Ivanti Blog: Sicherheit

Attack Surface Discovery: So identifizieren Sie die Angriffsfläche Ihres Unternehmens

Mon, 18 Aug 2025 09:54:55 Z

Kontrolle ist entscheidend: Wird Ihre Angriffsfläche nicht aktiv überwacht, wächst sie schneller, als Sie es erwarten – und mit ihr das Cybersicherheitsrisiko.
Risiken lassen sich zwar nie vollständig ausschließen, da sich Angriffsflächen kontinuierlich verändern. Doch Sie können sie gezielt steuern, sodass Ihr Gesamtrisiko im Rahmen Ihrer Risikobereitschaft bleibt.

Warum ist Attack Surface Discovery so wichtig?

Effektives Cybersicherheitsmanagement beginnt mit einem klaren Verständnis der eigenen Angriffsfläche. Genauer gesagt müssen Sie erkennen, was sich unter der Oberfläche befindet – Endgeräte, Schwachstellen und andere potenzielle Angriffsvektoren, die Ihr Unternehmen verwundbar machen können.

Erst wenn diese Faktoren sichtbar werden, lässt sich die Angriffsfläche wirksam steuern. Die erste Funktion des National Institute of Standards and Technology Cybersecurity Framework (NIST CSF) Version 1.1 lautet „Identify“ („Identifizieren“). Laut NIST bilden die Aktivitäten innerhalb der Funktion „Identify“ die Grundlage für eine wirksame Umsetzung des Frameworks. Ähnlich verhält es sich mit den CIS Controls v8, die unter anderem folgende Sicherheitsmaßnahmen umfassen:

Sicherheitsmaßnahme 1 – Inventarisierung und Management der Unternehmens-Assets
Sicherheitsmaßnahme 2 – Inventarisierung und Management der Software-Assets
Sicherheitsmaßnahme 7 – Kontinuierliches Schwachstellenmanagement

Kurz gesagt: Sie können nur schützen, was Sie kennen. Doch wie erkennen Sie, was sich tatsächlich in Ihrer Umgebung befindet?

Wie beginne ich mit Attack Surface Discovery?

Attack Surface Discovery bedeutet, die Perspektive eines Angreifers einzunehmen, um angreifbare Assets und die damit verbundenen Schwachstellen zu ermitteln.

Ihre Angriffsfläche lässt sich dabei in drei Bereiche unterteilen: die digitale, die physische und die menschliche Angriffsfläche. Im Folgenden liegt der Schwerpunkt auf der Sichtbarmachung Ihrer digitalen Angriffsfläche – die beiden anderen Bereiche werden dabei ergänzend berücksichtigt.

Zur digitalen Angriffsfläche zählen klassische IT-Assets, also Hardware wie Endgeräte und Server ebenso wie Softwareanwendungen. Hinzu kommen externe, internetseitige Komponenten wie Webanwendungen, IP-Adressen, Domainnamen, SSL-Zertifikate und Cloud-Services.

Der erste Schritt besteht darin, jedes Element Ihrer digitalen Angriffsfläche zu erfassen und bestehende Sichtbarkeitslücken zu identifizieren. Sie können jedes Element wie folgt klassifizieren:

Bewusste Kenntnis: Cyber-Assets, die Ihnen bekannt sind und die nachweislich Teil Ihrer Angriffsfläche sind.
Bewusste Unkenntnis: Cyber-Assets, von denen Sie wissen, dass sie zu Ihrer Angriffsfläche gehören, die Sie jedoch möglicherweise nicht aktiv überwachen und/oder verwalten.
Unbewusste Unkenntnis: Cyber-Assets, die möglicherweise Teil Ihrer Angriffsfläche sind – oder auch nicht. Sie haben darüber keine gesicherten Informationen.
N/A: Cyber-Assets, von denen Sie mit absoluter Sicherheit wissen, dass sie nicht Teil Ihrer Angriffsfläche sind.

Nutzen Sie unsere anpassbare Attack-Surface-Checkliste für eine vollständige Bestandsaufnahme Ihrer Angriffsfläche.

Tools zur Identifizierung und Verwaltung Ihrer Angriffsfläche

Nachdem Sie Ihre Asset-Typen klassifiziert haben, folgt im nächsten Schritt die Auswahl geeigneter Tools und Methoden, mit denen Sie Sichtbarkeitslücken schließen – und so aus bewusster und unbewusster Unkenntnis echte, bewusste Kenntnis machen.

Unter dem Dach des Attack Surface Managements finden sich noch gezieltere Lösungsansätze – Cyber Asset Attack Surface Management (CAASM), External Attack Surface Management (EASM) und Digital Risk Protection Services (DRPS). Die Tools bündeln die Ergebnisse, machen Schwachstellen leichter erkennbar und bieten zum Teil auch Funktionen zur Priorisierung und Behebung. So können Sie schneller auf neue Erkenntnisse reagieren und Ihr Risiko gezielt verringern.

Schon lange stehen Unternehmen vor der Aufgabe, ihre digitale Angriffsfläche zu identifizieren und zu managen – und das bereits zu Zeiten, in denen spezialisierte ASM-Lösungen noch nicht verfügbar waren. Stattdessen kamen andere Ansätze zum Einsatz – viele davon sind auch heute noch in Gebrauch.

Ansatz	Beschreibung	Vorteiles	Nachteile
Asset-Discovery-Tools	Erkennen und erfassen Hardware- und Software-Assets, die sich mit Ihrem Netzwerk verbinden.	Bereits in den meisten Unternehmen im Einsatz. Besser als Excel & Co.	Kann Blindspots aufweisen – etwa bei Schatten-IT, Drittanbietersystemen und geschäftskritischen Anwendungen.nbsp;
Breach and Attack Simulation (BAS)	Testet Bedrohungsvektoren automatisch, um ein tieferes Verständnis für Schwachstellen in der Sicherheitslage zu gewinnen und bestehende Sicherheitskontrollen zu validieren.	Erstellt Reports über Sicherheitslücken und priorisiert die Behebung nach Risiko.	Konzentriert sich ausschließlich auf bekannte Angriffe. Bietet keine direkte Unterstützung bei der Behebung.
Cloud Security Posture Management (CSPM)	Ermöglicht das Verständnis von Änderungen in Cloud-Konfigurationen.	Bietet Echtzeit-Sichtbarkeit in Cloud-Konfigurationen.	Zeigt weder auf, wann Konfigurationen von Compliance-Vorgaben abweichen, noch welche Auswirkungen neue Bedrohungen haben könnten.
Configuration Management Database (CMDB)	Verfolgt Änderungen an Systemen.	Bereits in den meisten Unternehmen im Einsatz.	Zeigt weder auf, wann Konfigurationen von Compliance-Vorgaben abweichen, noch welche Auswirkungen neue Bedrohungen haben könnten.
Eigenentwickelter Ansatz	Kombiniert Tabellenkalkulationen, Skripte und manuelle Prozesse zur Verwaltung der Angriffsfläche.	Günstig oder kostenlos aus reiner Kostensicht (unter Vernachlässigung der Analystenstunden).	Zeitaufwendig und fehleranfällig. Nicht skalierbar oder in Echtzeit nutzbar.
IT Asset Management (ITAM)	Trackt und überwacht Assets über ihren gesamten Lebenszyklus hinweg.	Bereits in den meisten Unternehmen im Einsatz. Besser als Excel & Co.	Deckt nur bekannte und verwaltete Assets ab, während unbekannte oder nicht verwaltete Teile der Angriffsfläche unberücksichtigt bleiben.
Penetration Testing (z. B. automatisierte Pentest-Tools oder Penetration Testing as a Service)	Identifiziert Schwachstellen in Ihrem Netzwerk und in Anwendungen durch die Simulation eines Cyberangriffs.	Liefert konkrete Beispiele für die Sicherheitslage sowie Hinweise für Budgetprioritäten.	Konzentriert sich ausschließlich auf die erste Phase der Cyber Kill Chain: Reconnaissance. Die Ergebnisse sind in der Regel Momentaufnahmen und hängen stark von der Qualität und Erfahrung der Pentester ab, die die Simulation durchführen.
Red Teaming	Verschafft ein umfassendes Bild der Cybersicherheitslage eines Unternehmens, indem eine realistische Angriffssimulation gegen Netzwerke, Anwendungen, physische Schutzmaßnahmen und Mitarbeitende durchgeführt wird.	Geht über klassisches Penetration Testing hinaus, da auch weitere Phasen der Cyber Kill Chain im Fokus stehen. Geht zudem über die digitale Angriffsfläche hinaus, da auch weitere Phasen der Cyber Kill Chain im Fokus stehen.	Die Ergebnisse sind in der Regel Momentaufnahmen und hängen stark von der Erfahrung und Qualität der Red-Teamer ab, die die Simulation durchführen.
Threat Intelligence	Bietet Zugang zu Informationen über Bedrohungen und andere Cybersicherheitsaspekte.	Versorgt Sicherheitsexperten mit Erkenntnissen über Bedrohungen und Schwachstellen.	Ausgerichtet auf Unternehmen mit einer hochentwickelten Sicherheitsorganisation, hochqualifiziertem Personal und umfangreichen Ressourcen.
Schwachstellenmanagement-Tools (z. B. Scanner)	Identifizieren und verwalten Schwachstellen in der eigenen Infrastruktur und in Anwendungen.	Bereits in den meisten Unternehmen im Einsatz.	Bieten keine Transparenz in Bezug auf unbekannte Assets. Überwältigende Datenmengen.

Diese Methoden ersetzen zwar keine dedizierte ASM-Lösung, leisten jedoch einen wichtigen Beitrag zu den IT- und Sicherheitsprozessen eines Unternehmens.

CAASM-Tools sind in der Praxis auf Daten aus der Asset Discovery, dem IT Asset Management (ITAM), dem Schwachstellen- und Patch-Management angewiesen – ohne diese Grundlage können sie nicht wirksam arbeiten. Ebenso ergänzt EASM die zuvor genannten Threat-Intelligence- und Security-Testing-Services.

Wie identifiziere ich die physische Angriffsfläche meines Unternehmens?

Die erste zentrale Komponente der physischen Angriffsfläche überschneidet sich mit der digitalen Angriffsfläche Ihres Unternehmens. Dies wird als Endgeräte-Angriffsfläche bezeichnet. Sie setzt sich im Wesentlichen aus allen Endgeräten zusammen, die sich mit Ihrem Netzwerk verbinden: Desktop-Rechner, Laptops, mobile Geräte und IoT-Geräte. Die Tools und Methoden, mit denen Sie Ihre digitale Angriffsfläche identifizieren, lassen sich auch hier einsetzen.

Die zweite zentrale Komponente Ihrer physischen Angriffsfläche umfasst Büros, Rechenzentren und andere Unternehmensstandorte. Viele der Methoden, die Sie bereits zur Absicherung Ihrer digitalen Angriffsfläche einsetzen, lassen sich auch hier anwenden – etwa im Rahmen physischer Penetrationstests, wie sie Teil des Red Teaming sind.

Wie identifiziere ich die menschliche Angriffsfläche meines Unternehmens?

Die menschliche Angriffsfläche lässt sich am Organigramm ablesen: Jeder, der auf sensible Informationen zugreifen oder diesen Zugriff steuern kann – ob intern oder extern –, beeinflusst direkt das Risiko Ihres Unternehmens. Nicht nur Mitarbeitende, auch Partner oder Dienstleister gehören dazu: Jeder, der sensible Informationen einsehen oder den Zugriff darauf blockieren kann, beeinflusst die menschliche Angriffsfläche Ihres Unternehmens.

Red Teaming – eine Methode zur Identifizierung von Elementen sowohl der digitalen als auch der physischen Angriffsfläche – kann auch genutzt werden, um eine wesentliche Komponente der menschlichen Angriffsfläche sichtbar zu machen: die Anfälligkeit von Mitarbeitenden für Social Engineering.

Unsachgemäß vergebene Benutzerrechte zählen zu den Hauptfaktoren der menschlichen Angriffsfläche. Um ihre Bestandteile zu identifizieren, sollten Sie analysieren, welche Personen Zugriff auf welche Systeme und Daten haben – und in welchem Umfang.

Ich habe die Angriffsfläche meines Unternehmens identifiziert. Wie geht es weiter?

Die Identifizierung Ihrer Angriffsfläche ist der erste Schritt auf dem Weg zum eigentlichen Ziel: der Behebung jener Schwachstellen, die das größte Risiko für Ihr Unternehmen darstellen. Dieser ganzheitliche Prozess wird als Exposure Management bezeichnet.

Attack Surface Discovery bildet, wie wir gesehen haben, einen der Grundsteine Ihrer Sicherheitsstrategie: Nur was Sie kennen, können Sie auch schützen. Exposure Management fügt einen weiteren Grundpfeiler hinzu: die Bestimmung Ihrer Risikobereitschaft. Sie gibt an, wie viel Risiko Ihr Unternehmen bereit ist zu tragen, um seine Ziele zu erreichen. (Nutzen Sie hierfür gerne unsere anpassbare Vorlage für Ihre Erklärung zur Risikobereitschaft.)

Sobald diese beiden Grundlagen stehen, können Sie die Schwachstellen Ihrer Angriffsfläche einschätzen: Wie hoch ist das Risiko für Ihr Unternehmen und passt es zu Ihrer Risikobereitschaft? Unser Leitfaden zur objektiven Cyber-Risikobewertung geht darauf im Detail ein.

Die Schwachstellen, die außerhalb Ihrer Risikobereitschaft liegen, haben oberste Priorität für die Behebung. So können Sie Ihre Maßnahmen gezielt dort konzentrieren, wo sie den größten Nutzen bringen.

Warum Sie Angriffe auf die Software-Lieferkette nicht länger ignorieren dürfen

Mon, 05 May 2025 12:34:43 Z

Der Report zum Stand der Cybersicherheit 2025 von Ivanti zeigt, dass sich nur jedes dritte Unternehmen ausreichend darauf vorbereitet fühlt, Bedrohungen in der Software-Lieferkette abzuwehren. Da Angreifer verstärkt Schwachstellen in Abhängigkeiten von Drittanbietern ins Visier nehmen, drohen Angriffe auf die Software-Lieferkette zu einem ernsten Schwachpunkt der Cybersicherheit zu werden – insbesondere, wenn Unternehmen dieses Risiko weiterhin unterschätzen.

Das steigende Risiko von Angriffen auf die Software-Lieferkette

Die Angriffsfläche vergrößert sich stetig, und ein wichtiger Vektor dieser Expansion sind die Software-Lieferketten der Unternehmen. Fortschrittliche Unternehmen verlassen sich auf zahlreiche Softwareanwendungen, Tools und Abhängigkeiten innerhalb ihrer eigenen technischen Infrastruktur. Laut einem Report von BetterCloud nutzt ein Unternehmen im Durchschnitt 112 SaaS-Anwendungen – Tendenz steigend. Dieses digitale Ökosystem wird zunehmend komplexer: Jede einzelne Anwendung weist im Schnitt rund 150 Abhängigkeiten auf – 90 % sind indirekter Natur. Genau hier liegt ein enormes Risiko, denn gerade diese indirekten Abhängigkeiten sind für die überwiegende Mehrheit der bekannten Schwachstellen verantwortlich.

Die Zahl der Angreifer, die es auf Abhängigkeiten von Drittanbietern abgesehen haben, hat in den letzten Jahren rapide zugenommen. 75 % der allen Software-Lieferketten werden im Jahr 2024 Angriffe melden. Auch die Bedrohungen innerhalb der Software-Lieferkette sind deutlich raffinierter geworden. Angreifer nutzen gezielt jede noch so kleine Schwachstelle im Code von Drittanbietern aus. Gleichzeitig stehen Sicherheitsteams vor der Herausforderung, die Vielzahl an eingesetzten Softwarekomponenten vollständig und zuverlässig zu überprüfen – was angesichts der wachsenden Komplexität zunehmend schwerfällt.

Die Cybersecurity-Studie von Ivanti ergab, dass 84 % der Führungskräfte in Unternehmen die Überwachung der Software-Lieferkette zwar für „sehr wichtig“ halten. Dennoch hat nahezu die Hälfte (48 %) bislang keine klare Sicht auf die anfälligsten Komponenten in der eigenen Lieferkette. Diese Nachlässigkeit kann teuer werden – sowohl finanziell als auch in Bezug auf die Reputation des Unternehmens.

Häufige Arten von Angriffen auf die Software-Lieferkette

Nach Angaben von Gartner erleben 45 % der Unternehmen bis 2025 einen Angriff auf die Software-Lieferkette. Im Folgenden finden Sie einen kurzen Überblick über die häufigsten Schwachstellen in der Software-Lieferkette, auf die Angreifer abzielen:

Zu den häufigsten Angriffsszenarien in der Lieferkette zählen Upstream-Server-Angriffe. Dabei manipulieren Cyberkriminelle eine vorgelagerte Quelle – etwa ein öffentliches Code-Repository – und platzieren dort Schadcode. Über nachgelagerte Prozesse wie automatische Updates gelangt dieser dann unbemerkt in die Systeme der Endnutzer. Die Gefahr: Der Angriff erfolgt verdeckt und wirkt sich erst viel später in der Lieferkette aus.
Midstream-Angriffe beziehen sich auf Vorfälle, bei denen Angreifer nicht die ursprüngliche Codebasis, sondern Zwischensysteme wie Software-Entwicklungswerkzeuge kompromittieren.
Angriffe zur Verwechslung von Abhängigkeiten versuchen, einen Entwickler oder ein System dazu zu verleiten, eine kompromittierte Software-Abhängigkeit von einer externen Quelle herunterzuladen. Zu den gängigen Angriffsmethoden gehört die Verwendung eines Namens für den Upload einer bösartigen Software, der einer vertrauenswürdigen internen Bibliothek ähnelt. Die bösartige Version wird oft anstelle der legitimen Abhängigkeit in den Software-Build integriert.
Angriffe auf Code-Signing-Zertifikate treten auf, wenn Hacker bösartige Software in digitale Code-Signing-Zertifikate einschleusen, die die Sicherheit und Authentizität der Software überprüfen sollen. Diese Angriffe erfolgen, wenn Angreifer die Entwicklungsumgebung durch Social Engineering oder eine andere Taktik kompromittieren.
Angriffe auf CI/CD-Infrastruktur zielen auf automatisierte Entwicklungspipelines ab, indem sie Malware einschleusen, z.B. indem sie authentische GitHub-Repositorys für bösartige Zwecke klonen.

Jüngste Beispiele für Angriffe auf die Lieferkette

Die reale Bedrohungslage zeigt sich deutlich in den Schlagzeilen der letzten Jahre. Nachfolgend sind einige prominente Angriffe auf die Software-Lieferkette aufgeführt, die international Aufmerksamkeit erregt haben.

Okta Social-Engineering-Angriff
- Im Oktober 2023 kam es bei Okta, einem Anbieter von Identitäts- und Zugriffsmanagementdiensten, zu einer schwerwiegenden Datenverletzung in seinem Kundensupportsystem, nachdem vier verschiedene Okta-Kunden Opfer von Social-Engineering-Angriffen auf ihren IT-Service-Desk wurden. Die Angreifer lancierten mit diesen administrativen Zugangsdaten mehrere Downstream-Angriffe, die zu einem unbefugten Zugriff auf die Daten von Tausenden Okta-Kunden führten, darunter 1Password, BeyondTrust und Cloudflare.
Kaseya Ransomware-Angriff
- In diesem Fall vom Juli 2021 nutzten Hacker sechs Zero-Day-Schwachstellen im Kaseya Remote-Management-Tool aus und verwendeten diese Schwachstellen, um über ein Software-Update eine bösartige Ransomware-Nutzlast zu verteilen, die Hunderte von Managed Service Providern (MSPs) und deren Kunden infizierte. Der Angriff legte den Betrieb von fast 2.000 Unternehmen weltweit lahm und sorgte für Schlagzeilen, als die Angreifer ein Lösegeld in Höhe von 70 Millionen Dollar forderten (das letztendlich nicht gezahlt wurde).
Codecov CI/CD-Angriff
- Im Januar 2021 infiltrierten bösartige Akteure das beliebte Code-Testing-Tool Codecov, das zu diesem Zeitpunkt von über 29.000 Kunden genutzt wurde. Die Angreifer verschafften sich unbefugten Zugriff auf das Bash-Uploader-Skript von Codecov und schleusten bösartigen Code ein, der dann von Codecov-Kunden in ihren CI/CD-Pipelines verwendet wurde. Codecov entdeckte und meldete den Angriff erst im April 2021 – was bedeutet, dass diese bösen Akteure möglicherweise monatelang Zugriff auf sensible Daten in Tausenden von Kundensystemen hatten.
- Jeder dieser Angriffe auf die Lieferkette hatte kaskadenartige, weitreichende Folgen – sowohl für den kompromittierten Anbieter als auch für dessen tausende Kunden und darüber hinaus.

Schwerwiegende Auswirkungen von Angriffen auf die Lieferkette

Das Ausmaß des Schadens, der durch Angriffe auf die Software-Lieferkette entsteht, kann nicht unterschätzt werden. Jeder der oben genannten Angriffe führte zu erheblichen finanziellen und rufschädigenden Schäden und veranlasste viele Unternehmen, ihren Ansatz zur Sicherheit von Anbietern zu überdenken.

Finanzielle Auswirkungen

Cybersecurity Ventures prognostiziert, dass die jährlichen Kosten von Angriffen auf die Software-Lieferkette für Unternehmen bis 2031 auf 138 Milliarden Dollar ansteigen werden, gegenüber 60 Milliarden Dollar im Jahr 2025. Diese Verluste reichen von entgangenen Einnahmen über Kosten für die Behebung von Mängeln bis hin zu Anwalts- und Gerichtskosten und möglichen Strafen für die Nichteinhaltung von Vorschriften. Nach der Datenpanne von 2023 fielen die Okta-Aktien um 11 %. Nach einer weiteren großen Datenschutzverletzung im Jahr 2022 wurde Okta von den betroffenen Aktionären verklagt und zur Zahlung von 60 Millionen Dollar verpflichtet.

Operative Auswirkungen

Angriffe auf die Lieferkette können bei Tausenden von Kunden zu Unterbrechungen und Systemabschaltungen führen, die kritische Abläufe zum Stillstand bringen und Verzögerungen verursachen, die sich wiederum auf andere Anbieter auswirken. Sehen wir uns nur einige der Institutionen an, die von der Kaseya Sicherheitsverletzung betroffen sind. In Schweden war ein großer Lebensmitteleinzelhändler gezwungen, 800 Geschäfte über das Wochenende zu schließen, und auch bei der staatlichen Eisenbahn kam es zu Unterbrechungen. Elf Schulen und mehr als 100 Kindergärten in Neuseeland mussten ebenfalls alle Online-Aktivitäten einstellen und auf Stift und Papier zurückgreifen, bis der Vorfall behoben werden konnte.

Reputationsschaden

Eine öffentlich beschädigte Reputation kann ein Unternehmen in Bezug auf das Vertrauen seiner Kunden und Aktionäre zurückwerfen. Unternehmen riskieren infolge solcher Vorfälle den Verlust von Lieferanten und Kunden, mit denen sie über Jahre hinweg vertrauensvolle Beziehungen aufgebaut haben. Ein prominentes Beispiel dafür ist der Angriff auf die weit verbreitete Unternehmenskommunikationssoftware 3CX im März 2023: Hacker schleusten bösartigen Code direkt in die Anwendung ein. In der Folge könnten sensible Daten von über 600.000 Kunden kompromittiert worden sein. Der Vorfall sorgte monatelang für negative Schlagzeilen und löste öffentlich spürbare Reaktionen aus – ein erheblicher Reputationsschaden für das Unternehmen.

Wer übernimmt die Verantwortung? Technische Verbindlichkeiten und gemeinsame Verantwortung

Da erwartet wird, dass die Bedrohungen in der Software-Lieferkette immer häufiger und schwerwiegender werden, ist es für Unternehmen unerlässlich, klare Verantwortlichkeiten festzulegen und strenge Best Practices für die Sicherheit von Drittanbietern und die Cybersicherheit der Software-Lieferkette zu befolgen.

Wer ist für die Software-Sicherheit verantwortlich?

Derzeit fehlt es vielen Unternehmen an strengen und standardisierten Prozessen zur Bewertung der Sicherheit von Drittanbietern. Ferner sind sich viele Kunden und Anbieter nicht einmal darüber einig, wer für die Verwaltung der Sicherheit von Drittanbietersoftware verantwortlich ist.

Der Trend-Report zum Stand der Cybersicherheit hat Unternehmen mit verschiedenen Niveaus von Cybersicherheitsfähigkeiten untersucht, um unsere Cybersecurity Maturity Scale zu entwickeln. Diese Skala reichte von weniger ausgereiften Unternehmen (Stufe 1 und STufe 2) bis hin zu Unternehmen mit fortgeschrittenen Cybersicherheitsfähigkeiten (Stufe 4).

Unsere Analyse zeigte: Vor allem weniger ausgereifte Unternehmen gingen davon aus, dass die Verantwortung für Cybersicherheit ausschließlich beim Softwareanbieter liegt. Im Gegensatz dazu vertraten besonders gut vorbereitete Unternehmen ein differenzierteres Verständnis – sie sahen die Verantwortung als gemeinsame Aufgabe von Anbieter und Kunden.

Wie Sie sich vor Bedrohungen der Software-Lieferkette schützen können

Die Sicherheit der Software-Lieferkette ist ein wichtiger Bestandteil einer umfassenden und proaktiven Cybersicherheitsstrategie.

Um Ihre Software-Lieferkette zu stärken und sich gegen potenzielle Angriffe zu verteidigen, müssen Unternehmen alle Drittanbieter und Komponenten als einen erweiterten Teil ihrer gesamten Angriffsfläche betrachten. Damit Sie potenzielle Bedrohungen in Ihrer Software-Lieferkette frühzeitig erkennen und wirksam darauf reagieren können, haben wir im Folgenden die wichtigsten Handlungsempfehlungen für Ihr Unternehmen zusammengefasst.

1. Strenges Lieferantenmanagement und Risikobewertung

Führen Sie eine Due-Diligence-Prüfung durch, bevor Sie sich mit Softwareanbietern zusammenschließen. Suchen Sie nach Anbietern, die die Branchenstandards einhalten und eine Richtlinie zur Offenlegung von Schwachstellen veröffentlichen. Regelmäßige Audits, Code-Reviews und eine proaktive Bewertung sowohl durch den Anbieter als auch durch den Kunden sind der Schlüssel zur Risikominderung.

Unsere Untersuchung zeigt: Unternehmen mit dem höchsten Reifegrad im Bereich Cybersicherheit kommen ihrer Sorgfaltspflicht bei der Bewertung der Sicherheitsstandards von Drittanbietern am konsequentesten nach.

Einbeziehung von Fragebögen zur Sicherheitsbewertung (SAQs) in ihre Bewertung.
Berücksichtigung der Sicherheitszertifizierungen von Anbietern wie ISO 27001 und SOC 2.
Überprüfung der branchenspezifischen Compliance-Standards.
Sicherstellung, dass die Anbieter über Reaktionspläne und Prozesse verfügen, um mit potenziellen Sicherheitsverletzungen umzugehen.
Anforderung einer Software Bill of Materials (SBOM), um die in ihrer Software verwendeten Open-Source- und Drittanbieterkomponenten zu verstehen.

2. Kontinuierliche Überwachung und proaktive Abhilfemaßnahmen für alle Abhängigkeiten

Der Einsatz automatisierter Tools und Prozesse zur Bedrohungserkennung ist entscheidend, um sämtliche Softwarekomponenten kontinuierlich zu überwachen und zu bewerten., insbesondere bei Open-Source-Softwarekomponenten, werden oft übersehen und stellen ein großes Risiko für Schwachstellen dar, wenn sie nicht regelmäßig überwacht und aktualisiert werden.

KI- und Automatisierungstools können in Echtzeit Einblicke in die Leistung von Geräten, Anwendungen und Netzwerken liefern – und so potenzielle Probleme frühzeitig erkennen. Selbstreparierende Systeme und automatisierte Lösungen zur Fehlerbehebung ermöglichen es, Störungen effektiv zu beheben – mit minimalem oder ganz ohne menschliches Eingreifen.

3. Regelmäßige Kommunikation mit Drittanbietern

Ein Eckpfeiler der gegenseitigen Verantwortung für die Sicherheit der Software-Lieferkette ist eine häufige, offene Kommunikation zwischen Kunden und Drittanbietern. Sicherheits- und IT-Teams müssen über alle Software-Updates, Patches zur Behebung bekannter Schwachstellen und neu auftretende Sicherheitsbedrohungen informiert sein.

Erfahren Sie mehr über die Sicherheit der Software-Lieferkette

Sie wollen mehr erfahren? Lesen Sie den vollständigen Trend-Report zum Stand der Cybersicherheit und erhalten Sie fundierte Einblicke in die dringendsten Cyberbedrohungen unserer Zeit – sowie in wirksame Strategien für ein proaktives und nachhaltiges Risikomanagement.

So setzen Sie quantitative Risikobewertungen in die Praxis um

Tue, 15 Apr 2025 13:50:58 Z

Quantitative Risikobewertung ist ein objektiver Ansatz für die Risikoanalyse – aber das Risiko zu verstehen, ist nur der erste Schritt. In diesem Artikel wird erläutert, wie die Ergebnisse interpretiert und diese Erkenntnisse in einer realen Umgebung in sinnvolle Entscheidungen umgesetzt werden können.

(Dieser Artikel behandelt zwar nicht die Durchführung einer quantitativen Risikoanalyse, jedoch können Sie den Prozess in unserem Leitfaden zur datengestützten Risikobewertung ausführlich nachlesen.)

Risikoquantifizierung verstehen

Das Wichtigste zuerst: Was ist eine quantitative Risikobewertung überhaupt?

Was ist Risikobewertung?

Die quantitative Risikobewertung (Quantitative Risk Assessment, kurz QRA) weist einem Cybersicherheitsrisiko auf der Grundlage seiner potenziellen Auswirkungen und Wahrscheinlichkeit einen finanziellen Wert zu. Es wird die Frage gestellt: Wenn dieses Asset durch diese Schwachstelle gefährdet ist, welche Kosten entstehen uns dadurch? Im Gegensatz zu qualitativen Methoden, die Risiken nach Schweregraden einteilen, liefert ein quantitativer Ansatz ein objektiveres Bild.

Warum ist dies von Bedeutung? Qualitative Bewertungen von Cybersicherheitsrisiken lassen wesentlich mehr Raum für Interpretationen. Die Übersetzung von Risiken in die Sprache des Unternehmens – also in Euro und Cent – beseitigt einen Großteil dieser Unklarheiten und hilft Führungskräften außerhalb des Sicherheitsbereichs zu verstehen, was ein „hohes“ Risiko im jeweiligen Kontext wirklich bedeutet.

Wie lässt sich die Risikobewertung in die übergeordnete Cybersicherheitsstrategie integrieren?

Die Quantifizierung von Risiken ist ein essenzielles Instrument für das Risikomanagement, jedoch nicht das Endziel. Stattdessen bildet es die Grundlage für Entscheidungen zur Risikominderung.

Wenn Sie beispielsweise das Risiko wie folgt darstellen können: „1,5 Millionen Dollar potenzielle Schäden durch die Verwendung unverschlüsselter Cloud-Kommunikation durch einen Lieferanten“, wird es einfacher, Ihre Optionen zur Reaktion auf dieses Risiko abzuwägen. Darauf gehen wir später in diesem Artikel noch näher ein.

Interpretation der quantitativen Risikoanalyse: Schlüsselelemente

Es gibt einige wesentliche Elemente einer quantitativen Risikoanalyse, die für die Interpretation der Ergebnisse von Bedeutung sind.

Asset-Wert (Asset Value, kurz AV): Der Wert des zu schützenden Assets für Ihr Unternehmen.
Exposure-Faktor (Exposure Factor, kurz EF): Der Prozentsatz des Wertes des Assets, der verloren gehen oder beeinträchtigt werden kann, wenn das Risiko eintritt.
Jährliche Verlusterwartung (Annualized Rate of Occurrence, kurz ARO): Wie häufig Sie davon ausgehen, dass das Risiko jährlich eintritt. (Bei Risiken, die weniger als einmal pro Jahr eintreten, kann dieser Wert unter 1 liegen.)

Anhand dieser drei Zahlen können Sie Folgendes berechnen:

Einzelverlustrisiko (Single Loss Expectancy, kurz SLE): Der finanzielle Wert, der bei einem einzelnen Bedrohungsereignis verloren gehen würde, wenn das Risiko eintritt. Sie berechnen diesen Wert anhand der Formel AV x EF.
Jährliche Eintrittswahrscheinlichkeit (Annual Loss Expectancy, kurz ALE): Der finanzielle Wert, der jährlich verloren gehen würde, wenn das Risiko eintritt. Sie berechnen diesen Wert anhand der Formel SLE x ARO.
Übriger ALE: Der finanzielle Wert, der jährlich verloren gehen würde, wenn das Risiko nach Anwendung von Risikominderungsmaßnahmen eintritt. Solche Minderungsmaßnahmen reduzieren EF, ARO oder beides, die Berechnungen bleiben jedoch ansonsten unverändert.

ALE ist das Hauptergebnis der Risikoanalyse und die wichtigste Kennzahl, die Sie zur Bewertung Ihrer Optionen für die Risikoreaktion verwenden werden. Es handelt sich jedoch nicht um eine perfekte Zahl, weshalb es noch ein weiteres Schlüsselelement gibt: Unsicherheit.

AV, EF und ARO sind allesamt Schätzwerte. Im Idealfall handelt es sich um sehr genaue Schätzungen, die auf sorgfältigen Recherchen basieren, aber dennoch Schätzungen bleiben. Das Maß an Vertrauen, das Sie in diese Schätzungen setzen sollten, wird in der Regel durch einen Konfidenzgrad (z. B. 80 %) angegeben, gefolgt von einer Liste unbekannter Faktoren.

Wo die Theorie in die Praxis umgesetzt wird: Risikoreaktion

Bisher haben wir erläutert, wie eine quantitative Risikobewertung interpretiert wird. Der eigentliche Zweck der Risikoanalyse besteht jedoch darin, zu entscheiden, wie mit diesem Risiko umgegangen werden soll.

Alle Risikoreaktionen lassen sich grob in vier Kategorien einteilen: Vermeidung, Akzeptanz, Übertragung oder Minderung.

Vermeidung

Das Risiko zu vermeiden bedeutet, das Exposure vollständig zu beseitigen. Es ist die einzige Risikoreaktion, die das Risiko tatsächlich auf null reduziert. In der Praxis bedeutet dies, dass ein risikobehafteter Prozess oder ein risikobehaftetes System stillgelegt wird.

Vermeidung ist im Grunde eine extreme Maßnahme und nur selten durchführbar. Sie können etwa das Risiko von Phishing auf null reduzieren, indem Sie den gesamten externen E-Mail-Verkehr deaktivieren. Wenn Sie mit Angelegenheiten der nationalen Sicherheit befasst sind, könnte sich dies tatsächlich lohnen. Für den Rest von uns würde dies zu einem vollständigen Stillstand des Geschäftsbetriebs führen.

Ihre Risikoanalyse könnte diese Vorgehensweise in zwei Situationen unterstützen: wenn das ALE so extrem ist, dass keine Risikominderungsstrategie es auf ein akzeptables Niveau reduzieren kann, oder wenn es eine gleichwertige Alternative zum risikobehafteten Prozess oder System gibt, die den EF oder ARO auf null reduzieren würde.

Akzeptanz

Das Risiko zu akzeptieren bedeutet, sich dafür zu entscheiden, nichts zu unternehmen. Auch wenn dies auf den ersten Blick unvernünftig erscheinen mag, ist es eine Option, die ernsthaft in Betracht gezogen werden sollte.

Es gibt ein sehr einfaches Szenario, in dem die Akzeptanz des Risikos die beste Option ist: wenn die Kosten für die Risikominderung den Rest-ALE (d. h. den ALE nach der Risikominderung) übersteigen. In dieser Situation kostet es mehr, Ihr Unternehmen zu schützen, als es zu verlieren gibt.

Es gibt jedoch auch differenziertere Situationen, in denen das Akzeptieren sinnvoll sein kann. Diese berücksichtigen die Opportunitätskosten der Risikominderung, unabhängig davon, ob diese sich ausschließlich auf das Sicherheitsteam oder auf das gesamte Unternehmen beziehen.

Kein Sicherheitsteam verfügt über unbegrenzte Ressourcen. Die Akzeptanz ist eine angemessene (wenn auch unbequeme) Option, wenn die Entscheidung zur Risikominderung bedeutet, dass Ressourcen von der Bewältigung eines schwerwiegenderen Risikos abgezogen werden müssen. Insbesondere wenn die Risikominderungsstrategie sehr manuell ist und viele Arbeitsstunden erfordern würde: Was wird derzeit nicht durchgeführt, damit die Mitarbeiter ihre Zeit für diese Aufgabe nutzen können?

Es sind auch weiterreichende Opportunitätskosten zu berücksichtigen, nämlich die Chancen, auf die das Unternehmen verzichten müsste, um das Risiko zu mindern oder zu vermeiden. Mit anderen Worten: Eine Akzeptanz kann sinnvoll sein, wenn die unternehmerische Gelegenheit größer ist als die ALE. Dies könnte beispielsweise der Fall sein, wenn Sie ein Rechenzentrum im Ausland eröffnen, um Cloud-Dienste für einen neuen Markt bereitzustellen. Obwohl dies neue Sicherheitsrisiken mit sich bringt, gibt es einen klaren geschäftlichen Vorteil.

Übertragung

Risikoübertragung bedeutet, die Verantwortung auf eine andere Partei zu übertragen, in der Regel auf eine Cybersecurity-Versicherung. Allgemein gesprochen ist die Übertragung des Risikos auf eine Versicherung eine Option, wenn die Versicherungskosten geringer sind als Ihr ALE – allerdings gibt es einige Einschränkungen.

Erstens deckt eine Versicherung lediglich die finanziellen Kosten eines Sicherheitsvorfalls ab. Sicherheitsvorfälle können aber auch rechtliche und rufschädigende Folgen haben. Wenn Ihr ALE diese Schäden berücksichtigt und ihnen einen Dollarwert zugewiesen hat (was im Idealfall der Fall war), müssen Sie diesen Betrag aufschlüsseln, um nur die unmittelbaren finanziellen Kosten zu betrachten. Die Übertragung des Risikos ist sinnvoll, wenn das finanzielle Risiko hoch ist, die rechtlichen Risiken und Reputationsrisiken jedoch gering sind.

Zweitens wird die Versicherung mit ziemlicher Sicherheit verlangen, dass Sie bestimmte Sicherheitskontrollen einrichten, und sie könnte auch die Haftung für wiederkehrende Vorfälle ausschließen. Dies bedeutet, dass Sie die Kosten für diese Kontrollen zu den Versicherungskosten hinzufügen müssen, wodurch sich möglicherweise Ihre Berechnung ändern wird. Es bedeutet auch, dass die Übertragung des Risikos auf eine Versicherung nur eine vorübergehende Maßnahme für ein Risiko mit einem hohen ARO sein kann.

Minderung

Die Minderung ist Ihre proaktivste Maßnahme, bei der Sie das Risiko durch die Anwendung von Sicherheitskontrollen, das Patchen von Schwachstellen, die Korrektur von Fehlkonfigurationen usw. reduzieren.

Die Minderung beseitigt Ihr Risiko nicht vollständig – dies ist nur durch die vollständige Vermeidung des Risikos möglich. Stattdessen senkt die Minderung Ihr Risiko, indem Sie Maßnahmen ergreifen, um Ihre EF, Ihre ARO oder beides zu reduzieren. Anschließend können Sie einen neuen ALE berechnen, der als Rest-ALE bezeichnet wird.

Im Allgemeinen ist das Mindern eine sinnvolle Option, wenn die Differenz zwischen dem ursprünglichen ALE und dem verbleibenden ALE größer ist als die Kosten für die Schadensminderung.

Einbeziehung der Risikobereitschaft (oder Umgang mit Sonderfällen)

Nicht jede Risikobewertung bietet Ihnen eine eindeutige Entscheidung für eine bestimmte Reaktion. Es wird immer Fälle geben, in denen die Unterschiede zwischen zwei Optionen gering sind oder die Unsicherheit hoch ist. Die Berücksichtigung der Risikobereitschaft wird Ihnen dabei helfen, diese Sonderfälle besser zu verstehen. Die Risikobereitschaft ist in der Regel nicht Bestandteil einer Risikoanalyse, stellt jedoch einen nützlichen Rahmen für die Interpretation dieser Analyse dar.

(Falls Ihr Unternehmen seine Risikobereitschaft noch nicht dokumentiert hat, können Sie diese editierbare Vorlage für eine Erklärung zur Risikobereitschaft als Ausgangspunkt verwenden.)

Risikobereitschaft bezeichnet das Maß an Risiko, das ein Unternehmen zur Erreichung seiner Ziele bereit ist, einzugehen. Eine hohe Risikobereitschaft bedeutet, dass Sie bereit sind, höhere Risiken für möglicherweise höhere Erträge einzugehen, während eine geringe Risikobereitschaft bedeutet, dass Sie es vorziehen, Risiken so weit wie möglich zu reduzieren. Risikobereitschaft besteht in mehreren Dimensionen: Möglicherweise haben Sie eine hohe Risikobereitschaft in Bezug auf operationelle Risiken, aber eine geringe Risikobereitschaft in Bezug auf Compliance-Risiken.

Innerhalb jeder dieser Dimensionen (Sicherheitsrisiko, Compliance-Risiko, Innovationsrisiko usw.) sind mehrere wichtige Faktoren zu berücksichtigen:

Risikokapazität ist der maximale Risikobetrag, den ein Unternehmen tragen kann und der in der Regel durch finanzielle Ressourcen, operative Fähigkeiten und regulatorische Beschränkungen bestimmt wird.
Risikotoleranz ist eine akzeptable Abweichung vom Zielwert.
Risikoschwellenwerte sind „rote Linien“, die auf die Notwendigkeit einer Strategieänderung hinweisen.

Die Grenze zwischen Toleranz und Kapazität oder sogar zwischen verschiedenen Toleranzgraden kann Ihnen dabei helfen, Grauzonen zu klären, in denen unklar ist, welche Risikoreaktion angemessen ist.

Erkenntnisse in Maßnahmen umwandeln

Das Verständnis einer quantitativen Risikobewertung ist nur der erste Schritt – der wahre Wert liegt in der Nutzung dieser Erkenntnisse, um Maßnahmen zu ergreifen. Ob Risikovermeidung, -akzeptanz, -übertragung oder -minderung – das Ziel ist immer dasselbe: Sicherheitsrisiken gegen geschäftliche Prioritäten abzuwägen, damit Sie entschlossen handeln können.

Wie IT-Führungskräfte „Secure-by-Design“-Softwareversprechen bewerten können

Mon, 24 Feb 2025 16:48:45 Z

Mit Genehmigung von CIO.com erneut veröffentlicht.

Dass die Bedrohungen aus dem Internet immer weiter zunehmen, ist längst bekannt. Laut dem Internet Crime Complaint Center des FBI stiegen die Kosten für gemeldete Cyberkriminalität in den USA im letzten Jahr um 22 % auf mehr als 12,5 Milliarden US-Dollar. Ein großes Problem sind Schwachstellen, die durch traditionelle Ansätze bei der Programmierung und Sicherheit in der Software erhalten geblieben sind. Um diesen Risiken entgegenzuwirken, gibt es mittlerweile eine gezielte Initiative, Software zu entwickeln, die von Grund auf sicher gestaltet (Secure by Design) ist. Die US-Behörde für Cybersicherheit und Infrastruktursicherheit (Cybersecurity and Infrastructure Security Agency, CISA) hat beispielsweise eine Reihe von Maßnahmen skizziert, die Anbieter ergreifen können, um nachzuweisen, dass sie die „Secure by Design“-Prinzipien anwenden.

Ohne durchsetzbare Standards und klare Messgrößen können IT- und Sicherheitsverantwortliche schlecht beurteilen, ob und wie Anbieter den Secure-by-Design-Ansatz tatsächlich umsetzen. Folgende Punkten sollten Sie genauer betrachten:

Integration von „Secure by Design“-Praktiken in Risikobewertungen

Die Risikobewertung von Anbietern ist bei Unternehmen ein bewährtes Verfahren, um potenzielle Gefahren im Zusammenhang mit den Produkten und Aktivitäten eines Lieferanten zu identifizieren und zu bewerten. IT- und Sicherheitsverantwortliche können diesen Prozess nutzen, um sich auf Secure-by-Design-Prinzipien und -Praktiken zu konzentrieren, sagt Michael Riemer, Field Chief Information Security Officer bei Ivanti.

„Für uns als Softwarehersteller bedeutet das, dass wir die volle Verantwortung für unsere eigenen Produkte übernehmen“, sagt Michael Riemer. „Man betrachtet die gesamte Architektur der Lösung und berücksichtigt die Sicherheit in allen Bereichen, wie Architekturdesign, Speicherung, Konnektivität, Nutzung usw.“

Im Rahmen der Risikobewertung sollten Unternehmen auch erwägen, einen SOC-2-Typ-2-Report anzufordern. Diese Art der Bewertung schafft mehr Vertrauen in die Art und Weise,wie ein Anbieter Kundendaten und -informationen schützt. Es handelt sich um ein externes Cybersicherheitsaudit, bei dem die internen Sicherheitskontrollen und -praktiken des Anbieters über einen längeren Zeitraum hinweg bewertet werden.

Hier sind einige zentrale Fragen, die jeder Anbieter beantworten können sollte:

Wie häufig führen Sie Penetrationstests durch?
Welche Arten von Penetrationstests werden durchgeführt?
Führen Sie sowohl statische als auch dynamische Code-Analysen durch?

Bewertung der Kodierungspraktiken

„Traditionelle Kodierungspraktiken folgen oft einem sequenziellen Ansatz: Ein Team arbeitet an einem Modul und übergibt es anschließend an das nächste Team. Dieser Ansatz führt jedoch dazu, dass Schwachstellen in der Codebasis unentdeckt bleiben können“, sagt Michael Riemer von Ivanti. „Die Umstrukturierung von Teams in „Pods“ oder Gruppen, mit jeweils eigenen Sicherheitsarchitekten, ermöglicht es, Schwachstellen von Anfang an zu identifizieren und zu beseitigen. Für Ivanti war dies eine große Veränderung“, berichtet Michael Riemer. „Die Zulieferer sollten in der Lage sein, diese organisatorischen Veränderungen und neuen Praktiken nachzuweisen.“

Bewertung der „Secure by Design“-Transparenz

Anbieter sollten ihre „Secure by Design“-Ziele transparent kommunizieren und belegen können, dass sie regelmäßig über entsprechende Metriken reporten oder dies in Zukunft planen. Gleichzeitig sollten Kunden die Fortschritte des Anbieters über dessen Softwaremodule tracken können.

„Wir haben uns konkrete Ziele gesetzt, eine Ausgangsbasis und Messgrößen festgelegt und haben seit Oktober 2024 vierteljährliche Aktualisierungen dieser Messgrößen veröffentlichen“, sagt Michael Riemer. „Wir verpflichten uns, unseren Fortschritt im Bereich Secure by Design konsequent zu tracken und voranzutreiben. Diese Metriken werden aufzeigen, welche Softwaremodule wir analysiert haben und wie gründlich diese Analysen durchgeführt wurden, um sicherheitsrelevante Kodierungspraktiken zu erkennen und zu beheben.“

Fazit

Unternehmens- und IT-Führungskräfte können die "Secure by Design"-Prinzipien nutzen, um die Fortschritte ihrer Softwarelieferanten bei der Entwicklung von inhärent sicherem Code zu bewerten. Durch ‚Secure by Design‘ können diese Führungskräfte Geschäftsrisiken effektiv verringern.

Wie CIOs und CISOs gemeinsam die Produktivität und Sicherheit ihrer Mitarbeitenden steigern können.

Mon, 24 Feb 2025 16:48:41 Z

Mit Genehmigung von CIO.com erneut veröffentlicht.

Viele Unternehmen kämpfen immer noch damit, sich an flexible Arbeitsanforderungen anzupassen und gleichzeitig die Cybersicherheit des Unternehmens zu gewährleisten. Ein wesentlicher Grund dafür ist, dass CIOs und CISOs nicht immer einer Meinung sind, wie produktives und sicheres Arbeiten ermöglicht werden kann.

Flexible Arbeitsanforderungen bedeuten Veränderungen sowohl für ITOps- als auch für SecOps-Teams. In der Praxis agieren IT- und Sicherheitsteams oft separat – ohne eine gemeinsame Basis in Sachen Wissen, Daten, Zielen, Prioritäten und Arbeitsweisen. Beide Teams konzentrieren sich somit auf ihre eigenen Prioritäten, was jedoch dazu führt, dass Daten zur Produktivität und Sicherheit der Mitarbeitenden in isolierten Systemen bleiben.

„Kunden berichten uns, dass die Mitarbeitenden in den Bereichen IT und Sicherheit zwar theoretisch aufeinander abgestimmt sind, dies jedoch oft nur auf der C-Ebene“, sagt Corinna Fulton, Vice President Solutions Marketing bei Ivanti. „Es dringt jedoch nicht bis in die einzelnen Abteilungen durch, sei es in der Führungsebene, bei den Prozessen oder ähnlichem. Und der CIO sowie der CISO erkennen diese Diskrepanz oft nicht einmal.“

Die fehlende Abstimmung auf der Führungsebene schafft eine Trennung, die sich negativ auf die Mitarbeitererfahrung auswirkt. Ivantis Everywhere Work Report 2024 fand heraus, dass 40 % der Büroangestellten und 49 % der IT-Beschäftigten einen Arbeitsplatzwechsel in Erwägung ziehen würden, um mehr Freiheit bei der Arbeitsgestaltung zu erhalten. Dies zeigt, wie wichtig Flexibilität am Arbeitsplatz ist – insbesondere für jüngere Mitarbeitende. Nur 57 % der Büroangestellten berichten, dass sie problemlos auf die gleichen Tools zugreifen könnten, wenn sie morgen von einem anderen Ort aus arbeiten müssten. Dabei sind über 90 % der Führungskräfte der Ansicht, dass ihre Remote-Mitarbeitenden alles haben, was sie für ihre Produktivität benötigen. Es liegt noch viel Arbeit vor IT- und Sicherheitsverantwortlichen, um die Anforderungen der Mitarbeitenden und Führungskräfte an flexibles Arbeiten zu erfüllen.

Diese fortwährende Uneinigkeit führt unweigerlich zu Frustration, Sicherheitsschwachstellen und suboptimaler Produktivität. „Letztlich wirkt sich dies auf den Umsatz aus“, erklärt Corinna Fulton. „Der CIO und der CISO möchten verhindern, dass es so weit kommt.“

Wie CIOs und CISOs eine effektive Partnerschaft aufbauen können

Zur Integration von IT- und Sicherheitsstrategien und zur Förderung eines sicheren, produktiven und flexiblen Arbeitsumfelds können diese Führungskräfte mit sechs wesentlichen Maßnahmen starten:

Ermittlung der tatsächlichen Risiken im Zusammenhang mit flexibler Arbeit. Vor dem Hintergrund der Risikobereitschaft des Unternehmens sollten CIOs und CISOs klären, wie hoch das akzeptable Risiko ist, wie es minimiert werden kann und welche Prozesse zur Risikominderung gemeinsam festgelegt werden können. Diese Vereinbarung bildet die Grundlage für die Harmonisierung von IT- und Sicherheitszielen sowie -prioritäten, erklärt Corinna Fulton.
Festlegen gemeinsamer konkreter Standards und Metriken. Auf diese Weise können die Risiken des flexiblen Arbeitens bewertet werden. Ein einfaches Beispiel ist die „Lösungszeit“, die den Zeitraum von der Identifizierung eines Risikos (durch SecOps) bis zur vollständigen Behebung (durch ITOps) umfasst. Gemeinsames Handeln sorgt dafür, dass Führungskräfte koordiniert und effektiv reagieren können.
Bestandsaufnahmen der flexiblen Arbeitsinfrastruktur. Laut Corinna Fulton hat sich das IT-Asset-Management von einer bloßen Bestandsaufnahme zu einem Produktivitäts- und Sicherheitsfaktor entwickelt. Mit dem Wissen um den eigenen IT-Bestand lassen sich Schwachstellen frühzeitig identifizieren und gezielt beheben.
Abbau von Datensilos. Die Sichtbarkeit der wichtigsten Datenquellen ist von zentraler Bedeutung, damit IT- und Sicherheitsteams auf einen gemeinsamen Pool von Daten zugreifen können, die für die Produktivität und Sicherheit der Mitarbeitenden relevant sind. Bauen Sie so die Datensilos schrittweise ab..
Erstellung einer gemeinsamen Roadmap für IT-Sicherheit. Entscheiden Sie, wie und wann die gemeinsamen Ziele und Prioritäten umgesetzt werden sollen. Kommunizieren Sie diese Roadmap anschließend an beide Teams, um deren Verständnis zu fördern und sicherzustellen, dass alle auf dieselben Ziele hinarbeiten.
Berücksichtigung der Auswirkungen auf die Mitarbeitenden. Berücksichtigen Sie die Auswirkungen, die IT- und Sicherheitsrichtlinien auf die Mitarbeitenden haben. Die Ausrichtung auf die Bedürfnisse und Vorlieben der User ist der Schlüssel zur Optimierung der Mitarbeiterproduktivität und der Unternehmenssicherheit.

Fazit

CIOs und CISOs können aktiv Hindernisse für produktives und sicheres Arbeiten beseitigen, indem sie eine einheitliche Strategie und Struktur entwickeln, die eine erfolgreiche Zusammenarbeit innerhalb der Unternehmen ermöglicht.

Risikobereitschaft verstehen – ein wichtiger Bestandteil des Risikomanagements

Mon, 10 Feb 2025 14:44:03 Z

Risiken gehören zu jedem Unternehmen. Entscheidend ist, wie ein Unternehmen sie versteht und steuert.

Von operativen Herausforderungen bis hin zu Marktvolatilität, regulatorischen Veränderungen und technologischen Fortschritten sind Unternehmen mit einem Spektrum von Unsicherheiten konfrontiert, die entweder Wachstum generieren oder zu Verlusten führen können.

Um sie effektiv zu verwalten, muss ein Unternehmen ein Framework festlegen, das ihm hilft, zu bestimmen, wie viel Risiko es bereit ist, für seine Ziele zu akzeptieren. An dieser Stelle kommt das Konzept der „Risikobereitschaft“ ins Spiel.

Aber um seine Risikobereitschaft zu definieren, muss ein Unternehmen alle Risiken erkennen und verstehen, denen es ausgesetzt ist. Und für Sicherheitsteams, die den Grundstein für ihre Exposure Management-Strategie legen, ist die Definition der Risikobereitschaft ihres Unternehmens ein entscheidender Schritt.

Was ist Risikobereitschaft?

Risikobereitschaft bezeichnet das Maß an Risiko, das ein Unternehmen zur Erreichung seiner Ziele bereit ist, einzugehen. Die Definition setzt dem Unternehmen Grenzen in Bezug darauf, welche Risiken es in welchem Ausmaß eingehen wird. Eine hohe Risikobereitschaft bedeutet, dass man bereit ist, größere Risiken für möglicherweise höhere Belohnungen in Kauf zu nehmen, während eine niedrige Risikobereitschaft bedeutet, dass das Unternehmen es vorzieht, das Risiko so weit wie möglich zu reduzieren.

Stellen Sie sich ein Startup vor, das in wegweisende Forschung und Entwicklung investiert. Um bahnbrechende, disruptive Innovationen zu ermöglichen, nimmt es bewusst ein höheres Risiko in Kauf – in der Überzeugung, dass der potenzielle Erfolg die Unsicherheit rechtfertigt. Ein großes, etabliertes Unternehmen hingegen agiert meist vorsichtiger: Es setzt auf kontinuierliches Wachstum und meidet Vorhaben, die seine Marktstellung oder seine Reputation ernsthaft gefährden könnten

Die Risikobereitschaft ist sowohl quantitativ als auch qualitativ

Die Risikobereitschaft ist niemals statisch. Sie ist ein dynamisches Maß, das auf der Grundlage von Faktoren wie Branche, Unternehmensgröße und -gesundheit, strategischen Zielen, regulatorischen Anforderungen und dem allgemeinen Marktumfeld angepasst werden sollte.

Es geht auch nicht nur um Zahlen: Die Risikobereitschaft ist eine Mischung aus quantitativen und qualitativen Faktoren.

Einerseits kann ein Unternehmen messbare Kriterien haben, wie z.B. die Höhe der Verluste, die es zu tolerieren bereit ist, den Verschuldungsgrad und die angestrebte Kapitalrendite (Return on Investment, ROI). Es können auch subjektive Aspekte zu berücksichtigen sein, wie z.B. die potenziellen Auswirkungen auf die Reputation des Unternehmens, ethische Erwägungen und die Frage, inwieweit seine Entscheidungen mit seinen Grundwerten übereinstimmen.

Warum ist es wichtig, die Risikobereitschaft zu definieren?

Fast jedes Unternehmen, das erfolgreich sein will, muss kalkulierte Risiken eingehen. Aber ohne ein klares Verständnis seiner Risikobereitschaft kann es zu inkonsistenten, reaktiven oder übermäßig vorsichtigen Entscheidungen kommen. Das kann zu verpassten Chancen oder Geschäftseinbußen führen. Deshalb ist die Definition der Risikobereitschaft essenziell:

Strategie und Risikomanagement aufeinander abstimmen

Eine klar definierte Risikobereitschaft schafft einen strategischen Rahmen, der das Risikomanagement mit den übergeordneten Unternehmenszielen in Einklang bringt. Wenn ein Unternehmen weiß, wie viel Risiko es bereit ist zu akzeptieren, kann es gezielt Chancen ergreifen, die zu seiner Risikobereitschaft passen – und gleichzeitig solche vermeiden, die ein unangemessen hohes Risiko bergen.

Entscheidungsfindung verbessern

Die Definition der Risikobereitschaft ermöglicht es Führungskräften und Managern, fundierte Entscheidungen zu treffen, da sie genau wissen, was ein akzeptables Risiko darstellt. Sie legt auch die Erwartungen an die Risikobereitschaft und die Risikovermeidung im gesamten Unternehmen fest und hilft den Managern bei der Bewertung von Kompromissen zwischen Risiko und Prämie in verschiedenen Szenarien.

Vertrauen bei den Stakeholdern aufbauen

Eine klar definierte Risikobereitschaft gibt Investoren, Aufsichtsbehörden, Mitarbeitenden und anderen Stakeholdern die Gewissheit, dass das Unternehmen dem Risikomanagement Priorität einräumt. Sie zeigt auch einen methodischen, vertrauenswürdigen Ansatz, um Risiko und Belohnung gegeneinander abzuwägen, was das Vertrauen der Stakeholder weiter stärkt.

Konsistenz fördern

Wenn allen Mitarbeitenden im Unternehmen klar ist, welches Maß an Risiko vertretbar ist, fördert das konsistente Entscheidungen und ein abgestimmtes Vorgehen. Alle wissen, was als akzeptables Risiko gilt – die Wahrscheinlichkeit sinkt, dass Abteilungen aneinander vorbeiarbeiten oder sogar in entgegengesetzte Richtungen steuern. So könnte etwa die Rechtsabteilung ein ambitioniertes Vorhaben des Marketingteams ausbremsen, wenn kein gemeinsames Verständnis darüber besteht, welches Risiko tragbar ist.

Effektive Risikoüberwachung unterstützen

Wenn Unternehmen ihre Risikobereitschaft definieren, können sie Systeme einrichten, um das Risikoniveau im gesamten Unternehmen zu überwachen, von den Finanzen bis zum operativen Geschäft. So sind können sie potenzielle Probleme frühzeitig erkennen und sicherstellen, dass die Aktivitäten innerhalb der Grenzen dessen bleiben, was als sicher – oder zumindest akzeptabel – angesehen wird. Das Festlegen und Überwachen von Schlüssel-Risiko-Indikatoren (KRIs) liefert Frühwarnungen, wenn sich jemand diesen Grenzen zu sehr nähert.

Wie definiert ein Unternehmen seine Risikobereitschaft?

In der Regel tut ein Unternehmen dies, indem es eine Erklärung zur Risikobereitschaft (Risk Appetite Statement, RAS) verfasst. In den ersten Teilen eines RAS werden die strategischen Ziele des Unternehmens und die damit verbundenen Risiken dargelegt.

Ein Unternehmen möchte vielleicht der führende Softwareanbieter in seiner Branche werden. Sie sollten die strategischen Ziele auflisten, die für die Erreichung dieses Ziels entscheidend sind, und auch die damit verbundenen Risiken auflisten. Ivanti zum Beispiel bietet Cloud-basierte IT-Dienste und Sicherheitsmanagement-Lösungen an. Das bedeutet, dass im Rahmen unserer Risikobereitschaft alle mit diesem Geschäftsbereich verbundenen Risiken erfasst und dokumentiert werden müssen – einschließlich einer klaren Darstellung, wie wir mit diesen Risiken umgehen wollen.

Hier ist ein Beispiel dafür, wie ein Abschnitt einer Erklärung zur Risikobereitschaft für einen Softwareanbieter aussehen könnte:

Generelle Risikobereitschaft

[Unternehmen XYZ] verfolgt einen ausgewogenen Ansatz in Bezug auf Risiken und erkennt an, dass nicht alle Risiken gleich sind und dass ein gewisses Maß an Risiko notwendig ist, um unsere strategischen Ziele zu erreichen.

Innovationsrisiken Wir sind sehr risikobereit, wenn es darum geht, in fortschrittliche Technologien und innovative Lösungen zu investieren, die unsere Produkte von denen der Konkurrenz abheben. Wir sind uns bewusst, dass dies bedeutet, dass wir ein gewisses Maß an Ungewissheit bei der Forschung und Entwicklung und der Produktentwicklung in Kauf nehmen müssen.

Operative Risiken Wir haben eine geringe bis moderate Risikobereitschaft. Bei unserem Streben nach operativer Exzellenz setzen wir auf Initiativen, die die Effizienz und Servicequalität verbessern, ohne unsere Lieferstandards zu beeinträchtigen.

Sicherheitsrisiken Wir haben eine extrem geringe Risikobereitschaft für Sicherheitsbedrohungen und -verletzungen. Unser Engagement für Netzwerksicherheit und Datenschutz ist von höchster Bedeutung, und wir investieren viel in den Schutz unserer Systeme und der Daten unserer Kunden.

Compliance-Risiken Wir haben eine geringe Risikobereitschaft für die Nichteinhaltung von rechtlichen und regulatorischen Anforderungen. Die Einhaltung einschlägiger Gesetze, Standards und bewährter Verfahren in allen operativen Bereichen ist von entscheidender Bedeutung.

Generelle Risikobereitschaft [Unternehmen XYZ] verfolgt einen ausgewogenen Ansatz in Bezug auf Risiken und erkennt an, dass nicht alle Risiken gleich sind und dass ein gewisses Maß an Risiko notwendig ist, um unsere strategischen Ziele zu erreichen.
Innovationsrisiken	Wir sind sehr risikobereit, wenn es darum geht, in fortschrittliche Technologien und innovative Lösungen zu investieren, die unsere Produkte von denen der Konkurrenz abheben. Wir sind uns bewusst, dass dies bedeutet, dass wir ein gewisses Maß an Ungewissheit bei der Forschung und Entwicklung und der Produktentwicklung in Kauf nehmen müssen.
Operative Risiken	Wir haben eine geringe bis moderate Risikobereitschaft. Bei unserem Streben nach operativer Exzellenz setzen wir auf Initiativen, die die Effizienz und Servicequalität verbessern, ohne unsere Lieferstandards zu beeinträchtigen.
Sicherheitsrisiken	Wir haben eine extrem geringe Risikobereitschaft für Sicherheitsbedrohungen und -verletzungen. Unser Engagement für Netzwerksicherheit und Datenschutz ist von höchster Bedeutung, und wir investieren viel in den Schutz unserer Systeme und der Daten unserer Kunden.
Compliance-Risiken	Wir haben eine geringe Risikobereitschaft für die Nichteinhaltung von rechtlichen und regulatorischen Anforderungen. Die Einhaltung einschlägiger Gesetze, Standards und bewährter Verfahren in allen operativen Bereichen ist von entscheidender Bedeutung.

Das RAS sollte die Risiken definieren, die die größten Auswirkungen auf das Unternehmen haben würden, und nicht die alltäglichen Risiken, die einfach zum Geschäft gehören. Sie sollte mehrere Risikoszenarien berücksichtigen. So kann eine bestimmte Strategie beispielsweise Risiken in der Lieferkette mit sich bringen, wie z.B. die Auswirkungen der Bindung an einen Lieferanten oder die Gefahren der Regulierung, wenn ein Lieferant mit Kundendaten falsch umgeht.

Sie sollte auch die Höhe des finanziellen Risikos festlegen, das ein Unternehmen bereit ist, einzugehen. Wenn das Ziel darin besteht, ein neues Produkt oder eine neue Dienstleistung anzubieten, besteht immer die Gefahr, dass es auf dem Markt scheitert.

Komponenten der Risikobereitschaft

Dies sind die Schlüsselfaktoren, die bei der Festlegung der Risikobereitschaft berücksichtigt werden müssen:

Risikokapazität

Dies bezieht sich auf die maximale Menge an Risiko, die eine Organisation tragen kann. Dies hängt von den finanziellen Ressourcen, den operativen Fähigkeiten und den gesetzlichen Auflagen ab. Und die Risikokapazität unterscheidet sich von der Risikobereitschaft: Ein Unternehmen kann die Kapazität haben, ein bestimmtes Risikoniveau einzugehen, sich aber auf der Grundlage seiner Risikobereitschaft dagegen entscheiden.

Risikotoleranz

Während es bei der Risikokapazität darum geht, wie viel Risiko ein Unternehmen verkraften kann, ist die Risikotoleranz eine akzeptable Abweichung von diesem Ziel. Es kann sogar unterschiedliche Toleranzen für verschiedene Bereiche festlegen. Ein Unternehmen kann zum Beispiel gut darin sein, ein neues Produkt zu wagen, aber risikoscheu bei der Verwaltung von Kundendaten.

Risikogrenzen

Wir haben die Risikoüberwachung und die Key Risk Indicators (KRIs) bereits erwähnt, da sie dazu dienen, ein Unternehmen davor zu bewahren, Risikogrenzen zu überschreiten - die „roten Linien“, die ein zu hohes Risiko darstellen. Das Überschreiten einer Risikoschwelle könnte eine Änderung der Pläne, erhöhte Sicherheitsmaßnahmen oder sogar einen kompletten Stopp der Aktivitäten erfordern.

Mehr zum Thema: Ivanti Forschungsreport: Unterschiedliche Sichtweisen aufeinander abstimmen: Cyber-Risikomanagement in der C-Suite

Warum ist die Risikobereitschaft beim Exposure Management wichtig?

Früher war es viel einfacher, digitale Risiken zu minimieren als heute. Das liegt daran, dass sich die Angriffsflächen der meisten großen Unternehmen im Laufe der Zeit stark vergrößert haben. Immer mehr Geräte und Anwendungen, die von den Mitarbeitenden an immer mehr Orten genutzt werden, haben den Arbeitsplatz verändert und die digitale Bedrohungslandschaft erweitert.

Das ist einer der Gründe, warum die Ivanti-Untersuchung herausfand, dass mehr als die Hälfte der IT-Experten nicht sehr zuversichtlich sind, dass sie in den nächsten 12 Monaten einen schädlichen Sicherheitsvorfall verhindern können. Mehr als jeder Dritte gibt sogar an, dass er weniger gut darauf vorbereitet ist, Bedrohungen zu erkennen und auf Vorfälle zu reagieren als noch vor einem Jahr.

Das traditionelle Schwachstellenmanagement konzentriert sich seit Langem auf die reaktive Behebung von Schwachstellen in Software und Hardware und anderen CVEs, führt aber in der Regel nur sporadische Scans durch. Aber das heutige Cyberbedrohungsszenario erfordert einen neuen Ansatz.

Modernes Exposure Management konzentriert sich auf die kontinuierliche, proaktive Erkennung und Behebung von Risiken und Schwachstellen über die gesamte digitale Angriffsfläche hinweg. Unabhängig davon, ob sie von exponierten IT-Assets, ungesicherten Endgeräten und Anwendungen, cloudbasierten Ressourcen oder anderen Vektoren ausgehen. Warum sind Exposure Management und Risikobereitschaft so eng miteinander verknüpft?

Bewertung des Exposures anhand akzeptabler Risikowerte: Das Exposure-Management umfasst die Quantifizierung der mit verschiedenen Exposures verbundenen Risikowerte. Durch die Definition akzeptabler Risiken können Unternehmen die möglichen Auswirkungen verschiedener Risiken mit ihrer Risikobereitschaft vergleichen.
Risikobasierter Einsatz von Ressourcen: Unternehmen müssen priorisieren, welche Risiken die größte Gefahr für ihre Strategien darstellen – eine Einschätzung, die sie nur mit einem klaren Verständnis ihrer Risikobereitschaft treffen können. Durch diese Priorisierung können sie ihre Ressourcen auf die Minderung der kritischsten Risiken konzentrieren, häufig mithilfe eines fortschrittlichen RBVM-Tools.
Risikobereitschaft anpassen: Wenn sich das Geschäftsumfeld verändert oder neue Risiken auftreten, muss die Risikobereitschaft möglicherweise angepasst werden. Die Daten und Erkenntnisse, die Unternehmen im Rahmen ihres Risikomanagements gewinnen, helfen ihnen, fundierte Entscheidungen über solche Anpassungen zu treffen.
Compliance sicherstellen: In vielen Branchen gelten regulatorische Anforderungen zum Risikomanagement, die sich wiederum auf die Risikobereitschaft eines Unternehmens auswirken. Das Risikomanagement umfasst die Identifizierung und Bewältigung von Risiken, die zu Verstößen führen könnten.

Mehr zum Thema: Ivanti-Forschungsreport: Attack Surface Management – ASM

Betrachtung von Sicherheitsrisiken aus der Perspektive des Exposure Managements

Ein wesentlicher Unterschied zwischen dem Exposure Management und anderen Sicherheitsmaßnahmen besteht darin, dass das Exposure Management nicht nur die Priorisierung der Risiken umfasst, die das größte Risiko für das Unternehmen darstellen, sondern auch die aktive Definition der Risiken, die innerhalb der Risikotoleranz eines Unternehmens liegen. Beispielsweise könnte ein E-Commerce-Unternehmen bereit sein, erhöhte Sicherheitsrisiken in Kauf zu nehmen, um seine Website am Black Friday funktionsfähig zu halten – dieser Kompromiss lohnt sich für das Unternehmen.

Anstatt jedes potenzielle Risiko als Krise zu betrachten, die sofort behoben werden muss, sollten Unternehmen diese Risiken anhand der geschäftlichen Anforderungen priorisieren. In diesem Rahmen ist Risiko nicht per se negativ – entscheidend ist, wie man darauf reagiert, es steuert und eindämmt, um es auf ein vertretbares Maß zu bringen.

Best Practices für KI-Cybersicherheit: Bewältigung einer zweischneidigen Herausforderung

Thu, 17 Oct 2024 12:28:03 Z

Künstliche Intelligenz zeigt bereits ihr Potenzial, nahezu jeden Bereich der Cybersicherheit grundlegend zu verändern – sowohl im positiven als auch im negativen Sinne.

KI ist das sprichwörtliche zweischneidige Schwert: Sie kann einerseits als mächtiges Werkzeug zur Schaffung robuster Cybersicherheitsmaßnahmen dienen, andererseits aber auch als gefährliche Waffe zur Kompromittierung dieser Maßnahmen eingesetzt werden.

Warum ist KI-Sicherheit wichtig?

Angesichts der allgegenwärtigen Präsenz verschiedener KI-Iterationen in der globalen Wirtschaft liegt es in der Verantwortung von Unternehmen, die Chancen und Herausforderungen der KI-Cybersicherheit zu verstehen. Die missbräuchliche Nutzung durch böswillige Akteure sorgt bereits jetzt für Besorgnis

Laut McKinsey stieg die Einführung von KI in Unternehmen im Jahr 2024 auf 72 %, verglichen mit etwa 50 % in den Vorjahren in verschiedenen Regionen und Branchen. Die komplexe Natur und der enorme Datenbedarf von KI-Systemen machen sie jedoch auch zu Hauptzielen von Cyberangriffen. Eingabedaten können etwa für KI-Systeme bei gegnerischen Angriffen geschickt manipuliert werden, um falsche oder schädliche Ergebnisse zu erzielen.

Eine kompromittierte KI kann katastrophale Folgen haben, darunter Datenschutzverletzungen, finanzieller Verlust, Rufschädigung und sogar körperliche Schäden. Die Gefahr des Missbrauchs ist immens und unterstreicht die dringende Notwendigkeit solider KI-Sicherheitsmaßnahmen.

Eine Studie des World Economic Forum ergab, dass sich fast die Hälfte der Führungskräfte am meisten darüber Sorgen macht, wie KI das Risiko von Bedrohungen wie Phishing erhöhen wird. Der Cybersicherheitsbericht 2024 von Ivanti bestätigte diese Bedenken.

Trotz der Risiken ergab derselbe Ivanti-Bericht, dass IT- und Sicherheitsexperten die Auswirkungen der KI-Cybersicherheit weitgehend optimistisch einschätzen. Fast die Hälfte (46 %) ist überzeugt, dass es einen positiven Nettoeffekt gibt, während 44 % glauben, dass die Auswirkungen weder positiv noch negativ sein werden.

Weiterlesen: Bericht über den Stand der Cybersicherheit 2024 – Wendepunkt

Potenzielle KI-Cyberbedrohungen

KI führt neue Angriffsvektoren ein, die spezifische Abwehrmaßnahmen erfordern. Beispiele hierfür sind:

Hacking von Webseiten: Forscher haben herausgefunden, dass das große Sprachmodell von OpenAI als KI-Hacking-Agent umfunktioniert werden kann, der in der Lage ist, Webseiten autonom anzugreifen. Internetbetrüger brauchen keine Hacking-Fähigkeiten, sondern nur die Fähigkeit, die KI richtig dazu zu bringen, ihre schmutzige Arbeit zu erledigen.
Datenvergiftung: Angreifer können die Daten manipulieren, die zum Trainieren von KI-Modellen verwendet werden, sodass diese nicht mehr richtig funktionieren. Dies könnte das Einfügen gefälschter Datenpunkte beinhalten, die das Modell beeinflussen, um falsche Muster zu erlernen oder nicht vorhandene Bedrohungen zu priorisieren, oder das subtile Modifizieren vorhandener Datenpunkte, um das KI-Modell auf Ergebnisse auszurichten, die dem Angreifer zugutekommen.
Umgehungstechniken: KI könnte zur Entwicklung von Techniken verwendet werden, die der Erkennung durch Sicherheitssysteme entgehen, wie z. B. die Erstellung von E-Mails oder Malware, die für Menschen nicht verdächtig aussehen, aber Schwachstellen auslösen oder Sicherheitsfilter umgehen.
Fortgeschrittenes Social Engineering: Da eine KI große Datenmengen analysieren kann, kann sie Ziele anhand bestimmter Kriterien identifizieren, z. B. anhand von Schwachstellen in der Vergangenheit oder der Anfälligkeit für bestimmte Betrugsmaschen. Dann kann sie einen Angriff automatisieren und personalisieren, indem sie relevante Informationen aus Social-Media-Profilen oder früheren Interaktionen verwendet, damit der Angriff glaubwürdiger wird und den Empfänger eher täuscht. Außerdem kann eine generative KI Phishing-Nachrichten verfassen, die keine Grammatik- oder Stilfehler enthalten und daher glaubwürdig wirken.
Denial-of-Service-Angriffe (DoS): KI kann zur Orchestrierung großangelegter DoS-Angriffe eingesetzt werden, die schwieriger abzuwehren sind. Durch die Analyse von Netzwerkkonfigurationen können Schwachstellen erkannt und Botnets effektiver verwaltet werden, während sie versuchen, ein System mit Datenverkehr zu überlasten.
Deepfakes: KI kann überzeugende visuelle oder akustische Imitationen von Menschen für Identitätsdiebstahl erzeugen. Es könnte etwa die Stimme eines leitenden Angestellten imitieren, um Mitarbeitende dazu zu bringen, Geld auf betrügerische Konten zu überweisen, sensible Informationen wie Passwörter oder Zugangscodes weiterzugeben oder nicht autorisierte Rechnungen oder Transaktionen zu genehmigen. Wenn ein Unternehmen Spracherkennung in seinen Sicherheitssystemen einsetzt, könnte ein gut gemachter Deepfake diese Sicherheitsvorkehrungen überlisten und auf sichere Bereiche oder Daten zugreifen. Ein Unternehmen in Hongkong wurde durch einen Deepfake-Betrug um 26 Millionen Dollar erleichtert.

Eine subtile Bedrohung, die von KI ausgeht, ist Bequemlichkeit. Es besteht immer die Gefahr, dass man sich zu sehr auf KI-Systeme verlässt, was zu Nachlässigkeit bei der Überwachung und Aktualisierung führen kann. Eine der wichtigsten Maßnahmen zum Schutz eines Unternehmens vor KI-Problemen ist die kontinuierliche Schulung und Überwachung, unabhängig davon, ob KI im Bereich der Cybersicherheit oder in anderen Bereichen eingesetzt wird. Um sicherzustellen, dass die KI im besten Interesse des Unternehmens arbeitet, ist ständige Wachsamkeit erforderlich.

Video: Generative KI für Informationssicherheit und Hacker: Was Sicherheitsteams wissen müssen

Vorteile der KI-Cybersicherheit

Lösungen im Bereich der KI-Cybersicherheit bieten einem Unternehmen auf folgende Weise den größten Mehrwert:

Verbesserte Bedrohungserkennung

KI ist hervorragend darin, Muster in riesigen Datensätzen zu erkennen, um Anomalien, die auf Cyberangriffe hinweisen, mit beispielloser Genauigkeit zu erkennen. Während menschliche Analysten mit der Datenmenge oder den Warnmeldungen überfordert wären, verbessert KI die Früherkennung und Reaktion.

Verbesserte Reaktion auf Vorfälle

KI kann Routineaufgaben bei der Reaktion auf Vorfälle automatisieren, wodurch die Reaktionszeiten verkürzt und menschliche Fehler minimiert werden. Durch die Analyse vergangener Vorfälle kann KI auch potenzielle Angriffsvektoren vorhersagen, sodass Unternehmen ihre Abwehrmaßnahmen verstärken können.

Risikobewertung und -priorisierung

KI kann die Sicherheitslage eines Unternehmens bewerten, Schwachstellen identifizieren und die Priorisierung von Abhilfemaßnahmen. Dies hilft, die Ressourcenverteilung zu optimieren und sich auf kritische Bereiche zu konzentrieren.

Sicherheitsüberlegungen für verschiedene Arten von KI

Die mit KI verbundenen Sicherheitsherausforderungen variieren je nach Art der eingesetzten KI.

Wenn ein Unternehmen generative KI einsetzt, sollte es besonderes Augenmerk auf den Schutz der Trainingsdaten legen, Manipulationen am Modell verhindern und geistiges Eigentum sichern.

Bei schwacher (oder „eingeschränkter“) KI wie Chatbots im Kundensupport, Empfehlungssystemen (wie Netflix), Bilderkennungssoftware, Fließband- und Operationsrobotern sollte das Unternehmen der Datensicherheit, der Robustheit gegenüber Angriffen und der Erklärbarkeit Priorität einräumen.

Autonome „starke“ KI (auch bekannt als Artificial General Intelligence – AGI) ist bislang noch ein Konzept in Entwicklung und existiert derzeit nicht. Sollte es jedoch Realität werden, müssen Unternehmen ihren Fokus auf robuste Kontrollmechanismen legen und sich intensiv mit existenziellen Risiken sowie den ethischen Auswirkungen auseinandersetzen.

Video: Wie man das IT-Servicemanagement mit generativer KI transformiert

Neueste Entwicklungen in der KI-Cybersicherheit

Die rasante Entwicklung der KI fördert auch bedeutende Fortschritte in der KI-gestützten Cybersicherheit, darunter:

Generative KI-Bedrohungsmodellierung: KI-Cybersicherheitstools können Angriffsszenarien simulieren, um Unternehmen dabei zu helfen, Schwachstellen proaktiv zu finden und zu reparieren.
KI-gestützte Bedrohungssuche: KI kann Netzwerkverkehr und Systemprotokolle analysieren, um böswillige Aktivitäten und potenzielle Bedrohungen zu erkennen.
Automatisierte Reaktion auf Vorfälle: KI-Cybersicherheitslösungen können routinemäßige Aufgaben zur Reaktion auf Vorfälle automatisieren, wie z. B. die Isolierung kompromittierter Systeme und die Eindämmung von Bedrohungen.
KI zur Bewertung von Schwachstellen: Kann Software-Code analysieren, um mögliche Schwachstellen zu finden, damit Entwickler sicherere Anwendungen erstellen können.

Kurse zur KI-Cybersicherheit

Investitionen in die KI-Cybersicherheit sind für die Weiterbildung von Arbeitskräften, die wissen, wie man diese Tools einsetzt, von entscheidender Bedeutung. Zahlreiche Online-Plattformen und Universitäten bieten Kurse zu verschiedenen Aspekten der KI-Sicherheit an, von Grundlagenwissen bis hin zu fortgeschrittenen Themen.

Führende Anbieter von Cybersicherheitslösungen bieten eine Vielzahl von Kursen und Schulungen an, um Ihrem Team die Fähigkeiten zu vermitteln, die es benötigt, um Ihre Plattform optimal zu nutzen.

Best Practices für die KI-Cybersicherheit

Die Umsetzung einer umfassenden Strategie zur praktischen Anwendung von KI für die Cybersicherheit ist essenziell.

1. Legen Sie Richtlinien für das Datenmanagement und den Datenschutz fest

Legen Sie zu Beginn des Adoptionsprozesses solide Richtlinien zur Datenverwaltung fest, die die Anonymisierung und Verschlüsselung von Daten und vieles mehr abdecken. Beziehen Sie alle relevanten Stakeholder in diesen Prozess ein.

2. Machen Sie Transparenz bei KI zur Pflicht

Entwickeln oder lizenzieren Sie KI-Modelle, die klare Erklärungen für Ihre Entscheidungen liefern können, anstatt „Black-Box“-Modelle zu verwenden. So können Sicherheitsexperten nachvollziehen, wie die KI zu ihren Schlussfolgerungen gelangt, und potenzielle Verzerrungen oder Fehler identifizieren. Diese „Glasbox“-Modelle werden von Fiddler AI, DarwinAI, H2O.ai und IBM Watson-Tools wie AI Fairness 360 und AI Explainability 360 bereitgestellt.

3. Legen Sie den Fokus auf ein starkes Datenmanagement

KI-Modelle sind auf die Qualität der für das Training verwendeten Daten angewiesen. Stellen Sie sicher, dass Sie vielfältige, genaue und aktuelle Daten verwenden, damit Ihre KI effektiv lernen und Bedrohungen erkennen kann.
Ergreifen Sie strenge Sicherheitsmaßnahmen, um die Daten zu schützen, die für die Schulung und den Betrieb eines KI-Modells verwendet werden, da einige davon möglicherweise sensibel sind. Jegliche Verstöße könnten das System gefährden, die Effektivität der KI beeinträchtigen oder Schwachstellen verursachen.
Achten Sie auf mögliche Verzerrungen in Ihren Trainingsdaten. Verzerrungen können dazu führen, dass die KI bestimmte Arten von Bedrohungen priorisiert oder andere übersieht. Überwachen und verringern Sie regelmäßig Verzerrungen, um sicherzustellen, dass Ihre KI objektive Entscheidungen trifft.

Mehr zum Thema: Die Bedeutung präziser Daten für die optimale Nutzung von KI

4. Rüsten Sie KI-Modelle mit „Adversarial Training“ aus

Setzen Sie KI-Modelle während der Trainingsphase böswilligen Eingaben aus, damit sie in der Lage sind, feindliche Angriffe wie Datenvergiftung zu erkennen und ihnen entgegenzuwirken.

5. Implementieren Sie eine kontinuierliche Überwachung

Führen Sie kontinuierliche Überwachungs- und Bedrohungserkennungssysteme durch, um Voreingenommenheit und Leistungsabfall zu erkennen.
Verwenden Sie Anomalieerkennungssysteme, um ungewöhnliches Verhalten in Ihren KI-Modellen oder Netzwerkverkehrsmustern zu erkennen und so potenzielle KI-Angriffe zu erkennen, die versuchen, Daten zu manipulieren oder Schwachstellen auszunutzen.
Trainieren Sie Ihre KI-Cybersicherheitsmodelle regelmäßig mit neuen Daten und aktualisieren Sie die Algorithmen, um sicherzustellen, dass sie auch gegen neu auftretende Bedrohungen wirksam bleiben.

6. Vernachlässigen SIe nicht den Faktor Menschen

KI ist nicht unfehlbar. Behalten Sie die menschliche Aufsicht bei, indem Sicherheitsexperten die KI-Ergebnisse überprüfen und validieren. So können potenzielle Verzerrungen, falsch positive Ergebnisse oder manipulierte Daten, die von der KI möglicherweise generiert werden, rechtzeitig erkannt werden.

7. Führen Sie regelmäßige Tests und Audits durch

Überprüfen Sie Ihre KI-Modelle regelmäßig auf Schwachstellen. Wie jede Software können auch KI-Cybersicherheitsprodukte Schwachstellen aufweisen, die Angreifer ausnutzen könnten. Es ist wichtig, sie sofort zu patchen.
KI-Modelle können Fehlalarme erzeugen und nicht vorhandene Bedrohungen identifizieren. Verwenden Sie Strategien, um Fehlalarme zu minimieren und zu vermeiden, dass Sicherheitsteams mit irrelevanten Warnmeldungen überhäuft werden.
Führen Sie regelmäßige Sicherheitstests Ihrer KI-Modelle durch, um Schwachstellen zu identifizieren, die Angreifer ausnutzen könnten. Penetrationstests, die speziell für KI-Systeme entwickelt wurden, können sehr wertvoll sein.

8. Erstellen Sie einen Notfallplan

Erstellen Sie einen umfassenden Plan zur Reaktion auf Vorfälle, um KI-bezogene Sicherheitsvorfälle effektiv zu bewältigen.

9. Stellen Sie die Schulung Ihrer Mitarbeitenden in den Vordergrund

Informieren Sie Ihre Mitarbeitenden über die mit KI verbundenen Risiken und darüber, wie Social-Engineering-Taktiken eingesetzt werden könnten, um sie dazu zu manipulieren, die Sicherheit von KI-Systemen oder Daten zu gefährden.
Führen Sie Red-Team-Übungen durch, die KI-gestützte Angriffe simulieren, um Ihre Sicherheitslage zu testen und Schwachstellen zu erkennen, die Angreifer ausnutzen könnten.
Arbeiten Sie mit Branchenexperten und Sicherheitsforschern zusammen, um über die neuesten KI-Bedrohungen und bewährte Verfahren zu deren Bekämpfung auf dem Laufenden zu bleiben.

10. Risikomanagement für KI von Drittanbietern einführen

Prüfen Sie die Sicherheitspraktiken von Drittanbietern von KI sorgfältig. Teilen sie Daten mit anderen Parteien oder verwenden sie öffentliche Datensätze? Befolgen sie die „Secure by Design“-Prinzipien?

11. Andere Best Practices

Integrieren Sie Ihre KI-Lösung in Feeds für Bedrohungsdaten, damit sie Echtzeit-Bedrohungsdaten einbeziehen und neuen Angriffsvektoren immer einen Schritt voraus sein kann.
Stellen Sie sicher, dass Ihre KI-Lösung den relevanten Branchenstandards und -vorschriften entspricht. Dies ist in bestimmten Branchen vorgeschrieben. In der Automobil- und Fertigungsbranche muss eine KI beispielsweise die ISO 26262 für die funktionale Sicherheit von Kraftfahrzeugen, die Datenschutz-Grundverordnung (DSGVO) für den Datenschutz und die Richtlinien des National Institute of Standards and Technology einhalten. KI im Gesundheitswesen muss dem Health Insurance Portability and Accountability Act in den USA, der DSGVO in Europa und den FDA-Vorschriften für KI-basierte medizinische Geräte entsprechen.
Tracken Sie Kennzahlen wie Erkennungsraten von Bedrohungen, falsch-positive Ergebnisse und Reaktionszeiten. Auf diese Weise erfahren Sie, wie effektiv Ihre KI ist und in welchen Bereichen Verbesserungen möglich sind.

Erfolg durch einen ausgewogenen Ansatz

das sich in das spannende Feld der KI-gestützten Cybersicherheit wagt, ist ein ausgewogener Ansatz entscheidend. Nutzen Sie die vielfältigen Vorteile der KI, behalten Sie jedoch auch ihre Grenzen und potenziellen Sicherheitsrisiken im Blick.

Wie jede Technologie ist auch KI nicht von Natur aus gut oder schlecht; sie wird sowohl von wohlwollenden als auch von böswilligen Akteuren eingesetzt. Behandeln Sie KI immer wie jedes andere Tool: Schätzen Sie, was sie leisten kann, aber behalten Sie im Blick, was sie auch bewirken könnte.

Lesen Sie: Ivantis Einstellung zur künstlichen Intelligenz

Wie EASM Ihre Schwachstellen aufdeckt

Fri, 11 Oct 2024 13:26:38 Z

Mit wenigen Ausnahmen sind Unternehmen jeder Größe vom Internet abhängig. Daher ist es unerlässlich, die externe Angriffsfläche zu verwalten und zu schützen.

Die externe Angriffsfläche eines Unternehmens besteht aus der Gesamtheit der möglichen Einfallstore, über die ein unbefugter User auf eine IT-Umgebung zugreifen kann. Dies umfasst alles von Websites, Webanwendungen und APIs bis hin zu Remote-Zugriffspunkten und Cloud-Diensten.

Die Größe der Angriffsfläche hängt von der Art des einzelnen Unternehmens und dem Umfang ihres digitalen Fußabdrucks ab. Durch den Wechsel in die Cloud und die Vielzahl neuer digitaler Berührungspunkte haben sich die externen Angriffsflächen der meisten Unternehmen vergrößert.

Das externe Angriffsflächenmanagement (External Attack Surface Management – EASM) spielt eine große Rolle bei der Stärkung der Sicherheit von Unternehmen und der Minderung von Risiken. Da Sichtbarkeit die Grundlage für optimalen Schutz ist, bieten die EASM-Tools Unternehmen ein Verständnis für ihre externen Angriffsflächen, indem sie alle mit dem Internet verbundenen Assets identifizieren, klassifizieren und überwachen.

Auf diese Weise versorgen sie Cybersicherheitsteams mit den Informationen, die sie benötigen, um Schwachstellen zu beheben und sich präventiv vor potenziellen Bedrohungen zu schützen.

Weitere Informationen: Was ist eine Angriffsfläche?

Gründe für die Einführung von EASM

Es gibt mehrere Gründe, warum sich immer mehr Unternehmen für EASM-Lösungen entscheiden. Dazu gehören die alarmierenden Beispiele vergangener Misserfolge.

So nutzte beispielsweise der WannaCry-Angriff im Jahr 2017 die Schwachstelle EternalBlue in Microsoft Windows aus und verschlüsselte Dateien auf rund 230.000 Computern weltweit. Und Hacker forderten Lösegeld in Bitcoin von prominenten Opfern, darunter Unternehmen wie Telefónica. Durch ein wirksames Management der externen Angriffsfläche hätte die Schwachstelle identifiziert und repariert werden können, wodurch Verstöße verhindert worden wären.

Eine kurze Bestandsaufnahme der Gründe für die zunehmende Akzeptanz von EASM:

Zunehmende Bedrohungen der Cybersicherheit: Seit WannaCry hat sich viel getan, da die Bedrohungen immer ausgefeilter und häufiger werden und Cyberkriminelle sich konstant weiterentwickeln, um Schwachstellen in Zugangskontrollen auszunutzen. EASM-Lösungen helfen Unternehmen, dies zu mildern, indem sie kontinuierlich überwachen, um proaktiv auf verdächtige Aktivitäten zu reagieren.
Immer komplexere IT-Umgebungen: Dazu gehören lokale Systeme, Cloud-Dienste, mobile Geräte und sogar die Nutzung von BYOD nach der Pandemie. Die Sicherung von Assets in so unterschiedlichen Umgebungen und die Einhaltung von Vorschriften sind ohne eine EASM-Lösung, die eine schnelle und zuverlässige Erkennung ermöglicht, eine Herausforderung.
Anforderungen an die Einhaltung von Vorschriften: Diese betreffen in erster Linie den Datenschutz und die Datensicherheit und werden immer strenger. Die Einhaltung von DSGVO, HIPAA, PCI DSS und anderen Vorschriften, die strenge Zugriffskontrollen, Offenlegung und Inventarisierung von Assets vorschreiben, ist schwierig. EASM-Lösungen bieten die Tools, die Unternehmen dabei helfen, bei Prüfern einen guten Eindruck zu hinterlassen.
Zunehmendes Risiko durch Drittanbieter: Viele Unternehmen verlassen sich auf Drittanbieter und Lieferanten, was jedoch zusätzliche Sicherheitsrisiken mit sich bringt. EASM-Lösungen helfen bei der Bewertung und Verwaltung der Sicherheitslage von Drittanbietern, der Überwachung ihrer externen Angriffsflächen und der Einhaltung von Sicherheitsstandards und -vorschriften.
Phishing- und Social-Engineering-Angriffe: Angreifer nutzen diese Techniken häufig, um externe Sicherheitslücken auszunutzen. EASM-Lösungen helfen Unternehmen dabei, Phishing-Domains zu überwachen, gefälschte Websites zu identifizieren und potenzielle Angriffe auf Mitarbeitende und Kunden zu erkennen.

Weitere Informationen: 8 bewährte Verfahren zur Reduzierung der Angriffsfläche Ihres Unternehmens

Das Wesentliche von EASM

Das externe Angriffsflächenmanagement beruht auf einem proaktiven Ansatz, während traditionelle Sicherheitsmaßnahmen erst dann auf Bedrohungen reagieren, wenn diese in ein System eingedrungen sind. EASM zielt darauf ab, unbefugten Zugriff im Voraus zu stoppen, indem fortschrittliche Tools eingesetzt werden, um die externe Angriffsfläche kontinuierlich auf Schwachstellen zu analysieren.

Die Einführung von EASM unterscheidet sich von der Integration eines Netzwerk- oder clientbasierten Sicherheitsprodukts, bei dem der Großteil der Umgebung bekannt ist. Das externe Angriffsflächenmanagement ist das Gegenteil: Sein Hauptanwendungsfall besteht darin, Unbekanntes zu entdecken und mehr darüber zu erfahren.

Ferner ist die EASM ein kontinuierlicher Prozess. Der digitale Fußabdruck eines Unternehmens entwickelt sich ständig weiter, da neue Dienste hinzugefügt und alte abgeschafft werden und die mit dem Internet verbundenen Assets dynamisch sind. Die externe Angriffsfläche variiert ebenfalls, was ständige Verwaltungs- und Sicherheitsupdates erforderlich macht.

Wie EASM Ihre Angriffsfläche reduziert

Der erste Schritt besteht darin, nach außen gerichtete Assets zu identifizieren. Eine leistungsfähige EASM-Lösung crawlt (also durchsucht) beispielsweise das Internet nach diesen, nachdem ein User einfach einen Seed-Domainnamen eingegeben hat.

Beachten Sie, dass „crawlen" der richtige Begriff ist, nicht „scannen“, da letzteres mit der Notwendigkeit einer Verbindung und Authentifizierung verbunden ist, um Assets zu entdecken. Im Fall von EASM liegt der Fokus auf allen öffentlich verfügbaren Daten und Assets.

Wenn diese Seed-Domain als Eingabe verwendet wird, führt ein EASM-Tool eine laterale und Sub-Domain-Ermittlung unter Verwendung öffentlich zugänglicher Quellen wie DNS, WHOIS, Certification Transparency Logs, Pressemitteilungen, Social-Media-Beiträge, Nachrichtenartikel, Blog-Beiträge und IP-ASN durch. Dies bietet eine umfassende Bestandsaufnahme aller Assets, die dem öffentlichen Internet ausgesetzt sind, unabhängig vom Netzwerk, Cloud-Anbieter oder Hosting-Konto.

Diese Grafik zeigt drei große Kategorien von Assets, die nach ihrer Sichtbarkeit und ihrem Exposure geordnet sind.

Die sichere Zone unten links ist der Bereich, in dem ein Unternehmen weiß, dass ein Asset existiert, auch wenn sie nicht sicher ist, ob es exponiert ist. Dies umfasst offizielle Domains, Subdomains, gültige Zertifikate usw.
Die nächste Zone ist weniger offensichtlich: Hier weiß ein Unternehmen möglicherweise, dass ein Asset vorhanden ist, weiß aber nicht, ob es exponiert ist, wie z. B. IPs auf der Sperrliste oder exponierte SSH-Instanzen.
Die Gefahrenzone ist der Bereich, in dem ein Unternehmen keine Kenntnis von einem Asset hat und daher auch nicht weiß, wie gefährdet es ist. Dies umfasst exponierte Entwicklungsumgebungen und Schatten-IT-Assets.

Eine gute EASM-Lösung kann einen schnellen und vollständigen Überblick über all diese Assets sowie Einblicke in ihre potenziellen Schwachstellen bieten. Sie kann bekannte Schwachstellen (CVEs), die auf NVD veröffentlicht wurden, sowie offene Ports, zahlreiche Softwareversionen, häufige Fehlkonfigurationen, Standardprüfungen von Anmeldeinformationen, geheime Schlüssel, ASNs, Programmier-Frameworks und vieles mehr identifizieren.

Wenn der Anbieter der Lösung für das externe Angriffsflächenmanagement eine Datenbank für Bedrohungsinformationen betreibt, kann er feststellen, welche dieser Schwachstellen kritisch sind und die größten Bedrohungen für ein Unternehmen darstellen, und diese werden dem User gemeldet.

Weitere Informationen: So ermitteln Sie die Angriffsfläche Ihres Unternehmens

Vorteile von EASM

Die Umsetzung einer effektiven EASM-Strategie und -Lösung bietet zahlreiche Vorteile:

Optimierte Cybersicherheit

Das Management externer Angriffsflächen reduziert das Risiko von Datenschutzverletzungen erheblich und schützt so sensible Informationen und das Vertrauen der Kunden. Außerdem hilft es einem Unternehmen, die mit diesen Verstößen verbundenen Kosten und Reputationsschäden zu vermeiden.

Verbesserte Compliance

Da immer mehr regulatorische und branchenübliche Compliance-Standards wie PCI, HIPAA und GDPR eingeführt werden, können die von EASM bereitgestellten Sicherheitsinformationen jegliche Verstöße aufdecken. Wenn ein Unternehmen beispielsweise die Geolokalisierung von Assets kennt, kann es die Einhaltung der Vorschriften in dieser Region sicherstellen.

Optimierte Sicherheitsabläufe

EASM kann Sicherheitsabläufe rationalisieren und optimieren, indem es einen klaren und präzisen Überblick über die externen Sicherheitslücken des Unternehmens bietet und so gezieltere und effizientere Sicherheitsmaßnahmen ermöglicht.

Risikomanagement durch Dritte

Unternehmen arbeiten oft mit einer Vielzahl von Drittparteien zusammen, darunter Lieferanten, Partner, Auftragnehmer und Berater. Eine EASM-Lösung kann Einblicke in die Lieferkettenrisiken und damit in die Bedrohungen für die Sicherheit eines Unternehmens bieten.

Bessere Lieferantenbeurteilung

Bevor ein Anbieter an Bord geholt wird, kann eine EASM-Lösung diskrete Berichte über das Cybersicherheitsrisiko des Anbieters erstellen. Eine Erweiterung dieses Anwendungsfalls ist die Durchführung einer Due-Diligence-Prüfung bei Fusionen und Übernahmen.

Sehen Sie es in Aktion: Ivanti Neurons for EASM

5 Wege zur sicheren Cloud

Mon, 16 Sep 2024 13:57:41 Z

Die Cloud zu nutzen ist für Unternehmen, die flexible Möglichkeiten zur Speicherung und Verwaltung von Anwendungen und komplexen Daten suchen, ohne an ein lokales Gerät und einen einzigen Standort gebunden zu sein, von entscheidender Bedeutung.

Die Cloud-Migration bietet viele überzeugende Vorteile, darunter:

Kostenersparnis durch den Wegfall erheblicher Vorabinvestitionen in Hardware.
Senkung der laufenden Wartungskosten.
Unterstützung eines nutzungsbasierten SaaS-Modells.
Skalierbare Ressourcen, angepasst an die aktuelle Unternehmensbedürfnisse
Optimierung der Infrastrukturausgaben.

Vorteile der Cloud als Treiber für die Einführung

Für überlastete IT-Teams erhöht die Einführung der Cloud die Flexibilität und Agilität und ermöglicht eine schnellere Bereitstellung von Anwendungen und Services. Sie bietet außerdem robuste Sicherheitsfunktionen, automatische Updates und Disaster-Recovery-Optionen, die die Datenintegrität und Geschäftskontinuität gewährleisten.

Die Cloud unterstützt die Zusammenarbeit und Remote-Arbeit, indem sie von überall aus Zugriff auf Daten und Anwendungen bietet und so Innovation und Produktivität fördert. Die Cloud-Migration von Unternehmen wird in diesem Jahr vermutlich nach weiter zunehmen. Laut IDC werden die weltweiten Ausgaben für öffentliche Cloud-Dienste im Jahr 2024 voraussichtlich 805 Milliarden US-Dollar erreichen und sich bis 2028 verdoppeln.

Die beschleunigte Einführung von Cloud-Lösungen wird durch die zunehmende Obsoleszenz von Vor-Ort-Lösungen und den Wunsch nach erhöhter Sicherheit vorangetrieben. Dieser Trend ist nicht auf kommerzielle Unternehmen beschränkt. Die US-Regierung hat die Cloud-Smart-Strategie eingeführt, um Bundesbehörden praktische Anleitungen zur umfassenden Nutzung von Cloud-Technologien zu bieten und gleichzeitig eine sichere und effiziente Umsetzung zu gewährleisten. Ferner schreibt die Executive Order 14028 die Nutzung sicherer Cloud-Services, Zero-Trust-Architektur, Multifaktor-Authentifizierung und Verschlüsselung vor. Diese Initiativen sollen die IT-Infrastruktur modernisieren, die Bereitstellung von Services verbessern und die Sicherheit von Daten und Systemen des Bundes gewährleisten.

Hauptgründe für Cloud-Migrationen

Aufgrund ihrer Skalierbarkeit, Flexibilität und Kosteneffizienz eignet sich die Cloud besonders gut für spezifische Anwendungen, darunter:

Webanwendungen: Die Cloud-Infrastruktur unterstützt eine dynamische Skalierung und ist daher ideal für Webanwendungen mit variablem Datenverkehr.
SaaS- und Streaming-Dienste: Allgegenwärtige Plattformen wie Netflix und Spotify nutzen die Cloud, um Millionen von Nutzern On-Demand-Inhalte jederzeit und ohne Unterbrechung bereitzustellen.
Tools für die Zusammenarbeit: Anwendungen wie Google Workspace und Microsoft 365 ermöglichen eine Zusammenarbeit und Remote-Arbeit in Echtzeit.
Softwareentwicklung und -tests: Entwickler können Umgebungen schnell einrichten und wieder entfernen, was agile Entwicklungsverfahren erleichtert.
Notfallwiederherstellung: Cloud-basierte Notfallwiederherstellungslösungen bieten im Vergleich zu herkömmlichen Methoden schnelle Wiederherstellungszeiten und Kosteneinsparungen.
Datenspeicherung und -sicherung: Cloud-Dienste bieten zuverlässige und skalierbare Speicherlösungen, die den Zugriff auf Daten und deren Sicherheit gewährleisten.
Big-Data-Analysen: Die Cloud bietet Zugriff auf die Rechenleistung, die für die effiziente Verarbeitung und Analyse großer Datenmengen erforderlich ist.

Sicherheitsherausforderungen und -lösungen bei einer Cloud-Migration

Eine Migration in die Cloud bietet viele Vorteile, wirft aber auch sicherheitsrelevante Fragen auf. Ein ausgewogenes Verhältnis zwischen Sicherheit und Zugänglichkeit in der Cloud herzustellen, ist essenziell, um geschäftskritische Anwendungen und Daten zu schützen und gleichzeitig eine positive Benutzererfahrung zu gewährleisten.

Unternehmen können diese fünf Strategien nutzen, um eine starke Sicherheitsarchitektur mit den Anforderungen an Barrierefreiheit zu vereinen:

1. Verfolgen Sie einen Zero-Trust-Ansatz für die Sicherheit

Dieses Modell geht davon aus, dass Bedrohungen sowohl von außen als auch von innen kommen können, und erfordert eine strenge Überprüfung und kontinuierliche Authentifizierung für jede Zugriffsanfrage. Bei richtiger Umsetzung kann Zero Trust einen problemlosen Zugang ermöglichen, ohne die Sicherheit zu beeinträchtigen.

2. Verwenden Sie eine rollenbasierte Zugriffssteuerung

Dies beschränkt den Zugriff auf Cloud-Ressourcen basierend auf definierten Benutzerrollen, reduziert das Risiko eines unbefugten Zugriffs und vereinfacht die Zugriffsverwaltung.

3. Automatisieren Sie Sicherheitsprozesse

Automatisierung setzt Sicherheitsrichtlinien konsequent um und ermöglicht eine sofortige Reaktion auf Bedrohungen. Gleichzeitig werden zeitaufwändige und fehleranfällige manuelle Prozesse eliminiert. Dadurch werden Sicherheitsteams entlastet und können sich auf strategischere Aufgaben konzentrieren.

4. Implementieren Sie eine Multifaktor-Authentifizierung

MFA bietet eine zusätzliche Sicherheitsebene, indem User mindestens zwei Verifizierungsfaktoren angeben müssen, um auf geschützte Cloud-Ressourcen zugreifen zu können. Moderne MFA-Lösungen, wie z. B. biometrische Authentifizierung, können schnell und benutzerfreundlich sein.

5. Setzen Sie kontinuierliche Überwachungs- und Reaktionsmaßnahmen ein

Dies hilft Sicherheitsteams, Vorfälle in Echtzeit zu erkennen und darauf zu reagieren. Automatisierte Warnmeldungen und Reaktionen können Bedrohungen eindämmen und die Verweildauer eliminieren, während sie gleichzeitig die Unterbrechung für den User auf ein Minimum reduzieren.

Trotz seiner ununterbrochenen Verbreitung ist Cloud-Computing für bestimmte Use Cases möglicherweise nicht besser geeignet als eine lokale Lösung. Branchen mit strengen, hochspezialisierten Anforderungen an Datensicherheit und Compliance, wie Banken und Versicherungen, bevorzugen beispielsweise häufig lokale Lösungen, um die vollständige Kontrolle über ihre Daten zu behalten. Unternehmen, die auf extrem niedrige Datenlatenz angewiesen sind – etwa solche, die Supercomputing oder spezielle Bare-Metal-Hardware nutzen – könnten lokale Lösungen als praktischer empfinden. Bei Bedenken bezüglich der Internetabhängigkeit werden lokale Bereitstellungen bevorzugt, da sie nur selten von Internetausfällen betroffen sind.

Letztendlich hängt die Entscheidung für eine Migration in die Cloud von Ihren spezifischen Bedürfnissen und Ihrem Kontext ab. Eine lokale Infrastruktur und Software kann für Sie von Vorteil sein, wenn Sie physische Kontrolle und Isolierung benötigen. Wenn jedoch Flexibilität, Skalierbarkeit und eine sichere Bereitstellung an jedem Ort gefragt sind, ist die Cloud die ideale Lösung.

Erfahren Sie mehr über Cloud-Migrationslösungen

Ivanti Neurons for Zero Trust Access (ZTA) integriert das Prinzip des geringsten Zugriffrechts, rollenbasierte Zugriffskontrolle, Verschlüsselung sowie Verhaltensanalysen von User und Einheiten zur Erkennung von Anomalien in einer einheitlichen Lösung, um Cloud-Anwendungen, Daten und Geräte von Unternehmen vor unbefugtem Zugriff und bösartigen Bedrohungen zu schützen.

Sie können ZTA mit anderen Cloud-fähigen Sicherheitslösungen auf der Ivanti-Neurons-Plattform kombinieren, darunter Neurons for risk-based vulnerability management“ und Multifaktor-Authentifizierung. Dadurch erhält Ihr Unternehmen jederzeit und überall sicheren Zugriff auf private, Cloud- und SaaS-Anwendungen.

Security by Default: Die entscheidende Ergänzung zu Secure by Design

Fri, 13 Sep 2024 12:00:00 Z

Ältere Cybersicherheitssysteme – von denen viele vor über einem Jahrzehnt entwickelt wurden – sind nicht auf die modernen Fähigkeiten und Schwachstellen heutiger Angreifer ausgelegt. Zudem berücksichtigen sie nicht die Abhängigkeit von der manuellen Konfiguration durch einen Menschen, die zur Schwachstelle vieler Softwareprogramme geworden ist.

Auf diese neue Realität wird mit dem Softwareentwicklungskonzept „Security by Default“ reagiert, einer notwendigen Ergänzung zu den „Secure by Design“-Prinzipien, die von der U.S. Cybersecurity & Infrastructure Security Agency (CISA) festgelegt wurden.

Die Secure-by-Design-Prinzipien legen den Fokus auf die eingebettete Sicherheit während des gesamten Software-Designs und der Entwicklung. „Security by Default“ stellt sicher, dass ein Produkt von Anfang an sicher ist – bereits zum Zeitpunkt des Zero-Day-Launches. Eine komplexe Einrichtung ist nicht erforderlich, da wesentliche Sicherheitsfunktionen wie sichere Protokollierung und Autorisierung bereits vorkonfiguriert sind.

Die Bedrohungen entwickeln sich weiter – und beschleunigen sich

Bis vor Kurzem hatten die meisten Systeme einen begrenzten „Explosionsradius“. Durch Firewalls geschützt, waren sie abgeschottet, sodass nur wenige ausgewählte Personen innerhalb einer Organisation darauf zugreifen konnten. Angreifern fehlte das offene Terrain, um nach Schwachstellen zu suchen. Ihre Angriffe konnten nicht automatisiert werden, und der gesamte Angriffsprozess – von der Entdeckung einer Schwachstelle über die Entwicklung eines Exploits bis hin zur Durchführung des Angriffs – dauerte oft Wochen oder sogar Monate.

Dies beschränkte nicht nur die Geschwindigkeit der Angriffe, sondern auch deren Umfang. Angreifer mussten Organisationen gezielt ins Visier nehmen und Wege finden, um spezifische Kontrollen zu umgehen. Die Gesamtzahl der Angriffe war gering, und selbst wenn sie stattfanden, blieben die Auswirkungen relativ begrenzt, da Angreifer viel Zeit und Arbeit investieren mussten.

Zum Thema: 8 Best Practices zur Verkleinerung der Angriffsfläche für Organisationen

Wenn wir von einer sich entwickelnden Cyber-Bedrohungslandschaft sprechen, ist das fast noch untertrieben, denn die natürliche oder auch technische Entwicklung war noch nie so schnell. In nur wenigen Jahren hat es sich in eine digitale Konfliktzone verwandelt, einen Krisenherd, der die schlecht Geschützten wie nie zuvor gefährdet.

Dies liegt daran, dass Angreifer drei entscheidende Entwicklungen für sich nutzen konnten:

Heutige Angreifer sind in der Lage, Schwachstellen blitzschnell zu Waffen zu machen, und KI-Tools erleichtern diesen Prozess zusätzlich. Die Zeiten langwieriger Offenlegungsfristen sind vorbei. Automatisierte Scan-Tools und Exploit-Kits, die im Dark Web leicht zugänglich sind, ermöglichen es selbst technisch weniger versierten Angreifern, in das Malware-Geschäft einzusteigen. Diese Entwicklung hat das Bedrohungspotenzial erheblich gesteigert und die Angriffsbarriere deutlich gesenkt. Zero-Day-Angriffe stellen ein zunehmendes Problem dar, da Angreifer immer raffinierter darin werden, Schwachstellen auszunutzen, bevor ein Patch verfügbar ist.
Die Einführung von Clouds hat eine größere Angriffsfläche geschaffen, da es aufgrund der verteilten Cloud-Infrastruktur schwierig ist, Daten zu sichern und zu überwachen. Das Modell der gemeinsamen Sicherheitsverantwortung zwischen Cloud-Anbietern und -Usern kann zu Schwachstellen führen, wenn es falsch konfiguriert oder nicht klar verstanden wird. Ferner sind Cloud-Anwendungen häufig auf APIs für die Kommunikation angewiesen, die bei unzureichender Absicherung Schwachstellen aufweisen können.
Traditionelle Sicherheitsmaßnahmen wie Firewalls und Antivirus-Programme können mit den modernen Bedrohungen nicht mehr Schritt halten. Firewalls können durch Social Engineering umgangen werden, während Antivirus-Programme Schwierigkeiten haben, brandneue Zero-Day-Bedrohungen zu erkennen. Der Sicherheitsansatz, der sich auf die lokale Umgebung vor Ort bezieht, ist im Cloud-Zeitalter überholt, und es ist entscheidend, die „Secure by Design“-Prinzipien in der gesamten IT-Infrastruktur umzusetzen.

Kriminelle sind bereit, Schwachstellen auszunutzen oder Angriffe zu starten, sobald ein Produkt aktiviert wird. Daher muss dieses Produkt über robuste Zero-Day-Verteidigungsmaßnahmen verfügen, die sofort wirksam werden, sobald es eingeschaltet und mit dem Unternehmensnetzwerk verbunden wird.

Zum Thema: Secure-by-Design-Prinzipien sind wichtiger denn je

Die drei Säulen von „Security by Default“

Die ordnungsgemäße Ausführung der „Security by Default“ beruht auf drei Grundpfeilern.

„Shift Left“-Sicherheit

Shift Left konzentriert sich darauf, Schwachstellen frühzeitig im Entwicklungsprozess zu erkennen. Entwickler müssen sicheren Code schreiben und dabei gängige Fehler vermeiden, die in Ressourcen wie den OWASP Top 10 (Sicherheitslücken in Webanwendungen) und CWE Top 25 (häufige Softwareschwachstellen) aufgeführt sind.

Ein passender Vergleich wäre die Präventivmedizin, bei der Wellnesspraktiken und Impfungen eine Person vor Krankheiten schützen können. Indem sich Entwickler von Anfang an auf sichere Programmierpraktiken konzentrieren, bauen sie Immunität und Widerstandsfähigkeit direkt in die Software ein.

Durchsetzung sicherer Konfigurationen

Wenn User ihre neue Software konfigurieren, freuen sich Hacker oft über die potenziellen Schwachstellen. Um Fehlkonfigurationen zu vermeiden, müssen Softwareanbieter standardmäßig sichere Konfigurationen durchsetzen. Dazu gehören Maßnahmen wie Multi-Faktor-Authentifizierung (MFA), Single Sign-on (SSO) sowie die Vermeidung von fest programmierten Zugangsdaten (Passwörtern oder Tokens) und Standardkonfigurationen, die Angreifern bereits bekannt sind.

Durch die Durchsetzung sicherer Konfigurationen wird eine konsistente Sicherheit bei allen Bereitstellungen gewährleistet, unabhängig von der Benutzererfahrung oder dem technischen Fachwissen der User. Gleichzeitig wird die Benutzererfahrung vereinfacht, da keine komplexen Konfigurationsentscheidungen getroffen werden müssen.

Sicherung der Software-Lieferkette

Ähnlich wie in der Automobil- und Luft- und Raumfahrtindustrie hat sich die moderne Softwareentwicklung in ein Fließband verwandelt, das stark auf Bibliotheken von Drittanbietern und Open-Source-Code angewiesen ist. Im Rahmen von „Security by Default“ müssen Entwickler besonders darauf achten, dass diese Komponenten sicher sind und keine Schwachstellen in die Software einführen.

Zum Thema: Das Secure-by-Design-Versprechen: Eine Verpflichtung zur Schaffung einer sichereren digitalen Zukunft

Security by Default messen

Heutzutage können Anbieter die Sicherheit eines Produkts durch Standardfunktionen wie Instrumente und Telemetrie überwachen. Befindet sich das Produkt vor Ort, müssen zur Aktivierung der Telemetrie allerdings Firewall-Ausnahmen geschaffen werden, damit die Daten das Netzwerk des Users verlassen können. In der Cloud ist es hingegen einfacher, Telemetriedaten direkt an den Anbieter zurückfließen zu lassen.

In beiden Fällen basiert dies auf gegenseitiger Zustimmung: Der Software-User muss die Standard-Telemetrie aktivieren, damit der Anbieter das Verhalten der Software überwachen und sicherstellen kann, dass die integrierten Sicherheitskontrollen ordnungsgemäß funktionieren. Der Vorteil dabei ist, dass der User nicht selbst eingreifen muss, um Sicherheitsfunktionen zu aktivieren. Ein Anbieter kann dies remote tun, sofern er die Zustimmung des Kunden hat.

Neuen Bedrohungen einen Schritt voraus sein

Selbst die besten und engagiertesten Cybersicherheitsexperten sind immer noch auf die verfügbaren Daten und Erkenntnisse angewiesen. So sind traditionelle Schwachstellenlisten wie die OWASP Top 10 und die CWE Top 25 zwar entscheidend für die Sicherheitsaufklärung, haben jedoch ihre Grenzen:

Aktualisierungen dieser Listen schaffen immer noch ein Zeitfenster, in dem Schwachstellen zwischen Entdeckung und Behebung bestehen. Angreifer nutzen diese Lücke, indem sie „Ausreißer“-Schwachstellen ins Visier nehmen, die noch nicht erfasst sind.
Herkömmliche Listen konzentrieren sich auf bekannte Schwachstellen, was Organisationen anfällig für „bekannte Unbekannte“ macht – Schwachstellen, die zwar ausgenutzt werden können, aber noch nicht identifiziert wurden.

Dennoch versprechen KI und maschinelles Lernen, Security by Default zu revolutionieren, indem sie diese Lücken schließen:

Algorithmen für maschinelles Lernen können riesige Mengen an Sicherheitsdaten analysieren, um Muster zu erkennen und potenzielle Schwachstellen vorherzusagen, auch solche, die noch nicht auf traditionellen Listen stehen.
Durch die Analyse von Exploit-Trends und Softwareverhalten kann maschinelles Lernen die „bekannten unbekannten“ Sicherheitslücken identifizieren, die mit höherer Wahrscheinlichkeit ausgenutzt werden, selbst wenn sie noch nicht dokumentiert sind.

Hinzufügen von KI zum SDLC

KI und maschinelles Lernen können auch die Art und Weise verändern, wie „Security by Default“-Prinzipien in Software-Entwicklungszyklen integriert werden:

Automatisierte Schwachstellenerkennung: KI-Tools können Code kontinuierlich auf bekannte und unbekannte Schwachstellen scannen, sodass diese frühzeitig in einem SDLC behoben werden können.
Proaktive Sicherheitsmodellierung: Durch die Analyse von Angriffsmustern kann KI Bedrohungen vorhersagen. Dies ermöglicht eine proaktive Sicherheitsmodellierung, um Software mit integrierten Abwehrmechanismen gegen diese Bedrohungen zu entwickeln.
Intelligente Entwicklerunterstützung: KI kann Code analysieren und Entwicklungsteams in Echtzeit Vorschläge zu sicheren Coding-Praktiken unterbreiten.

Standardmäßige Sicherheit durch selbstreparierende Software

Ein zentrales Ziel für Entwickler, die „Security by Default“ umsetzen, ist die Erstellung von Software, die proaktiv Sicherheitslücken selbst erkennen und beheben kann. Dieses Konzept richtet sich nach den genetischen Algorithmen, die in der Fertigung eingesetzt werden, um Systeme dazu zu befähigen, sich selbst zu optimieren und im Laufe der Zeit kontinuierlich zu verbessern.

Dadurch wird „Security by Default“ von einem statischen Konzept zu einer dynamischen, selbstüberwachenden und selbstreparierenden Funktion, die in Unternehmenssoftware integriert ist. Dadurch kann die Software ihre eigenen Sicherheitslücken beheben, Bedrohungen abwehren und sogar neue Angriffe an die Entwickler melden.

Zum Thema: Praktische Demo: Schützen Sie alle Endpunkte mit sicheren UEM-Gegenmaßnahmen

Schritte in die richtige Richtung

Vor nicht allzu langer Zeit schrieb ich darüber, dass es eine „private/öffentliche Partnerschaft geben sollte, in der Industrie und Regierung zusammenarbeiten, um das Problem der digitalen Sicherheit gemeinsam zu lösen". Die Einführung der Secure-by-Design-Prinzipien und die Initiativen von CISA sowie Branchenführern, diese voranzutreiben, sind ein bedeutender Schritt nach vorn, um genau die dringend benötigte gemeinsame Verteidigung gegen Cyberbedrohungen aufzubauen.

Es liegt jedoch weiterhin an den einzelnen Softwareanbietern und -entwicklern, diese Maßnahmen in die Tat umzusetzen. Die Einhaltung von Standardsicherheitsverfahren spielt eine entscheidende Rolle bei der Entwicklung und Bereitstellung sicherer Software und bei der Erlangung einer Führungsposition im Kampf um Cybersicherheit.

Cloud-Migration: Unterbrechungsfreies Enterprise Service Management

Tue, 27 Aug 2024 09:00:00 Z

Ein unterbrechungsfreies Enterprise-Service-Management (ESM) ist essenziell für die Aufrechterhaltung der Produktivität, Effizienz und Zufriedenheit der Mitarbeitenden.

Herkömmliche ESM-Systeme vor Ort können in ihrer Skalierbarkeit eingeschränkt sein, es fehlen aktualisierte Sicherheitsmaßnahmen und sie sind schwer zu warten und zu aktualisieren. Die Nutzung von lokalen Systemen birgt das zusätzliche Risiko eines vollständigen Datenverlusts und verringert die Serviceverfügbarkeit, da nur ein oder zwei potenzielle Fehlerquellen vorhanden sind.

Eine Cloud-Lösung ist der Schlüssel zu einem unterbrechungsfreien ESM mit verbesserten Sicherheitsmaßnahmen und ordnungsgemäßen Backups.

Die Gefahren, wenn Sie Ihr Enterprise-Service-Management lokal betreiben

Der Wechsel in die Cloud ist ein entscheidender Schritt für die Aufrechterhaltung eines unterbrechungsfreien ESM und IT-Servicemanagements, da lokale Systeme von Natur aus risikobehaftet sind.

Eines der größten Probleme bei lokalen Systemen ist die erhöhte Wahrscheinlichkeit von Datenschutzverletzungen und Sicherheitslücken. Wenn sensible Daten vor Ort gespeichert werden, ist die Wahrscheinlichkeit höher, dass sie zum bevorzugten Ziel von Cyberangriffen werden. Ein einziger Vorfall kann das gesamte System gefährden. Ferner sind lokale Systeme anfälliger für Ausfallzeiten aufgrund von Hardwarefehlern oder Stromausfällen, was zu Serviceunterbrechungen und möglicherweise zu einem vollständigen Datenverlust führen kann.

Wenn Organisationen wachsen, kommen mehr Geräte in die Umgebung, unabhängig davon, ob sie vom Unternehmen erworben oder von Mitarbeitenden mitgebracht werden. Die Verwaltung und Sicherung dieser zusätzlichen Geräte werden immer komplexer und ressourcenintensiver. Tatsächlich ist eine von drei Organisationen, die wir im Rahmen des Ivanti „2024 State of Cybersecurity Report“ befragt haben, nicht in der Lage, persönliche Geräte in ihrer Umgebung zu verfolgen.

Skalierbarkeit und Flexibilität sind auch wirtschaftliche Herausforderungen bei lokalen Systemen, die oft höhere Gesamtbetriebskosten verursachen als cloudbasierte Systeme. Wenn Sie die Kosten für Rechenzentren, Hardware, Software und das Personal berücksichtigen, das für die Wartung und Aktualisierung aller dynamischen Komponenten erforderlich ist, können die Kosten für den Betrieb eines lokalen Systems dessen Vorteile überwiegen.

Vorteile der Cloud-Migration für das Enterprise-Service-Management

Zu den finanziellen Vorteilen eines SaaS-basierten Cloud-Modells gehören vorhersehbare Betriebskosten und minimale Vorabkosten im Vergleich zu lokalen Lösungen.

Die erhöhte Verfügbarkeit von Diensten ist vielleicht sogar ein noch größerer Vorteil. Cloud-Lösungen helfen Organisationen, das Risiko zu vermeiden, alle ihre Daten an einem oder zwei Orten zu speichern. Im Falle eines schwerwiegenden Ausfalls oder einer Datenschutzverletzung an einem Standort stellt eine Cloud-Lösung sicher, dass Organisationen weiterhin Service-Management-Aktivitäten wie die Fehlerbehebung durchführen können. .

Ferner ermöglicht die inhärente Skalierbarkeit der Cloud Unternehmen, ihre IT-Ressourcen nahtlos an sich ändernde Anforderungen anzupassen. Diese Flexibilität stellt sicher, dass sich Unternehmen an die Dynamik des Marktes anpassen und das Unternehmenswachstum ohne Einschränkungen der Infrastruktur unterstützen können.

Durch die Migration in die Cloud können Organisationen Risiken minimieren und ein unterbrechungsfreies Servicemanagement sicherstellen. Mit ihren äußerst anpassungsfähigen und skalierbaren Funktionen ermöglichen Cloud-ESM-Lösungen es Unternehmen, schnell auf sich ändernde Anforderungen und Herausforderungen zu reagieren, ohne hohe Investitionen in Hardware oder Infrastruktur tätigen zu müssen.

Planen Sie Ihre Migration

Die Migration in die Cloud ist ein fortlaufender Prozess. Sie ermöglicht auch, Ihre Systeme neu zu bewerten und sicherzustellen, dass sie mit der langfristigen Vision Ihrer Organisation übereinstimmen.

Eine effektive Planung ist essenziell, um die Schritte zu identifizieren, die die größte Aufmerksamkeit erfordern, wie z. B. Integrationen und Sicherheit. Unternehmen sollten klare Ziele definieren und einen konkreten Zeitplan für eine reibungslose Migration in die Cloud mit unterbrechungsfreier Servicemanagement-Bereitstellung festlegen.

Kombination von MDM und MTD für strategische Sicherheit

Thu, 25 Jul 2024 07:00:00 Z

Die mobile Bedrohungslandschaft entwickelt sich ständig weiter, und es tauchen immer wieder neue, hochentwickelte Bedrohungen wie CryptoChameleon auf. Um diese Herausforderungen effektiv zu bewältigen, benötigen Unternehmen eine umfassende Lösung – und hier kommt die Kombination aus Mobile Threat Defense (MTD) und Mobile Device Management (MDM) ins Spiel.

MTD kann zwar potenzielle Bedrohungen auf Mobilgeräten erkennen, ist jedoch häufig nicht in der Lage, proaktive Maßnahmen zu ergreifen, um diese zu beheben, sobald sie erkannt wurden. Unternehmen benötigen nach wie vor eine Möglichkeit, ihre Geräte während ihres gesamten Lebenszyklus zu verwalten und zu sichern, von der ersten Registrierung bis zur Außerbetriebnahme.

Die Integration von MDM und MTD ist der Schlüssel zur Erzielung strategischer Vorteile im Bereich der Cybersicherheit. Dieser Ansatz geht über die reine Verbesserung der mobilen Sicherheit hinaus und stellt einen bewussten Schritt zur Schaffung eines mobilen Ökosystems dar, das nicht nur sicherer, sondern auch effizienter und konformer ist.

Durch die Kombination von MTD und MDM erhalten Sie einen einheitlichen Überblick über Sicherheitsbedrohungen und den Status der Geräteverwaltung in Ihrer gesamten mobilen Geräteinfrastruktur. Diese Integration maximiert die Produktionseffizienz und verbessert die allgemeine Sichtbarkeit und Kontrolle.

Stellen Sie sich ein einziges Dashboard vor, das den Wechsel zwischen separaten MTD- und MDM-Konsolen überflüssig macht. Diese konsolidierte Verwaltung optimiert den IT-Betrieb, indem die Last der Verwaltung mehrerer Produkte und Konsolen verringert wird. Im Wesentlichen erhalten Sie eine einzige Oberfläche für die mobile Sicherheit und die Geräteverwaltung.

So wird sichergestellt, dass Ihr Unternehmen den Herausforderungen der heutigen mobilen Bedrohungslandschaft gewachsen ist, während gleichzeitig der Fokus auf der Benutzererfahrung und der betrieblichen Effizienz liegt.

Je mobiler wir sind, desto größer sind die Risiken

Im heutigen „Everywhere Workplace“ sind mobile Geräte essenzielle Arbeitsmittel. Bis 2025 wird es weltweit voraussichtlich über 18 Milliarden Mobilgeräte geben.

CryptoChameleon hat aufgrund seines innovativen Ansatzes, User zu kompromittieren, weltweit Besorgnis ausgelöst. Mit diesem „Phishing-Kit“ können Angreifer Kopien von SSO-Seiten erstellen, über die sie User dazu verleiten können, Benutzernamen, Passwörter und mehr preiszugeben.

Jedes Unternehmen muss sich der Bedeutung bewusst sein, ihre Endpunkte und Daten vor den Bedrohungen zu schützen, die auf mobile Geräte abzielen. Ergebnisse von Ivantis 2024 State of Cybersecurity Report:

81 % der Büroangestellten gaben zu, dass sie irgendeine Art von persönlichem Gerät für die Arbeit nutzen; die Hälfte davon meldet sich bei Netzwerken an und arbeitet mit Software auf ihren persönlichen Geräten.
40 % gaben an, dass ihre Arbeitgeber nichts von ihren Aktivitäten wissen.
23 % der IT- und Sicherheitsexperten gaben an, dass es ein hohes Risiko für Mitarbeitende darstellt, während der Arbeit persönliche Geräte zu verwenden.
63 % gaben an, dass ihre IT-Asset-Management-Lösung die Praxis des Mitbringens eigener Geräte verfolgt.

Gemeinsam stärker: Die Vorteile von MTD mit MDM

In dieser Landschaft sind traditionelle Sicherheitsmethoden nicht in der Lage, dynamischen neuen Bedrohungen angemessen entgegenzuwirken. Was wir brauchen, ist eine stärker integrierte und umfassendere Verteidigungsstrategie.

Hier ist die Synergie zwischen MDM-Sicherheit und MTD-Sicherheit von entscheidender Bedeutung. Durch die Integration von MDM und MTD können Unternehmen eine belastbare und proaktive Sicherheitsstrategie schaffen, die mehr kann als nur mobile Geräte zu verwalten und zu sichern. Sie erkennt und reagiert auch auf neu auftretende Bedrohungen in Echtzeit.

Verbesserte Sichtbarkeit und Kontrolle

Durch die Zusammenführung von MTD und MDM erhalten Sicherheitsteams eine einzige Übersicht für die Verwaltung ihrer gesamten mobilen Geräteinfrastruktur. Sie können sowohl Sicherheitsbedrohungen für Geräte als auch den Verwaltungsstatus in demselben Dashboard anzeigen.

Stellen Sie sich vor, Sie hätten in Echtzeit Zugriff auf Informationen über potenzielle Malware-Infektionen sowie auf Details wie die Einhaltung von Sicherheitsprotokollen durch das Gerät. Diese umfassende Sichtweise ermöglicht eine schnellere und fundiertere Reaktion auf Risiken.

Außerdem werden durch diese Integration die IT-Abläufe optimiert. Sicherheitsteams müssen nicht mehr mit verschiedenen Plattformen für die Überwachung von Geräten und die Verwaltung von Bedrohungen jonglieren. Dadurch sind sie in der Lage, die angezeigten Informationen schnell zu analysieren und entsprechend zu handeln. Sie können Sicherheitsprobleme erkennen und beheben, Richtlinien durchsetzen und Geräte effizienter verwalten, wodurch sie auch mehr Zeit für strategische Sicherheitsinitiativen aufwenden können.

Proaktive Erkennung und Abwehr von Bedrohungen

Die Integration von MDM und MTD bietet nicht nur einen einheitlichen Überblick über Ihre mobile Umgebung. Sie heben Ihre mobile Sicherheitsstrategie von passiver Verteidigung auf proaktive Bedrohungssuche an.

MTD fungiert als allwissender Aufklärer, der Ihre mobile Geräteinfrastruktur stets auf das geringste Anzeichen von Problemen überprüft. Es kann verdächtiges App-Verhalten, Netzwerkanomalien und potenzielle Malware-Infektionen in Echtzeit erkennen. Wenn es eine potenzielle Gefahr erkennt, alarmiert es sofort das System.

Hier kommt MDM als schnelle und entschlossene Eingreiftruppe ins Spiel. Die automatischen Reaktionsfunktionen von MDM können so vorkonfiguriert werden, dass sie auf der Grundlage der von MTD erkannten Bedrohung sofort Maßnahmen ergreifen. MDM kann beispielsweise infizierte Geräte automatisch in Quarantäne stellen, schädliche Websites blockieren oder kompromittierte Daten aus der Ferne löschen und so die Bedrohung effektiv neutralisieren, bevor sie Schaden anrichten kann. Dadurch entfällt die Notwendigkeit manueller Eingriffe, während die Möglichkeiten für Cyberkriminelle eingeschränkt werden.

Umfassende Sicherheitsrichtlinien

Die Durchsetzung umfassender Sicherheitsrichtlinien für Unternehmen innerhalb einer mobilen Geräteinfrastruktur kann eine komplexe Herausforderung darstellen. Die robusten Tools zur Durchsetzung von Richtlinien von MDM in Kombination mit der Bedrohungserkennung von MTD können dies erheblich vereinfachen.

Dazu gehört die Gewährleistung eines bedingten Zugriffs auf der Grundlage der Gerätekonformität, um sicherzustellen, dass nur einwandfreie und sichere, richtlinienkonforme Geräte auf Unternehmensressourcen zugreifen können, wodurch die allgemeine Sicherheitslage verbessert wird.

Zu den weiteren Richtlinien, die sie automatisch durchsetzen können, gehören: die Anforderung sicherer Passwörter, die Geräteverschlüsselung, die Einschränkung nicht autorisierter Anwendungen aus unbekannten Quellen, die Zulassung genehmigter Anwendungen für Arbeitszwecke und die Fernlöschung von Anwendungen

Optimierte Compliance und optimiertes Reporting

Cyber-Bedrohungen sind komplex genug, aber Unternehmen müssen sich auch mit einem Labyrinth von Vorschriften auseinandersetzen. MDM und MTD können Hand in Hand arbeiten, um die Compliance zu optimieren, da ihre robusten Reportfunktionen detaillierte Einblicke in die Geräteverwaltung und -sicherheit bieten.

Diese Reports können Gerätekonfigurationen, Zugriffskontrollen und Sicherheitsbedrohungen detailliert beschreiben, sodass Unternehmen die Einhaltung von Branchenvorschriften und Datenschutzgesetzen leicht nachweisen können. Diese Reports sind bei Audits und Compliance-Prüfungen ein Segen.

Ferner können Erkenntnisse aus MTD Muster für riskantes Verhalten auf Mobilgeräten aufdecken und datengestützte Sicherheitsentscheidungen unterstützen. Wenn Sie wissen, wo die Schwachstellen liegen, können Sie Ressourcen priorisieren und gezielte Sicherheitsmaßnahmen ergreifen, um Lücken zu schließen, bevor diese zu Compliance-Problemen werden.

Nutzerzentrierte Sicherheit

Es ist entscheidend, das richtige Gleichgewicht zwischen einem robusten Schutz und einer nahtlosen Benutzererfahrung zu finden. Zu strenge Sicherheitsmaßnahmen können User frustrieren und die Produktivität beeinträchtigen, während zu lasche Kontrollen Sicherheitslücken im System verursachen.

Die Integration von MDM und MTD ermöglicht es einem Unternehmen, die Benutzererfahrung zu priorisieren, ohne den Schutz zu untergraben. MDM ermöglicht die Erstellung von Sicherheitsrichtlinien, die transparent und weniger störend sind, während MTDs Fokus auf die Echtzeit-Erkennung von Bedrohungen gezielte Interventionen ermöglicht und Störungen minimiert.

Dies geht über die Schadensbegrenzung hinaus und zielt darauf ab, die User zu schulen. MDM kann so konfiguriert werden, dass es Warnmeldungen an User sendet, in denen potenzielle Sicherheitsrisiken im Zusammenhang mit bestimmten Apps oder Websites hervorgehoben werden. MTD kann Benachrichtigungen auslösen, Diese kleinen Hinweise fördern eine Kultur des Sicherheitsbewusstseins unter den Usern – eine Win-win-Situation, bei der Sie sowohl die Sicherheit als auch die Benutzerzufriedenheit verbessern.

Weitere Vorteile

Verlässliche Implementierung: Ein erstklassiges MDM überträgt die MTD-App automatisch auf jedes Gerät, wo sie nahtlos im Hintergrund ausgeführt wird, ohne dass der User eingreifen muss.
Verhinderung von Datenverlust: Sensible Daten sind auch dann vor Verlust oder unbefugtem Zugriff geschützt, wenn ein Gerät kompromittiert wird.
Skalierbarkeit: Mobile Sicherheit kann mit Wachstum oder sich ändernden Bedrohungslandschaften Schritt halten.
Kosteneffizienz: Erhebliche Kosteneinsparungen durch betriebliche Effizienz, weniger eigenständige Tools und Vorbeugung von Vorfällen.

Überlegungen zur Integration

CISOs und andere Sicherheitsexperten möchten sicherstellen, dass 100 % der Mobilgeräte in ihrem Netzwerk verwaltet und zu 100 % gesichert werden. Die Integration von MDM und MTD ist ein wichtiger Schritt in diese Richtung.

Durch diese Integration erhalten Cybersicherheitsteams eine zentrale Kommandozentrale, von der aus sie Geräte verwalten, Sicherheitsrichtlinien durchsetzen und Bedrohungen identifizieren können – alles an einem Ort.

Damit diese Integration ein Erfolg wird, sollten Sie bei diesem Schritt die folgenden grundlegenden Überlegungen berücksichtigen:

Nahtlose Integration: Bei der Integration von MDM und MTD ist sicherzustellen, dass die Lösungen nahtlos miteinander kommunizieren und Daten und Auslöser ohne manuelle Eingriffe austauschen, damit sie in Echtzeit auf Bedrohungen reagieren und Richtlinien durchsetzen können.
Anbieterzusammenarbeit: Wählen Sie MDM- und MTD-Lösungen, die native Integrationsfunktionen bieten oder dafür bekannt sind, gut zusammenzuarbeiten. Sie sollten sich für Lösungen von Anbietern entscheiden, die sowohl MDM als auch MTD anbieten, um die Kompatibilität sicherzustellen.

Secure-by-Design-Prinzipien sind wichtiger denn je

Thu, 18 Jul 2024 07:36:39 Z

Das Konzept „Secure by Design“ – der Entwurf von Software mit integrierter Sicherheit bereits vor der Entwicklungsphase – revolutioniert grundlegend die Art und Weise, wie Software entwickelt wird.

In der Vergangenheit wurde bei der Softwareentwicklung oft eine sogenannte „Bolt-on-Security“ verwendet, bei der Sicherheitsfunktionen erst nach der Entwicklung des Produkts hinzugefügt wurden. Das bedeutet jedoch, dass die Sicherheit nicht nahtlos in die Lösung integriert ist. Schnittstellen zwischen dem Kernprodukt und einem zusätzlichen Sicherheitsmodul bieten potenzielle Angriffspunkte, die leicht ausgenutzt werden können.

Deshalb ist das Versprechen eines Softwareanbieters zu den Prinzipien von Secure by Design so wichtig geworden – und deshalb war Ivanti der erste Unterzeichner des Secure by Design Pledge der U.S. Cybersecurity & Infrastructure Security Agency (CISA).

Anbieter, die die Erklärung unterzeichnen, verpflichten sich, die von der CISA aufgestellten Grundsätze zu befolgen. Dieses Konzept legt den Schwerpunkt auf die Integration von Sicherheitsmaßnahmen in den Kern einer Lösung, von der ersten Konzeption bis hin zur endgültigen Bereitstellung. So ist die Lösung von Anfang an widerstandsfähig gegenüber Angriffen und muss nicht erst nach der Implementierung durch den Kunden nachträglich gepatcht werden – oft zu spät, um potenziellen Schaden noch zu verhindern.

Zum Thema: Das Secure-by-Design-Versprechen: Eine Verpflichtung zur Schaffung einer sichereren digitalen Zukunft

Ein fundamentales Sicherheitsprinzip

Die Risiken, die den Vormarsch der digitalen Technologien begleiten, bestehen vor allem in den immer raffinierteren Cyberangriffen, die Schwachstellen auf kreative Weise ausnutzen. Heute drohen sie, sich in hybriden Netzwerken auszubreiten, Unternehmen zu erpressen oder zu stören, das Vertrauen der Kunden zu erschüttern und die Geschäftsergebnisse erheblich zu beeinträchtigen. Aus Sicht der CISA stellen sie zudem eine konkrete Bedrohung der nationalen Sicherheit dar.

Durch die Betonung eines neuen, grundlegenden Sicherheitsdesignprinzips – dass die Sicherheit bereits in der frühesten Planungsphase in die Software integriert werden sollte – wird Secure by Design zu einer robusteren Verteidigung gegen moderne Angreifer führen, die entweder gewinnorientiert oder politisch motiviert sind, oder beides.

Aus der Sicht von Ivanti als Unterzeichner der Verpflichtungserklärung ist es wichtig, alle notwendigen Schritte zu unternehmen, um den Secure-by-Design-Prinzipien gerecht zu werden. Anbieter müssen sich essenzielle Fragen stellen, wie zum Beispiel: Verwenden wir eine Programmiersprache, die gemäß dem Secure Software Development Framework (SSDF) als speichersicher gilt? Führen wir regelmäßig Bedrohungsmodellierungen durch, um potenzielle Schwachstellen zu identifizieren? Setzen wir Bibliotheken oder Komponenten von Drittanbietern ein? Und wie steht es um deren Sicherheitsstandards?

Die Beantwortung dieser Fragen erfordert eine konsequente Fokussierung auf Sicherheit während des gesamten Lebenszyklus der Softwareentwicklung (Software Development Life Cycle – SDLC):

Die Einbindung von Secure-by-Design-Prinzipien in den gesamten Prozess, statt erst nach dem Schreiben des Codes aktiv zu werden, stellt sicher, dass die Sicherheit während der gesamten Planung und Entwicklung im Mittelpunkt steht. Dies bedeutet, potenzielle Bedrohungen von Anfang an zu berücksichtigen und Schutzmaßnahmen direkt in die Software zu integrieren.
Das frühzeitige Aufspüren von Schwachstellen durch umfassende Sicherheitstests während der gesamten Entwicklungsphase vermeidet die zusätzlichen Kosten und die erhöhte Komplexität, die bei einer späteren Umsetzung im Softwareentwicklungszyklus (SDLC) oder nach der Freigabe entstehen könnten.

Dies geht über den herkömmlichen „Shift Left“-Ansatz hinaus. Durch die Anwendung der Secure-by-Design-Prinzipien führen Entwickler nun statische und dynamische Anwendungstests direkt im Codeset durch und implementieren Unit- und Integrationstests während des gesamten SDLC-Prozesses, anstatt diese Tests oder die Bedrohungsmodellierung bis zum Ende zu verschieben. Dadurch wird es zur Gewohnheit, nahezu täglich Test-Tools zu verwenden.

Zum Thema: 3 Erkenntnisse aus einem Business-Roundtable mit führenden US-Cybersicherheitsexperten

Mehr als nur sichere Software

Die Umsetzung der Secure-by-Design-Prinzipien in die Praxis umfasst weit mehr als das Schreiben und Testen von sicherem Code. Es handelt sich um einen ganzheitlichen Ansatz für die Cybersicherheit, bei dem eine robuste Verteidigung auf einer sicheren Organisation basiert. Dazu gehören Maßnahmen wie:

Identifizierung von Schwachstellen: Es ist entscheidend, Schwachstellen im gesamten Unternehmen zu identifizieren, nicht nur im Softwarecode. Dies erfordert die Analyse und Optimierung mehrerer Cybersicherheitsaspekte, einschließlich Schulungsprogrammen für Mitarbeitende, dem regelmäßigen Patchen von Sicherheitssoftware und der Bewertung der allgemeinen Sicherheitslage des Unternehmens.
Schutz und Monitoring: Unternehmen benötigen robuste Cybersicherheits-Tools, um Risiken aktiv – und idealerweise proaktiv – zu managen. Dazu zählen Monitoring-Systeme zur Erkennung verdächtiger Aktivitäten sowie Sicherheitsvorkehrungen wie Firewalls, um Cyberangriffe von Beginn an abzuwehren.
Reaktion auf Incidents: Ein klar definierter Plan für die Reaktion auf Cyberangriffe ist unerlässlich. Dieser sollte festlegen, wie ein Angriff erkannt wird, wie seine Auswirkungen bewertet werden und welche Schritte zur Wiederherstellung und Verbesserung der Sicherheitsmaßnahmen ergriffen werden müssen.

Ein weiterer wichtiger Aspekt bei der Implementierung eines sicheren Softwaresystems basierend auf Secure by Design-Prinzipien ist der Ansatz „Security by Default“. Diese beiden Konzepte ergänzen sich ideal. Während „Secure by Design“ sicherstellt, dass Sicherheitsaspekte während des gesamten Entwicklungszyklus in das Produkt integriert werden, bedeutet „Security by Default“, dass das Endprodukt von Anfang an sicher ist, ohne dass der User eine aufwendige Konfiguration vornehmen muss. Das System ist bereits so eingerichtet, dass es beispielsweise sichere Protokollierungen oder Software-Autorisierungsprofile unterstützt, wobei der zukunftsorientierten Sicherheit Vorrang vor der Abwärtskompatibilität eingeräumt wird.

Zum Thema: Praktische Demo: Schützen Sie alle Endgeräte mit sicheren UEM-Gegenmaßnahmen

Kunden profitieren von „Secure by Design“

Wenn ein Softwareanbieter Lösungen und Plattformen bereitstellt, die den Grundsätzen von „Secure by Design“ folgen, profitieren Kunden von folgenden Vorteilen:

Verbesserter Schutz: Wenn Sicherheitsfunktionen von Anfang an in die Software integriert werden, wird sie robuster und weniger anfällig – das gilt ebenso für das Netzwerk, auf dem sie ausgeführt wird.
Verbesserte DEX: Ein stärkerer Fokus auf Sicherheit und Tests während der Entwicklung kann zu einem optimierten Produkt führen, das stabiler und störungsfreier ist, wodurch letztlich auch die Mitarbeitererfahrung verbessert wird.
Besserer ROI: Ein sichereres Produkt kann Ausfallzeiten und die Notwendigkeit von Patches minimieren, wodurch die User produktiv bleiben und Unterbrechungen vermieden werden.
Optimierte Compliance: Die Einhaltung strenger Datenschutz- und Sicherheitsvorschriften wird mit „Secure by Design“-Software vereinfacht. Sie reduziert den Zeit- und Ressourcenaufwand für Compliance-Prüfungen und hilft, Strafen zu vermeiden.
Verbesserung der Reputation: Unternehmen, die Sicherheit in den Vordergrund stellen, werden als vertrauenswürdiger wahrgenommen, was das Vertrauen und die Loyalität der Kunden stärkt.

Die „Secure-by-Design“-Verpflichtung: Ein Engagement für eine sicherere digitale Zukunft

Wed, 08 May 2024 22:06:03 Z

Die spannendsten Vorteile der digitalen Transformation und Automatisierung – globale Vernetzung, effiziente Abläufe, bessere Geschäftsergebnisse – gehen mit einem ebenso vielen Bedenken hinsichtlich der digitalen Sicherheit einher. Es ist klar geworden, dass wir als Branche entschlossene Schritte unternehmen müssen, um die digitale Landschaft abzusichern und Cybersicherheitsbedrohungen zu mindern, damit wir die Vorteile der digitalen Beschleunigung sicher nutzen können.

Bei Ivanti ist diese Entwicklung bereits im Gange – und wir möchten diese Bewegung federführend vorantreiben. Als Unternehmen waren wir schon immer der Meinung, dass die Interessen unserer Kunden – einschließlich der Sicherheit – die Basis der Softwareentwicklung sein sollten. Da sich die Bedrohungslandschaft rasant weiterentwickelt und die Taktiken immer aggressiver und ausgefeilter werden, ist es heute wichtiger denn je, den Fokus auf die Sicherheit zu legen.

Deshalb habe ich letzten Monat einen ambitionierten Plan für Ivanti vorgestellt, um der neuen Realität, mit der wir alle konfrontiert sind, gerecht zu werden. Unsere Bemühungen basieren auf den Grundsätzen von „Secure by Design“, die Sicherheit in jede Phase unseres Software-Entwicklungslebenszyklus integrieren. Angesichts dieses Engagements ist es nur folgerichtig, dass wir zu den ersten gehören, die das am 7. Mai 2024 auf der RSA-Konferenz in San Francisco vorgestellte „Secure by Design“-Versprechen der Cybersecurity and Infrastructure Security Agency (CISA) unterzeichnen.

Das Konzept „Secure by Design“ ist nicht neu, aber es war noch nie so relevant wie heute. Es stellt sicher, dass Produkte von Grund auf mit integrierter Sicherheit entwickelt werden, wodurch das Risiko von Schwachstellen verringert wird und es böswilligen Akteuren erschwert, diese auszunutzen. Deshalb ist dieses Versprechen jetzt gerade so bedeutsam, und deshalb folgen Unternehmen wie Ivanti diesem Aufruf. Wir sehen dies als einen bedeutenden Schritt nach vorne im Hinblick auf das Engagement und die Zusammenarbeit der Branche im Bereich Sicherheit und freuen uns darauf, einen neuen Standard für das gesamte digitale Ökosystem zu setzen.

Ein hohes neues Sicherheitsniveau

Mit der Unterzeichnung des „Secure by Design“-Versprechen verpflichten wir uns zu einer Reihe von Grundsätzen, Standards und Maßnahmen, die uns dabei helfen, die Sicherheit unserer Produkte weiter zu steigern und unseren Kunden einen besseren Schutz zu bieten. Dazu gehören die Implementierung einer Multi-Faktor-Authentifizierung, die Reduzierung von Standardpasswörtern, die Beseitigung ganzer Schwachstellenklassen, die verstärkte Einführung von Sicherheitspatches, die Einführung einer Richtlinie zur Offenlegung von Schwachstellen und die Verbesserung der Möglichkeiten unserer Kunden, Hinweise auf Cybersicherheitsverletzungen zu sammeln. Ich freue mich, dass unsere Produkte und unser Unternehmen bereits viele dieser „Secure by Design“-Prinzipien erfüllen. Zudem prüfen wir genau, wie wir unsere Bemühungen und Praktiken in unserem gesamten Unternehmen und im gesamten Produktentwicklungszyklus verbessern und beschleunigen können.

Für Ivanti sind diese Verpflichtungen weit mehr als nur leere Worte oder ein reines Versprechen. Mit der Unterzeichnung dieses Versprechens verpflichten wir uns öffentlich dazu, die Messlatte höher zu legen. Und wir übernehmen die Verantwortung dafür, dass wir unsere Versprechen einhalten. Wir werden im kommenden Jahr mit Hochdruck daran arbeiten, messbare Fortschritte bei der Erreichung jedes dieser Ziele zu erreichen, Zudem werden wir unsere Kunden und die breitere Sicherheitscommunity über unsere Fortschritte auf dem Laufenden halten. Wir glauben, dass Transparenz essenziell ist, um Vertrauen aufzubauen und eine breitere Sicherheitskultur zu fördern.

Gemeinsam sind wir stärker

Wir haben einen großen Schritt getan, indem wir dieses Versprechen als erstes Unternehmen unterzeichnet haben. Dennoch sind wir uns bewusst, dass wir eine sicherere digitale Zukunft nicht allein erreichen können. Es ist von entscheidender Bedeutung, dass auch andere Anbieter in der Branche die Prinzipien von „Secure by Design“ übernehmen und ähnliche Schritte unternehmen, um die Sicherheit ihrer Produkte zu priorisieren. Wir bestärken andere Anbieter nachdrücklich, das CISA-Versprechen „Secure by Design“ ebenfalls zu unterzeichnen und zusammen mit uns auf unser gemeinsames Ziel hinzuarbeiten, unsere Kunden und das breitere digitale Ökosystem zu schützen.

Es ist gut fürs Geschäft und für Mitarbeitende, Partner, Kunden und die Communitys, denen wir zur Seite stehen.

Unsere jüngsten Erfahrungen bei RSA haben uns nur noch mehr in unserer Überzeugung bestärkt, dass es wichtig ist, dass die Sicherheitsgemeinschaft zusammenkommt, um die Herausforderungen, mit denen wir alle konfrontiert sind, gemeinsam anzugehen. Unsere Gespräche mit Kunden und Partnern waren von unschätzbarem Wert. Sie haben verdeutlicht, dass gemeinsame Anstrengungen im Bereich der Softwaresicherheit unerlässlich sind. Indem wir Wissen und bewährte Verfahren austauschen und den anderen in die Verantwortlichkeit nehmen, können wir bedeutende Fortschritte auf dem Weg in eine stärkere und sicherere Zukunft erzielen.

Ivanti hat sich zum Ziel gesetzt, bei diesen Bemühungen eine führende Rolle zu übernehmen, und wir freuen uns darauf, mit unseren Kunden und der breiteren Community zusammenzuarbeiten, um „Secure by Design“ zur neuen Realität zu machen.

Unser Einsatz für die Sicherheit: Ein offener Brief von Ivantis CEO Jeff Abbott

Wed, 03 Apr 2024 15:01:32 Z

An die geschätzten Kunden und Partner von Ivanti,

der Anspruch unseres Unternehmens ist es, die sichersten Lösungen für Everywhere Work zu entwickeln. Die Ereignisse der letzten Monate waren sehr ernüchternd. Und ich möchte, dass Sie direkt von mir erfahren, welche Maßnahmen wir ergreifen, um zu gewährleisten, dass wir gestärkt daraus hervorgehen und unsere Kunden noch sicherer arbeiten können.

Wir und viele andere in unserer Branche haben die zunehmende Komplexität der Bedrohungslandschaft und die spezifische Entwicklung der Taktiken der Bedrohungsakteure aus erster Hand miterlebt. Diese Aktivität hat eines unserer Produkte in den Mittelpunkt der Diskussion über kürzlich gemeldete Sicherheitsvorfälle gerückt. Wir haben darauf reagiert, indem wir intensiv daran arbeiten, unsere Kunden zu schützen und zu unterstützen. Und wir überprüfen unsere eigene Position und unsere eigenen Prozesse sehr genau, um sicherzustellen, dass wir auf die aktuelle Situation gut vorbereitet sind.

Wir nutzen diese Gelegenheit, bei Ivanti einen neuen Weg einzuschlagen. So haben wir uns der Herausforderung gestellt, jede Phase unserer Prozesse und jedes Produkt kritisch zu prüfen, um unseren Kunden den besten Schutz zu bieten. Wir haben bereits damit begonnen, die Lehren aus den jüngsten Incidents zu ziehen, um unsere eigenen technischen und sicherheitstechnischen Verfahren sofort zu verbessern. Und dies ist erst der Anfang.

Wir setzen gerade einen Plan um, der die bereits laufenden Sicherheitsinitiativen beschleunigt und verbesserte Verfahren zur frühzeitigen Erkennung, zur Verhinderung und zum Schutz vor künftigen Bedrohungen einführt. Wir haben die anerkanntesten Sicherheits- und Produktentwicklungsexperten der Branche ins Boot geholt, um das Ivanti-Team bei der Überprüfung zu unterstützen und eine erstklassige Anleitung zur Ausführung zu geben. So stellen wir sicher, dass wir unsere Verpflichtung Ihnen gegenüber einhalten, damit Ihr Unternehmen problemlos, sicher und mit einem guten Gefühl arbeiten kann. Dieser Plan wird durch eine beträchtliche Investition getragen und hat die volle Unterstützung unseres Vorstandes und aller Mitarbeitenden bei Ivanti.

Unser Weg in die Zukunft

Wir verfolgen einen umfassenden Wandel, der das Ivanti Betriebsmodell für Sicherheit grundlegend verändert. Dazu gehört:

Wir überarbeiten die wichtigsten Verfahren in den Bereichen Technik, Sicherheit und Schwachstellenmanagement, um zu gewährleisten, dass unsere aktuellen Produkte sicher sind und die Kunden über die erforderlichen Ressourcen verfügen, um sie sicher in ihrem Unternehmen einzusetzen.
Wir gewährleisten, dass alle von uns entwickelten Produkte nach der Methodik „Secure by Design” entwickelt werden, wobei die Sicherheit in jeder Phase des Lebenszyklus der Softwareentwicklung als Schlüsselfaktor angesehen wird.
Wir bauen Partnerschaften mit wichtigen Cyber-Verteidigungsagenturen auf, um sicherzustellen, dass Ivanti-Produkte und die Lektionen, die wir bei ihrer Entwicklung lernen, das gesamte Sicherheitsökosystem verbessern.
Wir geben Informationen und Erkenntnisse an unsere Kunden weiter – und holen aktives Feedback von ihnen ein, damit wir ihre Bedürfnisse weiterhin erfüllen können.

Im Folgenden skizziere ich unsere ersten Schwerpunktbereiche. Sie können davon ausgehen, dass sie sich mit dem Erreichen unserer Ziele weiterentwickeln werden.

Die Herausforderungen, mit denen wir konfrontiert sind, sind in der Softwarebranche nicht einzigartig, und wir sind entschlossen, die notwendigen Schritte zu unternehmen, um für andere richtungsweisend zu sein. Die Bedrohungsakteure entwickeln sich ständig weiter – und wir tun es auch.

Auf dieser Reise haben wir unsere Kunden (wie Sie) in den Mittelpunkt gestellt. Ihre Interessen und Ihre Partnerschaft haben für uns immer Priorität, jetzt und in Zukunft.

Mit freundlichen Grüßen

Jeff Abbott

Unser Plan für Ivantis Zukunft

1. Erhöhung der Produktsicherheit und Einführung von Secure by Design-Prinzipien.

Einhaltung des Secure by Design-Prinzips: Unser Fokus liegt auf der Einbettung der Sicherheit in jeder Phase des Softwareentwicklungszyklus, mit robusten Prozessen, die potenzielle Schwachstellen von der Produktentwicklung bis zur Bereitstellung und darüber hinaus vorhersehen und präventiv angehen. Unser Ansatz umfasst rigorose Übungen der Bedrohungsmodellierung, die sicherstellen, dass die Sicherheit als grundlegendes Element in unseren Produkten verankert ist. Diese proaktive Haltung ist der Eckpfeiler unseres Einsatzes, der es uns ermöglicht, den Schutz für unsere Kunden zu verbessern und neuen Bedrohungen einen Schritt voraus zu sein.
Optimierung von Produkten für Sicherheit und Kundenvertrauen: Wir arbeiten bereits an der Verbesserung der allgemeinen Sicherheitslage unseres Produktportfolios. Dazu gehört die Beschleunigung der Stack-Modernisierung unserer Netzwerksicherheitsprodukte (Ivanti Connect Secure, Policy Secure und ZTA) mit einer Vielzahl von Isolierungs- und Anti-Exploit-Technologien, um die potenziellen Auswirkungen künftiger Softwarefehler zu reduzieren. Unser Anspruch ist es, das neueste Betriebssystem in unsere Netzwerksicherheitsprodukte zu integrieren, um den Schutz für unsere Kunden zu erhöhen. Außerdem bieten wir weitere hardwarebasierte Schutzfunktionen sowie Fernüberwachungs- und Supportoptionen.
Erleichterung der Sicherheitsanforderungen für Kunden: Wir bauen unsere Fähigkeiten aus, um Lösungen anzubieten, die sofort nach der Implementierung sicher sind (Secure by Default), und Produkte entwickeln, die optional von Ivanti verwaltet, überwacht und gesichert werden können. Wir arbeiten mit unseren Kunden zusammen, um das angemessene Maß an Überwachung und Managementverantwortung auf der Grundlage ihrer Produktlinie und ihres Branchensegments festzulegen.
Priorisierung der kundenorientierten Sicherheit: Wir sind dabei, Ressourcen umzuleiten und neue Investitionen zu tätigen, die sich auf die Produktsicherheit im gesamten Unternehmen konzentrieren. Dazu gehören der Ausbau unserer Produktsicherheitsteams, die Schaffung von speziellen, kollaborativen Technik-Sicherheits-Pods und die Förderung eines proaktiven Ansatzes für die Modellierung von Bedrohungen, Sicherheitsüberprüfungen und verstärkte Penetrationstests in unserem gesamten Produktportfolio.

2. Verbesserung unseres Schwachstellenmanagement-Programms

Interne und externe Forschung zur Ermittlung von Schwachstellen: Unser Ziel ist die Verbesserung der Prozesse und die Zusammenarbeit bei der Erkennung von Schwachstellen, damit wir Sicherheitsprobleme im gesamten Ivanti-Portfolio schnell erkennen, beheben und melden können. Zu diesem Zweck intensivieren wir unsere internen Beurteilungs-, manuellen Auswertungs- und Testkapazitäten, die Beauftragung vertrauenswürdiger Dritter zur Ergänzung unserer internen Forschung, und fördern die verantwortungsvolle Offenlegung von Schwachstellen durch bessere Incentives im Rahmen eines erweiterten Bug-Bounty-Programms.
Risikobasiertes Patching und Behebung von Sicherheitslücken: Das Ziel dieses verstärkten Schwachstellenmanagement-Programms besteht darin, potenzielle Probleme sofort zu erkennen und zu beheben. Dies kann natürlich zu einer anfänglichen Spitze bei der Entdeckung und Offenlegung von Schwachstellen führen. Deshalb investieren wir zusätzlich in technische Ressourcen, Technologien und Workflow-Prozesse, um einen risikobasierten Ansatz zu unterstützen, der die durchschnittliche Zeit bis zur Behebung von Produktschwachstellen reduziert, die das größte Risiko für die Kundensysteme darstellen.

3. Verbesserte Unterstützung für sichere Produktimplementierungen vor Ort.

Zugänglichkeit von Sicherheitsressourcen und Dokumentation im Community-Portal: Die Kunden können in den kommenden Monaten mit Erweiterungen des Community-Portals rechnen, einschließlich verbesserter Suchfunktionen, die auf KI basieren, um mehr kuratierte Ergebnisse auf der Grundlage der spezifischen Produkte, die ein Kunde verwendet, zu erhalten. Dazu gehören auch Informationen über Patches und Dokumentationen. Ferner verbessern wir das sicherheitsbezogene Engagement unserer Kunden durch die Einführung eines kundenorientierten Feedback-Lebenszyklus und andere Optimierungen der Benutzerfreundlichkeit, die sich auf die Anwendung bewährter Sicherheitsverfahren in Kundenumgebungen konzentrieren.
Einsatz eines verbesserten und intelligenteren Interactive Voice Response (IVR)-Systems: Unser Anspruch ist es, unseren Kunden schnell und effektiv die Unterstützung zu geben, die sie benötigen. In den kommenden Monaten implementieren wir ein KI-gestütztes Interactive Voice Response (IVR)-System, das die Kundenerfahrung bei der Weiterleitung von Anrufen verbessert, Kunden auf sicherheitsrelevante Informationen zu ihrem Produkt hinweist und auf Anfrage automatisch Supportfälle eröffnet.
Zusammenarbeit mit Kunden für die Aufrüstung auf die neuesten Plattformen: Da wir an der Verbesserung der Sicherheit unserer neuesten Versionen arbeiten, ist es auch wichtig, dass unsere Kunden von diesen Verbesserungen profitieren können, indem sie auf unseren am besten unterstützten und sichersten Plattformen laufen. Wir arbeiten mit unseren Kunden zusammen, um Spannungen zu verringern, – seien sie vertraglicher, technischer oder finanzieller Art – um die Einführung der neuesten und sichersten Lösungen und Sicherheitsverbesserungen zu erleichtern, die zum Schutz vor der aktuellen Bedrohungslandschaft entwickelt wurden.
Praktische Hindernisse für die Sicherheitshygiene von On-Prem-Geräten überwinden: Wir wissen, dass die Verwaltung von Unternehmensnetzwerken in der Praxis ein Gleichgewicht zwischen praktischen Gegebenheiten und Einschränkungen erfordert. Wenn Kunden eine vollständige On-Prem-Lösung benötigen, möchten wir ihnen helfen, innerhalb dieser Grenzen zu arbeiten, ohne die Systemsicherheit zu gefährden. Wir arbeiten [in den kommenden Wochen] mit On-Prem-Kunden zusammen, um ihnen die Erfahrungen und bewährten Verfahren für den Betrieb ihrer Lösungen in der aktuellen Umgebung zu vermitteln.

4. Weitergabe von Informationen an unsere Kunden und die Community.

Informationsaustausch und Transparenz: Gesunde Kundenbeziehungen sind für den Erfolg unseres Unternehmens von zentraler Bedeutung, und unsere intensive Zusammenarbeit mit den Kunden und deren Feedback während dieses Incidents haben zu einem enormen gegenseitigen Nutzen geführt. Wir wollen dafür sorgen, dass dies so bleibt. Kunden und Partner können davon ausgehen, dass Ivanti die gewonnenen Erkenntnisse weitergibt. Außerdem planen wir, unsere Kunden-Briefings mit externen Experten fortzusetzen, eine eigene Blog-Reihe zur aktuellen Bedrohungslage zu starten sowie Webinare und Diskussionsrunden zu Datenschutz- und Sicherheitsthemen mit unserer Community durchzuführen.
Einrichtung eines Kundenbeirats: Jede der oben genannten Initiativen muss sich am Input der Kunden orientieren und auf deren Feedback abgestimmt werden. Wir institutionalisieren diesen Prozess und kündigen in den kommenden Wochen Pläne an, wie wir den Input unserer Kunden für die Produktentwicklung, die Priorisierung von Funktionen, Sicherheitsbelange und strategische Entscheidungen über unsere Produkt-Roadmaps sammeln können.

5 Gründe, warum die Vorbereitung auf die NIS2-Richtlinie jetzt beginnen sollte, Teil zwei: Die Umsetzung braucht Zeit

Mon, 28 Aug 2023 17:43:02 Z

In einem früheren Blog-Beitrag habe ich die zwei Hauptbereiche für die Prüfung erörtert, bevor die aktualisierte Richtlinie zur Netzwerk- und Informationssicherheit (NIS2) der Europäischen Union im Oktober 2024 ratifiziertes Recht wird. Konkret würden diese Audits:

Ihre Lücken bezüglich der Anforderungen der NIS2-Richtlinie identifizieren.

Ihre aktuellen Sicherheitsmängel in der Lieferkette überprüfen

Jetzt, da wir diese Sicherheitslücken entdeckt haben, müssen wir sie beheben – bevor die Zeit im Oktober 2024 abläuft.

In diesem Beitrag zeige ich Ihnen, wie Sie Ihre größten Sicherheitsschwächen noch vor Ablauf der NIS2-Richtlinie beheben können, indem Sie diese drei Schlüsselbereiche angehen:

Informieren Sie das Management über Ihre Cybersicherheitslücken
Setzen Sie neue organisatorische und technische Sicherheitsmaßnahmen korrekt um
Finden Sie Zeit für die Schulung aller Ihrer Mitarbeitenden

1. Informieren Sie das Management über Ihre Lücken – und erhalten Sie ein Budget, um sie zu beheben.

Die NIS2-Richtlinie erlegt Organisationen, die in ihren Anwendungsbereich fallen, erhebliche Verpflichtungen auf, die erhebliche Kosten und Ressourcen nach sich ziehen können. Die Richtlinie sieht auch hohe Geldstrafen und Sanktionen für die Nichteinhaltung vor, die bis zu 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes einer Organisation betragen können (Artikel 34).

Darüber hinaus kann die neue Richtlinie in bestimmten Situationen die Haftung von Unternehmen auf ihre einzelnen Vertreter ausweiten. Außerdem können Personen in Führungspositionen unter bestimmten Voraussetzungen vorübergehend suspendiert werden (Artikel 32-5b).

Daher ist die Befolgung der NIS2-Richtlinie eine rechtliche Notwendigkeit und eine strategische Priorität.

Um die Vorschriften einzuhalten, müssen Sie folgendes tun:

Informieren Sie Ihr Management über die Auswirkungen und Vorteile und überzeugen Sie es davon, ausreichend Budget und Ressourcen für die Umsetzung der Compliance bereitzustellen.
Präsentieren Sie einen klaren Business Case, der die Risiken der Nichteinhaltung, die Chancen der Einhaltung und die Rentabilität der Investition darlegt.
Zeigen Sie, wie die Einhaltung von Vorschriften den Ruf, die Vertrauenswürdigkeit, die Wettbewerbsfähigkeit und die Widerstandsfähigkeit Ihres Unternehmens verbessern wird.

Das Management zu informieren und ein Budget zu erhalten, ist eine schwierige Aufgabe, die eine überzeugende und evidenzbasierte Argumentation erfordert, die den Wert der Cybersicherheit für Ihr Unternehmen aufzeigt.

Je früher Sie mit diesem Prozess beginnen, desto mehr Zeit haben Sie, sich die Zustimmung und Unterstützung des Managements zu sichern.

Mögliche Geschäftsvorteile für die Einhaltung von NIS2

Einige mögliche Vorteile, die Sie in Ihrem Business Case hervorheben können, sind:

Senkung der Betriebskosten durch das Verhindern oder Minimieren von Verlusten durch Cyberangriffe, wie Ausfallzeiten, Datenschutzverletzungen, Lösegeldzahlungen, Gerichtsverfahren usw.
Steigerung des Umsatzes durch die Gewinnung oder Bindung von Kunden, die Wert auf Sicherheit, Datenschutz, Qualität und so weiter legen.
Effizienzsteigerung durch Rationalisierung von Prozessen, Verbesserung der Leistung, Reduzierung von Fehlern usw.
Innovation durch die Einführung neuer Technologien, die Entwicklung neuer Produkte oder Dienstleistungen, die Schaffung neuer Märkte und mehr.
Befolgung anderer Cybersicherheitsvorschriften oder -standards jenseits von NIS2 – wie DSGVO/GDPR, ISO 27001, PCI DSS und andere – da globale Rahmenwerke oft eine große Überschneidung mit den Compliance-Anforderungen von NIS2 aufweisen.

Mögliche Informationsquellen für die Begründung Ihres Business Case zur Einhaltung von NIS2

Einige Quellen, die Sie zur Unterstützung Ihres Business Case verwenden können, sind:

Statistiken oder Fakten die die Häufigkeit, die Auswirkungen oder die Kosten von Cyberangriffen in Ihrem Sektor oder Ihrer Region zeigen.
Fallstudien oder Beispiele, die zeigen, wie andere Organisationen von der Einhaltung der NIS2-Richtlinie oder ähnlicher Vorschriften profitiert haben. Der Bericht Enisa NIS Investments 2022 zeigt beispielsweise, dass für 62 % der Organisationen, die die ältere NIS-Richtlinie umgesetzt haben, solche Implementierungen bei der Erkennung von Sicherheitsvorfällen hilfreich waren; für 21 % waren die Implementierungen bei der Wiederherstellung von Sicherheitsvorfällen hilfreich.
Empfehlungen oder Feedback von Kunden, Partnern, Aufsichtsbehörden oder Experten, die die Einhaltung der NIS2-Richtlinie oder ähnlicher Vorschriften befürworten oder empfehlen.
Benchmarks oder Indikatoren, die Ihre aktuelle oder geplante Cybersicherheitsleistung oder Ihren Fortschritt im Vergleich zur NIS2-Richtlinie oder zu Ihren Wettbewerbern aufzeigen.
Ivanti’s 2023 Cyberstrategy Tool Kit for Internal Buy-In ist ebenfalls eine großartige Ressource, welche die nötige Zeit und die Kosten erklärt und beschreibt, wie eine Lösung hilft, sich gegen bestimmte Arten von Cyberangriffen zu verteidigen, und wie man auf häufige Einwände reagiert und sie überwindet.

Allgemeine geschäftliche Vorteile der Einhaltung der NIS2-Richtlinie

Einige der Vorteile der Einhaltung der NIS2-Richtlinie sind:

Senkung der Betriebskosten durch das Verhindern oder Minimieren von Verlusten durch Cyberangriffe, wie Ausfallzeiten, Datenschutzverletzungen, Lösegeldzahlungen, Gerichtsverfahren usw. Nach einem Bericht von IBM beliefen sich die durchschnittlichen Kosten einer Datenschutzverletzung im Jahr 2022 auf 4,82 Millionen US-Dollar für Unternehmen mit kritischen Infrastrukturen, und die durchschnittliche Zeit zur Identifizierung und Eindämmung einer Verletzung betrug 277 Tage. Wenn Sie Maßnahmen ergreifen, um die NIS2-Richtlinie einzuhalten, wird die durchschnittliche Zeit, die für die Identifizierung und Eindämmung eines Verstoßes benötigt wird, viel kürzer sein, und die Kosten des Angriffs werden geringer sein.
Steigerung des Umsatzes durch die Gewinnung oder Bindung von Kunden, die Wert auf Sicherheit, Datenschutz, Qualität und ähnliche Faktoren legen. Laut einer Umfrage von PwC geben 87 % der Verbraucher an, dass sie ihre Geschäfte woanders tätigen würden, wenn sie den Datenpraktiken eines Unternehmens nicht trauen, und 71 % der Verbraucher sagen, dass sie die Produkte oder Dienstleistungen eines Unternehmens nicht mehr nutzen würden, wenn sie herausfinden, dass es ihre Daten ohne ihre Zustimmung weitergibt, was bei einem Datenleck passieren könnte.
Effizienzsteigerung durch Rationalisierung von Prozessen, Verbesserung der Leistung, Verringerung von Fehlern und so weiter. Accenture hat herausgefunden, dass Unternehmen, die fortschrittliche Sicherheitstechnologien einsetzen, die Kosten für Cyberkriminalität um bis zu 48 % senken können.
Erfüllung anderer Vorschriften oder Standards, die Cybersicherheit erfordern, wie DSGVO/GDPR, ISO 27001, PCI DSS oder andere. Cisco weist darauf hin, dass 97 % der Unternehmen, die DSGVO/GDPR befolgen, Vorteile sehen, wie z. B. Wettbewerbsvorteile, betriebliche Effizienz und geringere Verzögerungen im Vertrieb. Ähnliche Ergebnisse sind wahrscheinlich durch die Einhaltung von NIS2 zu erzielen.

Was die Budgetierung anbelangt, so heißt es im Richtlinienvorschlag der Europäischen Kommission (Anhang 7 – 1.4.3), dass Unternehmen, die in den Anwendungsbereich des NIS2-Rahmens fallen, in den ersten Jahren nach der Einführung des NIS2-Rahmens schätzungsweise maximal 22 % ihrer derzeitigen IKT-Sicherheitsausgaben erhöhen müssten.

In dem Vorschlag wird jedoch auch erwähnt, dass diese durchschnittliche Erhöhung der IKT-Sicherheitsausgaben zu einem proportionalen Nutzen solcher Investitionen führen würde, insbesondere aufgrund einer beträchtlichen Reduzierung der Kosten von Cybersicherheitsvorfällen.

2. Neue organisatorische und technische Sicherheitsmaßnahmen korrekt umsetzen

Nachdem Sie die Lücken erforscht und ein Budget erstellt haben, ist es an der Zeit, diese Lücken zu schließen. Die NIS2-Richtlinie verpflichtet Unternehmen, geeignete organisatorische und technische Maßnahmen zu ergreifen, um ihre Cybersicherheitsrisiken zu verwalten und ein hohes Maß an Sicherheit in ihren Netzwerken und Informationssystemen zu gewährleisten.

Zu diesen Maßen gehören:

Annahme von Richtlinien und Verfahren für das Risikomanagement, die Reaktion auf Vorfälle, die Geschäftskontinuität, den Datenschutz und so weiter.
Einrichtung von Rollen und Verantwortlichkeiten für die Verwaltung, Überwachung, Koordinierung und andere Bereiche der Cybersicherheit.
Angebot von Schulungen und Sensibilisierungsprogrammen für Mitarbeitende, Management, Kunden, etc.
Implementierung grundlegender Cyber-Hygiene wie Verschlüsselung, Authentifizierung (MFA), Firewalls, Antivirensoftware, Patches, Zero Trust-Zugang und so weiter.
Durchführung regelmäßiger Tests, Überwachung, Audits und anderer Maßnahmen.

Die Umsetzung dieser organisatorischen und technischen Maßnahmen ist keine einmalige oder statische Aufgabe. Sie erfordert die Einrichtung eines kontinuierlichen und dynamischen Prozesses, der sich an veränderte Bedrohungen, Technologien, Vorschriften und Geschäftsanforderungen anpasst.

Für diesen Prozess gilt also derselbe Rat wie für die anderen Punkte, die wir bereits behandelt haben: Je früher Sie damit beginnen, desto mehr Zeit haben Sie, um die notwendigen Maßnahmen umzusetzen und deren Effektivität und Effizienz sicherzustellen.

Ich würde Ihnen raten, mindestens im Januar 2024 mit der Umsetzung zu beginnen, damit Sie noch vor den Sommerferien fertig sind.

Nächste Schritte für die Umsetzung der NIS2-Richtlinie

Einige mögliche Schritte, die Sie zur Umsetzung organisatorischer und technischer Maßnahmen unternehmen können, sind:

Entwicklung und Implementierungeines risikobasierten Managementprozesses, der Ihre Ziele, den Umfang, die Rollen, die Verantwortlichkeiten, die Ressourcen, die Zeitpläne und die Messgrößen für die Verwaltung Ihrer Cybersicherheitsrisiken definiert.
Implementierung einer Sicherheitsrichtlinie, die Ihre Prinzipien, Richtlinien, Standards und Verfahren zur Gewährleistung der Sicherheit Ihres Netzwerks und Ihrer Informationssysteme festlegt.
Durchführen von Risikobewertungen, um Ihre Assets, Bedrohungen, Sicherheitslücken, Auswirkungen und Wahrscheinlichkeiten von Cyberangriffen zu identifizieren und Ihre Maßnahmen auf der Grundlage Ihrer Risikobereitschaft und -toleranz zu priorisieren.
Implementierung von Sicherheitskontrollen, die Ihr Netzwerk und Ihre Informationssysteme vor unbefugtem Zugriff, Verwendung, Offenlegung, Veränderung oder Zerstörung schützen. Diese Kontrollen lassen sich in drei Kategorien einteilen: präventiv (z.B. Verschlüsselung), investigativ (z.B. Monitoring) und korrigierend (z.B. Backups).
Implementierung eines Plans zur Reaktion auf Vorfälle, der Ihre Prozesse, Rollen, Verantwortlichkeiten, Ressourcen, Tools und Kommunikationskanäle für eine effektive und effiziente Reaktion auf Cybervorfälle definiert.
Implementierung eines Business Continuity Plans, der Ihre Prozesse, Rollen, Verantwortlichkeiten, Ressourcen, Tools und Kommunikationskanäle für die Aufrechterhaltung oder Wiederherstellung Ihrer kritischen Geschäftsprozesse während einer cyberbedingten Störung oder Katastrophe definiert.
Implementierung eines Überprüfungs- und Verbesserungsplans, der Ihre Prozesse, Rollen, Verantwortlichkeiten, Ressourcen, Tools und Kommunikationskanäle für die regelmäßige Bewertung, Berichterstattung und Verbesserung Ihrer Cybersicherheitsmaßnahmen definiert.
Implementierung der technischen Kontrollen für die Asset-Verwaltung und grundlegende Cyber-Hygiene.

Der Verweis der Richtlinie auf die ‚grundlegende Cyberhygiene‘ ist in Artikel 21 etwas vage, daher werden wir in einem anderen Blogbeitrag darauf eingehen. Denken Sie zunächst an grundlegende Sicherheitsmaßnahmen wie z.B.:

MFA
Schnelles Patchen von Betriebssystem und Anwendungen
Absicherung von Netzwerkverbindungen in öffentlichen Netzwerken.
Verschlüsselung aller Laufwerke (insbesondere Wechsellaufwerke).
Verwaltung von Privilegien und Schulung aller Mitarbeitenden.
Abonnieren von Kanälen, die Sie über die neuesten Patches und Prioritäten informieren, wie z.B. die Patch Tuesday Webinare von Ivanti.

3. Reparieren Sie das schwächste Glied in der Kette: Nehmen Sie sich die Zeit, alle Mitarbeitenden zu schulen

Die NIS2-Richtlinie erkennt an, dass menschliche Faktoren für die Cybersicherheit von entscheidender Bedeutung sind und dass Mitarbeiter oft das schwächste Glied – sowie die erste Verteidigungslinie – bei der Verhinderung oder Aufdeckung von Cyberangriffen sind.

Die Richtlinie verpflichtet Organisationen, angemessene Schulungs- und Sensibilisierungsprogramme für ihre Mitarbeitenden, Nutzer digitaler Dienste und andere Stakeholder zu Fragen der Cybersicherheit bereitzustellen.

Die Schulung aller Ihrer Mitarbeitenden ist keine punktuelle oder optionale Aufgabe. Es erfordert ein regelmäßiges und umfassendes Programm, das Themen beinhaltet wie z.B.:

Grundlegende Konzepte und Terminologie der Cybersicherheit.
Übliche Cyberbedrohungen und Angriffsvektoren.
Bewährte Praktiken und Tipps für Cyberhygiene.
Cybersecurity-Richtlinien und -Verfahren, die für Endbenutzer relevant und vereinfacht sind.
Die Rolle und Verantwortung jedes Benutzers für die Cybersicherheit seines Unternehmens.
Wie man Vorfälle meldet und auf sie reagiert.

Es ist wichtig zu beachten, dass diese Schulung von allen im Unternehmen absolviert werden sollte, nicht nur von IT-Mitarbeitern. Auch das Management sollte diese Schulung absolvieren.

Eine im Auftrag von Ivanti durchgeführte Umfrage zeigt, dass viele Mitarbeitende nicht einmal von den obligatorischen Cybersicherheitsschulungen wissen. Nur 27 % von ihnen fühlen sich „sehr gut vorbereitet“, um Bedrohungen wie Malware und Phishing am Arbeitsplatz zu erkennen und zu melden. 6 % von ihnen fühlen sich „sehr gut vorbereitet“, um Bedrohungen wie Malware und Phishing bei der Arbeit zu erkennen und zu melden.

In Enisas Bericht über NIS-Investitionen 2022 erwähnt Enisa, dass 40 % der befragten OES (Betreiber essentieller Dienste) kein Sicherheitsprogramm für Nicht-IT-Mitarbeiter haben.

Es ist wichtig, zu überwachen, wer noch nicht geschult wurde und entsprechend zu handeln. Die Schulung aller Ihrer Mitarbeitenden ist nicht nur für die Einhaltung der Vorschriften von Vorteil, sondern auch für Produktivität, Qualität, Innovation und Kundenzufriedenheit.

Die besten NIS2-Ratschläge, die wir geben können

Die NIS2-Richtlinie ist eine bedeutende Gesetzgebung, die darauf abzielt, die Cybersicherheit in kritischen Sektoren in der EU zu verbessern. Sie erlegt den Organisationen, die in ihren Geltungsbereich fallen, erhebliche Verpflichtungen auf und sieht bei Nichteinhaltung hohe Geldstrafen und Sanktionen vor.

Die Befolgung der NIS2-Richtlinie ist eine komplexe Aufgabe. Sie erfordert einen proaktiven und umfassenden Ansatz, der mehrere Schritte, Stakeholder und Ressourcen umfasst.

Je früher Sie mit den Vorbereitungen beginnen, desto besser werden Sie vorbereitet sein, wenn sie im Oktober 2024 in Kraft tritt.

Der beste Rat, den wir Ihnen geben können? Warten Sie nicht bis dahin: Beginnen Sie jetzt mit der Vorbereitung auf die NIS2-Richtlinie!

5 Gründe, warum die Vorbereitung auf die NIS2-Richtlinie jetzt beginnen sollte, Teil eins: Audits brauchen Zeit

Mon, 28 Aug 2023 17:14:55 Z

Sie haben wahrscheinlich von der aktualisierten Richtlinie der Europäischen Union zur Netz- und Informationssicherheit (NIS2) gehört. Diese Richtlinie wird im Oktober 2024 in aktives Recht umgesetzt. Sie sollten darauf vorbereitet sein, denn es drohen hohe Geldstrafen und Sanktionen bei Nichteinhaltung.

Aber Sie denken vielleicht, dass Oktober 2024 noch weit weg ist, oder?

Doch wie können Sie wissen, ob Sie genügend Zeit haben, sich vorzubereiten, wenn Sie nicht wissen, wie gut Sie die geplanten Vorschriften derzeit einhalten?

Zwischen jetzt und Oktober 2024 müssen Sie also Ihren aktuellen Cybersicherheitsstatus überprüfen. Konkret:

Identifizieren Sie Lücken bei der Erfüllung der Anforderungen der NIS2-Richtlinie, und zwar ab sofort
Überprüfen Sie Ihre aktuellen Sicherheitsmängel in der Lieferkette

Im zweiten Teil dieser Serie gehe ich auf die drei Bereiche ein, die Sie angehen müssen, um die Lücken zu schließen, die Ihre Audits aufdecken – einschließlich folgenden Dingen:

Wie Sie das Management über Ihre Cybersicherheitslücken informieren.
Wie Sie neue organisatorische und technische Sicherheitsmaßnahmen korrekt umsetzen.
Wie Sie Zeit finden, um alle Ihre Mitarbeitenden zu schulen.

1. Identifizieren Sie Lücken bei der Erfüllung der Anforderungen der NIS2-Richtlinie, und zwar ab sofort

Die NIS2-Richtlinie ist die EU-weite Gesetzgebung zur Cybersicherheit, die rechtliche Maßnahmen zur Steigerung des allgemeinen Niveaus der Cybersicherheit in der EU vorsieht. Sie modernisiert den bestehenden Rechtsrahmen, um mit der zunehmenden Digitalisierung und der sich entwickelnden Bedrohungslandschaft im Bereich der Cybersicherheit Schritt zu halten.

Die Richtlinie dehnt den Geltungsbereich der Cybersicherheitsvorschriften auf neue Sektoren und Einrichtungen aus und verbessert die Widerstandsfähigkeit und Reaktionsfähigkeit öffentlicher und privater Einrichtungen, der zuständigen Behörden und der gesamten EU.

Die NIS2-Richtlinie skizziert verstärkte Maßnahmen zur Abwehr von Cyberangriffen, um Sicherheitslücken zu minimieren und die Cyberverteidigung zu verbessern.

Um die NIS2-Richtlinie einzuhalten, müssen Sie folgendes leisten:

Bewerten Sie Ihre Cybersicherheitslage und identifizieren Sie alle Lücken oder Schwächen, die Sie Cyberrisiken aussetzen könnten.
Gleichen Sie Ihre bestehenden Richtlinien, Verfahren und Kontrollen mit den Anforderungen der Richtlinie ab und sehen Sie, wo Sie sie verbessern oder aktualisieren müssen.
Bewerten Sie Ihre Fähigkeiten zur Reaktion auf Vorfälle und Ihre Berichterstattungsmechanismen und stellen Sie sicher, dass diese mit den Standards der Richtlinie übereinstimmen.

Ein großes Problem mit der NIS2 ist, dass sie Ihnen sagt, was Sie tun sollen, aber nicht, wie Sie es tun sollen. Glücklicherweise gibt es mehrere Frameworks, die Ihnen beim Wie helfen können, darunter:

In Belgien hat die CCB ein Cyberfundamentals Framework geschaffen, das auf mehreren Frameworks basiert und Hinweise darauf enthält, wie sich die verschiedenen Teile der Frameworks auf die GDPR und NIS2 beziehen.

Nach der Auswahl des Frameworks müssen Sie Lücken in Bezug auf das gewählte Framework und die Anforderungen der Richtlinie identifizieren. Die Identifizierung von Lücken ist keine einfache oder schnelle Aufgabe. Sie erfordert eine gründliche und systematische Analyse des Reifegrads und der Bereitschaft Ihres Unternehmens in Sachen Cybersicherheit.

Sie müssen nicht nur Ihre Strategie und Richtlinien im Bereich Cybersicherheit überprüfen, sondern auch eine Risikoanalyse durchführen, um die kritischsten Assets und die von ihnen ausgehenden Cybersicherheitsrisiken zu ermitteln. Dann sollten Sie Sicherheitskontrollen in Betracht ziehen, um den Risikowert dieser wichtigen Assets zu senken.

Je früher Sie mit diesem Prozess beginnen, desto mehr Zeit haben Sie, um das Budget zu erhalten, das Sie benötigen, um alle Probleme zu lösen und alle notwendigen Änderungen umzusetzen.

Mögliche NIS2-Umgebungslücken

Einige mögliche Lücken, auf die Sie in Ihrer Umgebung stoßen könnten, sind:

Fehlen einer umfassenden Cybersicherheitsstrategie oder -politik, die alle Aspekte des Risikomanagements, der Reaktion auf Vorfälle, der Geschäftskontinuität, des Datenschutzes usw. abdeckt.
Fehlen eines speziellen Cybersecurity-Teams oder einer Funktion, das/die alle Cybersecurity-Aktivitäten und -Initiativen im gesamten Unternehmen beaufsichtigt, koordiniert und überwacht.
Mangel an angemessenen Sicherheitskontrollen oder -maßnahmen zum Schutz Ihres Netzwerks und Ihrer Informationssysteme vor unbefugtem Zugriff, unbefugter Nutzung, Offenlegung, Veränderung oder Zerstörung.
Fehlende regelmäßige Tests oder Audits Ihrer Sicherheitskontrollen oder -maßnahmen, um deren Effektivität und Übereinstimmung mit den Anforderungen der Richtlinie sicherzustellen.
Mangel an angemessenen Schulungen oder Sensibilisierungsprogrammen für Ihre Mitarbeiter, das Management, andere Mitarbeitende oder andere Stakeholder zu Fragen der Cybersicherheit und bewährten Verfahren.
Mangel an klaren Kommunikations- oder Meldekanälen für die Benachrichtigung der zuständigen Behörden oder Parteien über alle Vorfälle oder Verstöße, die Ihre Dienste betreffen.

Mögliche Sicherheitslösungen für Ihre Umgebung zur Einhaltung von NIS2

Um diese Sicherheitslücken zu erkennen und zu beheben, können Sie:

Gap-Analyse-Frameworks oder -Modelle durchführen, die Ihnen helfen, Ihren aktuellen Zustand mit dem gewünschten Zustand zu vergleichen und Bereiche mit Verbesserungsbedarf zu identifizieren.
Cybersecurity-Reifegradmodelle oder -Standards implementieren, die Ihnen helfen, Ihr Leistungsniveau und Ihren Fortschritt im Bereich Cybersecurity zu messen.
Eine Risikobewertung durchführen, um Ihre Assets, Bedrohungen, Sicherheitslücken, Auswirkungen und Wahrscheinlichkeiten von Cyberangriffen zu ermitteln.
Externe Audits oder Bewertungen beauftragen, die Ihnen helfen, Ihren Compliance-Status zu überprüfen und Schwachstellen oder Mängel zu identifizieren.

2. Überprüfen Sie die aktuellen Sicherheitsmängel in der Lieferkette mit genügend Zeit, um die Maßnahmen mit den Lieferanten zu koordinieren.

Die NIS2-Richtlinie führt auch neue Bestimmungen zur Sicherheit der Lieferkette ein (Kapitel 0, Punkt 54, 56) und berücksichtigt damit, dass Cyber-Bedrohungen auch von Drittanbietern oder Subunternehmern ausgehen können.

Die Richtlinie verlangt von Unternehmen, dass sie sicherstellen, dass ihre Lieferanten angemessene Sicherheitsstandards und -praktiken einhalten (Artikel 21-2d) und ihre Leistung und Einhaltung regelmäßig überwachen (Artikel 21-3).

Dies hat seinen Grund. Angriffe auf die Lieferkette sind auf dem Vormarsch:

In einer BlackBerry-Umfrage mit über 1500 IT-Entscheidungsträgern im Jahr 2022 gaben vier Fünftel der Befragten an, dass sie innerhalb eines Jahres von einem Angriff oder einer Sicherheitslücke in ihrer Lieferkette erfahren haben. Siebenundsiebzig Prozent gaben an, dass sie versteckte Teilnehmer in ihrer Software-Lieferkette aufgedeckt haben, die ihnen vorher nicht bekannt waren.

Untersuchungen von Accenture zeigen außerdem, dass 40 % der Sicherheitsverletzungen indirekt sind und über die Lieferkette erfolgen.

Daher ist die Sicherung Ihrer Lieferkette essentiell, um die Kontinuität Ihres Unternehmens, Ihre Widerstandsfähigkeit, Ihren Ruf und Ihr Vertrauen zu gewährleisten.

Aber in Ivantis Press Reset: A 2023 Cybersecurity Status Report haben wir herausgefunden, dass nur 42 % der über 1.300 befragten Führungskräfte und Sicherheitsexperten angaben, dass sie auf den Schutz vor Bedrohungen in der Lieferkette vorbereitet sind, obwohl 46 % dies als eine Bedrohung ersten Ranges bezeichnen.

Bedrohungen der Lieferkette kommen nicht nur durch Angriffe auf Lösungsanbieter wie Okta, Kaseya oder SolarWinds, sondern auch durch Partner, die entweder direkt mit Ihrer IT-Infrastruktur verbunden sind oder sich in diese einloggen können.

Und vergessen Sie nicht die Angriffe auf Ihre Ressourcenlieferanten, die diese lahmlegen könnten, so dass sie bestimmte Ressourcen, die Sie für Ihre eigenen Operationen benötigen, nicht mehr liefern können. Sie müssen darauf vorbereitet sein und über Ersatzanbieter verfügen, die diese Ressourcen liefern können, wenn Ihr Hauptlieferant aufgrund eines Cyberangriffs oder aus anderen Gründen ausfällt.

Die Sicherheit der Lieferkette ist ein komplexes und anspruchsvolles Thema, das zahlreiche Akteure, Abhängigkeiten und Verbindungen umfasst - und nicht von heute auf morgen erreicht werden kann.

Sie müssen:

Klare und transparente Kommunikationskanäle mit Ihren Lieferanten schaffen und Ihre Erwartungen und Verpflichtungen bezüglich der Cybersicherheit definieren.
Regelmäßige Audits und Bewertungen der Sicherheitspraktiken Ihrer Lieferanten durchführen und sich vergewissern, dass diese die Anforderungen der Richtlinie erfüllen.
Notfallpläne und Backup-Lösungen für den Fall einer Unterbrechung oder Beeinträchtigung Ihrer Lieferkette etablieren.

Außerdem müssen Sie so bald wie möglich mit Ihren Lieferanten ins Gespräch kommen und mit ihnen zusammenarbeiten, um sicherzustellen, dass Ihre Lieferkette sicher und widerstandsfähig ist.

Herausforderungen für die Sicherheit der Lieferkette bei NIS2

Einige mögliche Herausforderungen, denen Sie bei der Sicherung Ihrer Lieferkette begegnen können, sind:

Mangelnde Sichtbarkeit oder Transparenz in Bezug auf die Sicherheitspraktiken, Richtlinien oder Vorfälle Ihrer Lieferanten.
Mangelnde Sichtbarkeit oder Transparenz in Bezug auf die Sicherheitspraktiken, Richtlinien oder Probleme bei Ihren Lieferanten.
Mangelnde Konsistenz oder Angleichung von Sicherheitsstandards, Anforderungen oder Erwartungen innerhalb Ihrer Lieferkette.
Mangel an Ressourcen oder Fähigkeiten, um die Sicherheitsleistung oder -einhaltung Ihrer Lieferanten zu überwachen, zu prüfen oder zu verifizieren.
Fehlen von Notfallplänen oder Backup-Lösungen, um Unterbrechungen oder Beeinträchtigungen Ihrer Lieferkette abzumildern oder zu beheben.
Mangel an Informationen darüber, was Sie von den Sicherheitspraktiken Ihres Lieferanten erwarten.

Lösungen für die Sicherheit der Lieferkette bei NIS2

Um diese Herausforderungen in der Lieferkette zu meistern, können folgendes tun:

Schließen Sie klare Verträge oder Vereinbarungen mit Ihren Lieferanten ab, die deren Sicherheitsverpflichtungen, Verantwortlichkeiten und Haftungen festlegen.
Entwickeln Sie gemeinsame Sicherheitskriterien, Richtlinien oder Rahmenwerke, die für alle Lieferanten in Ihrer Lieferkette gelten und mit den Anforderungen der Richtlinie übereinstimmen.
Implementieren Sie Sicherheitskontrollen, -maßnahmen oder -tools, die es Ihnen ermöglichen, die Sicherheitsaktivitäten, Vorfälle oder den Compliance-Status Ihrer Lieferanten zu verfolgen, zu überwachen oder zu überprüfen.
Schaffen Sie gemeinsame Sicherheitsteams, Ausschüsse oder Foren, die den Informationsaustausch, die Zusammenarbeit und die Koordination zwischen Ihren Lieferanten oder zwischen Ihnen und Ihren Lieferanten erleichtern.
Bauen Sie Vertrauen und gegenseitiges Verständnis mit Ihren Lieferanten durch regelmäßige Kommunikation, Feedback und Anerkennung auf.

Wenn die Prüfungen der NIS2-Richtlinie abgeschlossen sind, was nun?

Nachdem Sie nun festgestellt haben, wo Sie in Bezug auf die NIS2-Richtlinie stehen, ist es an der Zeit, wichtige Änderungen vorzunehmen, um die Einhaltung bis Oktober 2024 sicherzustellen. Ich bin mir sicher, dass Sie für die Beseitigung der Lücken, die Sie bei Ihren Audits festgestellt haben, alle Zeit brauchen werden, die Sie haben – und noch etwas mehr! – bevor die Vorschriften in Ihrem Land offiziell umgesetzt werden.

Aber wie können Sie diese Lücken systematisch und zeitnah schließen? Wir besprechen die drei Bereiche der Sicherheitsänderungen, die Sie für NIS2 benötigen, in unserem nächsten Blog-Beitrag, in dem wir untersuchen:

Wie Sie das Management über Ihre Cybersicherheitslücken informieren.
Wie Sie neue organisatorische und technische Sicherheitsmaßnahmen korrekt umsetzen.
Wie Sie Zeit finden, um alle Ihre Mitarbeitenden zu schulen.

ITAM und CAASM: Warum IT Asset Management eine Voraussetzung für Ihre CAASM-Strategie ist

Mon, 21 Aug 2023 19:43:36 Z

Cyber Asset Attack Surface Management (CAASM) ist ein neuer Ansatz für ein grundlegendes Element Ihrer Cybersicherheitsstrategie: ein vollständiger Überblick über Ihre Cyber-Assets, damit Sie Schwachstellen erkennen können, die von bösartigen Akteuren ausgenutzt werden könnten.

Für die Mitarbeiter des IT-Betriebs klingt CAASM wahrscheinlich sehr nach IT Asset Management (ITAM). Das liegt daran, dass die beiden Disziplinen eng miteinander verbunden sind, was deutlich macht, dass Sicherheit und IT-Betrieb auf gemeinsame Tools und Prozesse zurückgreifen können und sollten.

ITAM vs. CAASM: Wo liegt der Unterschied?

ITAM ist eine Reihe von Prozessen und Tools für die Verwaltung aller IT-Assets, einschließlich Hardware und Software, während ihres gesamten Lebenszyklus. In der Regel umfasst es eine breite Palette von Arbeitsabläufen, einschließlich Asset Discovery, Bestandsmanagement, Service Mapping, Asset Tracking und Monitoring sowie Asset Lifecycle Management.

CAASM erweitert ITAM, indem es potenzielle Schwachstellen und Bedrohungen für die Systeme, Netzwerke und Anwendungen Ihres Unternehmens identifiziert und entschärft. Der Prozess umfasst in der Regel die Identifizierung aller Anlagen innerhalb Ihrer IT-Umgebung, die Darstellung der Abhängigkeiten zwischen diesen Anlagen und die Bewertung der potenziellen Auswirkungen einer Sicherheitsverletzung.

Ziel ist es, Ihrem Unternehmen ein klares Bild von der potenziellen Angriffsfläche zu vermitteln und die Abhilfemaßnahmen auf der Grundlage der größten Risiken zu priorisieren. Sie sind auf jeden Fall dafür: 44 % der Cybersecurity-Teams sehen Asset-Informationen als entscheidend für die Identifizierung und den Schutz von Angriffsflächen an.

Die Sicherheitsvorteile von ITAM

Die Bedeutung von ITAM für die Sicherheit ist für IT-Leiter keine Neuigkeit. Eine Umfrage von EMA unter IT-Führungskräften aus dem Jahr 2022 ergab, dass fast die Hälfte den Erfolg ihres ITAM-Programms an der Minimierung von Sicherheitsrisiken misst. Wenn man ITAM unter dem Aspekt der Sicherheit betrachtet, ergeben sich eine Reihe von Vorteilen, die direkt mit CAASM zusammenhängen:

Identifizierung von Assets

Mit einer vollständig implementierten ITAM-Lösung kann Ihr Unternehmen alle seine IT-Assets identifizieren und verfolgen. Der erste Schritt zur Identifizierung potenzieller Sicherheitslücken und Bedrohungen besteht darin, zu wissen, welche Assets sich in Ihrer Umgebung befinden.

Verwaltung von Sicherheitslücken

Ohne ein umfassendes Inventar der IT-Assets stößt Ihre Organisation auf Lücken, wenn es versucht, regelmäßige Bewertungen der Sicherheitslücken durchzuführen, potenzielle Sicherheitslücken zu identifizieren und diese proaktiv zu beheben.

Priorisierung von Sicherheitsmaßnahmen

Zu wissen, was alles dazugehört und wo es zu finden ist, ist ein guter Anfang, aber die effektive Zuweisung von Ressourcen zur Unterstützung des Risikomanagements setzt voraus, dass man weiß, welche Assets am wichtigsten sind. Gut definierte ITAM-Prozesse und leistungsfähige ITAM-Systeme versorgen Ihr Unternehmen mit den Informationen, die Sie benötigen, um Sicherheitsmaßnahmen zu priorisieren.

Durch die Klassifizierung von Assets nach Typ können sich Cybersecurity-Teams stärker auf risikoreichere Assets wie Cloud und SaaS konzentrieren und gleichzeitig eine angemessene Kontrolle über relativ risikoärmere Assets wie Edge-Geräte aufrechterhalten.

Und obwohl sie weniger direkt mit CAASM zu tun haben, spielt ITAM auch in anderen Bereichen eine Rolle bei der Erhöhung der Sicherheit:

Compliance

Es gibt eine ganze Reihe von Vorschriften – CCPA, GDPR (DSGVO), POPI, Castle und andere –, die von Unternehmen verlangen, ein genaues Inventar ihrer IT-Assets zu führen und die Einhaltung verschiedener Sicherheitsstandards nachzuweisen.

Kosteneinsparungen

Wenn es um IT-Assets geht, ist die Verwaltung der Kosten eng mit der Verwaltung der Nutzung verbunden. Zum Beispiel glaubt fast ein Drittel der befragten IT-Führungskräfte, dass sie ihr Budget für ungenutzte oder zu wenig genutzte Cloud-Ressourcen verschwenden. Falsch verwaltete Ausgaben sind an sich schon ein Risiko für IT-Organisationen und verschlimmern die Cybersicherheit, da sie die verfügbaren Ressourcen für die Lösung von Sicherheitsproblemen einschränken.

Aufbau einer CAASM-Lösung, die die Sicherheit von Assets gewährleistet

Durch die Verbindung von ITAM mit dem Risikomanagement von Cyber-Assets kann eine CAASM-Lösung sowohl einzelne Assets als auch die gesamte Oberfläche von Cyber-Assets vor einer Vielzahl von Bedrohungen und Sicherheitslücken schützen. Lassen Sie uns einen genaueren Blick auf die Komponenten werfen, aus denen ein effektiver CAASM-Lösungsstack besteht:

Entdeckung und Verwaltung von Assets

Wir haben bereits gesehen, dass ITAM eine wichtige Komponente der CAASM-Lösung ist. Die erfolgreiche Implementierung von ITAM erfordert Erkennungstools, die das Netzwerk scannen, um alle angeschlossenen Geräte zu identifizieren, auch solche, die möglicherweise versteckt oder unbekannt sind.

Die Asset-Datenbank der ITAM-Lösung, die häufig mit der CMDB (siehe unten) verbunden ist, kann dann als zentrales Repository für die Verwaltung aller Asset-Informationen dienen, einschließlich der Asset-Attribute, Konfigurationen und der Zuordnung von Beziehungen und Abhängigkeiten.

Verwaltung von Sicherheitslücken

Die Verwaltung von Sicherheitslücken umfasst Tools und Technologien, die es Ihrem Unternehmen ermöglichen, Sicherheitslücken in Ihren IT-Assets zu identifizieren und nach Priorität zu ordnen. Tools zum Scannen von Sicherheitslücken führen regelmäßige Scans Ihrer Umgebung durch, um potenzielle Sicherheitslücken in Hardware, Software und Konfigurationen zu identifizieren. Diese Tools ordnen die Sicherheitslücken nach ihrem Schweregrad ein und geben Empfehlungen zur Behebung, um sie proaktiv zu beheben.

Bedrohungsanalyse

Die Bedrohungsanalyse umfasst Tools und Technologien, die Echtzeitinformationen über neue Bedrohungen und Trends liefern. Diese Tools überwachen eine Vielzahl von Quellen, darunter öffentliche und private Feeds, soziale Medien und Dark-Web-Foren, um potenzielle Bedrohungen und Angriffsvektoren zu identifizieren. Sie können diese Informationen nutzen, um Sicherheitsmaßnahmen zu priorisieren und potenziellen Bedrohungen proaktiv zu begegnen.

Datenbank zur Konfigurationsverwaltung (Configuration management database – CMDB)

Die CMDB ist ein zentrales Repository für alle Dienste, Assets und andere Konfigurationsobjekte innerhalb des IT-Bestands. Sie enthält sowohl eine Bestandsaufnahme dieser Objekte als auch ihrer Beziehungen und Abhängigkeiten. Die CMDB ermöglicht es Ihrem Unternehmen, alle Asset-Änderungen zu verfolgen und zu verwalten und stellt sicher, dass Änderungen kontrolliert und dokumentiert vorgenommen werden.

Durch die Integration der CMDB mit Tools für die Verwaltung von Sicherheitslücken und Bedrohungsdaten können Unternehmen Sicherheitsmaßnahmen auf der Grundlage der Kritikalität von Assets und deren Beziehungen priorisieren.

Das CAASM-Lösungspaket besteht aus einer Reihe von Tools und Technologien, die es Unternehmen ermöglichen, potenzielle Sicherheitslücken in ihren IT-Assets proaktiv zu identifizieren und zu entschärfen. Durch die Kombination von Asset-Erkennung und Inventarisierung, Verwaltung von Sicherheitslücken, Threat Intelligence und CMDB kann Ihr Unternehmen potenziellen Cyber-Bedrohungen einen Schritt voraus sein und Ihre kritischen IT-Ressourcen sicher halten.

Warum die Erkennung von IT-Assets die Grundlage für ein risikobasiertes Programm zur Verwaltung von Sicherheitslücken ist

Wed, 05 Jul 2023 16:38:50 Z

Bei insgesamt über 236.000 bekannten Schwachstellen – und durchschnittlich 61 neuen Schwachstellen, die jeden Tag zur NVD hinzugefügt werden – ist es unmöglich, jede einzelne CVE oder jeden Bedrohungsvektor zu beheben, der auftaucht. Wie also gehen Unternehmen im Alltag mit den ständig wachsenden Bedrohungen für die Endbenutzer, Kunden und Daten ihres Unternehmens um – insbesondere in einem zunehmend hybriden und dezentralen Everywhere Workplace?

Zuallererst ist es wichtig, dass Sie Ihre Risikooberfläche abbilden, indem Sie sich darüber informieren, welche Assets jederzeit mit Ihrem Netzwerk verbunden sind. Wir haben zwei Experten – John J. Masserini, Senior Security Analyst bei TAG Cyber, und Chris Goettl, Vice President of Security Product Management bei Ivanti – gefragt, wie man die einzigartigen Cyber-Risikofaktoren eines Unternehmens für die Priorisierung von Sicherheitslücken herausfinden kann.

Sehen Sie sich unten einen Teil des Gesprächs an. Wenn Sie sich die ganze Diskussion anhören möchten, in der sie weitere Best Practices aus realen RBVM-Programmen austauschen, besuchen Sie die Webinar-Aufzeichnung.

Entdecken Sie jeden (auch unbekannten) Endpunkt in Ihrem Netzwerk

Chris Goettl: Ich glaube, jeder hat ein Sicherheits-Framework, auf das er sich verlässt, um seine Cybersicherheits-Roadmap zu verstehen und zu entwickeln. Wenn Sie sich alle wichtigen Cybersicherheits-Frameworks ansehen, sei es NIST, CIS, die Cyber Essentials oder die ASD Top 20, dann werden Sie feststellen, dass alle diese Frameworks ein Element zur Entdeckung und Verwaltung von Assets enthalten. Denn wenn wir nicht wissen, was sich in unserer Umgebung befindet, können wir sie nicht sichern. Die Discovery ist also ein grundlegender Bestandteil eines jeden Sicherheitsprogramms – aktiv, passiv, die Fähigkeit, sich mit mehreren Datenquellen zu verbinden und wirklich viele Informationen über Ihre Umgebung zu sammeln.

Ivanti verfügt über eine Vielzahl von Funktionen für die Erkennung. Durch die Zusammenarbeit mit Kunden und einige Sicherheitsumfragen haben wir herausgefunden, dass die meisten Unternehmen eine Lücke von 20 – 30 % in ihrem Verständnis aller Geräte haben, die in ihrer Umgebung tatsächlich verwaltet werden.

Wenn Sie also sechs oder sieben Datenpunkte in Ihrer Umgebung nehmen – sehen Sie sich die Endpunktverwaltungslösung, die Asset-Verwaltungslösung und Ihren Endpunktschutz an, ob es sich nun um eine EDR- oder eine Bedrohungsschutzplattform handelt –, dann wird jeder dieser Punkte eine Reihe von verwalteten Computern haben. Stimmen Sie das mit Ihrem Beschaffungsteam ab und ich garantiere Ihnen, dass Sie zwischen diesen verschiedenen Datenquellen einen zweistelligen Prozentsatz an Rechnern finden werden, die in der einen und nicht in der anderen Quelle verwaltet werden. Das bedeutet, dass mehr als 30 % meiner Umgebung für mich aus einer einzigen Datenquelle nicht sichtbar sind.

Einer der wichtigsten Gründe dafür, dass dies die Basis und das Fundament dieser Cybersecurity-Frameworks ist, besteht darin, dass wir einen Blick auf die mehr als 30 % unserer blinden Flecken in unserer Umgebung werfen müssen, denn wenn wir das nicht tun, werden es die Angreifer tun.

Warum unbekannte IoT-Geräte eine Gefahr für Ihre IT-Umgebung darstellen können

Chris Goettl: Ein paar Dinge, die ein Problem darstellen könnten. Erstens, wenn es eine Sicherheitslücke auf dem Gerät gibt – ich meine, wir haben gesehen, dass Glühbirnen für weit verbreitete DDoS-Angriffe verwendet wurden. Das ist nur ein Beispiel dafür, wie ein einfaches IoT-Gerät, von dem niemand erwartet hätte, dass es eine Bedrohung darstellt, Teil eines viel größeren Angriffs werden kann.

Es besteht die Möglichkeit, dass jemand das Gerät durch einen Fehler aus der Ferne in einen Zustand versetzen könnte, in dem die Heizelemente eingeschaltet sind und eingeschaltet bleiben, und dadurch ein Feuer auslösen könnte. Es gibt eine Vielzahl von Möglichkeiten, wie solche Geräte gegen uns verwendet werden können.

Kürzlich gab es eine Art IoT-Gerät im medizinischen Bereich. Diese Roboter befinden sich in Krankenhäusern und sind in der Lage, sich zu bewegen und das Personal bei einer Vielzahl von Dingen zu unterstützen, sei es, dass sie die Dinge bringen, die sie für die Arbeit mit einem Patienten benötigen, oder dass sie etwas in ein Labor liefern oder etwas in dieser Richtung. In diesen Geräten wurde eine Reihe von Sicherheitslücken entdeckt, die es möglich machten, dass jemand die Gespräche abhören konnte, in deren Nähe sich das Gerät befand. Diese Geräte könnten zum Anhalten gezwungen werden. Sie waren so groß, dass sie eine Tür blockieren konnten. In einer medizinischen Einrichtung kann das Blockieren einer wichtigen Tür und das Erzwingen, dass sich das Gerät im Grunde selbst verriegelt und eine Barriere darstellt, zuweilen auch schädlich sein.

Jedes dieser Geräte, egal wie harmlos es erscheinen mag, stellt eine potenzielle Gefahr für die Umwelt dar. Und in diesem Fall wurde ein Gerät gefunden, das eigentlich vorhanden sein sollte, aber herausgefiltert werden konnte, weil es sich um ein Gerät handelt, das nicht von einem – können Sie es patchen? Nun, nicht wirklich. Es gibt vielleicht ein paar Firmware-Updates, aber das ist etwas, das Sie nicht auf dieser Ebene verwalten werden. Segmentieren Sie diese, aber stellen Sie sicher, dass Sie wissen, was sich in Ihrer Umgebung befindet und was gegen Sie verwendet werden kann.

Wie Asset-Informationen bei der Priorisierung von Patches helfen

John Masserini: Zu verstehen, was da ist, ist so etwas wie die Grundlage für die Verwaltung von Sicherheitslücken. Ich würde jedoch behaupten, dass der nächste Schritt darin besteht, die Bedeutung dieser Geräte für die Einnahmequellen des Unternehmens zu verstehen.

Wenn wir uns ansehen, was wir gepatcht haben, wie wir es gepatcht haben, unabhängig von dem Programm, ging es wirklich nur darum, welche Ausfälle wir uns leisten konnten, wie hoch der Umsatz war, der durch dieses Gerät oder diesen Strom von Geräten generiert wurde, und wie wir den Ausfall managen würden oder wer das Risiko übernehmen würde, wenn wir die Sicherheitslücken nicht schließen würden. Das Verständnis dafür, wie wichtig die Geräte für die Geschäftsbereiche sind, ist meiner Meinung nach ein wichtiger Faktor bei jeder Art von Risikokennzahl. Wenn wir über risikobasierte Verwaltung von Sicherheitslücken sprechen, ist es von entscheidender Bedeutung zu verstehen, wie wir diese Risiken in Bezug auf einzelne Geräte, einzelne Arbeitsabläufe nutzen können.

Ich habe immer ein BCP-Programm genutzt, um dies zu gewährleisten. Eine Analyse der Auswirkungen auf das Geschäft, die für ein Programm zur Aufrechterhaltung des Geschäftsbetriebs von entscheidender Bedeutung ist, ist ebenso wertvoll für ein Programm zur Verwaltung von Sicherheitslücken, wenn Sie versuchen, das Risiko einer Anwendung oder einer Umgebung zu verstehen, was auch immer. Wenn Sie eine Analyse der Auswirkungen auf das Geschäft durchführen, ist dies sowohl für das Unternehmen als auch für die IT-Abteilung sehr aufschlussreich.

Jedes Mal, wenn Sie mit einem Unternehmen sprechen, werden Sie sagen: „Wir wollen eine sofortige Antwortzeit. Wir wollen keine Downtime und wir wollen die Zufriedenheit unserer Kunden garantieren.“ All diese Dinge. Und Sie sagen: „Okay, hier ist das Preisschild dafür“. Und die anderen werden sagen: „Halt, halt, halt, wir haben nicht so viel Geld!“ Sie kommen also sehr schnell in die Diskussion darüber, was der minimale, akzeptable Standard für so etwas ist. Wie viel sind Sie bereit zu sagen ... Wir können uns jeden zweiten Freitag ein zweistündiges Ausfallfenster von 2 bis 4 Uhr morgens leisten oder so ähnlich. Und wir müssen uns darüber im Klaren sein, dass dies 80 % der Einnahmen des Unternehmens ausmacht, also müssen wir sehr sensibel damit umgehen. Vielleicht führen wir vierteljährlich Patches durch, aber wir testen diese Patches für solche Umgebungen auf einem anderen Niveau als eine interne Website, die wir nur zum Austausch von Memes oder Ähnlichem nutzen.

Die verschiedenen Geräte in unserer Infrastruktur sind von Grund auf unterschiedlich kritisch und sollten wirklich bewertet und gemessen werden, um sicherzustellen, dass wir die Risikoanalyse korrekt durchführen.

Viele dieser Dinge sind, ob Sie es glauben oder nicht, eine Menge Altlasten. Ganz gleich, ob Sie alte Mainframes, AS/400-Systeme oder brandneue Geräte einsetzen, die Sicherheitslücke muss durch einen neuen Firmware-Flash geschlossen werden, anstatt einfach nur einen Patch für eine Bibliothek bereitzustellen. Es handelt sich um sehr unterschiedliche Modelle, sehr unterschiedliche Teile einer sehr unterschiedlichen Risikoanalyse. Das Patchen einer Anwendung – wenn Sie Chrome auf einem Windows-Laptop patchen müssen – ist ein ganz anderes Risikoprofil als wenn Sie sagen: „Okay, ich gehe jetzt zu diesem kritischen Router und flashe die Firmware über Nacht.“ Das sind einfach völlig andere Risiken.

Wenn Sie also verstehen, wie all das zusammenspielt, sind die Asset-Erkennung und die Risikoanalyse von BIA eine phänomenale Grundlage für den Aufbau einer langfristigen Strategie für die Verwaltung von Sicherheitslücken auf Risikobasis.

Zu wissen, was sich in Ihrem Netzwerk befindet, ist der erste Schritt, um zu verstehen, wie Sie Ihre Sicherheitsbemühungen priorisieren können. Ein risikobasierter Ansatz bei der Verwaltung von Sicherheitslücken stellt sicher, dass Sie sich auf Ihre schwächsten Glieder konzentrieren – und mit Asset Discovery können Sie alle identifizieren, auch die versteckten.

Fahren Sie fort mit der Erforschung von Best Practices aus realen RBVM-Programmen, indem Sie sich den Rest dieser Diskussion ansehen.

Ivanti Blog: Sicherheit

Attack Surface Discovery: So identifizieren Sie die Angriffsfläche Ihres Unternehmens

Warum ist Attack Surface Discovery so wichtig?

Wie beginne ich mit Attack Surface Discovery?

Tools zur Identifizierung und Verwaltung Ihrer Angriffsfläche

Wie identifiziere ich die physische Angriffsfläche meines Unternehmens?

Wie identifiziere ich die menschliche Angriffsfläche meines Unternehmens?

Ich habe die Angriffsfläche meines Unternehmens identifiziert. Wie geht es weiter?

Warum Sie Angriffe auf die Software-Lieferkette nicht länger ignorieren dürfen

Das steigende Risiko von Angriffen auf die Software-Lieferkette

Häufige Arten von Angriffen auf die Software-Lieferkette

Jüngste Beispiele für Angriffe auf die Lieferkette

Okta Social-Engineering-Angriff

Kaseya Ransomware-Angriff

Codecov CI/CD-Angriff

Schwerwiegende Auswirkungen von Angriffen auf die Lieferkette

Finanzielle Auswirkungen

Operative Auswirkungen

Reputationsschaden

Wer übernimmt die Verantwortung? Technische Verbindlichkeiten und gemeinsame Verantwortung

Wie Sie sich vor Bedrohungen der Software-Lieferkette schützen können

1. Strenges Lieferantenmanagement und Risikobewertung

2. Kontinuierliche Überwachung und proaktive Abhilfemaßnahmen für alle Abhängigkeiten

3. Regelmäßige Kommunikation mit Drittanbietern

Erfahren Sie mehr über die Sicherheit der Software-Lieferkette

So setzen Sie quantitative Risikobewertungen in die Praxis um

Risikoquantifizierung verstehen

Was ist Risikobewertung?

Wie lässt sich die Risikobewertung in die übergeordnete Cybersicherheitsstrategie integrieren?

Interpretation der quantitativen Risikoanalyse: Schlüsselelemente

Wo die Theorie in die Praxis umgesetzt wird: Risikoreaktion

Vermeidung

Akzeptanz

Übertragung

Minderung

Einbeziehung der Risikobereitschaft (oder Umgang mit Sonderfällen)

Erkenntnisse in Maßnahmen umwandeln

Wie IT-Führungskräfte „Secure-by-Design“-Softwareversprechen bewerten können

Integration von „Secure by Design“-Praktiken in Risikobewertungen

Bewertung der Kodierungspraktiken

Bewertung der „Secure by Design“-Transparenz

Fazit

Wie CIOs und CISOs gemeinsam die Produktivität und Sicherheit ihrer Mitarbeitenden steigern können.

Wie CIOs und CISOs eine effektive Partnerschaft aufbauen können

Fazit

Risikobereitschaft verstehen – ein wichtiger Bestandteil des Risikomanagements

Was ist Risikobereitschaft?

Die Risikobereitschaft ist sowohl quantitativ als auch qualitativ

Warum ist es wichtig, die Risikobereitschaft zu definieren?

Strategie und Risikomanagement aufeinander abstimmen

Entscheidungsfindung verbessern

Vertrauen bei den Stakeholdern aufbauen

Konsistenz fördern

Effektive Risikoüberwachung unterstützen

Wie definiert ein Unternehmen seine Risikobereitschaft?

Komponenten der Risikobereitschaft

Risikokapazität

Risikotoleranz

Risikogrenzen

Warum ist die Risikobereitschaft beim Exposure Management wichtig?

Betrachtung von Sicherheitsrisiken aus der Perspektive des Exposure Managements

Best Practices für KI-Cybersicherheit: Bewältigung einer zweischneidigen Herausforderung

Warum ist KI-Sicherheit wichtig?

Potenzielle KI-Cyberbedrohungen

Vorteile der KI-Cybersicherheit

Verbesserte Bedrohungserkennung

Verbesserte Reaktion auf Vorfälle

Risikobewertung und -priorisierung

Sicherheitsüberlegungen für verschiedene Arten von KI

Neueste Entwicklungen in der KI-Cybersicherheit

Kurse zur KI-Cybersicherheit

Best Practices für die KI-Cybersicherheit

1. Legen Sie Richtlinien für das Datenmanagement und den Datenschutz fest

2. Machen Sie Transparenz bei KI zur Pflicht

3. Legen Sie den Fokus auf ein starkes Datenmanagement

4. Rüsten Sie KI-Modelle mit „Adversarial Training“ aus

5. Implementieren Sie eine kontinuierliche Überwachung

6. Vernachlässigen SIe nicht den Faktor Menschen

7. Führen Sie regelmäßige Tests und Audits durch

8. Erstellen Sie einen Notfallplan