Ivanti Blog: Beiträge von

Risikobereitschaft verstehen – ein wichtiger Bestandteil des Risikomanagements

Mon, 10 Feb 2025 14:44:03 Z

Risiken gehören zu jedem Unternehmen. Entscheidend ist, wie ein Unternehmen sie versteht und steuert.

Von operativen Herausforderungen bis hin zu Marktvolatilität, regulatorischen Veränderungen und technologischen Fortschritten sind Unternehmen mit einem Spektrum von Unsicherheiten konfrontiert, die entweder Wachstum generieren oder zu Verlusten führen können.

Um sie effektiv zu verwalten, muss ein Unternehmen ein Framework festlegen, das ihm hilft, zu bestimmen, wie viel Risiko es bereit ist, für seine Ziele zu akzeptieren. An dieser Stelle kommt das Konzept der „Risikobereitschaft“ ins Spiel.

Aber um seine Risikobereitschaft zu definieren, muss ein Unternehmen alle Risiken erkennen und verstehen, denen es ausgesetzt ist. Und für Sicherheitsteams, die den Grundstein für ihre Exposure Management-Strategie legen, ist die Definition der Risikobereitschaft ihres Unternehmens ein entscheidender Schritt.

Was ist Risikobereitschaft?

Risikobereitschaft bezeichnet das Maß an Risiko, das ein Unternehmen zur Erreichung seiner Ziele bereit ist, einzugehen. Die Definition setzt dem Unternehmen Grenzen in Bezug darauf, welche Risiken es in welchem Ausmaß eingehen wird. Eine hohe Risikobereitschaft bedeutet, dass man bereit ist, größere Risiken für möglicherweise höhere Belohnungen in Kauf zu nehmen, während eine niedrige Risikobereitschaft bedeutet, dass das Unternehmen es vorzieht, das Risiko so weit wie möglich zu reduzieren.

Stellen Sie sich ein Startup vor, das in wegweisende Forschung und Entwicklung investiert. Um bahnbrechende, disruptive Innovationen zu ermöglichen, nimmt es bewusst ein höheres Risiko in Kauf – in der Überzeugung, dass der potenzielle Erfolg die Unsicherheit rechtfertigt. Ein großes, etabliertes Unternehmen hingegen agiert meist vorsichtiger: Es setzt auf kontinuierliches Wachstum und meidet Vorhaben, die seine Marktstellung oder seine Reputation ernsthaft gefährden könnten

Die Risikobereitschaft ist sowohl quantitativ als auch qualitativ

Die Risikobereitschaft ist niemals statisch. Sie ist ein dynamisches Maß, das auf der Grundlage von Faktoren wie Branche, Unternehmensgröße und -gesundheit, strategischen Zielen, regulatorischen Anforderungen und dem allgemeinen Marktumfeld angepasst werden sollte.

Es geht auch nicht nur um Zahlen: Die Risikobereitschaft ist eine Mischung aus quantitativen und qualitativen Faktoren.

Einerseits kann ein Unternehmen messbare Kriterien haben, wie z.B. die Höhe der Verluste, die es zu tolerieren bereit ist, den Verschuldungsgrad und die angestrebte Kapitalrendite (Return on Investment, ROI). Es können auch subjektive Aspekte zu berücksichtigen sein, wie z.B. die potenziellen Auswirkungen auf die Reputation des Unternehmens, ethische Erwägungen und die Frage, inwieweit seine Entscheidungen mit seinen Grundwerten übereinstimmen.

Warum ist es wichtig, die Risikobereitschaft zu definieren?

Fast jedes Unternehmen, das erfolgreich sein will, muss kalkulierte Risiken eingehen. Aber ohne ein klares Verständnis seiner Risikobereitschaft kann es zu inkonsistenten, reaktiven oder übermäßig vorsichtigen Entscheidungen kommen. Das kann zu verpassten Chancen oder Geschäftseinbußen führen. Deshalb ist die Definition der Risikobereitschaft essenziell:

Strategie und Risikomanagement aufeinander abstimmen

Eine klar definierte Risikobereitschaft schafft einen strategischen Rahmen, der das Risikomanagement mit den übergeordneten Unternehmenszielen in Einklang bringt. Wenn ein Unternehmen weiß, wie viel Risiko es bereit ist zu akzeptieren, kann es gezielt Chancen ergreifen, die zu seiner Risikobereitschaft passen – und gleichzeitig solche vermeiden, die ein unangemessen hohes Risiko bergen.

Entscheidungsfindung verbessern

Die Definition der Risikobereitschaft ermöglicht es Führungskräften und Managern, fundierte Entscheidungen zu treffen, da sie genau wissen, was ein akzeptables Risiko darstellt. Sie legt auch die Erwartungen an die Risikobereitschaft und die Risikovermeidung im gesamten Unternehmen fest und hilft den Managern bei der Bewertung von Kompromissen zwischen Risiko und Prämie in verschiedenen Szenarien.

Vertrauen bei den Stakeholdern aufbauen

Eine klar definierte Risikobereitschaft gibt Investoren, Aufsichtsbehörden, Mitarbeitenden und anderen Stakeholdern die Gewissheit, dass das Unternehmen dem Risikomanagement Priorität einräumt. Sie zeigt auch einen methodischen, vertrauenswürdigen Ansatz, um Risiko und Belohnung gegeneinander abzuwägen, was das Vertrauen der Stakeholder weiter stärkt.

Konsistenz fördern

Wenn allen Mitarbeitenden im Unternehmen klar ist, welches Maß an Risiko vertretbar ist, fördert das konsistente Entscheidungen und ein abgestimmtes Vorgehen. Alle wissen, was als akzeptables Risiko gilt – die Wahrscheinlichkeit sinkt, dass Abteilungen aneinander vorbeiarbeiten oder sogar in entgegengesetzte Richtungen steuern. So könnte etwa die Rechtsabteilung ein ambitioniertes Vorhaben des Marketingteams ausbremsen, wenn kein gemeinsames Verständnis darüber besteht, welches Risiko tragbar ist.

Effektive Risikoüberwachung unterstützen

Wenn Unternehmen ihre Risikobereitschaft definieren, können sie Systeme einrichten, um das Risikoniveau im gesamten Unternehmen zu überwachen, von den Finanzen bis zum operativen Geschäft. So sind können sie potenzielle Probleme frühzeitig erkennen und sicherstellen, dass die Aktivitäten innerhalb der Grenzen dessen bleiben, was als sicher – oder zumindest akzeptabel – angesehen wird. Das Festlegen und Überwachen von Schlüssel-Risiko-Indikatoren (KRIs) liefert Frühwarnungen, wenn sich jemand diesen Grenzen zu sehr nähert.

Wie definiert ein Unternehmen seine Risikobereitschaft?

In der Regel tut ein Unternehmen dies, indem es eine Erklärung zur Risikobereitschaft (Risk Appetite Statement, RAS) verfasst. In den ersten Teilen eines RAS werden die strategischen Ziele des Unternehmens und die damit verbundenen Risiken dargelegt.

Ein Unternehmen möchte vielleicht der führende Softwareanbieter in seiner Branche werden. Sie sollten die strategischen Ziele auflisten, die für die Erreichung dieses Ziels entscheidend sind, und auch die damit verbundenen Risiken auflisten. Ivanti zum Beispiel bietet Cloud-basierte IT-Dienste und Sicherheitsmanagement-Lösungen an. Das bedeutet, dass im Rahmen unserer Risikobereitschaft alle mit diesem Geschäftsbereich verbundenen Risiken erfasst und dokumentiert werden müssen – einschließlich einer klaren Darstellung, wie wir mit diesen Risiken umgehen wollen.

Hier ist ein Beispiel dafür, wie ein Abschnitt einer Erklärung zur Risikobereitschaft für einen Softwareanbieter aussehen könnte:

Generelle Risikobereitschaft

[Unternehmen XYZ] verfolgt einen ausgewogenen Ansatz in Bezug auf Risiken und erkennt an, dass nicht alle Risiken gleich sind und dass ein gewisses Maß an Risiko notwendig ist, um unsere strategischen Ziele zu erreichen.

Innovationsrisiken Wir sind sehr risikobereit, wenn es darum geht, in fortschrittliche Technologien und innovative Lösungen zu investieren, die unsere Produkte von denen der Konkurrenz abheben. Wir sind uns bewusst, dass dies bedeutet, dass wir ein gewisses Maß an Ungewissheit bei der Forschung und Entwicklung und der Produktentwicklung in Kauf nehmen müssen.

Operative Risiken Wir haben eine geringe bis moderate Risikobereitschaft. Bei unserem Streben nach operativer Exzellenz setzen wir auf Initiativen, die die Effizienz und Servicequalität verbessern, ohne unsere Lieferstandards zu beeinträchtigen.

Sicherheitsrisiken Wir haben eine extrem geringe Risikobereitschaft für Sicherheitsbedrohungen und -verletzungen. Unser Engagement für Netzwerksicherheit und Datenschutz ist von höchster Bedeutung, und wir investieren viel in den Schutz unserer Systeme und der Daten unserer Kunden.

Compliance-Risiken Wir haben eine geringe Risikobereitschaft für die Nichteinhaltung von rechtlichen und regulatorischen Anforderungen. Die Einhaltung einschlägiger Gesetze, Standards und bewährter Verfahren in allen operativen Bereichen ist von entscheidender Bedeutung.

Generelle Risikobereitschaft [Unternehmen XYZ] verfolgt einen ausgewogenen Ansatz in Bezug auf Risiken und erkennt an, dass nicht alle Risiken gleich sind und dass ein gewisses Maß an Risiko notwendig ist, um unsere strategischen Ziele zu erreichen.
Innovationsrisiken	Wir sind sehr risikobereit, wenn es darum geht, in fortschrittliche Technologien und innovative Lösungen zu investieren, die unsere Produkte von denen der Konkurrenz abheben. Wir sind uns bewusst, dass dies bedeutet, dass wir ein gewisses Maß an Ungewissheit bei der Forschung und Entwicklung und der Produktentwicklung in Kauf nehmen müssen.
Operative Risiken	Wir haben eine geringe bis moderate Risikobereitschaft. Bei unserem Streben nach operativer Exzellenz setzen wir auf Initiativen, die die Effizienz und Servicequalität verbessern, ohne unsere Lieferstandards zu beeinträchtigen.
Sicherheitsrisiken	Wir haben eine extrem geringe Risikobereitschaft für Sicherheitsbedrohungen und -verletzungen. Unser Engagement für Netzwerksicherheit und Datenschutz ist von höchster Bedeutung, und wir investieren viel in den Schutz unserer Systeme und der Daten unserer Kunden.
Compliance-Risiken	Wir haben eine geringe Risikobereitschaft für die Nichteinhaltung von rechtlichen und regulatorischen Anforderungen. Die Einhaltung einschlägiger Gesetze, Standards und bewährter Verfahren in allen operativen Bereichen ist von entscheidender Bedeutung.

Das RAS sollte die Risiken definieren, die die größten Auswirkungen auf das Unternehmen haben würden, und nicht die alltäglichen Risiken, die einfach zum Geschäft gehören. Sie sollte mehrere Risikoszenarien berücksichtigen. So kann eine bestimmte Strategie beispielsweise Risiken in der Lieferkette mit sich bringen, wie z.B. die Auswirkungen der Bindung an einen Lieferanten oder die Gefahren der Regulierung, wenn ein Lieferant mit Kundendaten falsch umgeht.

Sie sollte auch die Höhe des finanziellen Risikos festlegen, das ein Unternehmen bereit ist, einzugehen. Wenn das Ziel darin besteht, ein neues Produkt oder eine neue Dienstleistung anzubieten, besteht immer die Gefahr, dass es auf dem Markt scheitert.

Komponenten der Risikobereitschaft

Dies sind die Schlüsselfaktoren, die bei der Festlegung der Risikobereitschaft berücksichtigt werden müssen:

Risikokapazität

Dies bezieht sich auf die maximale Menge an Risiko, die eine Organisation tragen kann. Dies hängt von den finanziellen Ressourcen, den operativen Fähigkeiten und den gesetzlichen Auflagen ab. Und die Risikokapazität unterscheidet sich von der Risikobereitschaft: Ein Unternehmen kann die Kapazität haben, ein bestimmtes Risikoniveau einzugehen, sich aber auf der Grundlage seiner Risikobereitschaft dagegen entscheiden.

Risikotoleranz

Während es bei der Risikokapazität darum geht, wie viel Risiko ein Unternehmen verkraften kann, ist die Risikotoleranz eine akzeptable Abweichung von diesem Ziel. Es kann sogar unterschiedliche Toleranzen für verschiedene Bereiche festlegen. Ein Unternehmen kann zum Beispiel gut darin sein, ein neues Produkt zu wagen, aber risikoscheu bei der Verwaltung von Kundendaten.

Risikogrenzen

Wir haben die Risikoüberwachung und die Key Risk Indicators (KRIs) bereits erwähnt, da sie dazu dienen, ein Unternehmen davor zu bewahren, Risikogrenzen zu überschreiten - die „roten Linien“, die ein zu hohes Risiko darstellen. Das Überschreiten einer Risikoschwelle könnte eine Änderung der Pläne, erhöhte Sicherheitsmaßnahmen oder sogar einen kompletten Stopp der Aktivitäten erfordern.

Mehr zum Thema: Ivanti Forschungsreport: Unterschiedliche Sichtweisen aufeinander abstimmen: Cyber-Risikomanagement in der C-Suite

Warum ist die Risikobereitschaft beim Exposure Management wichtig?

Früher war es viel einfacher, digitale Risiken zu minimieren als heute. Das liegt daran, dass sich die Angriffsflächen der meisten großen Unternehmen im Laufe der Zeit stark vergrößert haben. Immer mehr Geräte und Anwendungen, die von den Mitarbeitenden an immer mehr Orten genutzt werden, haben den Arbeitsplatz verändert und die digitale Bedrohungslandschaft erweitert.

Das ist einer der Gründe, warum die Ivanti-Untersuchung herausfand, dass mehr als die Hälfte der IT-Experten nicht sehr zuversichtlich sind, dass sie in den nächsten 12 Monaten einen schädlichen Sicherheitsvorfall verhindern können. Mehr als jeder Dritte gibt sogar an, dass er weniger gut darauf vorbereitet ist, Bedrohungen zu erkennen und auf Vorfälle zu reagieren als noch vor einem Jahr.

Das traditionelle Schwachstellenmanagement konzentriert sich seit Langem auf die reaktive Behebung von Schwachstellen in Software und Hardware und anderen CVEs, führt aber in der Regel nur sporadische Scans durch. Aber das heutige Cyberbedrohungsszenario erfordert einen neuen Ansatz.

Modernes Exposure Management konzentriert sich auf die kontinuierliche, proaktive Erkennung und Behebung von Risiken und Schwachstellen über die gesamte digitale Angriffsfläche hinweg. Unabhängig davon, ob sie von exponierten IT-Assets, ungesicherten Endgeräten und Anwendungen, cloudbasierten Ressourcen oder anderen Vektoren ausgehen. Warum sind Exposure Management und Risikobereitschaft so eng miteinander verknüpft?

Bewertung des Exposures anhand akzeptabler Risikowerte: Das Exposure-Management umfasst die Quantifizierung der mit verschiedenen Exposures verbundenen Risikowerte. Durch die Definition akzeptabler Risiken können Unternehmen die möglichen Auswirkungen verschiedener Risiken mit ihrer Risikobereitschaft vergleichen.
Risikobasierter Einsatz von Ressourcen: Unternehmen müssen priorisieren, welche Risiken die größte Gefahr für ihre Strategien darstellen – eine Einschätzung, die sie nur mit einem klaren Verständnis ihrer Risikobereitschaft treffen können. Durch diese Priorisierung können sie ihre Ressourcen auf die Minderung der kritischsten Risiken konzentrieren, häufig mithilfe eines fortschrittlichen RBVM-Tools.
Risikobereitschaft anpassen: Wenn sich das Geschäftsumfeld verändert oder neue Risiken auftreten, muss die Risikobereitschaft möglicherweise angepasst werden. Die Daten und Erkenntnisse, die Unternehmen im Rahmen ihres Risikomanagements gewinnen, helfen ihnen, fundierte Entscheidungen über solche Anpassungen zu treffen.
Compliance sicherstellen: In vielen Branchen gelten regulatorische Anforderungen zum Risikomanagement, die sich wiederum auf die Risikobereitschaft eines Unternehmens auswirken. Das Risikomanagement umfasst die Identifizierung und Bewältigung von Risiken, die zu Verstößen führen könnten.

Mehr zum Thema: Ivanti-Forschungsreport: Attack Surface Management – ASM

Betrachtung von Sicherheitsrisiken aus der Perspektive des Exposure Managements

Ein wesentlicher Unterschied zwischen dem Exposure Management und anderen Sicherheitsmaßnahmen besteht darin, dass das Exposure Management nicht nur die Priorisierung der Risiken umfasst, die das größte Risiko für das Unternehmen darstellen, sondern auch die aktive Definition der Risiken, die innerhalb der Risikotoleranz eines Unternehmens liegen. Beispielsweise könnte ein E-Commerce-Unternehmen bereit sein, erhöhte Sicherheitsrisiken in Kauf zu nehmen, um seine Website am Black Friday funktionsfähig zu halten – dieser Kompromiss lohnt sich für das Unternehmen.

Anstatt jedes potenzielle Risiko als Krise zu betrachten, die sofort behoben werden muss, sollten Unternehmen diese Risiken anhand der geschäftlichen Anforderungen priorisieren. In diesem Rahmen ist Risiko nicht per se negativ – entscheidend ist, wie man darauf reagiert, es steuert und eindämmt, um es auf ein vertretbares Maß zu bringen.

Die 8 besten Praktiken zur Verringerung der Angriffsfläche Ihres Unternehmens

Tue, 04 Jul 2023 13:03:57 Z

Die Vergrößerung der Angriffsfläche führt zu einem erhöhten Cybersicherheitsrisiko. Eine Verringerung der Angriffsfläche führt also logischerweise zu einem geringeren Cybersecurity-Risiko.

Einige Lösungen zur Verwaltung von Angriffsflächen bieten zwar Abhilfefunktionen, die bei diesen Bemühungen helfen, aber die Abhilfe ist reaktiv. Wie bei allen Dingen, die mit Sicherheit und Risikomanagement zu tun haben, ist es besser, proaktiv zu sein.

Die gute Nachricht ist, dass ASM-Lösungen nicht die einzigen Waffen sind, die Sicherheitsteams im Kampf um die Angriffsfläche zur Verfügung stehen. Es gibt viele Maßnahmen, die ein Unternehmen ergreifen kann, um die Gefährdung seiner IT-Umgebung zu verringern und Cyberangriffen vorzubeugen.

Wie kann ich die Angriffsfläche meines Unternehmens reduzieren?

Leider ist es nicht möglich, die gesamte Angriffsfläche zu eliminieren, aber die folgenden Best-Practice-Sicherheitskontrollen, die in diesem Beitrag beschrieben werden, werden Ihnen helfen, sie erheblich zu verkleinern:

Reduzieren Sie Komplexität
Verfolgen Sie eine Zero Trust-Strategie für die logische und physische Zugangskontrolle
Entwickeln Sie eine risikobasierte Verwaltung von Sicherheitslücken
Implementieren Sie von Netzwerksegmentierung und Mikrosegmentierung
Stärken Sie der Software- und Asset-Konfigurationen
Setzen Sie Compliance mit Richtlinien durch
Schulen Sie alle Mitarbeitenden in Bezug auf Cybersicherheitsrichtlinien und Best Praxctices
Verbessern Sie die digitale Erfahrung der Mitarbeitenden (DEX)

Wie in unserem Angriffsflächen-Glossar erwähnt, können verschiedene Angriffsvektoren technisch gesehen unter mehrere Arten von Angriffsflächen fallen – digitale, physische und/oder menschliche. In ähnlicher Weise können viele der bewährten Verfahren in diesem Beitrag dazu beitragen, dass Sie mehrere Arten von Angriffsflächen reduzieren.

Aus diesem Grund haben wir jeder Best Practice eine Checkliste beigefügt, die angibt, welche Art(en) von Angriffsflächen eine bestimmte Best Practice in erster Linie anspricht.

#1: Reduzieren Sie Komplexität

Digitale Angriffsfläche	Physische Angriffsfläche	Menschliche Angriffsfläche
X	X

Verringern Sie die Angriffsfläche für Ihre Cybersicherheit, indem Sie die Komplexität reduzieren. Klingt offensichtlich, oder? Und das ist es auch. An diesem scheinbar einfachen Schritt sind jedoch viele Unternehmen lange Zeit gescheitert. Nicht, weil es nicht offensichtlich ist, sondern weil es nicht immer einfach war.

Untersuchungen von Randori und ESG zeigen, dass sieben von zehn Unternehmen im vergangenen Jahr durch einen unbekannten, nicht verwalteten oder schlecht verwalteten Asset im Internet kompromittiert wurden. Lösungen für das Cyber Asset Attack Surface Management (CAASM) ermöglichen es solchen Unternehmen, alle ihre Assets zu identifizieren – auch die, die nicht autorisiert und nicht verwaltet sind –, damit sie gesichert, verwaltet oder sogar aus dem Unternehmensnetzwerk entfernt werden können.

Alle ungenutzten oder unnötigen Assets, von Endgeräten bis hin zur Netzwerkinfrastruktur, sollten ebenfalls aus dem Netzwerk entfernt und ordnungsgemäß entsorgt werden.

Der Code, aus dem Ihre Softwareanwendungen bestehen, ist ein weiterer Bereich, in dem die Komplexität zur Größe Ihrer Angriffsfläche beiträgt. Arbeiten Sie mit Ihrem Entwicklungsteam zusammen, um herauszufinden, wo es Möglichkeiten gibt, die Menge des ausgeführten Codes, der böswilligen Akteuren ausgesetzt ist, zu minimieren und damit auch Ihre Angriffsfläche zu verringern.

#Nr. 2: Verfolgen Sie eine Zero Trust Strategie für die logische und physische Zugangskontrolle

Digitale Angriffsfläche	Physische Angriffsfläche	Menschliche Angriffsfläche
X	X

Das National Institute of Standards and Technology (NIST) definiert Zero Trust wie folgt:

„Eine Sammlung von Konzepten und Ideen, die darauf abzielen, die Unsicherheit bei der Durchsetzung präziser Zugriffsentscheidungen mit den geringsten Rechten pro Anfrage in Informationssystemen und -diensten zu minimieren, wenn das Netzwerk als gefährdet angesehen wird.“

Mit anderen Worten, für jede Zugriffsanfrage, „Niemals vertrauen, immer überprüfen“.

Erfahren Sie, wie Ivanti Ihnen helfen kann, das NIST CSF zu übernehmen in The NIST Cybersecurity Framework (CSF): Mapping Ivanti's Solutions to CSF Controls

Mit einem Zero Trust-Ansatz für die logische Zugriffskontrolle reduzieren Sie die Angriffsfläche Ihres Unternehmens und die Wahrscheinlichkeit von Datenschutzverletzungen, indem Sie die Sicherheitslage und die Einhaltung von Richtlinien kontinuierlich überprüfen und einen Zugriff mit den geringsten Privilegien ermöglichen.

Und obwohl Zero Trust kein Produkt, sondern eine Strategie ist, gibt es Produkte, die Ihnen helfen können, eine Zero Trust Strategie zu implementieren. Zu diesen Produkten gehören vor allem diejenigen, die im Secure Access Service Edge (SASE) Framework enthalten sind:

Software-definiertes Weitverkehrsnetz (SD-WAN)
Sicherer Web-Gateway (SWG)
Cloud Access Security Broker (CASB)
Firewall der nächsten Generation (NGFW)
Zero Trust Netzwerkzugang (ZTNA)

Und obwohl dies normalerweise nicht so gesehen wird, kann eine Zero Trust-Strategie über die logische Zugangskontrolle hinaus auch die physische Zugangskontrolle umfassen. Wenn es darum geht, jemandem Zutritt zu den Sicherheitsbereichen Ihrer Einrichtungen zu gewähren, denken Sie daran, nie zu vertrauen, sondern immer zu überprüfen. Zu diesem Zweck können Mechanismen wie Zugangskarten und biometrische Daten verwendet werden.

#3: Entwickeln Sie eine risikobasierte Verwaltung von Sicherheitslücken

Digitale Angriffsfläche	Physische Angriffsfläche	Menschliche Angriffsfläche
X

Zunächst die schlechte Nachricht: Die US National Vulnerability Database (US NVD) enthält über 160.000 bewertete Sicherheitslücken und täglich kommen Dutzende weitere hinzu. Die gute Nachricht ist, dass die überwiegende Mehrheit der Sicherheitslücken noch nie ausgenutzt wurde, was bedeutet, dass sie nicht für einen Cyberangriff verwendet werden können und somit nicht Teil Ihrer Angriffsfläche sind.

Tatsächlich zeigte ein Forschungsbericht von Securin, Cyber Security Works (CSW), Ivanti und Cyware, dass nur 180 dieser mehr als 160.000 Sicherheitslücken als aktive Exploits eingestuft wurden.

Vergleich der gesamten NVD-Sicherheitslücken mit denen, die eine Organisation gefährden

Nur etwa 0,1 % aller Sicherheitslücken in der US NVD sind aktive Exploits, die ein unmittelbares Risiko für ein Unternehmen darstellen.

Ein veralteter Ansatz zur Verwaltung von Sicherheitslücken, der sich auf veraltete und statische Risikobewertungen aus dem Common Vulnerability Scoring System (CVSS) verlässt, wird ausgenutzte Sicherheitslücken nicht genau klassifizieren. Und obwohl der Cybersecurity & Infrastructure Security Agency Known Exploited Vulnerabilities (CISA KEV) Catalog ein Schritt in die richtige Richtung ist, ist er unvollständig und berücksichtigt nicht die Kritikalität der Assets in der Umgebung eines Unternehmens.

Ein echter risikobasierter Ansatz ist erforderlich. Risikobasierte Verwaltung von Sicherheitslücken (RBVM) – wie der Name schon sagt – ;ist eine Cybersicherheitsstrategie, die Sicherheitslücken für die Behebung auf der Grundlage des Risikos, das sie für das Unternehmen darstellen, priorisiert.

Lesen Sie The Ultimate Guide to Risk-Based Patch Management und erfahren Sie, wie Sie Ihre Abhilfestrategie zu einem risikobasierten Ansatz weiterentwickeln können.

RBVM-Tools nehmen Daten von Sicherheitslücken-Scannern Penetrationstests Bedrohungsdaten-Tools und anderen Sicherheitsquellen auf und verwenden sie, um das Risiko zu messen und Prioritäten für Abhilfemaßnahmen zu setzen.

Mit den Erkenntnissen aus ihrem RBVM-Tool können Unternehmen ihre Angriffsfläche reduzieren, indem sie die Sicherheitslücken beseitigen, die für sie das größte Risiko darstellen. Meistens handelt es sich dabei um das Ausbessern ausgenutzter Sicherheitslücken auf der Infrastrukturseite und das Beheben von anfälligem Code im Anwendungsstapel.

#4: Implementieren Sie von Netzwerksegmentierung und Mikrosegmentierung

Digitale Angriffsfläche	Physische Angriffsfläche	Menschliche Angriffsfläche
X

Wiederum in Anlehnung an das NIST-Glossar ist Netzwerksegmentierung wie folgt definiert:

Aufteilung eines Netzwerks in Teilnetzwerke, z.B. durch die Schaffung separater Bereiche im Netzwerk, die durch Firewalls geschützt sind, die so konfiguriert sind, dass unnötiger Datenverkehr abgewiesen wird. Die Netzwerksegmentierung minimiert den Schaden durch Malware und andere Bedrohungen, indem sie auf einen begrenzten Teil des Netzwerks beschränkt wird.

Anhand dieser Definition können Sie erkennen, wie die Segmentierung Ihre Angriffsfläche verringern kann, indem sie Angreifern den Zugang zu bestimmten Teilen Ihres Netzwerks verwehrt. Während traditionelle Netzwerksegmentierung diese Angreifer daran hindert, sich auf der Netzwerkebene von Norden nach Süden zu bewegen, hindert Mikrosegmentierung sie daran, sich auf der Workload-Ebene von Osten nach Westen zu bewegen.

Genauer gesagt geht Mikrosegmentierung über die Netzwerksegmentierung hinaus und setzt Richtlinien auf einer granulareren Basis durch – zum Beispiel nach Anwendung oder Gerät statt nach Netzwerk.

So können Sie beispielsweise Beschränkungen einführen, damit ein IoT-Gerät nur mit seinem Anwendungsserver und nicht mit anderen IoT-Geräten kommunizieren kann, oder um zu verhindern, dass jemand in einer Abteilung auf die Systeme einer anderen Abteilung zugreift.

#5: Stärken Sie der Software- und Asset-Konfigurationen

Digitale Angriffsfläche	Physische Angriffsfläche	Menschliche Angriffsfläche
X

Betriebssysteme, Anwendungen und Assets des Unternehmens – wie Server und Endbenutzer-, Netzwerk- und IoT-Geräte – werden in der Regel unkonfiguriert oder mit Standardkonfigurationen ausgeliefert, bei denen die einfache Bereitstellung und Nutzung Vorrang vor der Sicherheit hat. Laut CIS Critical Security Controls (CIS Controls) v8 können die folgenden Punkte ausgenutzt werden, wenn sie in ihrem Standardzustand belassen werden:

Grundlegende Kontrollen
Offene Dienste und Ports
Standardkonten oder -passwörter
Vorkonfigurierte Einstellungen für das Domain Name System (DNS)
Ältere (anfällige) Protokolle
Vorinstallation von unnötiger Software

Es ist klar, dass solche Konfigurationen die Größe einer Angriffsfläche vergrößern. Um hier Abhilfe zu schaffen, empfiehlt Control 4: Sichere Konfiguration von Unternehmens-Assets und -Software von CIS Controls v8 die Entwicklung und Anwendung starker Anfangskonfigurationen und die anschließende kontinuierliche Verwaltung und Pflege dieser Konfigurationen, um eine Beeinträchtigung der Sicherheit von Software und Assets zu vermeiden.

Hier finden Sie einige kostenlose Ressourcen und Tools, die Ihr Team bei dieser Aufgabe unterstützen können:

CIS Benchmarks List – Konfigurationsempfehlungen für über 25 Hersteller-Produktfamilien
NIST National Checklist Program (NCP) – Sammlung von Checklisten mit Anleitungen für die Festlegung von Software-Sicherheitskonfigurationen
CIS-CAT Lite – Bewertungstool, das Benutzern bei der Implementierung sicherer Konfigurationen für eine Reihe von Technologien hilft

#6: Setzen Sie Compliance mit Richtlinien durch

Digitale Angriffsfläche	Physische Angriffsfläche	Menschliche Angriffsfläche
X	X

Es ist kein Geheimnis, dass Endgeräte einen großen Anteil an der Größe der meisten Angriffsflächen haben – insbesondere im Zeitalter des Arbeitens von jedem Ort, in dem mehr Mitarbeiter in hybriden und Remote-Rollen arbeiten als je zuvor. Sieben von zehn Mitarbeitenden der öffentlichen Hand arbeiten heute zumindest einen Teil der Zeit virtuell.

Es ist schon schwer genug, die Mitarbeitenden dazu zu bringen, die IT- und Sicherheitsrichtlinien zu befolgen, wenn sie sich im Büro befinden, geschweige denn, wenn 70 % von ihnen über den ganzen Globus verteilt sind.

Unified Endpoint Management (UEM) Tools gewährleisten die universelle Einhaltung von Richtlinien, indem sie diese automatisch durchsetzen. Diese Tatsache sollte IT- und Sicherheitsexperten nicht überraschen, denn viele von ihnen halten UEM inzwischen für eine Massenware. Tatsächlich prognostiziert Gartner, dass 90 % seiner Kunden bis 2025 den größten Teil ihres Vermögens mit Cloud-basierten UEM-Tools verwalten werden.

Nichtsdestotrotz ist UEM die beste Option, um die Einhaltung von IT- und Sicherheitsrichtlinien durchzusetzen, daher wäre es nachlässig, es in dieser Liste auszulassen.

Lesen Sie The Ultimate Guide to Unified Endpoint Management und erfahren Sie mehr über die wichtigsten geschäftlichen Vorteile und die Anwendungsfälle für moderne UEM-Lösungen im Bereich Endgerätesicherheit.

Darüber hinaus bieten moderne UEM-Tools über die Einhaltung von Vorschriften hinaus verschiedene andere Funktionen, die Ihnen helfen können, Ihre Angriffsfläche zu identifizieren, zu verwalten und zu reduzieren:

Verschaffen Sie sich einen vollständigen Überblick über Ihre IT-Assets, indem Sie alle Geräte in Ihrem Netzwerk aufspüren – eine wichtige ASM-Funktion für Unternehmen ohne CAASM-Lösung.
Rüsten Sie Geräte mit der entsprechenden Software und den entsprechenden Zugriffsrechten aus und aktualisieren Sie die Software dann automatisch nach Bedarf – ohne dass der Benutzer eingreifen muss.
Verwalten Sie alle Arten von Geräten über den gesamten Lebenszyklus hinweg, von der Einführung bis zur Ausmusterung, um sicherzustellen, dass sie ordnungsgemäß entsorgt werden, sobald sie nicht mehr in Gebrauch sind.
Setzen Sie Gerätekonfigurationen automatisch durch (lesen Sie #5: Stärken Sie Software- und Asset-Konfigurationen, um mehr über die Bedeutung dieser Funktion zu erfahren).
Unterstützung von Zero Trust-Zugang und kontextbezogener Authentifizierung, Sicherheitslücken-, Richtlinien-, Konfigurations- und Datenverwaltung durch Integration mit Identitäts-, Sicherheits- und Fernzugriffstools So können beispielsweise Tools für UEM und Mobile Threat Defense (MTD) integriert werden, damit Sie risikobasierte Richtlinien zum Schutz mobiler Geräte vor einer Gefährdung des Unternehmensnetzwerks und seiner Assets einführen können.

#7: Schulen Sie alle Mitarbeitenden in Bezug auf Cybersicherheitsrichtlinien und Best Praxctices

Digitale Angriffsfläche	Physische Angriffsfläche	Menschliche Angriffsfläche
		X

Vierundsiebzig Prozent der Verstöße, die für den 2023 Verizon Data Breaches Investigation Report (DBIR) analysiert wurden, hatten ein menschliches Element.

Es sollte daher nicht überraschen, wenn Sie sich die Daten aus dem 2023 Government Cybersecurity Status Report von Ivanti ansehen und den Prozentsatz der Mitarbeitenden auf der ganzen Welt sehen, die nicht glauben, dass ihre Handlungen irgendeinen Einfluss auf die Fähigkeit ihrer Organisation haben, Cyberangriffe abzuwehren:

Glauben die Mitarbeitenden, dass ihr eigenes Handeln wichtig ist?

Viele Mitarbeitende glauben nicht, dass ihr Handeln Auswirkungen auf die Fähigkeit ihres Unternehmens hat, sich vor Cyberangriffen zu schützen.

Mit den unsterblichen Worten von Alexander Pope: „Irren ist menschlich …“ In Bezug auf die Cybersicherheit: Solange die KI nicht offiziell die Macht übernimmt, wird der Mensch ein wichtiger Teil Ihrer Angriffsfläche bleiben. Und bis dahin müssen die menschlichen Angriffsflächen verwaltet und reduziert werden, wo immer dies möglich ist.

Bisher hat sich gezeigt, dass dies am besten durch Cybersecurity-Schulungen erreicht werden kann, sowohl zu allgemeinen Best Practices als auch zu unternehmensspezifischen Richtlinien – und vergessen Sie auf keinen Fall ein Social Engineering-Modul.

Viele Cybersicherheitsexperten stimmen dem zu. Als die Frage „Welche Sicherheitsmaßnahme hat sich Ihrer Erfahrung nach am erfolgreichsten bei der Verhinderung von Cyberangriffen und Datenschutzverletzungen erwiesen?“ in Reddit’s r/cybersecurity-Subreddit gestellt wurde, verwiesen viele der Top-Kommentare auf die Notwendigkeit der Aufklärung der Benutzer:

Reddit / u/Forbesington

Reddit / u/slybythenighttothecape

Reddit / u/_DudeWhat

Reddit / u/onneseen

Um noch einmal eine Anleihe bei CIS Controls v8 zu machen: Control 14: Security Awareness and Skills Training (Sicherheitsbewusstsein und Kompetenztraining) ermutigt Organisationen, Folgendes zu tun: „Führen Sie ein Programm zur Förderung des Sicherheitsbewusstseins ein und halten Sie es aufrecht, um das Verhalten der Mitarbeiter so zu beeinflussen, dass sie sicherheitsbewusst und entsprechend qualifiziert sind, um die Cybersicherheitsrisiken für das Unternehmen zu verringern.“

CIS – das Center for Internet Security - empfiehlt außerdem, die folgenden Ressourcen zu nutzen, um ein Sicherheitsprogramm aufzubauen:

Sicherheits- und IT-Mitarbeiter – und nicht nur die in nicht-technischen Funktionen – sollten auch Schulungen zur Cybersicherheit erhalten, die für ihre Aufgaben relevant sind. Laut den IT- und Sicherheitsentscheidern, die von Randori und ESG für ihren Bericht The State of Attack Surface Management aus dem Jahr 2022 befragt wurden, wäre eine verstärkte ASM-Schulung für Sicherheits- und IT-Mitarbeiter die drittwirksamste Maßnahme zur Verbesserung von ASM.

Wenn Sie sicherstellen, dass Partner, Lieferanten und andere Drittanbieter ebenfalls an Sicherheitsschulungen teilnehmen, können Sie die menschliche Angriffsfläche ebenfalls verringern.

#8: Verbessern Sie die digitale Erfahrung der Mitarbeitenden (DEX)

Digitale Angriffsfläche	Physische Angriffsfläche	Menschliche Angriffsfläche
X		X

Ganz gleich, wie viel Cybersecurity-Schulungen Sie Ihren Mitarbeitenden anbieten, je komplexer und verworrener die Sicherheitsmaßnahmen werden, desto wahrscheinlicher ist es, dass sie diese umgehen. Neunundsechzig Prozent der Endbenutzer geben an, dass sie Schwierigkeiten haben, sich in den übermäßig verworrenen und komplexen Sicherheitsmaßnahmen zurechtzufinden. Solche unzufriedenen Benutzer neigen dazu, Daten über ungesicherte Kanäle zu verteilen, die Installation von Sicherheitsupdates zu verhindern und Schatten-IT einzusetzen.

Das scheint IT-Verantwortliche vor eine unmögliche Wahl zu stellen: die digitale Erfahrung der Mitarbeiter (DEX) auf Kosten der Sicherheit verbessern oder der Sicherheit den Vorrang vor der Erfahrung geben? The truth is, security and DEX are equally important to an organization’s success and resilience. Laut Forschungsergebnissen von Enterprise Management Associates (EMA) führt die Verringerung von Reibungen im Bereich Sicherheit zu weitaus weniger Sicherheitsverletzungen.

Was also tun Sie? Der 2022 Digital Employee Experience Report von Ivanti zeigt, dass IT-Führungskräfte – mit Unterstützung der Geschäftsleitung – ihre Bemühungen auf die Bereitstellung einer sicheren digitalen Mitarbeitererfahrung richten müssen. Früher schien dies eine unlösbare Aufgabe zu sein, aber heute ist es einfacher denn je, dank eines aufstrebenden Marktes für DEX-Tools, die Ihnen helfen, die Technologieerfahrung Ihrer Mitarbeitenden zu messen und kontinuierlich zu verbessern.

Lesen Sie den 2022 Digital Employee Experience Report, um mehr über die Rolle von DEX bei der Cybersicherheit zu erfahren.

Ein Bereich, in dem Unternehmen sowohl die Sicherheit als auch die Erfahrung der Mitarbeitenden leicht verbessern können, ist die Authentifizierung. Lästige und ineffiziente Passwörter, die man sich merken, eingeben und zurücksetzen muss, sind schon lange der Fluch der Endbenutzer.

Darüber hinaus sind sie extrem unsicher. Etwa die Hälfte der 4.291 für den Verizon DBIR 2023 analysierten Datenschutzverletzungen, die nicht mit internen böswilligen Aktivitäten einhergingen, wurden durch Zugangsdaten ermöglicht – etwa viermal mehr als durch Phishing – und sind damit der bei weitem beliebteste Weg, um in die IT eines Unternehmens einzudringen.

Software mit passwortloser Authentifizierung löst dieses Problem. Wenn Sie auf einen Schlag die Benutzerfreundlichkeit verbessern und Ihre Angriffsfläche verringern möchten, sollten Sie eine passwortlose Authentifizierungslösung einsetzen, die FIDO2-Authentifizierungsprotokolle verwendet. Sowohl Sie als auch Ihre Benutzer werden sich freuen, wenn Sie sich für immer von auf Post-it-Zetteln geschriebenen Passwörtern verabschieden können.

Weitere Hinweise dazu, wie Sie die Sicherheit mit DEX in Einklang bringen können, finden Sie in den folgenden Ressourcen:

Zusätzliche Anleitungen aus kostenlosen Ressourcen

Die von Ivanti vorgeschlagenen Best Practices zur Verringerung Ihrer Angriffsfläche kombinieren Erkenntnisse aus unserer eigenen Erfahrung sowie Wissen aus zweiter Hand, das wir von maßgeblichen Quellen erhalten haben.

Und obwohl diese Best Practices die Größe Ihrer Angriffsfläche in der Tat erheblich verringern werden, gibt es keinen Mangel an anderen Maßnahmen, die ein Unternehmen ergreifen kann, um die ständig wachsende Größe und Komplexität der modernen Angriffsflächen zu bekämpfen.

Schauen Sie sich die folgenden kostenlosen Ressourcen an - von denen einige bereits oben erwähnt wurden -, um weitere Anleitungen zur Verringerung Ihrer Angriffsfläche zu erhalten:

Nächste Schritte

Sie haben also alle oben genannten Best Practices implementiert und fragen sich, was jetzt kommt. Wie bei allem, was mit Cybersicherheit zu tun hat, gibt es keine Zeit für Stillstand. Angriffsflächen erfordern eine ständige Überwachung.

Sie wissen nie, wann sich das nächste nicht verwaltete BYOD-Gerät mit Ihrem Netzwerk verbindet, die nächste Sicherheitslücke in Ihrer CRM-Software ausgenutzt wird oder der nächste Mitarbeiter sein iPhone nach einer Team-Happy-Hour in der Bar vergisst.

Sie müssen nicht nur bestehende Angriffsvektoren verfolgen, sondern auch über neue informiert bleiben. Die jüngste Explosion von KI-Modellen beispielsweise führt zu einer beträchtlichen Zunahme der Angriffsfläche, und man kann mit Sicherheit sagen, dass weitere Technologien, die die Tür zu Ihrer IT-Umgebung öffnen, am Horizont auftauchen. Bleiben Sie wachsam.