cancel
Showing results for 
Show  only  | Search instead for 
Did you mean: 

Verbesserung der Cybersicherheit durch Compliance und Sicherheitsarchitektur

Blogpostimage.jpg
520
0

Organisationen unter Cybersicherheitsbedrohungen 

Die IT-Sicherheit hat definitiv die Grenzen der IT-Abteilung überschritten. Sie rangiert jetzt auf Platz eins der drei größten Sorgen von Unternehmensführern. Die globale Situation zeigt eine erschreckende Steigerung von Cyberkriminalität (+300 % in den USA laut FBI*, x4 in Frankreich laut ANSSI**), die für Unternehmen besonders des KMU-Sektors bedrohlich werden kann. 

Telearbeit, die Nutzung von vernetzten Objekten und die Nutzung von sogenannter Schatten-IT haben die mögliche Angriffsfläche für Cyberkriminelle vergrößert, die auch dadurch bedingt ihre Methoden industrialisiert und verfeinert haben. Es ist für sie mittlerweile zu einem lukrativen Geschäft geworden, das vor allem durch die Angst der Opfer vor potenziell erheblichen Schäden, sowohl aus betrieblicher als auch aus rufschädigender Sicht, angeheizt wird. Zwischen "Großwildjagd", "doppelter Erpressung" und "RasS" (Ransomware as a Service) jonglierend zögern Cyberkriminelle nicht, die Endkunden der gehackten Organisationen direkt um kleinere, aber zahlreichere Beträge zu erpressen, falls das begehrte Schmiergeld vom ursprünglichen Unternehmen nicht gezahlt wird. 

 

Eine Fülle von Vorschriften und mangelnde Wachsamkeit 

Das Lösegeld und die damit verbundenen Reputationskosten sind jedoch nicht die einzigen Schäden, die Unternehmen davontragen, wenn sie Opfer eines Cyberangriffs werden. Organisationen sind mitunter mit massiven Produktivitätsverlusten konfrontiert und tragen die damit verbundenen Kosten für die Datenwiederherstellung und den Wiederaufbau des Informationssystems. Laut einer Studie des PonemonInstitute und **** aus dem Jahr 2020 dauert es im Durchschnitt 207 Tage, um eine Datenverletzung zu erkennen und 73 Tage, um sie einzudämmen. Darüber hinaus kann ein Bußgeld der Aufsichtsbehörden die Rechnung dramatisch in die Höhe treiben, insbesondere wenn das Unternehmen nicht nachweisen kann, dass es vor dem Angriff proaktive Compliance-Initiativen ergriffen hatte, um die notwendigen Kontrollen und Richtlinien zum Schutz seiner Daten und seines Netzwerks zu implementieren. 

Die geschätzten durchschnittlichen Kosten einer Datenschutzverletzung liegen laut der Studie des Ponemon Institute und **** bei 3,8 Mio. $. Aber es kann noch viel höher gehen: 57 Mio. $ für Google, 20 Mio. £ für British Airways und 18,6 Mio. € für Telecom Italia, ausschliesslich bezogen auf die Verletzung der GDPR!  

CIOs sind heutzutage gefangen zwischen dem Anstieg der Cyberkriminalität und der Komplexität der Vorschriften die sie einhalten müssen - sowohl auf nationaler als auch auf internationaler Ebene. Ganz zu schweigen von all den Rahmenwerken für Industriestandards, die sich auch je nach Branche, Geografie und Kritikalität der Daten unterscheiden können. 

 

Auf dem Weg zu Zero Trust: Optimierung der Organisation und der Sicherheitsarchitektur 

Die eigentliche Herausforderung für die Cybersicherheit besteht darin, all diese geltenden Vorschriften zu verwalten, die von zahlreichen Regulierungsbehörden stammen, und die in der Regel unterschiedliche Syntaxen, Taxonomien und Protokolle verwenden und die Sicherheit erst einmal nur durch ihre eigene Brille sehen. 

Der Belastung, die mit der Verwaltung dieser zahlreichen Vorschriften, Tests und Kontrollen verbunden ist, stellt für Unternehmen einen beträchtlichen Aufwand an Personal, finanziellen Mitteln und Zeit dar - alles zum Nachteil der eigentlichen geschäftlichen Haupttätigkeit natürlich. Eine stringente Organisation ist daher ein Muss. 

Compliance - und insbesondere IT-Compliance – benötigt eine vollständige und zuverlässige 360-Grad-Sicht auf die IT-Assets des Unternehmens. Diese dient als Einstieg, um regulatorische Vorgaben, die in der Regel von externen Anbietern zugeliefert werden, sinnvoll und eindeutig zu konsolidieren, dabei die Doppelanlage von Kontrollen zu vermeiden und sinnvolle Synergien zu schöpfen. So kann dann auch leichter erkannt werden, welche Auswirkungen bezogen auf welche Regeln es haben wird, wenn einmal der Fall der Fälle eintreten sollte. 

Um die Organisation durchgängig IT-konform und sicher zu machen, bedarf es jedoch mehr als nur der Zuordnung von Kontrollen zu IT-Assets. Es beginnt in der Regel bereits in der Entstehungsphase der IT-Architektur. Durch einen Zero-Trust-Ansatz "by Design" in Bezug auf die IT-Sicherheit können Organisationen allmählich und kontinuierlich von der primären Abhängigkeit eines „Patch“-Ansatzes wegkommen. 

Dieser Prozess impliziert eine starke Zusammenarbeit von zuvor isolierten Abteilungen oder Funktionen: Sicherheitsmanager, Unternehmensarchitekten, Risiko- und Compliance-Manager, Administratoren usw. Letztlich ist das Erreichen dieser symbiotischen Beziehung unter Verwendung eines risikobasierten Ansatzes der Schlüssel für Unternehmen, um von einer IT-Architektur zu profitieren, die in der Lage ist, die Geschäftsziele zu erreichen. 

Die Implementierung einer robusten Sicherheitsarchitektur ist also entscheidend für die Einhaltung der Cybersicherheit. Über traditionelle Sicherheitstools wie Firewalls, Antiviren- oder VPN-Software hinaus umfasst die Sicherheitsarchitektur das gesamte Informationssystem und die zum Schutz der IT-Infrastruktur erforderlichen Mittel. Im weiteren Sinne definiert sie die Rollen und Verantwortlichkeiten der einzelnen Stakeholder in den Sicherheitsprozessen. 

 

Drittanbieter: das schwächste Glied bei der Einhaltung von Compliance-Standards 

Dieser ganze Aufwand für Compliance und IT-Security ist keineswegs auf große Unternehmen beschränkt. Im Gegenteil. Die überwiegende Mehrheit der Cyberangriffe hat ihren Ursprung in einem Einbruch durch einen Dritten. Dienstleister und Subunternehmer, kleine Beratungsfirmen und Zulieferer sind die bevorzugten Ziele von Cyber-Kriminellen, weil sie zu größeren Unternehmen weitreichenden Zugang verschaffen können. 

Folglich werden Compliance-Bescheinigungen zu IT-Sicherheitsstandards sehr wahrscheinlich zu einer Voraussetzung bei der Auswahl eines neuen Geschäftspartners. Dies ist bereits bei der europäischen DORA-Verordnung (Digital Operational Resilience Act) der Fall, die von Drittanbietern von Finanzinstituten verlangt, Audits, Fragebögen und ein Sicherheitsscoring entsprechend der Kritikalität der von ihnen erbrachten Dienstleistung zu durchlaufen. 

IT-Sicherheit ist wirklich zu jedermanns Sache geworden - vom Management bis zum jüngsten Mitarbeiter unabhängig von der Größe des Unternehmens und dem Sektor - öffentlich oder privat. Vor allem weil wir wissen, dass 95 % der Cyber-Vorfälle durch menschliches Versagen verursacht werden. Es liegt an der Geschäftsleitung und den CIOs, von oben herab den Ton für Cybersicherheit und Compliance anzugeben. Sie müssen eine starke Unterstützung für die Implementierung einer hochmodernen IT-Sicherheitsarchitektur demonstrieren und in ihrem täglichen Umgang mit gutem Beispiel vorangehen - ohne besondere Privilegien - dafür mit Ethik und Integrität. 

520
0
Comment
mbecker
MEGA

Organisationen unter Cybersicherheitsbedrohungen 

Die IT-Sicherheit hat definitiv die Grenzen der IT-Abteilung überschritten. Sie rangiert jetzt auf Platz eins der drei größten Sorgen von Unternehmensführern. Die globale Situation zeigt eine erschreckende Steigerung von Cyberkriminalität (+300 % in den USA laut FBI*, x4 in Frankreich laut ANSSI**), die für Unternehmen besonders des KMU-Sektors bedrohlich werden kann. 

Telearbeit, die Nutzung von vernetzten Objekten und die Nutzung von sogenannter Schatten-IT haben die mögliche Angriffsfläche für Cyberkriminelle vergrößert, die auch dadurch bedingt ihre Methoden industrialisiert und verfeinert haben. Es ist für sie mittlerweile zu einem lukrativen Geschäft geworden, das vor allem durch die Angst der Opfer vor potenziell erheblichen Schäden, sowohl aus betrieblicher als auch aus rufschädigender Sicht, angeheizt wird. Zwischen "Großwildjagd", "doppelter Erpressung" und "RasS" (Ransomware as a Service) jonglierend zögern Cyberkriminelle nicht, die Endkunden der gehackten Organisationen direkt um kleinere, aber zahlreichere Beträge zu erpressen, falls das begehrte Schmiergeld vom ursprünglichen Unternehmen nicht gezahlt wird. 

 

Eine Fülle von Vorschriften und mangelnde Wachsamkeit 

Das Lösegeld und die damit verbundenen Reputationskosten sind jedoch nicht die einzigen Schäden, die Unternehmen davontragen, wenn sie Opfer eines Cyberangriffs werden. Organisationen sind mitunter mit massiven Produktivitätsverlusten konfrontiert und tragen die damit verbundenen Kosten für die Datenwiederherstellung und den Wiederaufbau des Informationssystems. Laut einer Studie des PonemonInstitute und **** aus dem Jahr 2020 dauert es im Durchschnitt 207 Tage, um eine Datenverletzung zu erkennen und 73 Tage, um sie einzudämmen. Darüber hinaus kann ein Bußgeld der Aufsichtsbehörden die Rechnung dramatisch in die Höhe treiben, insbesondere wenn das Unternehmen nicht nachweisen kann, dass es vor dem Angriff proaktive Compliance-Initiativen ergriffen hatte, um die notwendigen Kontrollen und Richtlinien zum Schutz seiner Daten und seines Netzwerks zu implementieren. 

Die geschätzten durchschnittlichen Kosten einer Datenschutzverletzung liegen laut der Studie des Ponemon Institute und **** bei 3,8 Mio. $. Aber es kann noch viel höher gehen: 57 Mio. $ für Google, 20 Mio. £ für British Airways und 18,6 Mio. € für Telecom Italia, ausschliesslich bezogen auf die Verletzung der GDPR!  

CIOs sind heutzutage gefangen zwischen dem Anstieg der Cyberkriminalität und der Komplexität der Vorschriften die sie einhalten müssen - sowohl auf nationaler als auch auf internationaler Ebene. Ganz zu schweigen von all den Rahmenwerken für Industriestandards, die sich auch je nach Branche, Geografie und Kritikalität der Daten unterscheiden können. 

 

Auf dem Weg zu Zero Trust: Optimierung der Organisation und der Sicherheitsarchitektur 

Die eigentliche Herausforderung für die Cybersicherheit besteht darin, all diese geltenden Vorschriften zu verwalten, die von zahlreichen Regulierungsbehörden stammen, und die in der Regel unterschiedliche Syntaxen, Taxonomien und Protokolle verwenden und die Sicherheit erst einmal nur durch ihre eigene Brille sehen. 

Der Belastung, die mit der Verwaltung dieser zahlreichen Vorschriften, Tests und Kontrollen verbunden ist, stellt für Unternehmen einen beträchtlichen Aufwand an Personal, finanziellen Mitteln und Zeit dar - alles zum Nachteil der eigentlichen geschäftlichen Haupttätigkeit natürlich. Eine stringente Organisation ist daher ein Muss. 

Compliance - und insbesondere IT-Compliance – benötigt eine vollständige und zuverlässige 360-Grad-Sicht auf die IT-Assets des Unternehmens. Diese dient als Einstieg, um regulatorische Vorgaben, die in der Regel von externen Anbietern zugeliefert werden, sinnvoll und eindeutig zu konsolidieren, dabei die Doppelanlage von Kontrollen zu vermeiden und sinnvolle Synergien zu schöpfen. So kann dann auch leichter erkannt werden, welche Auswirkungen bezogen auf welche Regeln es haben wird, wenn einmal der Fall der Fälle eintreten sollte. 

Um die Organisation durchgängig IT-konform und sicher zu machen, bedarf es jedoch mehr als nur der Zuordnung von Kontrollen zu IT-Assets. Es beginnt in der Regel bereits in der Entstehungsphase der IT-Architektur. Durch einen Zero-Trust-Ansatz "by Design" in Bezug auf die IT-Sicherheit können Organisationen allmählich und kontinuierlich von der primären Abhängigkeit eines „Patch“-Ansatzes wegkommen. 

Dieser Prozess impliziert eine starke Zusammenarbeit von zuvor isolierten Abteilungen oder Funktionen: Sicherheitsmanager, Unternehmensarchitekten, Risiko- und Compliance-Manager, Administratoren usw. Letztlich ist das Erreichen dieser symbiotischen Beziehung unter Verwendung eines risikobasierten Ansatzes der Schlüssel für Unternehmen, um von einer IT-Architektur zu profitieren, die in der Lage ist, die Geschäftsziele zu erreichen. 

Die Implementierung einer robusten Sicherheitsarchitektur ist also entscheidend für die Einhaltung der Cybersicherheit. Über traditionelle Sicherheitstools wie Firewalls, Antiviren- oder VPN-Software hinaus umfasst die Sicherheitsarchitektur das gesamte Informationssystem und die zum Schutz der IT-Infrastruktur erforderlichen Mittel. Im weiteren Sinne definiert sie die Rollen und Verantwortlichkeiten der einzelnen Stakeholder in den Sicherheitsprozessen. 

 

Drittanbieter: das schwächste Glied bei der Einhaltung von Compliance-Standards 

Dieser ganze Aufwand für Compliance und IT-Security ist keineswegs auf große Unternehmen beschränkt. Im Gegenteil. Die überwiegende Mehrheit der Cyberangriffe hat ihren Ursprung in einem Einbruch durch einen Dritten. Dienstleister und Subunternehmer, kleine Beratungsfirmen und Zulieferer sind die bevorzugten Ziele von Cyber-Kriminellen, weil sie zu größeren Unternehmen weitreichenden Zugang verschaffen können. 

Folglich werden Compliance-Bescheinigungen zu IT-Sicherheitsstandards sehr wahrscheinlich zu einer Voraussetzung bei der Auswahl eines neuen Geschäftspartners. Dies ist bereits bei der europäischen DORA-Verordnung (Digital Operational Resilience Act) der Fall, die von Drittanbietern von Finanzinstituten verlangt, Audits, Fragebögen und ein Sicherheitsscoring entsprechend der Kritikalität der von ihnen erbrachten Dienstleistung zu durchlaufen. 

IT-Sicherheit ist wirklich zu jedermanns Sache geworden - vom Management bis zum jüngsten Mitarbeiter unabhängig von der Größe des Unternehmens und dem Sektor - öffentlich oder privat. Vor allem weil wir wissen, dass 95 % der Cyber-Vorfälle durch menschliches Versagen verursacht werden. Es liegt an der Geschäftsleitung und den CIOs, von oben herab den Ton für Cybersicherheit und Compliance anzugeben. Sie müssen eine starke Unterstützung für die Implementierung einer hochmodernen IT-Sicherheitsarchitektur demonstrieren und in ihrem täglichen Umgang mit gutem Beispiel vorangehen - ohne besondere Privilegien - dafür mit Ethik und Integrität.