Es wirkt wie ein verblasstes Polaroid aus einer vergangenen Zeit: der Tag, an dem ein Computer mit zentralisierter Software sicher in einem Büro eingeschlossen war. Für die meisten Unternehmen ist das tatsächlich Vergangenheit – mit Wehmut erinnert, aber weit entfernt von der heutigen Realität.

Man muss sich nur vor Augen führen, wie viele Geräte, Assets und Menschen heute mit der IT-Infrastruktur eines Unternehmens interagieren:

  • Geräte (Desktops, Laptops, Mobil- und IoT-Geräte – unternehmenseigene wie private).
  • Software und Anwendungen (zunehmend cloudbasiert und weitgehend außerhalb der Kontrolle des Unternehmens).
  • Digitale Assets und Dokumente.
  • APIs und Integrationen.
  • Interne Mitarbeitende, Remote-/Hybrid-Beschäftigte, Freiberufler, Auftragnehmer und Anbieter.

Darüber hinaus können viele dieser Geräte, Anwendungen und Assets Teil einer umfangreichen Schatten-IT-Landschaft sein, die für IT- und Cybersicherheitsteams unsichtbar bleibt.

Dieses wachsende Ökosystem hat eine ebenso komplexe IT-Risikolandschaft geschaffen. Unkontrollierte IT-Risiken können erhebliche Auswirkungen auf Finanzen, Funktionsfähigkeit, Motivation und Reputation eines Unternehmens haben. Die kontinuierliche Flut an Cybersicherheitsbedrohungen, denen Unternehmen ausgesetzt sind – und ihre sehr realen Folgen –, macht die Notwendigkeit eines robusten IT-Risikomanagementprozesses unmissverständlich deutlich.

In diesem kompakten Leitfaden zum IT-Risikomanagement behandeln wir:

  • Was ist IT-Risikomanagement?
  • Fünf Schritte für das Risikomanagement in der IT.
  • Welchen IT-Risikomanagementprozess und welche Strategien Sie verfolgen sollten.
  • Best Practices für das IT-Risikomanagement.

Was ist IT-Risikomanagement?

Ein Unternehmen ist in nahezu jedem Bereich seiner Organisation und seines Betriebs mit „Risiken“ der einen oder anderen Art konfrontiert. Wenn wir jedoch von IT-Risikomanagement sprechen, meinen wir Cybersicherheitsrisiken

Wie bereits beschrieben, steigen mit der zunehmenden Integration komplexer IT-Prozesse und -Tools in den täglichen Betrieb eines Unternehmens auch die damit verbundenen Risiken. Genau hier setzt IT-Risikomanagement an – eine Praxis, die Prinzipien des Risikomanagements auf IT-Organisationen anwendet.

IT-Risikomanagement umfasst das Identifizieren, Bewerten und Priorisieren von Risiken für Kapital und Erträge eines Unternehmens. Dazu gehören Maßnahmen, um die Auswirkungen dieser Risiken zu minimieren, zu überwachen und zu kontrollieren.

Einfacher ausgedrückt geht es darum, wertvolle Unternehmensassets zu schützen, die Einhaltung von Regeln und Standards sicherzustellen, ein positives Image zu wahren, fundierte Entscheidungen zu treffen und einen reibungslosen Betrieb sowie Resilienz zu gewährleisten – auch in schwierigen Situationen.

Risikomanagement ist für Unternehmen nichts Neues; es geht lediglich darum, bewährte Prozesse und Verfahren auf das wachsende Geflecht der IT-Nutzung anzuwenden. Wenn Unternehmen IT-Risikomanagementpläne entwickeln, umfasst dies häufig auch die Besetzung bekannter Rollen wie Risikomanager oder Analyst für Risikobehebung – Rollen, die nicht nur ein fundiertes Verständnis allgemeiner Risikomanagementpraktiken, sondern auch einen IT-Hintergrund erfordern, damit Risiken korrekt bewertet und behoben werden.

Die neue Cyberrisikolandschaft

Eine große Herausforderung besteht jedoch darin, dass die Risiken, mit denen IT- und Cybersicherheitsteams umgehen müssen, nicht statisch sind. Ihre ständige Veränderung ist vielmehr eines ihrer zentralen Merkmale – und die größte Risikoquelle.

In den vergangenen fünf Jahren hat sich das IT-Risikomanagement erheblich weiterentwickelt und seinen Umfang sowie seine Bedeutung erweitert, um den Herausforderungen einer sich ständig wandelnden Cyberrisikolandschaft gerecht zu werden.

Die Aufgabe der Vereinfachung des IT-Risikomanagements ist zunehmend komplexer geworden, da die Bedrohungen, denen es begegnet, in vielerlei Hinsicht nicht zu den traditionellen Definitionen von „Risiko“ passen.

Definition von IT-Risiko und den betroffenen Disziplinen

Beginnen wir mit einer grundlegenden Frage: Mit welchen Risiken haben wir es tatsächlich zu tun? Denn sie sind nicht mehr dieselben wie noch vor kurzer Zeit.

Im Kern könnte sich ein IT-Risiko etwa in einem kompromittierten Rechenzentrum, einer Schwachstelle auf dem Computer einer einzelnen Person oder einem schädlichen Virus manifestieren. Die vielfältigeren und dynamischeren Bedrohungen von heute erfordern jedoch, dass wir risikobasiertes Schwachstellenmanagement (RBVM) berücksichtigen und Möglichkeiten zur Automatisierung dieses Prozesses prüfen. Darüber hinaus müssen wir Risiken proaktiv verhindern, indem wir DevSecOps-Praktiken einführen.

Zur Einordnung unterscheiden wir zwischen IT-Risiko und Sicherheitsrisiko:

  • IT-Risiko bezeichnet potenzielle negative Folgen, die mit dem Ausfall oder Missbrauch von IT verbunden sind.
  • Sicherheitsrisiko bezeichnet eine Person oder Sache, die eine potenzielle Gefahr für die Sicherheit darstellt oder einem Unternehmen Schaden zufügen könnte.

Mit der Veränderung der Cybersicherheitslandschaft hat sich auch unser Verständnis von Bedrohungen und Schwachstellen verändert: Unternehmen sind Bedrohungen ausgesetzt, und Exponierungen gegenüber diesen Bedrohungen sind Schwachstellen. Werden diese Schwachstellen ausgenutzt, entsteht daraus ein Risiko. IT-Risikomanagement hängt daher wesentlich vom Management von IT-Schwachstellen ab. Bedrohungen werden wir möglicherweise nie vollständig beseitigen, aber durch konsequentes Schwachstellenmanagement können wir sie steuern und begrenzen.

Zwei zentrale Disziplinen im IT-Schwachstellenmanagement sind IT-Asset-Management (ITAM) und IT-Service-Management (ITSM) sowie die Technologien, die sie einsetzen:

  • ITAM umfasst die Nachverfolgung und Optimierung der Assets eines Unternehmens – physisch wie digital – über ihren gesamten Lebenszyklus hinweg, um eine effiziente Nutzung und den richtigen Umgang mit wertvollen Ressourcen sicherzustellen.
  • ITAM-Tools ermöglichen das Management von Configuration Items (CI) wie Hardware- und Softwareassets, sodass die IT CIs über ihren gesamten Lebenszyklus hinweg konfigurieren, optimieren und nachverfolgen kann.
  • ITSM ist die Praxis, IT-Services zu konzipieren, bereitzustellen, zu verwalten und kontinuierlich zu verbessern, um organisatorische Anforderungen effizient und effektiv zu erfüllen. Die zugehörigen Tools und Best Practices verbessern die Fähigkeit der IT, Technologieanfragen von Endanwendern und anderen internen Kunden zu verfolgen, zu beantworten und zu bearbeiten.
  • ITSM-Tools können es Nutzern außerdem ermöglichen, einfache und häufige technische Probleme per Self-Service zu beheben – als Teil des Ziels, Level-Zero-Helpdesk-Support zu erreichen.
  • Eine weitere Disziplin spielt bei der Steuerung von IT-Risiken eine Rolle: Exposure Management, ein aufstrebendes Feld, das potenzielle Schwachstellen und Sicherheitsrisiken proaktiv identifiziert und minimiert, bevor sie ausgenutzt werden können.

Wie tragen diese Tools zur Vereinfachung des IT-Risikomanagements bei – insbesondere vor dem Hintergrund, wie komplex IT-Netzwerke und Cyberbedrohungen geworden sind?

ITAM- und ITSM-Technologieplattformen mit der richtigen Funktionalität können Unternehmen dabei helfen, IT-Abläufe in einem geschlossenen Sicherheitsprozess zu vereinen – mit automatisierter, kontinuierlicher und proaktiver Erkennung, Bewertung und Behebung von Schwachstellen.

Das Schlüsselwort lautet natürlich „automatisiert“. Menschliches Eingreifen ist nicht erforderlich, wenn Schwachstellen gepatcht oder Probleme behoben werden können, bevor sie Nutzer beeinträchtigen, Sicherheitsauswirkungen verursachen oder überhaupt eine Kontaktaufnahme mit dem Helpdesk nötig machen.

IT-Security-Workloads nach links verlagern

Die von der IT eingesetzten Tools, insbesondere ITAM und ITSM, können Security daher beim „Shift left“ unterstützen, indem sie ITAM- und ITSM-Automatisierung nutzen. Sie ermöglichen mehr Sicherheitsmaßnahmen bei geringerem Arbeitsaufwand und niedrigeren Kosten und entwickeln sich hin zu einer proaktiven Risikobehebung.

Welche Möglichkeiten gibt es, ITAM- und ITSM-Automatisierungen einzusetzen, um Security-Teams die Arbeit zu erleichtern?

Self-Service-Optionen für Endanwender verbessern

Automatisieren Sie die Triage von Sicherheitsanfragen und -fragen, damit Anfragen niedrigerer Priorität an nachgelagerte Mitarbeitende weitergeleitet werden und Senior-Analysten von Aufgaben wie der Erkennung von Phishing oder ähnlichen Tätigkeiten entlastet werden. Implementieren Sie Anfrageformulare für Dateizugriff oder Richtlinienausnahmen in einem Sicherheits-Wiki, um Level-Zero-Self-Service-Support für Nutzer zu ermöglichen.

Behebung von Sicherheitsvorfällen vereinheitlichen

Nutzen Sie IT-Ticketing-Software und Priorisierungswarteschlangen (gespeist aus Anfrageformularen) für eine bessere Priorisierung, Nachverfolgung und Kontextualisierung.

IT-Hintergrundautomatisierungen für Security-Anwendungsfälle nutzen

Dieselben proaktiven IT-Automatisierungen in ITAM und ITSM, die basierend auf bestimmten Einstellungen ausgelöst werden, können kopiert und angepasst werden, um verschiedenste Sicherheitszwecke abzudecken – etwa die Absicherung von Endpoint-Umgebungen und die Erkennung bösartiger Aktivitäten.

Automatisierungsauslöser einrichten

Security-Teams können aktuelle CIs nutzen und benutzerdefinierte, sicherheitsspezifische Variablen erstellen, die in der Configuration Management Database (CMDB) eines ITAM-Systems als Auslöser und zugleich als Komponenten automatisierter Formeln verfolgt werden.

Durchsetzung von Sicherheitsrichtlinien automatisieren

Dieselben IT-Funktionen, die allgemeine Computerrichtlinien für Nutzer durchsetzen, können auch über Sicherheitsprotokolle berichten und deren Einhaltung erzwingen. Beispielsweise können sie Warnungen zu möglichen Richtlinienverstößen oder Insider-Bedrohungen senden, sobald diese erkannt werden.

5 Schlüssel zur Straffung des IT-Risikomanagements

Die Vereinfachung und Optimierung des IT-Risikomanagements betrifft nicht nur die IT. Das Cybersicherheitsteam in Ihrem Unternehmen hat selbstverständlich ein großes Interesse an allen Maßnahmen, die die Effizienz und Wirksamkeit der von Ihnen eingeführten Prozesse und Tools verbessern. Deshalb drehen sich viele der wichtigsten Schritte zur Verbesserung des IT-Risikomanagements um Kommunikation und Zusammenarbeit zwischen IT, Security und anderen Stakeholdern.

Einen ausführlicheren Blick auf die folgenden Punkte finden Sie in unserem E-Book Von Gegnern zu Verbündeten.

1. Security-Teams sollten ihre Pläne und Anfragen erläutern

Vermeiden Sie bloße Anordnungen und erklären Sie den Stakeholdern im Unternehmen die Strategie und die Vorteile hinter Ihren Sicherheitsplänen, Änderungen und Anfragen. Bevor ein Sicherheitsplan gestartet wird, sollte der CISO die Sicherheitsstrategie und den Plan zu ihrer Umsetzung kommunizieren, da IT-Abteilungen schnell frustriert reagieren können, wenn Sicherheitsanfragen nicht erläutert werden.

Aufgrund von Zeit- und Kapazitätsbeschränkungen werden Sicherheitsanfragen mitunter ohne Begründung gestellt, warum die Änderung erforderlich ist. Das kann es der IT erschweren, die Anfragen umzusetzen. Für Security-Teams ist es wichtig zu berücksichtigen, wie ihre Anfragen von IT-Abteilungen implementiert werden können.

2. Belastungen für die IT berücksichtigen

Security-Teams sollten vor einer Anfrage stets die Arbeitslast des IT-Teams im Blick haben; die IT arbeitet möglicherweise an einem größeren Projekt oder verfügt nicht über genügend Personal für die Aufgabe. Es ist entscheidend, Tools und Systeme zu finden, die es Ihrem IT-Team erleichtern, Sicherheitsrichtlinien, Anfragen und Patches umzusetzen.

Die Kombination von risikobasiertem Schwachstellenmanagement (RBVM) und ITSM hilft, die IT zu entlasten, indem wichtige Aufgaben automatisch und intelligent priorisiert und falsch priorisierte Aufgaben ignoriert werden.

Bedenken Sie: Zu jedem beliebigen Zeitpunkt werden etwa eine Viertelmillion Schwachstellen vom Common Vulnerability Scoring System identifiziert und als hohes, mittleres oder niedriges Risiko kategorisiert. Davon sind rund 38.000 als Angriffsmittel nutzbar – etwa 11.000 bzw. 4 % gelten als gefährlich. Durch die RBVM-Perspektive erkennen wir, dass die meisten von CVSS als „kritisch“ gekennzeichneten Risiken tatsächlich nicht kritisch sind – denn wir können bis auf die gefährlichsten 4 % der Schwachstellen mit hoher und mittlerer Einstufung herunterbrechen. Diese Neuklassifizierung der nach dem CVSS-Standard identifizierten Schwachstellen lenkt die Aufmerksamkeit deutlich auf die wirklich kritischen Schwachstellen, auf die sich das IT-Team konzentrieren muss.

3. Zusammenarbeit fördern

Abteilungen, die gemeinsam daran arbeiten, das IT-Risikomanagement zu straffen, müssen zusammenarbeiten, um Ergebnisse zu erzielen, die für alle Beteiligten vorteilhaft sind. Schließlich hat jede Seite eigene Prioritäten: Die IT möchte einen reibungslosen Betrieb sicherstellen, während Security Probleme möglichst unmittelbar beheben möchte.

Durch Partnerschaftlichkeit und Flexibilität beim Aufbau von IT-Risikomanagementprotokollen und -prozessen können beide Seiten gewinnen. Eine Möglichkeit, diese Flexibilität zu schaffen, ist die Einrichtung gemeinsam akzeptierter Service-Level-Agreements (SLAs).

4. Gemeinsame Ziele festlegen

Security und IT haben eine gemeinsame Basis: Beide wollen, dass Unternehmen, Nutzer und Prozesse reibungslos funktionieren. Daher ist es entscheidend, dass die Führung von IT und Security Ziele abstimmt und Key Performance Indicators (KPIs), Dashboards und andere Kennzahlen festlegt, um diese zu verfolgen und zu stärken.

Außerdem ist es wichtig, dass ein Unternehmen die Auswirkungen strategischer Ziele versteht, damit mögliche Auswirkungen auf Produkt, Prozess und Menschen bekannt sind, bevor diese Ziele festgelegt werden.

5. Unterstützung leisten

Die gemeinsame Nutzung administrativer Ressourcen, technischer Expertise und Tools durch Security- und IT-Teams kann Kosten senken und die Zusammenarbeit stärken. Wenn Security beispielsweise IT-Tools, -Richtlinien und -Prozesse für eigene Anwendungsfälle nutzt, sollte sie im Gegenzug ebenfalls etwas beitragen.

Gemeinsame Tools, Dashboards und Berichte schaffen einen Kontext, in dem beide Teams die Arbeitswelt des jeweils anderen besser verstehen und Empathie sowie Vertrauen aufbauen können.

Angesichts der Bedrohungen, denen digitale Unternehmensnetzwerke heute ausgesetzt sind, ist diese Art der Zusammenarbeit entscheidend.