Cybersecurity Rating: Instrument zur kontinuierlichen Beurteilung der Cybersicherheit von Unternehmen und Institutionen

PrintMailRate-it

newsletter digital grc kompass

Ein Cybersecurity Rating kann helfen, die Sicherheitsschwächen des eigenen Unternehmens zu erkennen, um entsprechende Gegenmaßnahmen ergreifen zu können. Auch die Resilienz wesentlicher Kooperationspartner kann damit beurteilt werden. Dabei bedient sich das Rating bewusst aus Quellen verfügbarer Daten und öffentlicher Informationen aus dem Internet und kann daher auch auf Dritte angewendet werden.

 Die Cybersicherheit ist für viele ein Buch mit sieben Siegeln

Die Beurteilung, ob das eigene IT-System vor Angriffen Dritter sicher ist, ist vor dem Hintergrund der Komplexität von digitalisierten Geschäftsprozessen und Informationstechnologien nur schwer bis gar nicht möglich. Im Idealfall wird über das einhergehende Risiko befunden, ohne die Sicherheit absolut beurteilen zu können. Mit verschiedenen Instrumenten verhelfen sich die Verantwortlichen (Unternehmensleitung, IT-Verantwortliche, Informations­sicherheits­beauftragte, Datenschutzbeauftragte, Revision etc.), die Grundlage für die Einschätzung zur eigenen Sicherheit abzuleiten. Generell gehören zu den Instrumenten:

  • Hinweise aus den eingeführten Sicherheitsmaßnahmen wie Firewalls, Virenschutzprogrammen, Sandbox-Systemen etc.,
  • fallweise durchgeführte Penetrationstests (z.B. technische Server- oder Web-Tests, Social Engineering-Tests etc.),
  • stichprobenbasierte IT-Audits (Prüfung vorhandener Dienstanweisungen, Nachweise über die Wirksamkeit von Rechtekonzepten, etc.) sowie
  • die Sicherstellung über entsprechende Sicherheitskonzepte im Idealfall nach gängigen Rahmenwerken wie ISO IEC 27001 oder ISIS12®.

 

Die Daten und Informationen aus den Instrumenten sind alle sehr relevant. Einzeln betrachtet beinhalten sie jedoch eine von folgenden Schwachstellen:

  • Erste Schwachstelle: Sie beziehen nur einen Bruchteil des  „Cyberraums” in die Betrachtung mit ein.
  • Zweite Schwachstelle: Sie beziehen sich i.d.R. nur auf einen Stichtag und liegen nicht kontinuierlich vor.

 

Es ist festzuhalten, dass die obigen Instrumente enorm wichtig sind – die Auseinandersetzung mit den vermeintlichen Mängeln sollte jedoch Ansätze zu deren Lösung liefern.

 Der Cyberraum: Unendliche Weiten. Wir schreiben das Jahr 2019

Zunächst ein paar einführende Worte, was mit dem „Cyberraum” gemeint ist und warum i.d.R. heutige Instrumente Lücken aufweisen. Vereinfachend wird bei dem Begriff von Informations- oder IT-Sicherheit der Blick auf das eigene Unternehmen bzw. sogar nur auf die eigene IT geworfen. Das ist nachvollziehbar, da er sich auf einen Bereich bezieht, der selbst verantwortet wird und auf den Einfluss ausgeübt werden kann. Stellt sich aber die Frage, mit wem sich das Unternehmen in digitalem Austausch befindet und wer alles bei digitalen Geschäftsprozessen eine Rolle spielt, dann weitet sich der Blick auf ein sehr komplexes Öko-System aus.

 

Beurteilung der Cybersicherheit von Unternehmen

   

Beurteilung der Cybersicherheit von Unternehmen

 

 „Öffentliche” Daten, die Unternehmen im Cyberraum hinterlassen, werden als Spuren zur Beurteilung deren Cybersicherheit genutzt

Wie soll das gehen? Ebenso wie jeder Anwender, der durch die Nutzung von Diensten und Services Spuren im Netz hinterlässt, ist auch ein Unternehmen mit seinen Endgeräten und Servern im Netz nicht unbekannt. Es hat einen Web-Auftritt und bei jedem Besuch einer Webseite werden Basis-Informationen ausgetauscht. I.d.R. handelt es sich hierbei um Informationen, die notwendig sind, um einen reibungslosen Besuch der Website zu gewährleisten. Sie sind daher öffentlich verfügbar. Darin sind üblicherweise Informationen enthalten, nach welchen Sicherheitsstandards der Server der Website kommunizieren möchte. Sind sie veraltet, stellt das eine Sicherheitslücke dar. Ebenso verhalten sich Server für die E-Mail-Kommunikation, Server für mobile Applikationen etc.

 

Die sog. Risikovektoren (z.B. Verschlüsselung), die aus den öffentlichen Daten und Informationen zu gewinnen sind, lassen sich grob in drei wesentliche Risiko-Kategorien einteilen:

 

  •  Kompromittierte Systeme

Ist erkennbar, dass Endgeräte oder Server aus dem eigenen Unternehmen mit bekannten Botnetzen kommunizieren und somit das eigenen System kompro­mittiert wird? Werden Endgeräte oder Server für Spam-Mails missbraucht? Werden eigene Systeme missbraucht, um Schadsoftware zu verteilen?

 

  • Anwenderverhalten

Kommunizieren Endgeräte über Kommunikationsprotokolle mit Dritten oder als gefährlich einzustufende Server (Tauschserver etc.) außerhalb des eigenen Unternehmens? Liegt somit der Verdacht nahe, dass eigene Anweisungen und Regelungen missachtet werden? Ist die Gefahr gegeben, dass Daten und Informationen auf diesem Weg weitergeleitet werden? Gibt es in einschlägigen Datenbanken von Sicherheitsinstitutionen Informationen, dass Userkennungen offengelegt wurden?

 

  • Sorgfältiger Betrieb von Systemen

Sind die Systeme und Endgeräte, die offiziell mit Dritten kommunizieren (E-Mail-Server, etc.) so eingerichtet, dass auf einen sicheren oder eher unsicheren Betrieb geschlossen werden kann? Werden Best-Practice-Sicherheitsmechanismen (Verschlüsselung, Vermeidung von Man-in-the-Middle etc.), die bei Protokollen erkennbar sind, verwendet?


Alle diese Ergebnisse sind allein durch das Kommunikationsverhalten ableitbar und liefern Hinweise auf die gewählten Schutzmaßnahmen. Die Informationen sind nicht geheim, denn sie sind für die Kommunikation zwischen zwei Systemen notwendig, können aber Rückschlüsse auf die dahinter liegende Organisation von Sicherheitsmaßnahmen liefern. Sie liegen nicht nur dem eigenen Unternehmen, sondern auch den Partnern, die im Geschäftsprozess eine Rolle einnehmen (Kooperationspartner, Dienstleister, Eigen- und Beteiligungsgesellschaften etc.) vor.

 Sicherheit aktiv messen und steuern

Durch die Nutzung dieser Informationen ist die Beurteilung des gesamten Cybersecurity-Ökosystems durch die Verantwortlichen möglich. So kommen Sie in Verbindung mit den oben genannten Instrumenten Ihrer Verantwortung näher, für die Überwachung der Wirksamkeit der Sicherheitsmaßnahmen Sorge zu tragen.

 

Aber noch bedeutsamer ist, dass beim Rating konkreter Handlungsbedarf aus den obigen Kategorien an die Beteiligten formuliert werden kann. So können die Verantwortlichen auch Ihren Pflichten zur Steuerung nachkommen.

 

Es ergibt sich eine Vielzahl von Steuerungsmöglichkeiten aus Sicht der einzelnen Verantwortlichkeiten:

  • Der Informationssicherheitsbeauftragte kann die eigenen Sicherheitsmaßnahmen beurteilen, aber auch bei der Auswahl und Überwachung Dritter einwirken.
  • Der Datenschutzbeauftragte kann nachhalten, ob die technischen und organisatorischen Maßnahmen des Verantwortlichen und die der ausgewählten Auftragsdatenverarbeiter wirksam sind.
  • Das Management kann das Rating zum Gegenstand der Sparten- und Beteiligungssteuerung machen. Es kann die Anforderungen an einen sicheren Betrieb von digitalen Geschäftsprozessen an dem Rating orientieren.
  • Die Revision kann auf Basis der Ratings konkreten Handlungsbedarf bei großen Software-Projekten bzw. im laufenden Betrieb formulieren.

 

Die Ausdehnung der Steuerung und Überwachung über den eigenen Verantwortungsbereich hinaus ist ein enormer Gewinn.

 Cybersecurity Rating als kontinuierlicher Service

​Ein Mangel steckt in den bisherigen Instrumenten jedoch nach wie vor: Die Zeitpunktbetrachtung. Fast jedes bekannte Instrument (Audit, Penetrationstest etc.) bezieht sich auf einen Zeitpunkt, sodass Aussagen über einen Zeitraum nur bedingt möglich sind.

 

Die Daten und Informationen zu den beschriebenen Risikovektoren können über einen größeren Zeitraum vorgehalten werden. Das heißt, dass die Information, an welchem Tag eine Kompromittierung eines Endgerätes in den eigenen Reihen stattgefunden hat und ab wann die eigenen Gegenmaßnahmen (Virenscanner, Intrusion Detection and Prevention System etc.) gegriffen haben, erkennbar ist. Das bedeutet, dass nicht nur eine Stichtagsbetrachtung, sondern eine Zeitraumbetrachtung möglich ist. So wird die Wirksamkeit der eigenen Maßnahmen messbar.

 

Zudem werden auch im Sicherheitsbereich häufig die Dienste Dritter in Anspruch genommen (Managed Security). Aber wer in den eigenen Reihen des Unternehmens kann beurteilen, ob die Dienstleister und Instrumente die richtige Wahl waren und sind? Das Cybersecurity-Rating kann die Dienste bewertbar machen und dient daher als wirksames Werkzeug der Verifizierung.

 

Wird davon ausgegangen, dass die Handlungsempfehlungen zu den einzelnen Risikovektoren auch umgesetzt werden müssen, ist der Bedarf an „ständiger” Beurteilung gegeben. So wird das Rating zu einem ständigen Monitoring-System, um die Resilienz im Cyberraum zu überwachen.

Kontakt

Contact Person Picture

Hannes Hahn

CISA - CSP - DSB, IT-Auditor IDW

Partner, Rödl IT Secure GmbH

+49 221 9499 092 00

Anfrage senden

Contact Person Picture

Falk Hofmann

ISO/ICE27001/KRITIS -Auditor

Partner

+49 30 810 795 84

Anfrage senden

moderne wirtschaftsprüfung
Deutschland Weltweit Search Menu