. Auch muss mit dem Widerstand der Mitarbeitenden, mangelndem Verständnis oder unzureichender Schulung und einer erhöhten Verantwortung für die Sicherheit gerechnet werden.
Trotz dieser Herausforderungen ist Zero Trust aufgrund seiner Vorteile – gerade in Bezug auf die verbesserte Sicherheit und das Risikomanagement – eine lohnende Investition. Zu erwähnen wäre die Interoperabilität mit Technologien wie Secure Web Gateway (SWG), Cloud Access Security Broker (CASB) und Zero Trust Network Access (ZTNA) sowie die Einbeziehung von Attack Surface Management und XDR in eine einzige Plattform. All dies kann die Belastung der IT-Teams reduzieren und eine einzige Quelle der Erkenntnisse für die Risikobewertung innerhalb des aktuellen Sicherheits-Stacks schaffen, einschliesslich Integrationen und APIs von Drittanbietern.
Mit sorgfältiger Planung, der Zustimmung der wichtigsten Stakeholder inklusive der Geschäftsführung, entsprechenden Schulungen und der Investition in kompatible Technologien lassen sich diese Herausforderungen erfolgreich meistern und Zero Trust effektiv umsetzen.
Die Bedeutung von Risikoüberprüfungen
Es ist nicht immer möglich, einen Breach zu vermeiden – vor allem, weil die Ziele von Unternehmensleitung und Cybersicherheits-Teams nur selten übereinstimmen. Doch Security-Teams können dennoch den Herausforderungen der sich ausbreitenden digitalen Angriffsfläche begegnen und eine schnellere Erkennung und Reaktion auf Bedrohungen ermöglichen.
Cybersecurity-Risikobewertungen bieten eine grundlegende Analyse der digitalen Angriffsfläche und des Risikos für das Unternehmen. Sie prüfen, bewerten und priorisieren kontinuierlich die einzelnen Assets, um einen aktuellen Überblick über die digitalen Ressourcen zu geben. Auf Basis einer Vielzahl von Daten, einschliesslich des Benutzerverhaltens, der Logs von Sicherheitsprodukten und der Aktivität von Cloud-Apps, können diese Assessments einschätzen, ob die Ressourcen für einen Angriff anfällig sind, und einen Risikowert sowie umsetzbare und nach Prioritäten geordnete Aufgaben zur besseren Absicherung der digitalen Angriffsfläche liefern.
Bei einer Cybersecurity-Risikobewertung wird die Anfälligkeit des Unternehmens für Schwachstellen, Fehlkonfigurationen und verdächtige Aktivitäten oder Datenzugriffe untersucht und mit den bestehenden Sicherheitsrichtlinien und der regulatorischen Compliance abgeglichen. Ausserdem werden erkannte Bedrohungen und Schwachstellen identifiziert und priorisiert sowie Identitäten, SaaS-Anwendungen und Netzwerkinhalte analysiert, um präzise die Schwachpunkte in der digitalen Angriffsfläche zu ermitteln.
Diese Bewertungen sind daher für die Verringerung des Cyber-risikos eines Unternehmens und die Aufrechterhaltung einer sicheren Umgebung unerlässlich.
Den Wert von Zero Trust der Geschäftsführung kommunizieren
Eine umfassende Risikoprüfung liefert ein klares Ergebnis, das der Geschäftsführung bei der Begründung für die Implementierung und Umsetzung von Zero Trust präsentiert werden kann. Geschäftsleitungen sind heute oftmals besser über die finanziellen Aspekte von Cybersicherheit informiert. Das Wichtigste, worauf sie im Zusammenhang mit Risiken schauen, sind die wirtschaftlichen Auswirkungen einschliesslich möglicher Compliance-Lücken, gefolgt von der langfristigen Entwicklung des Risikos einer Sicherheitsverletzung.
Bei der Präsentation der finanziellen Auswirkungen der Risikoanalyse sollten Security-Verantwortliche einige Best Practices beachten:
- Nutzen Sie nicht nur Untergangsszenarien. Stellen Sie mehrere klar umrissene Szenarien mit unterschiedlichen Auswirkungen auf. Ein unternehmensweiter Erpressungsversuch muss ebenso betrachtet werden, wie ein Ransomware-Fall, der nur einen kleinen Teil des Betriebs betrifft.
- Wählen Sie Ihre Zahlen sorgfältig. Die Cybersicherheit hat eine lange Tradition von schrecklichen Prognosen der finanziellen Auswirkungen. Legen Sie Ihren Zahlen die Finanzdaten des Unternehmens zugrunde, aber wählen Sie nur aussagekräftige Zahlen, die Sie mit Ihren Unternehmensdaten verknüpfen. Verwenden Sie beispielsweise ein konkretes Szenario, um die potenziellen Kosten einer Nichteinhaltung der Compliance-Vorschriften zu verdeutlichen. Bitten Sie dabei Ihre Finanzabteilung um Unterstützung: Machen Sie es zu einem Verbündeten, nicht zu einem Gegner.
- Gehen Sie davon aus, dass Sie Ihre Annahmen begründen müssen, beispielsweise die genannte Wiederherstellungszeit («Time to Recover»). Sollten Sie Ihre Annahmen und Daten nicht klar belegen können, lassen Sie sie weg oder verweisen Sie in einer Fussnote auf diese Schwierigkeit.
- Bleiben Sie bei potenziellen Kosten für die Umsetzung von Schutzmassnahmen realistisch. Untertreiben Sie die potenziellen Endkosten nicht. Wohl jede Geschäftsführung weiss, dass IT-Projekte häufig das Budget überschreiten und dass Sicherheit teuer ist. Es ist besser, von Anfang an ehrlich zu sein, als später das Budget zu sprengen.
- Brechen Sie Ihre Zahlen herunter. Eine einzelne grosse Zahl wird nur dazu führen, dass diese im Mittelpunkt steht und die eigentliche Diskussion über das Risiko auf der Strecke bleibt. Stellen Sie Ihre Berechnungen vor und schlüsseln Sie sie über die Zeit auf: Produktkosten im ersten Jahr, Wartung und Support über fünf Jahre, Implementierung, Erweiterungskosten, falls Ihr Unternehmen wächst, zusätzliche Module und Upgrades, Personalkosten, Schulung und Zertifizierung – und fügen Sie einen gesunden Prozentsatz für die üblichen Implementierungsprobleme hinzu.
- Wenn Sie finanzielle Bewertung in Form von Anhängen beifügen, stellen Sie diesen stets eine «Executive Summary» voran.
- Beziehen Sie die Auswirkungen auf den Aktienkurs nur dann mit ein, wenn Sie bereit sind, sich dieser Diskussion zu stellen. Seien Sie darauf vorbereitet, die Frage zu beantworten, warum der Aktienkurs des Unternehmens X nach einem Hacking-Angriff hochgegangen ist.
Je nach dem gewählten Risikobewertungsmodell werden entsprechende Begriffe zur Risikobestimmung verwendet. Diese haben nicht automatisch eine Bedeutung für die Geschäftsführung – oder zumindest wird nicht jedes Mitglied solche Begriffe auf dieselbe Weise interpretieren. Geld hingegen hat für alle Anwesenden dieselbe Bedeutung.
Bei der Darstellung der Ergebnisse der Risikobewertung und der finanziellen Auswirkungen dieses Risikos ist es wichtig, auch das „Warum“ zu nennen: Warum diese Bewertung gewählt wurde, warum das Risiko niedrig, mittel oder hoch ist, und so weiter.
Die Beantwortung der „Warum“-Fragen bereitet auf das „Wie geht es weiter?“ vor. Wenn sich herausstellt, dass das Risiko höher als vertretbar ist, geht es um die nächsten Schritte, die der CISO unternehmen wird, und um die Frage, was dafür benötigt wird. Eine klare und präzise Darstellung der aktuellen Situation ist der beste Weg, um alle Anwesenden auf dem gewählten Weg mitzunehmen.
Protonmail lanciert Dark Web Monitoring
Schweizer Strafverfolger überwachen etwas weniger, holen aber mehr Auskünfte ein
Hamster entrinnt dem Regenbogen-Labyrinth
Update: Fast 34 Millionen Roblox-Zugangsdaten landen im Darknet
Gil Shwed über Rücktritt, Cybercrime und KI
Wieso man nicht ziellos herumirren sollte beim Telefonieren
Scammer kommen via Phishing-Mail an Facebook-Bezahldaten
Schweden seit Nato-Beitritt verstärkt im DDoS-Visier
Bitdefender startet Förderprogramm für Start-ups
