Cyberkriminalität ist ein lukratives Geschäft, das immer professioneller organisiert wird. Den davon ausgehenden Bedrohungen kann nur begegnen, wer selbst über professionelle Prozesse für die IT-Sicherheit verfügt. Denn IT-Sicherheit ist kein kaufbares Produkt, sondern die Fähigkeit, mit stabilen Prozessen und geeigneten Tools aktuellen und zukünftigen Gefahren zu begegnen.
Aber wie kommen Organisationen zu stabilen, professionellen IT-Sicherheitsprozessen? Wie gelingt es ihnen, eine langfristige Sicherheitsstrategie umzusetzen und gleichzeitig von Anfang an angemessen auf akute Bedrohungen zu reagieren?

Professionelle Security umfasst mehr als Sicherheitstools

Sicherheitsmaßnahmen und Tools allein bilden noch keine robuste, nachhaltige Strategie. Sie bieten Insel-Lösungen für einzelne IT-Probleme, fügen sich aber nicht ein in ein ganzheitliches Konzept zum Umgang mit immer neuen Bedrohungslagen. So liefern Sicherheitsanalysetools zahlreiche Daten zur aktuellen Bedrohungslage. Die daraus erforderlichen Schlüsse kann jedoch nur ein geschultes Team ziehen – das auch schnell und gezielt reagieren sollte, um Schaden vom Unternehmen abzuwenden. Wichtiger als das jeweilige Sicherheitstool ist daher der Prozess seiner Anwendung und Auswertung zur verbesserten Abwehr.

Dieser Prozess setzt Expertise voraus. Ein Team muss bestimmen können, welche Schwachstellen im eigenen System besonders gefährlich und darum zuerst zu schließen sind (Priorisierung), es muss Angriffe frühzeitig erkennen (Detektion), Schrittabfolgen bereit haben, um im Angriffsfall Schaden abzuwehren (Reaktion), und kontinuierlich an ihrer Verbesserung für künftige wahrscheinliche Angriffsszenarien arbeiten (Prävention). Ziel ist es, bei jeder Art von Cyberbedrohung handlungs- und funktionsfähig zu bleiben: Cyberresilienz.

Sicherheit ist eine Management-Aufgabe

Grundvoraussetzung für eine Professionalisierung der IT-Sicherheit – bzw. übergeordnet der Informationssicherheit – ist die Einsicht, dass es sich dabei nicht um ein technisches Problem handelt, sondern um eine Management-Aufgabe: um Informationssicherheitsmanagement (ISM). Denn Sicherheit hängt weit weniger von Technologien ab als von den Menschen, die damit umgehen. Die Mitarbeiter selbst – von den Fachabteilungen bis zur IT – sind die wichtigste (potenzielle) Schwachstelle für die Informationssicherheit. Diese Schwachstelle lässt sich nicht allein mit technischen Mitteln schließen, sondern nur mit klar formulierten, kommunizierten und durchgesetzten Richtlinien und Verfahren sowie einer Förderung des Sicherheitsbewusstseins.

Außerdem ist es unabdingbar, Bedrohungen für die IT in das unternehmensweite Risikomanagement einzubeziehen. Die anzustrebende und erreichbare Sicherheit hängt ab von den Risiken, die ein Unternehmen zu akzeptieren bereit ist, den Mitteln, die es für die Risikobegrenzung bereitstellen will, und der Fähigkeit, die dafür notwendigen Maßnahmen unternehmensweit um- und durchzusetzen.

Eine Vision mit Vorbild: Weltweite Standards für Sicherheitsprozesse 

Die Etablierung stabiler professioneller Prozesse erfordert eine Vision des gewünschten Sicherheitszustands (Wo soll es hingehen?), eine Analyse und Bewertung vorhandener Prozesse (Wo stehen wir jetzt?) und eine klare Vorstellung, welche Schritte dafür umzusetzen sind (Was ist der beste Weg zum gewünschten Ziel?).

Für das Informationssicherheitsmanagement existieren weltweite Standards, die Organisationen heranziehen können, um ihre eigenen Sicherheitsprozesse zu professionalisieren. Eine Vision für die eigene Cyberresilienz könnte zum Beispiel darin bestehen, ein Informationssicherheits-Managementsystem (ISMS) einzuführen. Ein ISMS enthält grundlegende Vorgaben, Verfahren und Regeln für die Gestaltung interner Sicherheitsprozesse, von Verantwortlichkeiten, Aufgabenverteilung und Qualifizierungserfordernissen über die konkrete Risikobewertung, Maßnahmen und Notfallplanung bis hin zur ständigen Überprüfung und Anpassung bestehender Prozesse.

Für Betreiber Kritischer Infrastrukturen (KRITIS) ist die Einführung eines ISMS Pflicht, um die Funktionalität im Angriffsfall sicherzustellen. Aber auch andere Unternehmen können sich zum Beispiel nach ISO 27001, BSI IT-Grundschutz oder auch CISIS12 (ein vereinfachtes ISMS-Modell für KMU) zertifizieren lassen.

Ob zertifiziert oder nicht: Entscheidend ist es, ganzheitlich, strukturiert und systematisch Sicherheitsprozesse aufzubauen, die auf die Erfordernisse und Möglichkeiten der eigenen Organisation abgestimmt sind und zudem regelmäßig optimiert werden.

Standortbestimmung als Voraussetzung

Wie weit die eigene Organisation noch von diesem Ziel entfernt ist, zeigt eine Standortbestimmung (Security Assessment). Diese umfasst die Bewertung von Gefahren und Risiken sowie der internen Fähigkeiten, Gefährdungen erfolgreich zu begegnen. Relevante Kriterien für Risiken sind etwa Unternehmensgröße, Marktsegment oder Digitalisierungsgrad und für die Abwehrfähigkeiten das Vorhandensein einer übergeordneten Sicherheitsstrategie, sicherheitsrelevanter Ressourcen (geschultes Personal, Know-how, Tools) sowie Prozesse (Verantwortlichkeiten, Ablaufpläne im Angriffsfall etc.).

Die Standortbestimmung schafft auch das notwendige Bewusstsein für die Finanzierung einer professionalisierten IT-Sicherheitsstrategie. Eine angemessene Budgetplanung begründet sich organisationsintern am besten risikobasiert mit einer konkreten Gefährdungsanalyse, die dann auch die umfassende Inventarisierung schützenswerter Assets und eingesetzter Systeme voraussetzt.

Outpost24 bietet eine Vielzahl von Lösungen an, um den Status Quo Ihrer IT-Sicherheit zu ermitteln. Unsere Experten beraten Sie dazu gerne.

Die IT-Security-Roadmap: Quick Wins und langfristige Optimierung

Den Weg vom Status quo zur Vision beschreibt eine IT-Security-Roadmap. Darin werden in Abhängigkeit vom schon erreichten Sicherheitsniveau Ziele priorisiert (nach erwartbarer Risikoreduktion und erforderlichem Aufwand), relevante Handlungsfelder identifiziert sowie die Umsetzungsreihenfolge für zugehörige Sicherheitsmaßnahmen festgelegt. Wichtig dabei ist eine zyklische (iterative) Umsetzung: Sämtliche eingeführten Prozesse müssen regelmäßig auf ihre Wirksamkeit überprüft und entsprechend angepasst werden.

Das ist umso wichtiger, als sich eine nachhaltige Sicherheitsvision nur längerfristig implementieren lässt, aber Cyberkriminelle darauf leider nicht warten: Es braucht daher schnellstmöglich Prozesse für den Umgang mit aktuellen Angriffen. Kürzere Umsetzungszyklen für priorisierte Risiken mit sofortiger Prüfung ihrer Wirksamkeit ermöglichen es, die Sicherheit schnell und gezielt zu erhöhen (Quick Wins), aber auch langfristig zu optimieren.

Professionalisierte IT-Sicherheit operiert arbeitsteilig

Die Cyberkriminalität hat sich durch arbeitsteilige Strukturen professionalisiert. Ähnlich kann auch die Abwehrseite davon profitieren, auf spezialisierte externe Expertise und Services zurückzugreifen. Wie in jeder funktionierenden Industrie bilden sich auch in der IT-Sicherheit Spezialisierungen heraus, die Organisationen nicht alle intern integrieren müssen.

Externe Services können im laufenden Prozess der Professionalisierung temporäre Abwehrlücken schließen. Aber auch eine dauerhafte Aufteilung interner und externer Kompetenzen ist möglich und sinnvoll. Am höchsten ist der Nutzeffekt, wenn die Zusammenarbeit mit spezialisierten Dienstleistern nicht ad hoc entschieden, sondern bereits langfristig in der Sicherheitsstrategie verankert wird, um die Inhouse-Fähigkeiten optimal zu ergänzen. Extern eingekaufte Dienstleistungen werden dann ebenfalls schrittweise als Kompetenz in die eigene Organisation integriert.

Kleinere Unternehmen und Organisationen, die noch am Anfang ihrer IT-Sicherheitsstrategie stehen, können für den Angriffsfall unterstützende Dienstleistungen wie Incident Response Teams mieten. Begleitende Lösungen und Services wie Cyberthreat Intelligence, Pentests oder Vulnerability Management ergänzen als Teilbausteine ein nachhaltiges IT-Security-Konzept. Wichtig: Auch die externe Unterstützung muss intern auf Prozesse stoßen, die ein schnelles Reagieren auf veränderte Sicherheitsanforderungen erleichtern. Eine durchdachte IT-Security-Roadmap orchestriert, wie beide Pole Schritt für Schritt besser zusammenwirken, um langfristig Sicherheit und Cyberresilienz zu stärken.