Risikobewertung: 5 Fragen die sich CISOs stellen sollten

Risikobewertung: 5 Fragen die sich CISOs stellen sollten

Beitrag teilen

Cyberangriffe gehören mittlerweile zum Alltag. Dabei spielen Größe und Branche der Unternehmen kaum noch eine Rolle. Wie man angegriffen wird und ob die Angreifer damit Erfolg haben, hängt jedoch mit den eigenen Cybersicherheitsmaßnahmen zusammen. Wichtig ist an dieser Stelle eine kontinuierliche Risikobewertung. Heutzutage keine leichte Aufgabe für die zuständigen Chief Information Officers (CISO).

Laut dem aktuellen Allianz Risk Barometer sind Cybervorfälle derzeit das weltweit größte Geschäftsrisiko. Da die IT in der heutigen Zeit die Basis für nahezu alle Geschäftsprozesse bildet, betrifft ihr Ausfall alle Unternehmensbereiche. Dieser Umstand bringt den ein oder anderen CISO in eine komplizierte Situation: Von ihnen wird verlangt, Cyberrisiken nicht nur zu kennen, sondern auch das von ihnen ausgehende Risiko bewerten zu können. Die folgenden fünf Fragen sollten sie sich bei der Risikobewertung stellen, um ihr Ziel einer sicheren Cybersecurity zu erreichen:

Anzeige

1. Wo liegen unsere Schwachstellen?

Es gibt drei Arten von Schwachstellen: prozessuale, technische und menschliche. Unter den ersten Punkt fallen etwa nie getestete Notfallpläne, die im Ernstfall nicht funktionieren. Technische Schwachstellen lassen sich mit dem CVSS (Common Vulnerability Scoring System) nach ihrem Schweregrad klassifizieren. Ebenso normal wie technische Lücken in der Cybersecurity sind menschliche Fehler. Etwa weil man in einem stressigen Augenblick vergisst, ein Passwort für eine neue Cloud-Instanz zu setzten oder auf Phishing Mails hereinfällt. Um diese Schwachstellen ausfindig zu machen, braucht es einen Informationsaustausch zwischen den unterschiedlichen Fachbereichen sowie einen Überblick über Prozesse in der IT-Umgebung, sämtliche Cloud Services sowie alle Systeme.

2. Wie gehen Angreifer vor?

Trotz möglicherweise geringerem CVSS-Score sollten CISOs auch ältere, weniger hoch priorisierte Sicherheitslücken nicht vernachlässigen. Diese können für Cyberkriminelle höchst attraktiv sein, sind sie doch oftmals deutlich leichter zugänglich, da sie bei Analysen gerne übersehen bzw. nicht priorisiert behandelt werden. Daher ist es für die Risikobewertung wichtig, dass neben Branche und Unternehmensgröße – etwa große Behörde oder mittelständischer Handwerksbetrieb – auch Informationen über aktuelle Angreifergruppen und deren Vorgehensweise berücksichtig werden – unter anderem, welche Schwachstellen diese nutzen.

3. Wie hoch ist meine Angriffswahrscheinlichkeit?

Die Angriffswahrscheinlichkeit wird aus den Faktoren „aktuelles cyberkriminelles Geschehen“ und „aufgedeckte Schwachstellen“ ermittelt, indem zwei Fragen gestellt werden: „Fällt die Größe meines Unternehmens in das Beuteschema aktueller Hacker-Aktivitäten?“ Und: „Gibt es im Unternehmen eine Schwachstelle, die derzeit häufig angegangen wird?“ Werden diese zwei Fragen mit einem „Ja“ beantwortet, ist das Risiko eines Vorfalls hoch. Auch muss beachtet werden, dass etwa 90 Prozent aller Cyberangriffe finanziell motiviert sind und mit möglichst wenig Aufwand über die Bühne gehen sollen. Kurz gesagt: Unternehmen, die wenig Gegenwehr bieten, sind für Cyberkriminelle attraktiver.

4. Welche Konsequenzen hätte ein Cyberangriff?

Richard Werner, Business Consultant bei Trend Micro (Bild: Trend Micro)

Die Risikobewertung sowie der Handlungsbedarf ergeben sich aus der Eintrittswahrscheinlichkeit und der Höhe des möglichen Schadens. Um beides zu errechnen, sollten sich CISOs folgende W-Fragen zu Abhängigkeiten, Sicherheitsaufstellung und IT-Infrastruktur des Unternehmens stellen: Welche Möglichkeiten hat ein Hacker, wenn er sich im Netzwerk befindet? Wie kann er sich bewegen, ohne von internen Kontrollen entdeckt zu werden? Welche Kontrollen sind vorhanden? Welche Möglichkeiten hat der Eindringling, auf wertvolle Daten zuzugreifen? Welche Auswirkungen hätte ein durch einen Angriff ausgelöster Produktionsstopp auf Kunden und Lieferanten?

5. Was braucht es, um das Risiko zu minimieren?

Um die angestrebte Risikominimierung hinsichtlich Eintrittswahrscheinlichkeit und Auswirkungen eines Angriffs zu erreichen, müssen gezielt Maßnahmen ergriffen werden. Etwa ein Patch, um eine technische Schwachstelle zu schließen oder das Setzen bzw. Ändern von Passwörtern. Größere Security-Maßnahmen wie Netzwerksegmentierung werden dann fällig, wenn besonders gefährdete Daten und Assets Schutz benötigen. Die ergriffenen Maßnahmen zur Risikominimierung sollten CISOs anschließend regelmäßig auf ihre Wirksamkeit überprüfen. Wer sich die Kosten-Nutzen-Rechnung ersparen möchte, kann sich an Security-Hersteller mit umfassenden Plattformen wenden.

Das Ziel von CISOs: den Schaden minimieren

CISOs erfüllen im Unternehmen als Sicherheitsexperten eine tragende Rolle. Sie müssen die größten Risiken identifizieren und gezielte Gegenmaßnahmen ergreifen. Allerdings ist es in der heutigen Zeit keine leichte Aufgabe, den Überblick über die hochdynamische IT-Landschaft zu behalten. Die behandelten Fragen tragen dazu bei, eine kontinuierliche Risikobewertung zu erstellen, aus welcher sich anschließend eine proaktive Sicherheitsstrategie ergibt. Das ist umso wichtiger, da Cybervorfälle mittlerweile als weltweit größtes Geschäftsrisiko gelten.

Mehr bei TrendMicro.com

 


Über Trend Micro

Als einer der weltweit führenden Anbieter von IT-Sicherheit hilft Trend Micro dabei, eine sichere Welt für den digitalen Datenaustausch zu schaffen. Mit über 30 Jahren Sicherheitsexpertise, globaler Bedrohungsforschung und beständigen Innovationen bietet Trend Micro Schutz für Unternehmen, Behörden und Privatanwender. Dank unserer XGen™ Sicherheitsstrategie profitieren unsere Lösungen von einer generationsübergreifenden Kombination von Abwehrtechniken, die für führende Umgebungen optimiert ist. Vernetzte Bedrohungsinformationen ermöglichen dabei besseren und schnelleren Schutz. Unsere vernetzten Lösungen sind für Cloud-Workloads, Endpunkte, E-Mail, das IIoT und Netzwerke optimiert und bieten zentrale Sichtbarkeit über das gesamte Unternehmen, um Bedrohung schneller erkennen und darauf reagieren zu können..


 

Passende Artikel zum Thema

IT-Security: Innovationsdruck und Fachkräftemangel

Wie wirken sich Innovationsdruck und Fachkräftemangel auf die IT-Security aus? Neue junge Mitarbeiter stoßen in der IT-Security oft auf alteingesessene ➡ Weiterlesen

Cybersicherheit: Darauf müssen KRITIS-Unternehmen achten

In 2024 war NIS2 ein großes Thema im Bereich der Cybersicherheit. Und auch in 2025 und den kommenden Jahren wird ➡ Weiterlesen

Trends 2025: Industrie setzt auf die Cloud

Ein Experte für die Sicherheit cyber-physischer Systeme zeigt drei Trends für 2025 auf: NIS2 wird das Bewusstsein für Cyersicherheit weiter ➡ Weiterlesen

KI basierte Cybersicherheitstools – eine Vertrauensfrage

Trotz Hype: Knapp 60 Prozent der deutschen Unternehmen sehen potenzielle Mängel in Cybersicherheitstools, die auf generativer KI basieren, als herausragendes ➡ Weiterlesen

Nur Hype oder Realität: Vorhersagen Cybersicherheit 2025 

Vorhersagen zur Cybersicherheit gibt es jährlich zuhauf, viele davon sind voller Übertreibungen. Sinnvoller ist es, den Blick auf Daten und ➡ Weiterlesen

Angriffe 2024: Anmeldedaten waren häufigstes Ziel

Ein Report hat Cyberattacken in 2024 analysiert und dabei festgestellt: Die meisten Angreifer brechen nicht ein, sondern loggen sich mit ➡ Weiterlesen

Trend: Cyberkriminelle arbeiten weltweit zusammen

Cyberkriminelle werden immer agiler und arbeiten weltweit zusammen. Das belegt der neue Forschungsbericht „Bridging Divides, Transcending Borders: The Current State ➡ Weiterlesen

BYOD: 4 Tipps um Sicherheitsrisiken zu minimieren

BYOD (Bring Your Own Device) bedeutet, dass Mitarbeiter in Unternehmen ihre persönlichen Geräte für die Arbeit nutzen dürfen. Daraus können ➡ Weiterlesen