19. e-Crime & Cybersecurity Kongress Deutschland
2. Juni 2022, Munich Marriott Hotel, München
Von Bedrohungen zu Risiken – die kritische Reise zur Cybersicherheit
Der Fokus von CISOs auf Bedrohungen verschleiert die wahren Probleme. Fangen wir an, richtig über Risiken zu sprechen.
Es ist seit einiger Zeit klar, dass das aktuelle Modell, mit dem wir versuchen, Organisationen und Einzelpersonen vor Cyberangriffen zu schützen, fehlerhaft ist – aber vielleicht nicht aus den offensichtlichen Gründen. Ja, den traditionellen Perimeter gibt es nicht mehr. Ja, was vereinfacht als „grundlegende Cyberhygiene“ bezeichnet wird, ist fast unmöglich zu garantieren. Ja, die Sicherheit von Drittanbietern, insbesondere die Softwaresicherheit von Drittanbietern, ist ein fast unmögliches Problem. Und ja, die Angriffsfläche wächst und Bedrohungsakteure vervielfachen sich und werden raffinierter und aggressiver.
Aber das eigentliche Problem ist die ständige Konzentration auf die neuesten Bedrohungs- und Angriffstypen, wenn das Risiko eigentlich wichtig ist: Ransomware ist kein Risiko. Ransomware ist eine Bedrohung, die die Beschädigung von Schlüsseldaten verursachen kann. Das Risiko ist Datenverlust. DDoS-Angriffe sind keine Risiken, sondern eine Bedrohung für den weiteren Betrieb eines Systems. Das Risiko besteht in der verlorenen Leistung oder Funktionalität dieses Systems.
Indem sie sich auf bestimmte Bedrohungen konzentrieren, verurteilen sich CISOs und Anbieter zu einer nie endenden Whack-a-Mole-Strategie, bei der sie immer Angreifer einholen, die nur einmal Recht haben müssen und die immer besser gerüstet sind als die Verteidiger. Diese Strategie wird zwangsläufig scheitern – daher die gängige „Vermutung eines Verstoßes“.
Stattdessen müssen sich Unternehmen und CISOs auf Risiken konzentrieren: Welche Assets, Daten, Anwendungen und Prozesse sind für ihr Geschäft unerlässlich? Welche davon sind anfällig für Cyberangriffe? Was ist das tatsächliche Risiko für das Unternehmen, wenn diese Elemente der geschäftskritischen Infrastruktur durch einen Cyberangriff außer Gefecht gesetzt werden? Und wie lässt sich das Risiko am kostengünstigsten mindern?
Auch heute noch fragen Sie die meisten CISOs nach Cyberrisiken und sie werden anfangen, Bedrohungen aufzulisten. Wie können wir also unsere Denkweise ändern und anfangen, über Sicherheit und in Bezug auf Risiken und Widerstandsfähigkeit nachzudenken? Wie können Anbieter helfen – auch sie konzentrieren sich auf Bedrohungen und die Abwehr bestimmter Bedrohungen?
Und fangen wir an, über Kosten zu sprechen: Es fällt auf, wie wenig Anbieter über Kosten sprechen im Vergleich zu wie viel CISOs über Ressourcen sprechen. Noch auffälliger ist, wie wenige CISOs potenzielle Risikokosten ausgeben. Ist es an der Zeit, offener darüber zu diskutieren, wie ein erschwinglicher Security-Stack aussieht, was erschwingliche Mittel für verschiedene Arten von Organisationen sind und mit welchen Ausgaben Sie welches Maß an Sicherheit und Datenschutz erreichen?