Cyber-Rating: Lässt sich IT-Sicherheit messen?

Unternehmen müssen jederzeit auf einen Cyber-Angriff vorbereitet sein. Wie gut sie das allerdings in der Realität tatsächlich sind, können die wenigsten von ihnen einschätzen. Eine Antwort darauf liefert die Bestimmung des Reifegrads der IT-Sicherheit.

(PDF)
Man working with tablet and digital graphsMan working with tablet and digital graphsdenisismagilov – stock.adobe.com

Die aufsehenerregenden Cyber-Angriffe der vergangenen Jahre haben der Wirtschaft eines vor Augen geführt: Die Bewertung der IT-Sicherheit einer Organisation ist heutzutage unerlässlich, um den Wert des Unternehmens sowie dessen Risiken korrekt einschätzen zu können.

Gleichzeitig haben sich in puncto Security die Grenzen verschoben: Firmen können sich nicht mehr nur auf die Absicherung des traditionellen Netzwerks verlassen, um ihre wertvollen Güter angemessen zu schützen. Die IT-Landschaft verändert sich rasant weiter, angetrieben durch neue geschäftliche Anforderungen, die einen stärkeren mobilen Zugriff, mehr webbasierte Anwendungen und hybride IT-Umgebungen umfassen.

In der Folge müssen Unternehmen die Planung, Gestaltung und den Betrieb ihrer Unternehmenssicherheit strategischer angehen. Seit einigen Jahren entwickeln sich in diesem Umfeld folglich immer mehr Lösungen für das Cyber-Rating. Dabei wird versucht, den Reifegrad von Unternehmen im Hinblick auf ihre IT-Sicherheit zu bewerten.

NTT Ltd. gibt hier Antworten auf die wichtigsten Fragen:

Warum sollte jedes Unternehmen seinen Reifegrad bestimmen?

Jede Firma hat schützenswerte Assets, die nicht in fremde Hände gelangen sollten und von denen ein reibungsloser Geschäftsbetrieb abhängt. Allerdings gibt es kein Standardpaket, um die Gefahren abzudecken. Jedes Unternehmen hat vielmehr ein ganz eigenes Risikoprofil und geht anders mit unvorhersehbaren Situationen um.

Deshalb ist es wichtig, den aktuellen Sicherheitsreifegrad der IT-Landschaft zu bestimmen, aber auch anhand des Geschäftsmodells und – daraus resultierend – der individuellen Risikobereitschaft den Soll-Zustand zu definieren. Darauf aufbauend lässt sich eine Roadmap erstellen, um zu beurteilen, wo Prozesse verbessert und Lücken geschlossen werden müssen, damit man nach einem Notfall schnell wieder handlungsfähig ist.

Zudem können Unternehmen auf diese Weise einen Plan zur Einhaltung externer Vorschriften und vertraglicher Verpflichtungen sowie zur Anpassung an die Best Practices der Branche anfertigen. Das schließt unter anderem Standards, Richtlinien und Zertifizierungen wie den IT-Grundschutz, BSI 100-x, ISO2700x und NIS ein. Ein Benchmark schafft durch einen strukturierten Marktvergleich Klarheit, wie es um die Effizienz und Effektivität der eigenen Informationssicherheit bestellt ist.

Wie bewertet man den Sicherheitsstand einer Firma?

In die Bemessung des Reifegrads der IT-Sicherheit fließen die unterschiedlichsten Faktoren ein. Das fängt bei der Frage an, ob ein Unternehmen ein Cybersecurity-Programm hat, das sich an der geschäftlichen Strategie orientiert. Genauso wichtig ist die organisatorische und prozessuale Aufstellung:

  • Gibt es genügend Mitarbeiter, die sich dediziert um IT-Sicherheit kümmern?
  • Hat das Unternehmen ein etabliertes Sicherheitsmanagementsystem?
  • Sind Prozesse repetitiv, sodass sich auf Basis der Dokumentation im Notfall alles wiederherstellen lässt?
  • Nutzt das Unternehmen Automatisierung oder muss alles manuell erledigt werden?
  • Gibt es nur Firewalls und Virenscanner oder stehen ganzheitliche Sicherheitslösungen etwa auf Basis von Identitäts- und Zugriffsmanagement sowie Angriffserkennung mittels Machine Learning zur Verfügung?
  • Ziel ist eine umfassende Überprüfung aller personellen, verfahrenstechnischen und technologischen Aspekte der Informationssicherheit und das Identifizieren von Lücken.

    Wie lassen sich Lücken schließen?

    Konkrete Maßnahmen, um die IT-Sicherheit eines Unternehmens zu erhöhen, hängen unter anderem davon ab, wie groß der Schutzbedarf der eigenen Daten ist und welches Risiko man bereit ist, einzugehen. Eine E-Commerce-Plattform bedarf definitiv höherer Sicherheitsmaßnahmen als eine herkömmliche Unternehmenswebsite.

    Hinzu kommt, dass nicht jede Firma ein Investitionsbudget in unbegrenzter Höhe zur Verfügung hat. Entsprechend wird immer eine nach Prioritäten geordnete, umsetzbare Sicherheits-Roadmap erstellt, die auf die Möglichkeiten und das Schutzniveau des Unternehmens abgestimmt ist. Bei dieser Roadmap wird aber auch immer betrachtet, wie man auf Basis der existierenden Sicherheitsmaßnahmen schnelle Verbesserungen erreichen kann.

    Braucht man einen externen Partner?

    Grundsätzlich ist jedes Unternehmen mit entsprechendem Personal in der Lage, den Reifegrad seiner IT-Sicherheit zu verbessern. In der Praxis sieht es allerdings meistens so aus, dass die IT-Mitarbeiter mit Routineaufgaben ausgelastet sind und die Zeit für langfristige, strategische Projekte fehlt.

    Oftmals herrscht zudem eine gewisse „Betriebsblindheit“, sodass neue Wege gerne außer Acht gelassen werden. Hier können externe Spezialisten eine wichtige Unterstützung sein: Sie helfen bei einem neutralen Blick auf die aktuelle Situation und verfügen zudem über ein umfangreiches Branchen-Know-how.

    Durch das Identifizieren und Schließen von Sicherheitslücken in Richtlinien, Standards, Prozessen und Technologien können Unternehmen das Risiko eines schwerwiegenden Zwischenfalls reduzieren und gleichzeitig alle Anforderungen an die Einhaltung gesetzlicher Vorschriften erfüllen, erklärt Sebastian Ganschow, Director Cybersecurity Solutions bei der NTT Ltd. Das Ziel einer Reifegrad-Messung sei eine maßgeschneiderte, umsetzbare Roadmap.

    Ganschow rät zudem: „Angst allein ist allerdings ein schlechter Ratgeber. Vielmehr gilt es, Angemessenheit, Unternehmensanforderungen und Kosten nicht aus den Augen zu verlieren.“

(PDF)

LESEN SIE AUCH

Server technician answering phone call from control roomServer technician answering phone call from control roomViacheslav Yakobchuk – stock.adobe.comServer technician answering phone call from control roomViacheslav Yakobchuk – stock.adobe.com
Digitalisierung

Kosten für IT-Sicherheit: Budgets richtig kalkulieren

In einer Zeit, in der IT-Sicherheit jedes Unternehmen gleichermaßen betrifft, ist es völlig falsch, diesem Thema mit klassischer Kosten-Nutzen-Rechnung zu begegnen. Gerade hierbei sollten Entscheider präzise, aber nicht zu scharfkantig kalkulieren, denn falsche Sparsamkeit kann fatal sein.

cyber crime phishing mail , security awareness training to protecyber crime phishing mail , security awareness training to protejanews094 – stock.adobe.comcyber crime phishing mail , security awareness training to protejanews094 – stock.adobe.com
Digitalisierung

Deutschland unter den Top-5-Hosts von Malware- und Phishing

Zwar sinkt die Malware-Infektionsrate insgesamt, nicht jedoch die Anzahl bösartiger URLs. Deutschland zählt zu den Top-5-Ländern, in denen solche Webseiten vornehmlich gehostet werden.

Anzugtraeger-hacked-527970463-AS-Andrey-PopovAnzugtraeger-hacked-527970463-AS-Andrey-PopovAndrey Popov – stock.adobe.comAnzugtraeger-hacked-527970463-AS-Andrey-PopovAndrey Popov – stock.adobe.com
Digitalisierung

Vorstände benötigen mehr Cybersecurity-Expertise

Es bedarf der nötigen Sicherheitsexpertise in Vorständen, um die richtigen Fragen zu stellen und die Antworten in eine wirksame Cybersecurity-Strategie einzubinden. Denn je technologieabhängiger Unternehmen werden, desto mehr und unternehmensgefährdende Cyberattacken drohen.

young woman in officeyoung woman in officeSHOTPRIME STUDIO – stock.adobe.comyoung woman in officeSHOTPRIME STUDIO – stock.adobe.com
Assekuranz

Cyberkriminalität trifft Mittelstand

Ob Onlinehandel, Kundenverwaltung oder digitaler Vertrieb: Weil das Internet für die Mehrheit der Klein- und Kleinstunternehmer zum festen Bestandteil des Geschäftsmodells geworden ist, ist das Risiko Cyberkriminalität nach dem Mittelstand längst bei ihnen angekommen.
Anzugtraeger-Computer-290226181-AS-GorodenkoffAnzugtraeger-Computer-290226181-AS-GorodenkoffGorodenkoff – stock.adobe.comAnzugtraeger-Computer-290226181-AS-GorodenkoffGorodenkoff – stock.adobe.com
Digitalisierung

Top-down statt Bottom-up: Cybersecurity muss Chefsache sein

Eine durchgängige IT-Sicherheitsstrategie gewinnt gerade in der aktuellen Corona-Pandemie an Bedeutung. Die beschleunigte Digitalisierung fast aller Lebensbereiche hat die Angriffsfläche für Hacker signifikant vergrößert. Mit isolierten Bottom-up-Projekten ist eine umfassende hohe Sicherheit angesichts der komplexen Gefahrenlage kaum zu etablieren, meint Giesecke+Devrient (G+D). Erforderlich ist vielmehr ein ganzheitlicher Top-down-Ansatz. Cybersecurity muss zur Chefsache ...
Digital hand touching binary data flow technology conceptDigital hand touching binary data flow technology conceptAnterovium – stock.adobe.comDigital hand touching binary data flow technology conceptAnterovium – stock.adobe.com
Assekuranz

Herausforderung Cyber-Versicherungsschutz für KMU und Großunternehmen

Aufgrund der angespannten Bedrohungslage und steigender Vorfälle, führen Versicherungen eine noch genauere Risikobewertung und Prüfung der Schutzmaßnahmen durch, bevor sie eine Versicherung vergeben und die Höhe der Prämie festsetzen. Cyber Insurance Readiness unterstützt Unternehmen dabei versicherungsfähig zu werden und zu bleiben.

Mehr zum Thema

Digitalisierung

Künstliche Intelligenz wird erwachsen: Die wichtigsten KI-Trends 2025

Verschärfter Wettbewerb, Agentic AI und wachsender regulatorischer Druck prägen die KI-Welt 2025. Pegasystems wirft einen Blick auf die fünf entscheidenden Trends, die Unternehmen jetzt im Auge behalten sollten.

Die Diskussion um die ePA ist zugleich eine Grundsatzdebatte über die Machbarkeit sicherer, zentralisierter Datensysteme.Foto: AdobestockDie Diskussion um die ePA ist zugleich eine Grundsatzdebatte über die Machbarkeit sicherer, zentralisierter Datensysteme.Foto: Adobestock
Digitalisierung

Elektronische Patientenakte - Schwerwiegende Schwachstellen, Daten nicht sicher

Einen tiefen Einblick in die Problematik liefert der Bericht des Chaos Computer Clubs (CCC), der auf dem 38. Chaos Communication Congress vorgestellt wurde.

Maxim Pertl, Partner für Asset- Owners & Managers DACH & CEE bei Clearwater AnalyticsClearwater AnalyticsMaxim Pertl, Partner für Asset- Owners & Managers DACH & CEE bei Clearwater AnalyticsClearwater Analytics
Digitalisierung

Digitale Betriebsmodelle: Laufen kleinere Versicherer den großen davon?

Veraltete Systeme, demografischer Wandel und regulatorische Anforderungen setzen Versicherer unter Druck. Besonders kleinere Häuser nutzen ihre Agilität, um digitale Betriebsmodelle schneller anzupassen und Marktanteile zu sichern, stellt Maxim Pertl, Partner für Asset- Owners & Managers DACH & CEE bei Clearwater Analytics, im Interview heraus.

Dr. Edgar Puls, Vorstandsvorsitzender der HDI Global SEHDI Global SEDr. Edgar Puls, Vorstandsvorsitzender der HDI Global SEHDI Global SE
Digitalisierung

Industrieversicherung: OPEN RISK DATA Association gegründet

Mit der Gründung des OPEN RISK DATA Association e.V. soll der digitale Austausch von Risikodaten in der Industrieversicherung revolutioniert werden.

pixabaypixabay
Digitalisierung

Vier Trends für 2025: KI-Agenten und Hyper-Automation

Mindbreeze, ein führender Anbieter von KI-basierten Wissensmanagement-Lösungen, identifiziert vier Trends für das Jahr 2025 und skizziert die bedeutendsten Unternehmensbereiche, in denen künstliche Intelligenz die Transformation vorantreiben wird.

DALL-EDALL-E
Digitalisierung

Digitale Transformation setzt Ausschließlichkeitsvertrieb unter Druck

Die Digitalisierung setzt den klassischen Ausschließlichkeitsvertrieb unter Druck. Ulla Dörfler von der vfm-Gruppe erklärt, wie das AOplus-Modell Exklusivvermittlern eine erweiterte Produktpalette und damit neue Perspektiven bietet – eine Lösung, die bereits Zurich und ALH erfolgreich nutzen.