Cyberrating: Bewertung der Sicherheit stärkt IT-Security

Ein Artikel von Laurie Mercer ist Security Engineer bei HackerOne | 12.11.2021 - 09:39
balance-g1f0cc6fab_1920.jpg

© elviscool001 @Pixabay

Die aufsehenerregenden Cyberangriffe der vergangenen Jahre (Equifax, NotPetya, Wannacry, SolarWinds usw.) haben Investoren sowie Risiko-, Finanz- und Versicherungsfachleuten eines vor Augen geführt: Die Bewertung der Cybersicherheit einer Organisation ist heutzutage unerlässlich, um den Wert des Unternehmens sowie dessen Risiken korrekt einschätzen zu können. Von besonderer Bedeutung ist dies zweifelsohne im Bereich der Cyberversicherungen, da hier in jedem Fall die Höhe der Versicherungsprämien anhand der tatsächlichen Unternehmensrisiken festgelegt werden muss. Ohne ein entsprechendes Bewertungssystem ist dies fast nicht zu leisten.

Seit einigen Jahren entwickeln sich in diesem Umfeld folglich immer mehr Lösungen für das Cyberrating. Dabei wird versucht, den Reifegrad von Unternehmen im Hinblick auf Cyberrisiken zu bewerten. Der Markt wird eindeutig von US-amerikanischen Akteuren wie den bekannten Rating-Agenturen Standard and Poor's oder Moody's dominiert, die die Cybersicherheit in die Definition des Kreditrisikoprofils von Unternehmen integriert haben. Aber auch auf dieses Thema spezialisierte Unternehmen wie BitSight oder SecurityScorecard spielen hier eine Rolle. Und auch in Europa setzt sich seit mehr als drei Jahren der Trend in Sachen Cyberrating immer mehr durch

Nur eine Modeerscheinung?

Nach wie vor ist Cyberrating in der Security-Community nicht unumstritten. Dabei steht häufig eine Frage im Raum: Wie kann man auf eine Sicherheitsbewertung vertrauen, die lediglich auf den Ergebnissen eines Drittanbieter-Algorithmus basiert, dem wiederum zur Analyse nur eine Stichprobe von Daten zur Verfügung steht und der keine „Kontrolle“ über die Qualität der gesammelten Informationen hat?

Bei den Bewertungen der Sicherheitslage von Unternehmen handelt es sich tatsächlich nicht um umfassende Sicherheitsprüfungen, sondern um Studien, die auf speziellen Messmethoden beruhen und frei verfügbare Informationen heranziehen. Hierzu zählen die Anfälligkeit von Webanwendungen, die Reputation von IP-Adressen, DNS-Konfigurationen, die Sicherheit von Domains und E-Mail-Protokollen sowie einiges mehr.

Allerdings werden die Bewertungsmethoden dabei immer besser. So stellte SecurityScoreCard Anfang dieses Jahres eine integrierte Lösung vor, die die von ethischen Hackern – den sogenannten White Hats – gewonnenen Erkenntnisse als maßgeblichen Indikator für die Bewertung von Cyberrisiken in Unternehmen und Lieferketten nutzt. Zum ersten Mal fließen so Informationen aus Bug-Bounty- und Vulnerability-Disclosure-Programmen direkt in eine Bewertung mit ein. Die aktuelle Situation in puncto Cybersicherheit eines Unternehmens wird dadurch sehr schnell ersichtlich. Für Unternehmen bieten solche Programme zudem den Vorteil, dass sie sich auf Erkenntnisse unzähliger, spezialisierter Hacker verlassen können, um Schwachstellen in Systemen und Anwendungen zu identifizieren, noch bevor sie von Cyberkriminellen ausgenutzt werden können. Und genau das spielt bei der Bewertung der Cybersicherheitslage eines Unternehmens eine wichtige Rolle. Denn Programme zur Aufdeckung von Schwachstellen belegen die Fähigkeit einer Organisation, einen proaktiven Sicherheitsansatz zu verfolgen, anstatt zu versuchen, auf jede neue Bedrohung lediglich zu reagieren. Die Integration dieser proaktiven Dimension in eine Sicherheitsbewertung ist eine wichtige Voraussetzung für den Aufbau von Vertrauen aufseiten der Kunden.

Laut Gartner werden Cybersecurity-Ratings bis 2022 bei der Bewertung des Risikos bestehender und neuer Geschäftsbeziehungen genauso wichtig wie Bonitätsprüfungen – nicht zuletzt, da mit dem Fortschreiten der digitalen Transformation auch die mit komplexen Ökosystemen in Verbindung stehenden Risiken anwachsen. In der Folge beschränkt sich Cybersicherheit nicht länger nur auf die interne Sicherheits- und Risikolage eines Unternehmens, sondern es gilt auch die IT-Sicherheit von Lieferanten, Kunden und Partnern sodann mit einzubeziehen.

Daher sollten Sicherheitsverantwortliche die Services zur Security-Bewertung als weiteren Datenpunkt verstehen, um auf dieser Basis ein kontinuierliches, unabhängiges Scoring für ihr gesamtes digitales Ökosystem bereitzustellen. In der sich stetig weiterentwickelnden Geschäftswelt ist das Risikomanagement von Drittanbietern zunehmend entscheidend, um den Schutz der sensiblen Daten von Unternehmen gewährleisten zu können. Da Tag für Tag immer neue Bedrohungen zu beobachten sind und Unternehmen weiterhin Outsourcing betreiben, hat sich das Risikomanagement von Drittanbietern zu einem Thema entwickelt, das für Organisationen und deren Geschäftspartner zunehmend an Bedeutung gewinnt.

Neue Struktur schaffen

Das Cyberrating ermöglicht es Unternehmen nicht nur, den Zustand ihres Ökosystems kontinuierlich zu überwachen, sondern es lässt sich auch ein individuelles Performance Management der eigenen Cybersicherheit umsetzen, beispielsweise mittels anpassbarer Sicherheitswarnungen.

War Cybersicherheit lange Zeit ein rein technisches Thema, das von den entsprechenden Abteilungen in Eigenregie verantwortet wurde, hat sie sich in den letzten Jahren zu einem Faktor entwickelt, der auch für die Vorstandsebene große Relevanz besitzt. Daher bietet das Sicherheitsrating auch eine gute Gelegenheit, die Kommunikation zwischen den Sicherheitsverantwortlichen, die sich normalerweise auf die Technik fokussieren, und dem Vorstand, der sich üblicherweise Zahlen befasst, zu verbessern.

Tatsächlich ist es notwendig, Unternehmen zusätzlich zum Finanzrating, das ihre Rentabilität bewertet, einem Cybersicherheitsrating zu unterziehen. Hierdurch wird eine Zahl oder ein Code ermittelt, der auf einen Blick zeigt, inwieweit ein Unternehmen gegen Cyberkriminalität geschützt ist, sei es nach außen oder gegenüber Geschäftspartnern. Dies ist angesichts wachsender Cyberbedrohungen ein ebenso wichtiger Indikator wie das Rating hinsichtlich der finanziellen Prosperität eines Unternehmens. Denn diese Punktzahl erlaubt es einem Entscheider, sich schnell ein Bild von einer Organisation hinsichtlich Cybersicherheit zu machen und die Lage entsprechen zu beurteilen.

Auch wenn derzeit die Praxis noch nicht vereinheitlicht ist, werden Sicherheitsratings in Zukunft bei Cyberversicherungen voraussichtlich eine immer größere Rolle spielen. Denn die dabei ermittelten Werte lassen sich ohne großen Aufwand bei der Einschätzung der Prämienhöhe heranziehen. Darüber hinaus können entsprechende Ratings einen wichtigen Beitrag dazu leisten, den Cyberversicherungsmarkt zu strukturieren. Denn bislang ergeben sich hier nicht unerhebliche Schwierigkeiten, den aktuellen Marktanforderungen gerecht zu werden.

Wie eine aktuelle Studie der französischen Vereinigung für Unternehmensrisiko- und Versicherungsmanagement (AMRAE) über Cyber-Risiken und passenden Versicherungen zeigt, ist der Mangel an soliden Daten über den Deckungsgrad der Unternehmen und ihre Schadenserfahrung ein Hindernis für die Entwicklung von Cyberversicherungen. Demnach verfügen zwar 87 Prozent der Großunternehmen über eine Cyberversicherungspolice, jedoch fällt die Deckungssumme – durchschnittlich 38 Mio. Euro – angesichts ihres Risikos häufig zu gering aus. Daher wäre es nicht verwunderlich, wenn die Versicherer selbst in absehbarer Zeit eine Lösung auf Grundlage eines Cyberratings finden werden.

Wenn jedoch das Rating zunehmend an Bedeutung gewinnt und dieses gleichzeitig finanzielle Auswirkungen entfaltet, gilt es, vorausschauend zu handeln. Hier in der Position eines Vorreiters zu sein, kann einem Unternehmen einen erheblichen Wettbewerbsvorteil sichern. Sofern sich eine Organisation dafür entscheidet in Sachen Rating frühzeitig vorausschauend zu agieren, können die Verantwortlichen neuen gesetzlichen Anforderungen sowie dem Wettbewerbsdruck auch mit größerer Gelassenheit entgegenblicken.

Cybersicherheitslage verbessern

Foto_Laurie Mercer_Security Engineer bei HackerOne.jpg

Autor: Laurie Mercer ist Security Engineer bei HackerOne. Er verfügt über einen starken technischen Hintergrund, da er sowohl als Entwickler als auch als Penetrationstester gearbeitet hat. Zuletzt arbeitete er als Solution Engineer für große SAST-Programme. Er besitzt auch einen pädagogischen Hintergrund, da er an einer chinesischen Universität Vorlesungen über westliche Kultur gehalten hat und ebenfalls Mandarin sprechen gelernt hat. 

Sich seiner Abhängigkeit von digitalen Technologien und damit seiner Gefährdungslage bewusst zu sein sowie diese zu messen, ist für alle Organisationen, ob in privater oder öffentlicher Hand sowie unabhängig von ihrer Größe und Branche, zunehmend unerlässlich. Trotz seiner derzeit noch teilweise bestehenden Unzulänglichkeiten könnte sich das Cyberrating zu einem perfekten Instrument entwickeln, um das Bewusstsein für die Bedeutung der Cybersicherheit bis hin zur obersten Führungsebene zu schärfen.

Fairerweise muss man konstatieren, dass sich das Cyberrating nicht als Lösung für das IT-Sicherheitsmanagement eignet, sondern vielmehr als Instrument für das Risikomanagement, das jedoch dazu beiträgt, die Cybersicherheitslage zu verbessern. Die kontinuierliche Überwachung der Sicherheitslage stellt jedoch nur einen ersten Schritt auf dem Weg zum Aufbau eines umfassenden Programms für das Performance Management in Sachen Cybersecurity dar. Allerdings geht es nicht nur um kontinuierliche Überwachung an sich. Für eine nachhaltige Cybersicherheit müssen Unternehmen zusätzlich zur Überwachung weitere Schritte unternehmen, die eigene Sicherheitsstrategie regelmäßig hinterfragen und immer bereit sein, neue Wege zu beschreiten.