Wir leben in einer digitalen Welt – mehr denn je. Am besten zeigt sich das bei einem Stück Hardware, das mittlerweile von über 96% der arbeitenden Bevölkerung genutzt wird: Das Smartphone. Privat wie auch im Business ist es unser täglicher Begleiter: Es bringt uns ans Ziel, erinnert uns an unsere Termine und ob wir unterwegs einen Regenschirm brauchen. Zugriff auf Emails und Dokumente sind ohnehin selbstverständlich, und die Zahl der verfügbaren nützlichen (und weniger nützlichen) Apps wächst täglich. Kaum ein anderes Gerät vereint so viele Funktionen vom digitalen Wallet bis hin zur Kamera, kein anderes Gerät ist so häufig im Einsatz (im Durchschnitt 3,7 Stunden täglich). Insofern ist es nur logisch, dass auch Unternehmen vermehrt die Chancen durch die Nutzung mobiler Devices erkennen:
Fast die Hälfte aller Unternehmen hat im letzten Jahr einen Cybervorfall zu verzeichnen, bei dem ein mobiles Gerät involviert war.
Im Cyber Risk Management bisher oft vernachlässigt sind die Risiken, die insbesondere beim Einsatz von mobilen Devices entstehen. Und das, obwohl bei bereits 45% der Unternehmen im letzten Jahr ein Cybervorfall auftrat, bei dem ein mobiles Gerät involviert war (laut Verizon Mobile Security Index Report 2022).
Im Gegensatz zu einem klassischen Büroarbeitsplatz ist ein mobiles Device viel stärker Cyberbedrohungen ausgesetzt (Nutzung von unterwegs z.B. über unsichere WLAN-Verbindungen, kein Abschalten nach Büroschluss, Vermischung von privater und geschäftlicher Nutzung). Bei Phishingversuchen tappen wir am Smartphone viel einfacher in die Falle, zum einen aus technischen Gründen (z.B. kein „Mouse-Over“ bei dem wir die Link-URL sehen), aber auch weil wir unterwegs verminderte Aufmerksamkeit haben. Zusätzlich gibt es etwa Malicious Apps (z.B. Hiddad, AlienBot), Spyware oder Vulnerability Exploits, die uns zur Gefahr werden können.
Risiken bei der Smartphone-Nutzung
Eine moderne und dynamische Strategie für mehr Resilienz
Wie können Unternehmen auf Management-Ebene dem Risiko durch mobile Devices erfolgreich entgegentreten? Häufig sehen wir, dass punktuelle Maßnahmen getroffen werden (z.B. mit Hilfe von Security-Software oder im MDM vergebenen Richtlinien). Einen ganzheitlichen Blick auf die Risiken für das Unternehmen liefert das jedoch nicht. Werden falsche oder nicht zielgerichtete Maßnahmen getroffen, entstehen Kosten ohne Mehrwert – auf der anderen Seite können essentielle Risiken unentdeckt bleiben und daher einen erheblich größeren Schaden verursachen.
Ein Cyber Risk Management zeigt und bewertet die Risiken und ermöglicht es, das Thema von einer rein operativen Aufgabe ins Management zu rücken. Die Risiken werden sicht- und einschätzbar und das Management kann sich für geeignete Strategien und Maßnahmen entscheiden.
Risk Management Framework (angelehnt an NIST RMF)
Der Cyber Risk Erfolg ist das Ergebnis guter Zusammenarbeit auf verschiedenen Ebenen des Unternehmens: Von der Geschäftsführung über Budget- und Security-Verantwortliche und Digitalisierungsexperten bis hin zum IT-Team tragen alle ein Stück dazu bei. Die Voraussetzung für eine konstruktive Zusammenarbeit liegt in einer transparenten und verständlichen Kommunikation über alle Funktionsebenen hinweg.
Wie gelingt eine bessere Kommunikation?
Klare und einheitliche Key Risk Indicators (KRI) sowie komplexitätsreduzierte Berichte tragen dazu bei, dass das Management und die IT gemeinsam versteht, wo Handlungsbedarf besteht und finanzielle Investitionen erforderlich sind.
Ein Bild sagt mehr als 1000 Worte? Das ist nicht neu – und dennoch müssen wir uns oft durch lange Buchstabenkolonnen quälen, und sind danach oft nicht schlauer als zuvor. Eine gute Visualisierung (etwa in einem Dashboard) ermöglicht eine Übersicht über die Risiken im Unternehmen, die schnell für alle Ebenen verständlich ist. Passende Darstellungen (z.B. Trendkurven, Häufigkeit und Verteilung von Risiken, Kritikalität,…) liefern ein aussagekräftiges Lagebild. Das Cyber Risk Management kann dadurch viel stärker Steuerungs- und Beratungsfunktionen einnehmen.
Daten, Daten, Daten: Zu keiner Zeit wurden mehr Daten produziert als jetzt, Tendenz steigend. Gerade diese Vielzahl an Daten richtig zu nutzen, ist die große Herausforderung unserer Zeit.
Die Vielzahl an Informationen zum Risiko von mobilen Devices, zu Cyber Bedrohungen, zu aufgetretenen Schwachstellen gilt es zusammenzutragen und daraus Risiken zu erkennen, zu bewerten und zu klassifizieren.
Der Clou liegt darin, diese Schritte automatisiert durchführen zu lassen und Fachexperten dort einzusetzen, wo sie ihre menschlichen Stärken ausspielen können: Im Zusammenhang der aufgezeigten Risiken zum Unternehmen und in der Steuerung von Security Maßnahmen: Organisatorisch, technisch und strategisch.
4. Cyber Risk Ergebnis
Am Ende zählt das Ergebnis und der Erfolgsnachweis – das gilt insbesondere auch für Managementaufgaben. Das Feststellen der Wirksamkeit von getroffenen Maßnahmen ist essentiell für das Cyber Risk Management: Nur wer sieht ob und wie gut Maßnahmen greifen und tatsächlich zum Sinken des Risikos beitragen, kann sinnvoll evaluieren und gegebenenfalls optimieren.
Ungeplante Ereignisse treten gerade in der schnelllebigen Welt der mobilen Risiken häufig auf und sind nicht zu 100% vermeidbar. Ein geeignetes Risikoprofil und eine optimale Positionierung zu finden ist wichtig, um entsprechende Handlungsmaßnahmen auf Basis fundierter und vor allem aktueller Daten zu entwickeln.
Ein Wandel der Sicherheitsstrategie wird für Unternehmen nötig sein, um mit der realen Entwicklung Schritt zu halten. Obwohl das Budget für Security insgesamt bei den Unternehmen erweitert wird, liegt noch immer ein großer Teil der Aufmerksamkeit bei den (oft statischen) Security-Maßnahmen, die PCs und Server betreffen. Die Realität zeigt, dass der Trend ganz klar zu mobilen Lösungen geht – vom PC zum mobilen Device, von On-Premise-Lösungen in die Cloud. Wer die Risiken von mobilen Devices nicht in sein Kommandozentrum über die Cyber Risiken mitaufnimmt, lässt einen immer größer wachsenden Teil der möglichen Angriffsvektoren und Risikofaktoren aus den Augen – umso höher steigt im Gegenzug die Wahrscheinlichkeit eines Cybervorfalls.
Moderne digitale Management Dashboards liefern die technische Voraussetzung für ein erfolgreiches Cyber Risk Management. Ein Neudenken der Risiko-Strategie bietet Unternehmen die Chance, einen erfolgreichen Zukunftsweg zu gehen.