Vom Grundschutz zum risikobasierten Sicherheitsmanagement

Die Vorteile von risikobasiertem Cybersecurity-Management nach ISO/IEC 27005

IT-Grundschutz-Kataloge ermöglichen zwar einen raschen Einstieg in die Cybersecurity, bieten aber weder einen effektiven Schutz der eigenen Vermögenswerte noch sind sie nachhaltig skalierbar.

Solche Checklisten können zwar einfach abgehakt und erledigt werden – so wie lästige Compliance-Einschränkungen. Ihre Organisation ist damit aber um «keinen Deut» sicherer – und trotzdem muss dafür viel Geld ausgegeben werden.

Warum ein risikobasierter Ansatz die viel bessere Wahl ist.

Einleitung

Wenn Ihr Unternehmen Cybersecurity bisher stark vernachlässigt hat, kann es nicht schaden, einmal irgendwo damit anzufangen. Der BSI-Grundschutz-Katalog Das BSI-Grundschutz-Kompendium1 beschreibt beispielsweise zahlreiche sinnvolle Massnahmen, mit denen Sie starten können. Sie finden auch andere Kataloge, wie das NIST Cybersecurity Framework2, das 20 Schutzbereiche unterscheidet.

Sie könnten – zumindest theoretisch – damit organisatorisch reifen und «alt» werden, indem Sie diesen Vorschlägen folgen und jede dieser Massnahmen weiter entwickeln und fortlaufend verstärken. Das wird Sie nicht nur viel mehr Geld und Aufwand als notwendig kosten – Sie werden dabei auch unglücklich enden.

Warum das so ist, erfahren Sie in diesem Beitrag.

Cybersecurity einführen

Cybersecurity ist angesichts zahlreicher Bedrohungen und spektakulärer Hacks derzeit ein grosses Thema, das dem entsprechend viel Beachtung und zurecht nach Investitionen zur Abwehr ruft3.

Diese Massnahmen sollten aber – wie alle geschäftlichen Massnahmen und Entscheidungen – in einem sinnvollen Verhältnis zu den Risiken stehen. Wie alle anderen Risiken müssen deshalb auch Cyberrisiken entsprechend sorgfältig erkannt und sachgerecht behandelt werden.

Wenn Sie lediglich Standardmassnahmen nach Grundschutz-Katalogen durchführen, haben Sie keinerlei Gewähr, dass genau Ihre Vermögenswerte, Prozesse und Projekte adäquat abgesichert sind. Da jede Organisation ein individuelles Angriffsprofil bietet, freuen sich zudem böswillige Angreifer, wenn sie lediglich auf ein standardisiertes Schutzkonzept stossen, dass die im Einzelfall relevanten Angriffsflächen offen lässt.

Nicht nur Gelegenheitshacker, Insider-Tipps, auch hochprofessionell organisierte Kriminalität und staatliche Truppen bedrohen geschäftliche Aktivitäten weltweit. Sie sollten also keine Zeit verlieren und gezielt risikoindizierte Massnahmen setzen.

Standardisierte Reifemodelle – und ihre Beschränkungen

Einzelne Massnahmen und Aktionen wie Penetration-Tests, Sicherheitsbeauftragte, Firewalls, 2-Faktor-Authentifizierung, Passwort-Policies sind immer hilfreich und nützlich. Sie können aber nicht beliebig skaliert und elastisch an Ihre spezifischen Anforderungen angepasst werden.

Im Gegenteil: Je grösser das Unternehmen ist, umso schwieriger wird es den Reifegrad der IT-Massnahmen einheitlich anzuheben. Es ist, als wollten Sie alle Ihre «Sicherheits-Pflänzchen» auf einmal besser giessen: Sie brauchend deutlich mehr Wasser, die Giesskanne wird immer schwerer, Sie kommen kaum noch nach.

Da es um das Zähmen von Unternehmensrisiken geht, sollten wirtschaftliche Kriterien in Kombination mit technischem Sachverstand massgeblich sein: Die Bekämpfung grosser Cyberrisiken wird mehr Geld kosten als die von überschaubaren, so wie das Wahrnehmen grosser Chancen mehr Investitionen abrufbar macht.

Vorteile des risikobasierten Ansatzes

Nicht nur ein zu niedriges, auch ein überhöhtes Qualitätsniveau, das weder die Produktionskosten senkt, noch die Kundenzufriedenheit erhöht, kostet unnötig Geld. Auf die genau gleiche Art kostet ein reifebasiertes Sicherheitskonzept unnötig Geld, ohne mehr Sicherheit zu liefern.

Ein risikobasierter Ansatz ermöglicht hingegen, Sicherheitsinvestitionen gezielt anzupassen und zu reduzieren. Zudem ermöglicht die Integration von Cyberrisiken in das allgemeine Risikomanagement dem Management die einheitliche unternehmensweite Risiküberwachung und gezielte Setzung geeigneter Gegenmassnahmen.

Diese potenzielle Verschlankung von Cybersecurity-Massnahmen kann bei grossen Unternehmen zu substanziellen Einsparungen bei gleichzeitig erhöhtem Sicherheitsniveau führen, laut McKinsey bis zu mehreren Millionen Euro4.

Umsetzung des risikobasierten Ansatzes

Die Grösse des Risikos hängt von der Verletzlichkeit, der Eintrittswahrscheinlichkeit und der drohenden Auswirkung ab. Letztendlich hängt das Risiko aber immer vom dahinterliegenden zu schützenden Vermögenswert ab. Dabei sind keineswegs nur materielle Vermögenswerte gemeint, ganz im Gegenteil: Patente, Prozesse, Kundenkontakte, Reputation machen als idelle Vermögenswerte den eigentlichen Vermögenswert aus.

Risikomanagement nach ISO/IEC 27005 schützt ideelle Vermögenswerte

Das Risikomanagement nach ISO/IEC 270055 geht dementsprechend immer von einer Auflistung aller Vermögenswerte (Assets), der ideellen und der materiellen aus. Davon ausgehend werden die Verletzlichkeit und die Eintrittswahrscheinlichkeit ermittelt. Auf diese Weise können gezielt Massnahmen gesetzt werden – oder, umgekehrt, das Risiko auch bewusst nur in Kauf genommen werden.

Als Teil des gesamten Risk-Managements können Cybersecurity-Risiken auf diese Weise adäquat und effizient behandelt werden. Letztendlich sollten auch Cyberrisiken – wie alle Risiken – visualisiert, kommuniziert und laufend überwacht werden.

Mit einem Key-Risk-Indicator (KRI) versehen können Cyberrisiken wie Key-Performance-Indicators (KPIs) überwacht und aktiv gesteuert werden.

Ergebnis

Ein risikobasierter Ansatz für Cyberrisk-Management ist nicht nur intelligenter als die einfache Umsetzung von Grundschutz-Massnahmen nach Checklisten, er ist auch wirksamer und potenziell sogar kostengünstiger.

Wird Cyberrisiko-Management risikobasiert aufgesetzt und wird es über ein einheitliches Risikomanagement integriert, kann ein Unternehmen einheitlich gesteuert Chancen nutzen und Risiken meiden.

Kombiniert mit einer offenen und transparenten Risiko-Kommunikation wird Cybersecurity so zum integrierten Bestandteil eines digital souveränen Unternehmens, das bereit ist, security by design in die Realität umzusetzen.


  1. Bundesamt für Informationssicherheit (BSI): Grundschutz-Kompendium ↩︎

  2. National Institute of Standards and Technology (NIST): Cybersecurity Framework ↩︎

  3. Der Jahresbericht des Weisenrats für Cybersicherheit 2020 spricht von 104 Mrd Euro Schaden: ↩︎

  4. McKinsey (Jim Boehm, Nick Curcio, Peter Merrath, Lucy Shenton, Tobias Stähle): The risk-based approach to cybersecurity, Oktober 2019. ↩︎

  5. ISO/IEC 27005 - Information Security Risk Management ↩︎