Laurence CadieuxDie Verantwortlichen für Sicherheits- und Risikomanagement (SRM) stehen heute vor einer schwierigen, aber wichtigen Aufgabe. Sie müssen die Flut der sich ständig weiterentwickelnden Bedrohungen, mit denen ihr Unternehmen täglich konfrontiert ist, effektiv überwachen, verwalten und entschärfen. Gleichzeitig müssen sie aber auch die Produktivität, die Leistung und die allgemeinen Geschäftsziele unterstützen.
Um SRM-Führungskräfte bei der Bewältigung dieser Herausforderung zu unterstützen, hat Gartner neun Trends herausgestellt, die die Widerstandsfähigkeit von Unternehmen und die allgemeinen Leistungen zur Cybersicherheit im Jahr 2024 vorantreiben werden (bitte beachten Sie, dass diese der Einfachheit halber nummeriert sind und nicht in der Reihenfolge ihrer Bedeutung aufgeführt werden).
| Trends für die Abwehrbereitschaft von Unternehmen | Trends, die die allgemeinen Leistungen zur Cybersicherheit beeinflussen |
|---|---|
| 1. Programme zur kontinuierlichen Verwaltung der Bedrohungslage (CTEM) | 5. Generative KI |
| 2. Erweiterte Wertschätzung der Verwaltung von Identität und Zugriffen (IAM) für die Cybersicherheit | 6. Programme für Sicherheitsverhalten und -kultur |
| 3. Verwaltung von Cybersicherheitsrisiken durch Dritte | 7. Ergebnisorientierte Metriken für die Cybersicherheit |
| 4. Datenschutzgesteuerte Entkopplung von Anwendungen und Daten | 8. Entwicklung von Betriebsmodellen für die Cybersicherheit |
| 9. Umschulung im Bereich der Cybersicherheit |
Im Folgenden gehen wir näher auf jeden dieser Trends ein.
Trends für die Abwehrbereitschaft von Unternehmen
1. Programme zur kontinuierlichen Verwaltung der Bedrohungslage (CTEM)
Die Angriffsfläche für Unternehmen hat sich in den letzten Jahren drastisch vergrößert. Dies ist auf eine Kombination von Faktoren zurückzuführen, darunter die zunehmende Nutzung von SaaS-Plattformen und -Tools, die Ausweitung digitaler Lieferketten, die verstärkte Entwicklung individueller Anwendungen, die zunehmende Präsenz von Unternehmen in den sozialen Medien, die verstärkte Interaktion mit Kunden über das Internet und natürlich die massive Zunahme von Remote- und Hybridarbeit.
Die größere und komplexere Angriffsfläche hat Schwachstellen in den traditionellen Modellen zur Cybersicherheit aufgedeckt, die sich in erster Linie auf die Sicherung von Softwaresystemen und Patches konzentrieren. Diese sind zwar nach wie vor unverzichtbar, reichen aber nicht aus, um die immer länger werdende Liste anfälliger (und potenziell anfälliger) Bedrohungsvektoren zu erkennen und zu bekämpfen.
Um diese Lücke zu schließen, sollten sich Unternehmen auf die folgenden CTEM-bezogenen Maßnahmen und Strategien konzentrieren:
- Abstimmung des CTEM-Umfangs auf die Geschäftsziele und Verwendung einer vertrauten und leicht verständlichen Sprache, um Auswirkungen auf das Geschäft - nicht auf die Technologie - zu erklären.
- Verwendung von Validierunsschritten und zugehörigen Technologien (z. B. Simulation von Sicherheitsverletzungen und Angriffen, automatische Penetrationstests usw.).
- Beziehen Sie alle relevanten Abteilungen des Unternehmens und alle Anlagenbesitzer mit ein, in dem Sie klar erläutern, welches Residualrisiko entsteht, wenn Abhilfemaßnahmen aufgeschoben werden. Bieten Sie sowohl kurz- als auch langfristige Optionen an und konzentrieren Sie sich dabei auf die Reduzierung (oder idealerweise auf die Beseitigung) des Risikos.
2. Erweiterte Wertschätzung der Verwaltung von Identität und Zugriffen (IAM) für die Cybersicherheit
Genau wie CTEM ist auch IAM in den letzten Jahren immer wichtiger geworden, da Hacker und böswillige Nutzer es auf privilegierte Konten abgesehen haben, die vertrauliche und geschützte Daten enthalten können (auch bekannt als „Schlüssel zum Königreich“).
Trotzdem glauben einige Unternehmen immer noch, dass die Verwaltung von Identität und Zugriff das Gleiche sind. Auch wenn es einige Überschneidungen gibt, handelt es sich doch um Bereiche mit unterschiedlichem Schwerpunkt. Dies haben wir bereits hier in unserem Blog diskutiert:
- Die Identitätsverwaltung kombiniert digitale Elemente und Einträge in einer zentralen Datenbank, um für jeden einzelnen Nutzer eine eindeutige Bezeichnung zu erstellen. Diese Bezeichnungen werden überwacht, geändert und bei Bedarf entfernt, um die Sicherheit zu gewährleisten und gleichzeitig den Nutzern die Berechtigungen zu erteilen, die sie für die Ausführung verschiedener arbeitsbezogener Aufgaben benötigen.
- Die Zugriffsverwaltung regelt, ob Nutzer die Berechtigung haben, auf Netzwerke, Ressourcen, Anwendungen, Datenbanken usw. zuzugreifen oder nicht. Dieses Konzept umfasst alle Richtlinien, Prozesse, Methoden, Systeme und Tools, die für die Aufrechterhaltung eines privilegierten Zugriffs in einer digitalen Umgebung erforderlich sind.
Im Wesentlichen geht es bei der Identitätsverwaltung darum, wer ein Nutzer ist, während sich die Zugriffsverwaltung mit dem befasst, wozu ein Nutzer berechtigt ist.
Erschwerend kommt hinzu, dass viele Unternehmen Schwierigkeiten haben, IAM durchzusetzen, da bestimmte Technologien wie veraltete Systeme, Telefone und Kameras kein verbundenes System nutzen können. Und obwohl es theoretisch möglich ist, für jeden Nutzer manuell eindeutige Identitätskonten zu erstellen und zu verwalten, ist dies äußerst unpraktisch.
Ein effektiver Ausweg aus diesem Dilemma ist die Implementierung einer PAM-Lösung, die den von einem IAM-System gebotenen Schutz auf den Bereich der nicht verbundenen Identitäten ausweitet. Sie schließt die Lücke zwischen der Identitätsverwaltung (Authentifizierung von Nutzern) und der Zugriffsverwaltung (Erteilung entsprechender Berechtigungen an Nutzer).
Weitere Empfehlungen zur Erhöhung der Cybersicherheit von IAM sind:
- Verstärkte Anstrengungen zur Umsetzung eine geeigneten Identitätshygiene.
- Ausweitung der Erkennung von und Reaktion auf Identitätsbedrohungen (ITDR) durch Schulung von SecOps-Teams in IAM.
- Entwicklung zu einer Identitätsstruktur - beginnend mit der Verwendung einer zusammenstellbaren Tool-Strategie.
3. Verwaltung von Cybersicherheitsrisiken durch Dritte
Herkömmlicherweise haben sich die Verantwortlichen für die Verwaltung der Lieferantenbeziehungen (supplier relationship management - SRM) bei der Bewertung und Auswahl von Drittanbietern im Bereich Cybersicherheit stark auf Due-Diligence-Aktivitäten konzentriert. Dieser Fokus wurde erst im Jahr 2021 verstärkt, als die massive Sicherheitslücke bei SolarWinds/Solarigate bekannt wurde. Trotz dieser beträchtlichen Anstrengungen und Investitionen in Front-End-Tests und -Prüfungen waren die Ergebnisse jedoch besorgniserregend. Bei einer Ende 2023 durchgeführten Umfrage von Gartner gaben 45 % der Befragten an, dass das Ausmaß der Störungen des Geschäftsbetriebs, die durch Vorfälle im Zusammenhang mit der Cybersicherheit von Drittanbietern ausgelöst wurden, in den letzten zwei Jahren zugenommen hat.
Um böswilligen Akteuren einen Schritt voraus zu sein, sollten SRM-Führungskräfte der an Resilienz orientierten Auftragsvergabe an Drittanbieter und Kontrollentscheidungen Priorität einräumen. Diese Bemühungen sollten die folgenden Maßnahmen und Strategien umfassen:
- Erstellung von Notfallplänen, Entwicklung von Ablaufplänen für Vorfälle und Durchführung von Übungen für alle Verträge mit Drittanbietern, die die größten Risiken für die Cybersicherheit darstellen.
- Die Due-Diligence-Prüfung im Vorfeld sollte durch eine Umverteilung der Ressourcen relevanter und effektiver gestaltet werden. Dazu könnte die Verwendung von Fragebögen nach Branchenstandard (z. B. SIG oder CAIQ) anstellen von individuellen Risikofragebögen gehören.
- Aufbau und Entwicklung starker, bidirektionaler Beziehungen zu wichtigen Drittanbietern und, falls erforderlich, Unterstützung bei deren Weiterentwicklung. Wie Gartner pragmatisch anmerkt: „In einer hypervernetzten Umgebung ist das Risiko Ihrer Lieferanten auch Ihr Risiko.“
4. Datenschutzgesteuerte Entkopplung von Anwendungen und Daten
Die Notwendigkeit, nationale und regionale Datenschutzanforderungen (z. B. GDPR) zu erfüllen, hat multinationale Unternehmen dazu gezwungen, Single-Tenant-Anwendungen zu überdenken und neu zu konzipieren - von denen viele seit Jahrzehnten verwendet werden, aber nicht mehr konform sind. Die daraus resultierende Fragmentierung von Anwendungs-Architekturen und Praktiken zur Datenlokalisierung haben eine Reihe von Cybersicherheitsrisiken und -schwachstellen geschaffen.
Um diesem Risiko zu begegnen und es zu mindern, sollten sich Unternehmen auf die folgenden Maßnahmen und Strategien konzentrieren:
- Erstellung einer Übersicht über alle Anforderungen zur Datenlokalisierung für die Länder und Regionen, in denen das Unternehmen derzeit tätig ist und in denen eine Expansion geplant ist. Zusammenarbeit mit Geschäfts-, Rechts- und IT-Teams, um alle Fälle von Nichteinhaltung zu identifizieren und zu beheben.
- Erstellung eines Dateninventars, um alle Informationsbestände zu identifizieren, die den verschiedenen Lokalisierungsanforderungen entsprechen müssen. Bevorzugter Einsatz von Tools, die in der Lage sind, sensible Daten in der Cloud kontinuierlich zu überwachen und zu erkennen.
- Implementierung verschiedener sicherer Entwicklungspraktiken innerhalb eines Softwareentwicklungszyklus, wie z. B. denen des Secure Software Development Framework (SSDF) und des auf den Datenschutz ausgerichteten Bedrohungsmodellierungsrahmens LINDDUN.
Trends, die die allgemeinen Leistungen zur Cybersicherheit beeinflussen
5. Generative KI
Generative KI (GenAI) ist ein Teilbereich des maschinellen Lernens, bei dem es darum geht, neue Datenmuster und Inhalte wie Bilder, Texte und Musik zu erstellen, die dem Trainingsset ähnlich sind - in einigen Fällen sogar in erstaunlichem Maß. Das ist die gute Nachricht.
Die schlechte Nachricht ist, dass GenAI neue Angriffsflächen schafft, wie z. B. Die Prompts oder Orchestrierungsebenen, die zur Instrumentierung von KI-Modellen verwendet werden. Diese Angriffsflächen müssen identifiziert und abgesichert werden. Andernfalls könnten Unternehmen mit einer ganzen Reihe von Risiken und Bedrohungen konfrontiert werden, da bösartige Akteure auf der Jagd nach Zugang zu Technologien von großen Sprachmodellen sind.
Um GenAI zu einem Vorteil und nicht zu einer Belastung zu machen, sollten sich Unternehmen auf die folgenden Maßnahmen und Strategien konzentrieren:
- Entdeckung, Überwachung, Verwaltung und Entschärfung neuer Anwendungsfälle für GenAI-Anwendungen von Drittanbietern sowie neu eingeführter GenAI-Funktionen, die in bestehende alte Softwareversionen implementiert werden.
- Überprüfung der Anforderungen an Lieferanten und Technologien, um Herausforderungen in Bezug auf Datenschutz, Urheberrecht und Rückverfolgbarkeit zu berücksichtigen. Bewertung von Technologien, die das Vertrauens-, Risiko- und Sicherheitsmanagement von KI (AI TRiSM) unterstützen.
- Viele Teams wollen GenAI nutzen - oder nutzen sie bereits - wie z. B. die Personalabteilung, zur Erstellung von Stellenbeschreibungen, der Vertrieb zur Erstellung von Angeboten usw. Diese Teams müssen dringend verstehen, wie auf GenAI basierte Produkte in das Unternehmen eigeführt werden sollten und wie nicht.
- Führen Sie Konzeptnachweise durch, bevor sie GenAI in die Cybersicherheitsabläufe implementieren. Beginnen Sie mit Anwendungssicherheit und SecOps.
- Überwachen Sie die Sicherheitskontrollen und achten Sie genau auf einen Rückgang der Erkennungsgenauigkeit und der allgemeinen Leistung.
6. Programme für Sicherheitsverhalten und -kultur
Programme für Sicherheitsverhalten und -kultur (SBCPs) zielen darauf ab, von Mitarbeitern ausgelöste Vorfälle im Bereich der Cybersicherheit zu reduzieren. Untersuchungen haben ergeben, dass menschliches Versagen für mehr als 80 % der Vorfälle verantwortlich ist und einige der berüchtigsten und kostspieligsten Datenschutzverletzungen der Geschichte von internen Mitarbeitern begangen wurden.
Um sicherzustellen, dass Ihre Mitarbeiter Teil der Cybersicherheitslösung und nicht des Problems sind, sollten sich Unternehmen auf folgende Maßnahmen und Strategien konzentrieren:
- Regelmäßig Überprüfung eine Auswahl historischer Cybersicherheitsvorfälle, um Zusammenhänge zwischen unsicherem Verhalten von Mitarbeitern und Art, Umfang und Häufigkeit von Vorfällen zu erkennen.
- Verwendung von Metriken, die sich am Ergebnis und Verhalten orientieren, um den geschäftlichen Nutzen des SBCP nachzuweisen.
- Nutzung des PIPE-Framework von Gartner als Leitfaden für ein nachhaltiges, umfassendes und skalierbares SBCP. Das PIPE-Framework hilft Führungskräften, zu verstehen, welche Praktiken sie anwenden müssen, welche Aspekte die Form und die Umsetzung des Programms beeinflussen, welche Technologien und Plattformen verwendet werden sollten und welche Gegebenheiten das Programm unterstützen müssen, damit es nicht bereits im Ansatz scheitert. Eine hervorragende Zusammenfassung des PIPE-Frameworks finden Sie in diesem Artikel von Richard Addiscott, einem seiner Schöpfer.
Darüber hinaus können Devolutions Remote Desktop Manager, Devolutions Hub und Devolutions Server alle eine Schlüsselrolle dabei spielen Mitarbeiter davor zu bewahren, Schaden anzurichten — sei es versehentlich oder absichtlich — dank wichtiger integrierter Funktionen wie rollenbasierter Zugriffskontrolle, Unterstützung von MFA, erweiterter PAM-Funktionalität und vielem mehr.
7. Ergebnisorientierte Metriken für die Cybersicherheit
Ergebnisorientierte Metriken für die Cybersicherheit (ODMs) sind operative Metriken, die eine direkte Verbindung zwischen zwei Investitionen für die Cybersicherheit und dem daraus resultierenden Schutzniveau darstellen. Stabile und relevante ODMs sind von entscheidender Bedeutung für SRM-Führungskräfte, die kontinuierliche Unterstützung und Zustimmung von Führungskräften und Einflussnehmern benötigen, die nicht dem IT-Bereich angehören.
Ein zentraler Aspekt von ODMs ist, dass sie das Paradigma der Risikobereitschaft neu definieren. Traditionell beruhte dies auf der Toleranz gegenüber der Akzeptanz von Verlusten (d. h. „Wir werden X für Y ausgeben, weil wir es uns nicht leisten können, Z zu verlieren“). Nun geht es darum, ein vereinbartes Schutzniveau zu erreichen. Dies sollte es SRM-Führungskräften erleichtern, Investitionen vorzuschlagen und zu verteidigen, die mit den Geschäftsanforderungen übereinstimmen.
Weitere Maßnahmen und Strategien zur Nutzung von ODMs als Teil des gesamten Cybersicherheitsprogramms sind:
- Verwendung von Tools zur Auswahl von ODMs, die einen ganzheitlichen Überblick über die aktuelle Leistung im Vergleich zu den größten Cybersicherheitsrisiken des Unternehmens bieten.
- Diskussion und Verhandlung der Schutzniveaus für jedes ODM mit den Verantwortlichen für die Funktionen für Geschäft und Unternehmen. Denken Sie daran, dass die Schutzniveaus zwischen Gruppen und Abteilungen variieren können (und dies wahrscheinlich auch werden).
- Einsatz von Benchmarking-Tools, um den Interessenvertretern eine objektive und quantitative Bewertung der ODM-Leistung zu ermöglichen.
- Berichterstattung über die ODM-Leistung auf Vorstandsebene, um weiterhin Unterstützung und Engagement zu gewährleisten und einen Rückschritt von der neuen Perspektive (Erreichen von Schutzniveaus) zur alten Perspektive (ausschließlich über Verlusttoleranz) zu verhindern.
8. Entwicklung von Betriebsmodellen für die Cybersicherheit
Herkömmliche Betriebsmodelle zur Cybersicherheit passen nicht zu der neuen Landschaft, in der die Entscheidungsrechte verteilt sind, die Details der Richtlinien am Rande liegen, die Verwaltung (zumindest bis zu einem gewissen Grad) zentralisiert ist und, was vielleicht am wichtigsten ist, sich die Rolle des Verantwortlichen für die Cybersicherheit zu der eines Wertschöpfers entwickelt. Anstatt ihre Befehle von CIOs, CTOs und Chief Risk Officers zu erhalten, geben SRM-Führungskräfte den Weg vor und bestimmen das Tempo.
Um sicherzustellen, dass sie sich in der neuen Realität in die richtige Richtung bewegen, sollten sich die Unternehmen auf folgende Maßnahmen und Strategien konzentrieren:
- Einrichtung eines repräsentativen Lenkungsausschusses mit Interessenvertretern aus Risiko- und Geschäftsfunktionen mit dem Ziel, eine gemeinsame und zentrale Entscheidungsfindung zu fördern und gleichzeitig qualifizierte Mitarbeiter zu befähigen, auf der Grundlage ihres Wissens, ihrer Erfahrung und ihres Urteilsvermögens eigenständige, risikobezogene Entscheidungen zu treffen.
- Implementierung rationalisierter und standardisierter Prozesse zur Cybersicherheit, die Zusammenarbeit und effiziente risikobezogene Entscheidungsfindung unterstützen.
- Entwicklung eines flexiblen Rahmens für die Richtlinien, damit die Eigentümer der Ressourcen die Verfahren zur Cybersicherheit anpassen und die Kontrollen auf spezifische Bedürfnisse abstimmen können. Wenn dies richtig gemacht wird, fördert es die Einhaltung der Richtlinien und fördert gleichzeitig das Gefühl der Eigenverantwortung für das Risikomanagement.
9. Umschulung im Bereich der Cybersicherheit
Selbst mit Budgets, die wettbewerbsfähige Vergütungspakete sowie attraktive Arbeitserfahrungen und -umgebungen bieten, ist es eine unvermeidliche Tatsache, dass es nicht genügend qualifizierte Cybersicherheitsexperten gibt, um alle offenen Stellen zu besetzen. Tatsächlich ist der Arbeitskräftemangel im Bereich der Cybersicherheit auf ein Rekordhoch von knapp 4 Millionen angestiegen - und eine Ende ist nicht in Sicht.
Um die Auswirkungen abzumildern und so viele Löcher wie möglich mit den richtigen Leuten zu stopfen (oder mit denen, die in naher Zukunft die richtigen Leute werden können), sollten sich Unternehmen auf die folgenden Maßnahmen und Strategien konzentrieren:
- Entwicklung eines Einsatzplans für die Cybersicherheit, der den Bedarf an neuen Qualifikationen dokumentiert und diese den aktuellen oder neuen Aufgaben im Bereich der Cybersicherheit zuordnet. Denken Sie daran, für die Zukunft und nicht für die Vergangenheit einzustellen.
- Legen Sie die Messlatte nicht zu hoch, sodass sich nur „Einhörner“ bewerben können. Ideale Bewerber gibt es entweder gar nicht oder sie sind extrem schwer zu finden. Seien Sie praktisch und denken Sie an die alte Redensart: „Der Perfektionismus kann manchmal der Feind des Guten sein.“
- Erfinden Sie das Lern- und Entwicklungsprogramm für Cybersicherheit neu und zwar auf der Grundlage des agilen Lernens, bei dem die praktische Entwicklung von Fähigkeiten in kurzen, iterativen Schritten im Vordergrund steht, statt der bisherigen, völlig überladenen Schulungs- und Zertifizierungsprogramme.
Was denken Sie?
Was halten Sie von Gartners Liste der Cybersicherheitstrends für das Jahr 2024? Welche Trends halten Sie für die dringendsten und einflussreichsten? Haben Sie in Ihrem Unternehmen bereits Erfahrungen mit einem dieser Trends gemacht? Planen Sie, sich in den kommenden Monaten auf einen dieser Trends zu konzentrieren? Und sind Sie der Meinung, dass Gartner irgendwelche Trends übersehen hat? Teilen Sie uns bitte Ihre Erkenntnisse und Ratschläge mit.