teissTalk: Alles unter Kontrolle? Wie sieht ein wirksames Risikomanagement aus?

Das NIST-Framework sagt, dass es keinen allgemeinen gültigen Ansatz für das Management von Cybersicherheitsrisiken gibt. Organisationen werden auch weiterhin einzigartige Risiken haben, unterschiedliche Bedrohungen, unterschiedliche Schwachstellen und unterschiedliche Risikotoleranzen.

 

Marcel Lehner sieht sich mit folgenden Herausforderungen konfrontiert:

 

„Es gibt eine breite Palette an Themen die wir in unserer Risikolandschaft wiederfinden.  Die Risikolandschaft ändert sich immer schneller und in immer kürzeren Zyklen. Ich befürchte, dass viele Unternehmen ihre IT-Angriffsfläche gar nicht mehr richtig im Blick haben, vor allem räumlich verteilte Unternehmen. Es wird immer komplexer das gesamte Risikospektrum im Fokus zu behalten.“

 

Er fügt hinzu: „In unserem Unternehmen haben wir einen hybriden Ansatz gewählt, stark zentralisierte Security, aber dezidierten Security-Koordinatoren in den Werken. Auch beim Risikomanagement muss man auf die Eigenheiten der einzelnen Werke und den lokalen Gegebenheiten eingehen.“

 

Welche Ziele verfolgt ein strategisches Risikomanagement im Rahmen der Cybersicherheit?

 

Dr. Peter Ebenhoch sagt: „Meiner Meinung geht es immer um die Frage, welche Werte sollen geschützt werden, also physische Werte, aber auch Firmenwerte, Erfolgsvoraussetzungen, Business-Modelle, Kundenkontakte, Vertrauen. Wenn man es gut macht, geht es darum, dass man die eigenen Werte kennt, dass man die Risiken dazu im Auge hat und dass man entsprechend Vorsorge trifft zur Absicherung, in technischer und organisatorischer Hinsicht.“

 

Wo fange ich mit an, wenn ich mein Risiko bewerten will? Wie bewerte ich z.B. den Verlust von Daten?

 

Dr. Peter Ebenhoch erklärt: „Die eigentliche Frage ist, und die ist unangenehm, wo ist ein Unternehmen verletzlich. Man sollte überlegen, wo steht die Organisation oder wo ist bei einem Service die Wertschöpfung, was ist das, was uns wichtig ist und was könnte diese Wertschöpfung gefährden. Risikomanagement ist eine Aufgabe für alle in einer Organisation, in verschiedenen Rollen natürlich. Es ist eine Gefahr, dass oft gesagt wird, wir haben eine*n Risikomanager*in, der/die macht das schon.“

 

Marcel Lehner ergänzt: „Ich habe auf einer grünen Wiese angefangen, wir haben unterschiedliche Frameworks getestet (BSI Grundschutz, NIST, ISO 27000). Am Anfang sollte man darauf achten, dass man nicht so sehr in die Tiefe geht. Wenn eine Organisation den Risikomanagement-Ansatz noch nicht gelebt hat, dann kann man sich leicht in der Detailtiefe verlieren. Zunächst sollten die Assets identifiziert werden, gerade in einem Produktionsunternehmen. In einem Startup mag das anders sein, aber in einem Unternehmen, das es schon sehr lange gibt, weiß man ja z.B. gar nicht mehr, was man im Netzwerk hat. Somit war es bei der Einführung von Risikomanagement ein großer Vorteil für uns, dass wir damit auch eine Asset-Identifizierung gehabt haben.“

 

Für kleine Unternehmen bietet sich der BSI Grundschutz als praktikabler Einstieg an. Er bietet einen Basisschutz. Man muss nicht gleich die Eintrittswahrscheinlichkeit oder die Schadenshöhe beziffern. Der Grundschutz sagt, ordne deine Assets einer gewissen Sicherheitskategorie zu. Für jede Kategorie gibt es Empfehlungen für Kontrollen.

 

Nikola Djinic empfiehlt, dass man als CISO die Zusammenarbeit suchen sollte.

 

Das sieht auch Marcel Lehner so: „Ich kann nur dazu raten, raus in das Business zu gehen und das Business zu verstehen. Wir haben z.B. Impactanalysen gemacht, um die Geschäftsprozesse zu verstehen, denn es gibt viele Gefährdungskataloge (z.B. vom BSI), aber das muss ja nicht heißen, dass diese für mein Unternehmen anwendbar sind. Um nicht über das Ziel hinauszuschießen, ist es ganz wichtig also CISO, das Business zu verstehen und in den Fachbereichen intensive Gespräche zu führen. Es kann nicht sein, dass der CISO Risikomanagement im kleinen Kämmerchen betreibt. Dann kann man schauen, was sind die tatsächlichen Gefährdungen und basierend auf diesen die Maßnahmen festzulegen.“

 

Welchen Einfluss hat die Risikokultur im Unternehmen auf das Risikomanagement?

 

Marcel Lehner sagt: „Der Einfluss ist groß. Am Anfang meiner Tätigkeit, die ersten 2 Jahre, kannte niemand Risikomanagement und der Nutzen war nicht bekannt. Der CISO muss in diesem Fall als "Prediger" rausgehen zu den Führungskräften und Vorständen, um zu erklären, warum brauchen wir Risikomanagement. Wegen der Kosten muss der Mehrwert aufgezeigt werden. Das ist ein langer und stetiger Prozess, eine Kultur, die wachsen muss.

 

Peter Ebenhoch schließt sich an: „Die meisten Maßnahmen beziehen sich auf Prozesse. Immer wenn ich eine risikosensitive Maßnahme direkt an einen bestehenden Prozess anhängen kann, dann kann ich das näher in den Alltag bringen. Wenn ich Risikomanagement einer bestimmten Situation hinzufüge, z.B. mit Checklisten, dann ist man auf einem guten Weg, um das Risikobewusstsein zu vergrößern.“

 

Soll es nicht so sein, dass das Business auf den CISO zugeht?

 

Marcel Lehner: „Je höher der Reifegrad des Geschäftsprozesses ist, umso eher ist das auch der Fall. Wenn man dokumentierte Prozesse hat und das Risikomanagement als fixer Bestandteil verankert ist, ist die Wahrscheinlichkeit sehr hoch, dass es mit eingebunden wird. Wenn die Mitarbeiter zwar wissen, dass es Risikomanagement gibt, im Tagesgeschäft aber überfordert sind und es als extra Arbeit sehen, dann ist das so wie bei vielen Security-Themen, dann reden wir am besten nicht darüber, denn wir wollen uns die Arbeit ersparen."

 

Wie kommt man von einem System zu einer Awareness?

 

Nikola Djinic: „Die Trainings spielen hier eine wichtige Rolle. Die Kommunikation muss etabliert werden, im Management und in den operativen Rollen. Und die Kultur des Austauschs muss gepflegt werden. Man muss ständig darüber reden, nicht nur über Risiken von außen, sondern auch innerhalb der Organisation.“