Cyber-Rating: Lässt sich IT-Sicherheit messen?

Die aufsehenerregenden Cyber-Angriffe der vergangenen Jahre haben der Wirtschaft eines vor Augen geführt: Die Bewertung der IT-Sicherheit einer Organisation ist heutzutage unerlässlich, um den Wert des Unternehmens sowie dessen Risiken korrekt einschätzen zu können.

Gleichzeitig haben sich in puncto Security die Grenzen verschoben: Firmen können sich nicht mehr nur auf die Absicherung des traditionellen Netzwerks verlassen, um ihre wertvollen Güter angemessen zu schützen. Die IT-Landschaft verändert sich rasant weiter, angetrieben durch neue geschäftliche Anforderungen, die einen stärkeren mobilen Zugriff, mehr webbasierte Anwendungen und hybride IT-Umgebungen umfassen.

In der Folge müssen Unternehmen die Planung, Gestaltung und den Betrieb ihrer Unternehmenssicherheit strategischer angehen. Seit einigen Jahren entwickeln sich in diesem Umfeld folglich immer mehr Lösungen für das Cyber-Rating. Dabei wird versucht, den Reifegrad von Unternehmen im Hinblick auf ihre IT-Sicherheit zu bewerten.

NTT Ltd. gibt hier Antworten auf die wichtigsten Fragen:

Warum sollte jedes Unternehmen seinen Reifegrad bestimmen?

Jede Firma hat schützenswerte Assets, die nicht in fremde Hände gelangen sollten und von denen ein reibungsloser Geschäftsbetrieb abhängt. Allerdings gibt es kein Standardpaket, um die Gefahren abzudecken. Jedes Unternehmen hat vielmehr ein ganz eigenes Risikoprofil und geht anders mit unvorhersehbaren Situationen um.

Deshalb ist es wichtig, den aktuellen Sicherheitsreifegrad der IT-Landschaft zu bestimmen, aber auch anhand des Geschäftsmodells und – daraus resultierend – der individuellen Risikobereitschaft den Soll-Zustand zu definieren. Darauf aufbauend lässt sich eine Roadmap erstellen, um zu beurteilen, wo Prozesse verbessert und Lücken geschlossen werden müssen, damit man nach einem Notfall schnell wieder handlungsfähig ist.

Zudem können Unternehmen auf diese Weise einen Plan zur Einhaltung externer Vorschriften und vertraglicher Verpflichtungen sowie zur Anpassung an die Best Practices der Branche anfertigen. Das schließt unter anderem Standards, Richtlinien und Zertifizierungen wie den IT-Grundschutz, BSI 100-x, ISO2700x und NIS ein. Ein Benchmark schafft durch einen strukturierten Marktvergleich Klarheit, wie es um die Effizienz und Effektivität der eigenen Informationssicherheit bestellt ist.

Wie bewertet man den Sicherheitsstand einer Firma?

In die Bemessung des Reifegrads der IT-Sicherheit fließen die unterschiedlichsten Faktoren ein. Das fängt bei der Frage an, ob ein Unternehmen ein Cybersecurity-Programm hat, das sich an der geschäftlichen Strategie orientiert. Genauso wichtig ist die organisatorische und prozessuale Aufstellung:

• Gibt es genügend Mitarbeiter, die sich dediziert um IT-Sicherheit kümmern?
• Hat das Unternehmen ein etabliertes Sicherheitsmanagementsystem?
• Sind Prozesse repetitiv, sodass sich auf Basis der Dokumentation im Notfall alles wiederherstellen lässt?
• Nutzt das Unternehmen Automatisierung oder muss alles manuell erledigt werden?
• Gibt es nur Firewalls und Virenscanner oder stehen ganzheitliche Sicherheitslösungen etwa auf Basis von Identitäts- und Zugriffsmanagement sowie Angriffserkennung mittels Machine Learning zur Verfügung?

Ziel ist eine umfassende Überprüfung aller personellen, verfahrenstechnischen und technologischen Aspekte der Informationssicherheit und das Identifizieren von Lücken.

Wie lassen sich Lücken schließen?

Konkrete Maßnahmen, um die IT-Sicherheit eines Unternehmens zu erhöhen, hängen unter anderem davon ab, wie groß der Schutzbedarf der eigenen Daten ist und welches Risiko man bereit ist, einzugehen. Eine E-Commerce-Plattform bedarf definitiv höherer Sicherheitsmaßnahmen als eine herkömmliche Unternehmenswebsite.

Hinzu kommt, dass nicht jede Firma ein Investitionsbudget in unbegrenzter Höhe zur Verfügung hat. Entsprechend wird immer eine nach Prioritäten geordnete, umsetzbare Sicherheits-Roadmap erstellt, die auf die Möglichkeiten und das Schutzniveau des Unternehmens abgestimmt ist. Bei dieser Roadmap wird aber auch immer betrachtet, wie man auf Basis der existierenden Sicherheitsmaßnahmen schnelle Verbesserungen erreichen kann.

Braucht man einen externen Partner?

Grundsätzlich ist jedes Unternehmen mit entsprechendem Personal in der Lage, den Reifegrad seiner IT-Sicherheit zu verbessern. In der Praxis sieht es allerdings meistens so aus, dass die IT-Mitarbeiter mit Routineaufgaben ausgelastet sind und die Zeit für langfristige, strategische Projekte fehlt.

Oftmals herrscht zudem eine gewisse „Betriebsblindheit“, sodass neue Wege gerne außer Acht gelassen werden. Hier können externe Spezialisten eine wichtige Unterstützung sein: Sie helfen bei einem neutralen Blick auf die aktuelle Situation und verfügen zudem über ein umfangreiches Branchen-Know-how.

Durch das Identifizieren und Schließen von Sicherheitslücken in Richtlinien, Standards, Prozessen und Technologien können Unternehmen das Risiko eines schwerwiegenden Zwischenfalls reduzieren und gleichzeitig alle Anforderungen an die Einhaltung gesetzlicher Vorschriften erfüllen, erklärt Sebastian Ganschow, Director Cybersecurity Solutions bei der NTT Ltd. Das Ziel einer Reifegrad-Messung sei eine maßgeschneiderte, umsetzbare Roadmap.

Ganschow rät zudem: „Angst allein ist allerdings ein schlechter Ratgeber. Vielmehr gilt es, Angemessenheit, Unternehmensanforderungen und Kosten nicht aus den Augen zu verlieren.“