Otorio stellt Leitfaden für Cybersicherheitsrisikobewertung vor

Wenn es um Sicherheit geht – sowohl bei der IT (Informationstechnologie) als auch der OT (Prozesstechnologie) – ist höchste Umsicht gefordert und die Durchführung einer regelmäßigen Cybersicherheitsrisikobewertung wichtig. Eine Risikobewertung ist jedoch eine Sache, die tatsächliche Risikominderung eine ganz andere. Ohne regelmäßigen Bewertungen der Cybersicherheitsrisiken setzen sich Unternehmen einem hohen Risiko aus, weiß Michael Benis von Otorio. [...]

Michael Benis, Security Architect und Chief Information Security Officer bei Otorio (c) Otorio
Michael Benis, Security Architect und Chief Information Security Officer bei Otorio (c) Otorio

Was ist eine Cybersicherheits-risikobewertung?

Eine Risikobewertung besteht aus drei Hauptkomponenten: Bedrohung, Anfälligkeit und Auswirkungen. Hierbei geht es darum, die Bedrohungen für das Unternehmen zu ermitteln und dann zu bewerten, wie diese Bedrohungen ausgenutzt werden könnten. Darüber hinaus gilt es, alle potenziellen Schwachstellen bei Mitarbeitern (Personal), Prozessen und Technologien, wie z.B. IT-Systeme, Betriebstechnologie (OT)-Systeme und Einrichtungen, zu ermitteln. Schließlich müssen Unternehmen die Auswirkungen möglicher Sicherheitsverletzungen berücksichtigen. 

Welche Arten der Bewertung von Sicherheitsrisiken gibt es?

Es gibt vier Haupttypen von Sicherheitsrisiken: Umweltrisiken, Personalrisiken, physische Sicherheitsrisiken und finanzielle Risiken. Umweltbezogene Risikobewertungen befassen sich mit den Risiken, die durch Umweltfaktoren wie Wetterbedingungen entstehen. Bei der Bewertung von Sicherheitsrisiken im Bereich der Personalressourcen wird untersucht, wie anfällig die Mitarbeiter für Ausnutzung oder Diebstahl sind. Bei den physischen Sicherheitsrisiken wird die physische Sicherheit des Betriebsgeländes bewertet, einschließlich der Zugangskontrollmaßnahmen und der Verfahren zum Verschließen des Gebäudes. Bei den finanziellen Risiken wird geprüft, wie das Unternehmen in der Lage ist, seinen finanziellen Verpflichtungen nachzukommen und sein Vermögen vor Gläubigern zu schützen.

Wie man eine Sicherheitsrisikobewertung durchführt

Sobald alle oben genannten Komponenten einer Cybersicherheitsrisikobewertung ermittelt sind, ist es an der Zeit, eine tatsächliche Analyse durchzuführen. Für eine ordnungsgemäße Risikobewertung ist es erforderlich, verschiedene Daten zu sammeln: über die Zielgruppe (Kunden), die Zielumgebung (die Orte, an denen sich die Kunden wahrscheinlich aufhalten), die Vermögenswerte (Eigentum oder Geld, das gefährdet sein könnte), die Verbindlichkeiten (wer für Schäden aufkommt, wenn etwas schiefgeht) und die Betriebsabläufe (wie man vorgeht, wenn etwas schiefgeht). Wenn diese Informationen zur Verfügung stehen, ist es Zeit für die Planung. Verantwortliche müssen einen Aktionsplan erstellen, der die einzelnen Schritte aufzeigt, damit sie diese auch tatsächlich erfolgreich durchführen können.

Vorbereitung auf eine Sicherheitsrisikobewertung

Um eine Sicherheitsrisikobewertung durchzuführen, müssen die Beteiligten zunächst einen Plan erstellen. Dieser Plan sollte Folgendes enthalten:

  • Welche Informationen werden in die Risikobewertung einbezogen?
  • Welche Risiken werden bewertet und wie wahrscheinlich ist es, dass sie eintreten?
  • Wie können diese Risiken minimiert oder beseitigt werden?
  • Wer ist für die Durchführung der Bewertung verantwortlich und über welche Qualifikationen verfügt er?
  • Welche Maßnahmen werden ergriffen, um Vorfälle in Zukunft zu verhindern?

Die richtigen Cybersicherheitslösungen finden

Sobald ein Unternehmen seinen Bewertungsplan erstellt hat, ist es an der Zeit, die richtigen Lösungen für die Cybersicherheit zu finden. Dazu muss es herausfinden, welche Arten von Sicherheitsservices es benötigt und ob diese im finanziellen Rahmen liegen oder nicht. Außerdem gilt es, die mit den einzelnen Diensten verbundenen Risiken zu bewerten und sicherzustellen, dass sie gemildert, übertragen, vermieden oder akzeptiert werden können. Sobald all diese Informationen vorliegen, ist es an der Zeit, die ausgewählten Sicherheitslösungen zu implementieren.

Die Leistung der Cybersicherheitslösungen bewerten

Sobald der Bewertungsplan steht, gilt es zu ermitteln, wie gut jede Lösung funktioniert. Sicherheitsverantwortliche möchten dafür sorgen, dass während der Bewertung kein Zwischenfall eintritt, aber auch, dass es keine Auswirkungen auf das Unternehmen oder die Kunden gibt, die nicht vorhergesehen wurden. Die Bewertung der Sicherheitslösungen ist ein wesentlicher Bestandteil der Erstellung einer Risikomanagementstrategie.

Wie man eine Sicherheitsrisikobewertung einsetzt

Eine Sicherheitsrisikobewertung ist wichtig für Unternehmen jeder Größe. Wenn Unternehmen die Risiken verstehen und potenzielle Bedrohungen erkennen, können sie fundierte Entscheidungen für Schutzmaßnahmen treffen.

Sicherheitsrisikobewertung nutzen, um das Unternehmen zu verbessern

Mithilfe einer Sicherheitsrisikobewertung können Unternehmen die allgemeine Sicherheitslage verbessern und potenzielle Schwachstellen verringern. Indem sie die Risiken des Unternehmens verstehen und angehen, können sie außerdem eine sichere Geschäftsumgebung, ihre Mitarbeiter und die Kunden schaffen.

Fazit

Eine Cybersicherheitsrisikobewertung ist ein wertvolles Instrument für Unternehmen unabhängig von deren Größe. Durch die Erstellung eines Bewertungsplans und die Bewertung der Sicherheit können Unternehmen fundierte Entscheidungen darüber treffen, wie sie sich vor potenziellen Bedrohungen schützen können. Darüber hinaus kann eine Risikobewertung der Cybersicherheit dazu beitragen, das Unternehmen insgesamt zu verbessern, indem optimierungsbedürftige Bereiche identifiziert werden.

*Michael Benis ist Security Architect und Chief Information Security Officer bei Otorio.


Mehr Artikel

Gregor Schmid, Projektcenterleiter bei Kumavision, über die Digitalisierung im Mittelstand und die Chancen durch Künstliche Intelligenz. (c) timeline/Rudi Handl
Interview

„Die Zukunft ist modular, flexibel und KI-gestützt“

Im Gespräch mit der ITWELT.at verdeutlicht Gregor Schmid, Projektcenterleiter bei Kumavision, wie sehr sich die Anforderungen an ERP-Systeme und die digitale Transformation in den letzten Jahren verändert haben und verweist dabei auf den Trend zu modularen Lösungen, die Bedeutung der Cloud und die Rolle von Künstlicher Intelligenz (KI) in der Unternehmenspraxis. […]

News

Richtlinien für sichere KI-Entwicklung

Die „Guidelines for Secure Development and Deployment of AI Systems“ von Kaspersky behandeln zentrale Aspekte der Entwicklung, Bereitstellung und des Betriebs von KI-Systemen, einschließlich Design, bewährter Sicherheitspraktiken und Integration, ohne sich auf die Entwicklung grundlegender Modelle zu fokussieren. […]

News

Datensilos blockieren Abwehrkräfte von generativer KI

Damit KI eine Rolle in der Cyberabwehr spielen kann, ist sie auf leicht zugängliche Echtzeitdaten angewiesen. Das heißt, die zunehmende Leistungsfähigkeit von GenAI kann nur dann wirksam werden, wenn die KI Zugriff auf einwandfreie, validierte, standardisierte und vor allem hochverfügbare Daten in allen Anwendungen und Systemen sowie für alle Nutzer hat. Dies setzt allerdings voraus, dass Unternehmen in der Lage sind, ihre Datensilos aufzulösen. […]

Be the first to comment

Leave a Reply

Your email address will not be published.


*