Warum solltest du Hackbarkeit als KPI in der Cybersicherheit messen? Cybersicherheit hat für Unternehmen in letzter Zeit deutlich an Bedeutung gewonnen. Das britische Ministerium für Digitales, Kultur, Medien und Sport (DCMS) stellte in seiner jährlichen Cyber Security Breaches Survey fest, dass 82 % der Vorstände und Führungskräfte Cybersicherheit für ein Thema mit hoher Priorität halten. (Es handelt sich um einen Anstieg von 5 Prozent im Vergleich zu 2021). Das Hacking-Risiko ist offensichtlich ein Thema, das in Vorstandsetagen und anderen hochrangigen Meetings häufig diskutiert wird. Doch laut einer Navisite-Studie aus dem Jahr 2021 beschäftigen 55 % der US-Unternehmen keinen Chief Information Security Officer (CISO). Dieselbe Studie ergab, dass in 60 % der Unternehmen die Cybersicherheitsstrategien nicht in den Händen eines dedizierten Sicherheitsteams liegen.
IT- und Sicherheitsexperten sollten sich nicht darauf verlassen, dass die Geschäftsleitung die technischen Details ihrer IT-Infrastruktur und deren Schwachstellen versteht. Vielmehr müssen die Informationen so bereitgestellt werden, dass Manager über die neuesten Trends im Schwachstellenmanagement auf dem Laufenden bleiben und ihre Unternehmensrisiken verstehen. Während Sicherheitstools bei der Erkennung von Schwachstellen hervorragende Arbeit leisten, wurden sie traditionell für Sicherheitsexperten entwickelt und gehen nicht auf die Bedürfnisse anderer Entscheidungsträger ein. Um diese Lücke zu schließen, haben wir eine neue Metrik eingeführt, den Hackability Score, der es Unternehmen ermöglicht, ihre Hackbarkeit zu messen, ihre Organisation mit anderen zu vergleichen und ihren Fortschritt mit einem leicht verständlichen KPI zu verfolgen.
Der Hackability Score: Sicherheit messbar machen
Der Hackability Score fasst alle Schwachstellen, eines Unternehmens, in einem einzigen Score zusammen. Seine Einführung macht es sowohl für Sicherheitsexperten als auch für Laien erheblich einfacher, das Gesamtrisiko zu verstehen, dem ein Unternehmen ausgesetzt ist. Als Teil eines kontinuierlichen Prozesses ermöglicht es Teams und Organisationen, ihre Bemühungen messbar zu machen und ihre Fortschritte zu verfolgen. Wie alle KPIs hilft ein KPI in der Cybersicherheit den Teams, eine gemeinsame Sprache zu sprechen. Wer schon einmal einen Schwachstellenscanner verwendet hat, kennt folgendes Szenario. Du scannst deine IT-Landschaft nach Schwachstellen, aber sobald das Ergebnis vorliegt, ist dein Team von der schieren Menge der gefundenen Probleme überwältigt. Große Organisationen können mit bis zu einer Million oder mehr Schwachstellen konfrontiert werden – kaum eine Zahl, mit der man in einer Vorstandssitzung herumhantieren möchte.
Erschwerend kommt hinzu, dass die daraus resultierenden Aufgaben in die ohnehin schon engen Zeitpläne der notorisch unterbesetzten IT-Abteilungen passen müssen. Was diese Berichte jedoch nicht berücksichtigen, ist, wie kritisch diese Probleme tatsächlich sind oder ob dasselbe Problem mehr als einmal entdeckt wurde. Hier kommt unser Hackability Score ins Spiel. Welche Arten von Schwachstellen werden berücksichtigt? Der Hackability Score umfasst alle Schwachstellen, die von Cybersicherheitsscannern erkannt werden. Neben unseren eigenen Scanfunktionen umfasst die Autobahn Fit SaaS Plattform den Zugriff auf den Schwachstellenscanner von Qualys. Darüber hinaus verfügt unsere Software über Integrationen mit vielen anderen großen Scannern wie Rapid7, Tenable oder Nessus.
Die vier häufigsten Probleme in Bezug auf Informationssicherheit sind:
- Probleme im Identitäts- und Zugriffsmanagement eines Unternehmens, wie schwache Anmeldeinformationen und fehlende Authentifizierung
- Unnötige Gefährdung von IT-Assets durch das Internet
- Unzureichende Asset-Härtung aufgrund von Konfigurationsproblemen
- Veraltete Software signalisiert beispielsweise durch fehlendes Patch-Management
Der Hackability Score enthält keine Informationen aus dem Bereich Bewusstsein für Social-Engineering Themen, die auf interne Schulungen zurückzuführen sein könnten.
Wie nutzen Kunden unseren Hackability Score?
Der Hackability Score liefert endlich einen KPI zur Messung und Verfolgung der IT-Sicherheit. Die häufigsten Anwendungsfälle bei unseren Kunden sind:
- Verfolgung des IT-Sicherheitsfortschritts
- Benchmarking, um die Organisation mit Wettbewerbern zu vergleichen und Ziele festzulegen.
- Berichterstattung an Stakeholder
- Bewertung von Anbietern und Lieferanten
Fortschritt verfolgen
Bei der Autobahn Fit geht es darum, die Cybersicherheit beherrschbar zu machen. Viele Cybersicherheits- oder IT-Teams im Allgemeinen verfolgen ihren Fortschritt immer noch anhand der Anzahl der gelösten Probleme oder der Gesamtanzahl der verbliebenen oder gefundenen Schwachstellen. Dieser Ansatz gibt jedoch keinen Aufschluss darüber, wie kritisch der Abschluss eines bestimmten Problems für das Unternehmen ist. Es spiegelt auch nicht den gesamten Priorisierungsprozess wider, wenn es darum geht, zu entscheiden, welche Probleme zuerst gelöst werden sollen. Was kann demoralisierender sein, als eine Reihe von Aufgaben abzuschließen und dann festzustellen, dass sich die Liste deiner Probleme lediglich von 9.999 auf 9.990 geändert hat? Lass uns nicht nur nur auf den Output schauen, sondern lass uns anfangen, auf tatsächliche Ergebnisse hinzuarbeiten. Der Hackability Score leistet genau das. Er zeigt nicht nur, wie gut dein Unternehmen vor Angriffen von außen geschützt ist, sondern auch, wie sich deine Hackability im Laufe der Zeit verbessert.
Benchmarking
Autobahn Fit analysiert kontinuierlich verschiedene Branchen auf der ganzen Welt und ermöglicht Unternehmen, sich mit ihren Mitbewerbern, anderen Branchen oder sogar dem gesamten Markt zu vergleichen. Um ihre Situation noch besser zu verstehen, vergleichen wir unsere Kunden automatisch mit ähnlichen Unternehmen. Auf diese Weise relativieren wir die Ergebnisse und zeigen, ob sie mehr oder weniger wahrscheinlich das Ziel von Hackern sind. Benchmarking ist auch bei der Festlegung von Zielen ein nützliches Instrument, da es Unternehmen ermöglicht, realistische Ziele für ihre Branche und Unternehmensgröße zu erkennen.
Berichterstattung
Wir haben uns bereits zu Beginn mit diesem Thema beschäftigt und erklärt, dass IT-Experten mit einem klaren KPI, über den sie berichten und mit dem sie arbeiten können, mehr tun können, als nur der Geschäftsleitung Bericht zu erstatten. Kommt dir eines dieser Szenarios bekannt vor?
- Du hast deine Aufgaben erledigt, aber dein Ticket bleibt in einem überfüllten Backlog stecken.
- Trotz der Zusagen der Führungsebene werden (ausreichende) Budgets nicht genehmigt·
- Du möchtest ein Asset aktualisieren, aber die betroffenen Teams lehnen eine Ausfallzeit ab, da alles „immer noch reibungslos funktioniert“.
Vermutlich kennst du vieler dieser Geschichten. Es wäre eine mühsame Aufgabe, ein Unternehmen mit einem einzigen Mitarbeiter zu finden, der die IT-Infrastruktur nicht auf die eine oder andere Weise betreibt. Wahrscheinlich gibt es in einem Unternehmen nur wenige Abteilungen mit so vielen Stakeholdern. Offensichtlich verschwinden interne Herausforderungen nicht einfach wie von Zauberhand. Was du tun kannst, ist, sich mit den richtigen Tools und Daten auszustatten, um ihnen zu begegnen. Du kannst deinen Stakeholdern eine intuitive Möglichkeit bieten, die Situation einzuschätzen und die Wirkung von Gegenmaßnahmen zu messen. Die richtige Strategie für das Schwachstellenmanagement ist möglicherweise die stärkste Waffe in jedem Geschäftskontext, um Datenschutzverletzungen und andere schädliche Cyber-Ereignisse zu verhindern.
Bewerten
Hoffentlich hören wir nie auf zu lernen – und wir haben in den letzten Jahren gelernt, wie kritisch und komplex Lieferketten sind. Die Blockade von 13 % des gesamten Welthandels oder die Unterbrechung der Lieferketten durch eine weltweite Pandemie ist kein alltägliches Ereignis.
Leider sind Cyber-Angriffe ein alltäglicher Sicherheitsaspekt – mindestens 88 % der Unternehmen gaben an, im Jahr 2019 einem Angriff ausgesetzt gewesen zu sein. Es ist unweigerlich, dass jedes Unternehmen irgendwann das Ziel von Cyberkriminellen wird, und dagegen können wir nicht viel tun.
Aber was wir tun können, ist sicherzustellen, dass wir kein wehrloses Ziel sind – und dazu gehört auch eine widerstandsfähige Lieferkette. Für viele Unternehmen, insbesondere in stark regulierten Branchen, besteht möglicherweise bereits eine entsprechende Verpflichtung. Für beide Seiten ist dies eine Chance.
- Indem du Cybersicherheit in dein Supply Chain Management integrierst, schützt du nicht nur deine eigene IT-Infrastruktur. Du härtest dein gesamtes Geschäftsmodell.
- Lieferanten und Anbieter, die Cyber-Risikobewertungen proaktiv unterstützen und deren Hackbarkeit melden, können Zugang zu neuen Märkten erhalten und Wettbewerbsvorteile schaffen.
Nach Angaben des Ministeriums für Digitales, Kultur, Medien und Sport überprüfen nur 13 % der britischen Unternehmen ihre unmittelbaren Lieferanten auf potenzielle Cybersicherheitsrisiken. Bei 44 % der Großunternehmen und 34 % aller Unternehmen der Finanz- und Versicherungsbranche ist dies jedoch bereits gängige Praxis.
Wie genau hilft unser Hackability Score?
Der häufigste Grund (36 %), warum Unternehmen Cyber-Risiken in ihrer Lieferkette nicht überprüfen, ist Zeit- und Geldmangel. Der Hackability Score ermöglicht es Unternehmen, mit Genehmigung ihrer Lieferanten, Scandaten zu nutzen, um sich einen Überblick über die Hackbarkeit in ihrer Lieferkette zu verschaffen. Lieferanten und Anbieter hingegen erhalten eine Kennzahl, die sie proaktiv mit ihren (potenziellen) Kunden teilen können.
Der Hackability Score spiegelt lediglich deine Cybersicherheit wider und ist ein kleiner Teil der Autobahn Fit SaaS Plattform. Wenn du mehr darüber erfahren möchtest, wie Autobahn Security deinem Unternehmen dabei helfen kann, die Cybersicherheit auf die nächste Stufe zu heben und gleichzeitig Ressourcen zu schonen, solltest du einen Blick auf unseren Cyber-Fitness-Ansatz werfen oder eine Demo vereinbaren, um unsere Lösung aus erster Hand kennenzulernen.