Reifegradbasiertes vs risikobasiertes Schwachstellenmanagement

Das Thema IT-Security und die damit einhergehende Sicherheit der immer komplexer werdenden IT-Systeme nimmt mittlerweile einen wichtigen Stellenwert im Unternehmen und in der Unternehmensstrategie ein. Man hat erkannt, dass die IT-Sicherheit einen wichtigen Einfluss auf die Unternehmenssicherheit und den erwirtschafteten Gewinn hat. Um mit den aktuellen Herausforderungen von Cyber-Angriffen und potentiell internen Angriffen umzugehen, gibt es verschiedene Ansätze. Sie verfolgen das Ziel der sicheren IT, jedoch über unterschiedliche Wege.

Reifegradbasiertes Schwachstellenmanagement

Die Reifegradbestimmung und die Abarbeitung des identifizierten GAPs ist gängige Praxis, wenn es darum geht, IT-Security in einem Unternehmen aktuell zu halten. Die Idee dahinter ist simpel.

  • Es wird ein Soll-Zustand definiert, den das Unternehmen in Sicherheits-Fragen erfüllen soll.
  • Die Analyse der aktuellen Infrastruktur identifiziert einen GAP.
  • Um diese Lücke zu schließen, werden Maßnahmen abgeleitet, die dann als IT-Security-Strategie verfolgt werden.

Dabei ist diese Strategie jedoch nicht für jedes Unternehmen geeignet. Vor allem eignet es sich für Unternehmen, die deutlich schlechter sind, als der aktuelle Sicherheits-Standard. Die GAP-Analyse hilft dann dabei, das Unternehmen in Punkto IT-Sicherheit auf Kurs zu bringen und zeigt die Maßnahmen und den Weg dahin auf.

Je nachdem wie weit dieser Weg ist, kann das jedoch auch dazu führen, dass die IT-Security-Abteilung durch die Abarbeitung aller Maßnahmen gelähmt wird. Der Fokus wird ausschließlich daraufgelegt, sich möglichst nahe an den definierten Soll-Zustand – wie auch immer dieser aussieht – heranzuarbeiten. Das bestehende Budget wird dafür verwendet.

Die Gefahr dabei ist, dass durch die abzuarbeitenden Maßnahmen keine oder eine falsche Priorisierung angewendet wird. Die Schwachstellen werden zwar behoben, die risikoreichsten aber ggfs. viel zu spät. Im schlimmsten Fall ist das Budget bis dahin erschöpft.

Risikobasiertes Schwachstellenmanagement

Ein anderer Ansatz, um mit Schwachstellen umzugehen, ist der risikobasierte Ansatz. Der Vorteil beim Thema Risiko ist, dass es nichts neues für das Unternehmen ist. Auch andere Bereiche gehen mit Risiko um und bewerten es. Das führt dazu, dass Geschäftsführung und Vorstände ein klares Ziel zum Thema Unternehmensrisiko ausgeben, an dem sich das Management orientiert.

Wird das Unternehmens-Risiko auf die IT heruntergebrochen, bedeutet das, das Maßnahmen darauf untersucht werden, ob und wenn ja wie weit diese das IT-Risiko minimieren. Diese Liste an Maßnahmen ist dynamisch und erlaubt es eine möglichst effiziente Vorgehensweise.

Darüber hinaus führt es dazu, dass das IT-Budget für die Schwachstellen investiert werden, die das Unternehmen zum aktuellen Zeitpunkt am meisten bedrohen. Die Liste der Schwachstellen komplett abzuarbeiten kann im Zweifel eine Herausforderung sein, die die Ressourcen der IT-Security Abteilung überschreitet. Gerade deshalb ist es zielführend, die Schwachstellen zu erst zu beseitigen, die die größten Auswirkungen für das Unternehmen haben.

Die Priorisierung der Schwachstellen hängt dabei jedoch nicht nur von technischen Faktoren ab. Vielmehr gilt es die Schwachstellen im Kontext der Unternehmens-Prozesse, -Teams und -Bereiche zu betrachten. Aus der Priorisierung der Prozesse geht in direkt auch die Priorisierung der Schwachstellen hervor.

Ein weiterer Aspekt bei Schwachstellen ist, an welcher Stelle im Unternehmen Sie auftreten und wie wahrscheinlich es ist, dass ein potentieller Angreifer diese ausnutzen kann. Über einen quantitativen Ansatz ist es möglich, die Eintrittswahrscheinlichkeit für die jeweilige Schwachstelle zu bestimmen. Dies erlaubt ein möglichst effizientes Schwachstellen-Management unter dem Kontext der Unternehmens-Risikos.

Lesen Sie auch: Kernprozesse resilienter machen

Doch auch beim risikobasierten Ansatz gibt es Hürden. Eine Herausforderung bei der Etablierung eines solchen risikobasierten Ansatzes ist, die Notwendigkeit, Informationen dauerhaft und möglichst automatisiert zu sammeln. Nur dann ist es möglich, ein dauerhaftes Risikomanagement aufzubauen.

Lesen Sie auch: Automatisierung von Risikomessung

Sprechen Sie uns an!

Kontakt

 

Menü