KI & Cybersecurity

7 große Fallen und Gegenstrategien bei der Risikobewertung der Netzwerksicherheit von Unternehmen

Die Bewertung von Cybersicherheitsrisiken ist eine Kernaufgabe des CISO, aber viele Organisationen geraten bei der Durchführung in häufige Fallstricke wie Formalismus, Auslassung von Bereichen, Verwechslung von Compliance und Sicherheit. Dieser Artikel analysiert sieben häufige Missverständnisse und ihre tatsächlichen Auswirkungen auf die Unternehmenssicherheit und bietet professionelle Lösungsvorschläge.

Einleitung

Die Bewertung von Cybersicherheitsrisiken ist ein zentraler Prozess für Unternehmen, um potenzielle Bedrohungen und Schwachstellen zu identifizieren, zu bewerten und priorisiert zu behandeln. Viele CISO tappen jedoch immer wieder in häufige Fallstricke, die dazu führen, dass die Bewertung zur bloßen Formalität verkommt, der Umfang einseitig ist, die Ergebnisse verfälscht werden oder sogar ein falsches Sicherheitsgefühl bei der Führungsebene entsteht. Dieser Artikel fasst sieben häufige Fehler zusammen, analysiert anhand der Standpunkte von Branchenexperten deren tatsächliche Auswirkungen auf die Unternehmenssicherheit und bietet konkrete Handlungsempfehlungen, um Sicherheitsverantwortlichen zu helfen, die Risikobewertung wirklich zu einem Entscheidungsinstrument zu machen.

Hintergrund: Warum ist eine Risikobewertung wichtig?

Die Risikobewertung sollte ein zentraler Bestandteil der gesamten Cybersicherheitsstrategie eines Unternehmens sein. Sie hilft Sicherheitsverantwortlichen, den Zusammenhang zwischen Risiken und Geschäftszielen zu verstehen, die Wahrscheinlichkeit und die Auswirkungen von Cyberangriffen zu bewerten und Abhilfemaßnahmen zu entwickeln. Wenn die Bewertung jedoch zu einer bloßen Tabellenausfüllübung oder einer Compliance-Prüfung verkommt, ist ihr Wert erheblich gemindert.

Analyse der sieben Fallstricke

1. Nur pro forma: Die Bewertung als Checklistenabarbeitung

Risikobeschreibung: Viele Organisationen betrachten die Risikobewertung als eine Abarbeitung vorgegebener Checklisten oder Kontrollpunkte und nicht als Entscheidungsinstrument, das mit den tatsächlichen geschäftlichen Auswirkungen und Bedrohungsszenarien verknüpft ist. Shirsendu Mondal, Cybersicherheitsforscher an der University of North Carolina, weist darauf hin, dass die Bewertung nicht widerspiegelt, wie Risiken tatsächlich in der Umgebung auftreten, wenn es nur um das „Abhaken“ geht.

Auswirkungen auf das Unternehmen: Die Bewertungsergebnisse können keine Entscheidungen stützen, Sicherheitsinvestitionen werden möglicherweise falsch zugewiesen, und echte Risiken werden übersehen.

Handlungsempfehlung: Verwenden Sie einen szenariobasierten Ansatz und fragen Sie sich: Wo befinden sich die Assets? Wer hat Zugriff? Welche Daten sind betroffen? Wie wichtig sind sie für den Betrieb? Was passiert im Falle eines Ausfalls? Verknüpfen Sie Risiken stets mit geschäftlichen Auswirkungen und nicht nur mit technischen Erkenntnissen. Beziehen Sie gleichzeitig die Führungskräfte der Geschäftsbereiche (z. B. IT, Betriebsleiter) in das Sicherheitsteam ein.

2. Schönfärberei: Den Stakeholdern die wahre Lage verheimlichen

Risikobeschreibung: Wenn die Ergebnisse der Bewertung ernüchternd sind, neigen einige CISO dazu, die Berichte zu beschönigen, um keine schlechten Nachrichten übermitteln zu müssen. Pablo Riboldi, CISO von BairesDev, betont, dass man gegenüber den Stakeholdern ehrlich sein muss und zugeben sollte, dass sich die Bedrohungslandschaft viel schneller entwickelt als erwartet.

Auswirkungen auf das Unternehmen: Die Führungsebene unterschätzt Risiken, Ressourcen werden nicht ausreichend zugewiesen, und echte Bedrohungen bleiben unbeachtet.

Handlungsempfehlung: Präsentieren Sie tatsächliche Angriffsszenarien anstelle einer bloßen Liste von Schwachstellen. Führen Sie eine vertiefte Bewertung der drei geschäftskritischsten Assets priorisiert durch, zeigen Sie den unmittelbaren Nutzen auf und bauen Sie so Vertrauen auf.

3. Unzureichender Umfang: Auslassen von Schlüssel-Assets und neuen TechnologienRisikobeschreibung: Viele Bewertungen decken Produktionsserver und Unternehmensnetzwerke ab, übersehen jedoch alte Entwicklungsrechner in der Ecke, nicht zugeordnete Portale von Drittanbietern oder API-Endpunkte, die vor zwei Jahren provisorisch eingerichtet und nie stillgelegt wurden. Denis Calderone, CTO von Suzu Labs, weist darauf hin, dass Angreifer sich nicht um Ihre Abgrenzungsentscheidungen kümmern – sie suchen nach den Schwachstellen in Ihrer gesamten Umgebung, die Sie nicht bewerten. Die Verbreitung von KI verschärft das Problem: Organisationen setzen KI-Tools ein, die an interne Systeme angebunden sind und Zugriff auf sensible Daten erhalten, aber diese liegen fast nie im Bewertungsumfang. KI-Agenten rufen im Hintergrund APIs auf, greifen auf Datenbanken zu und verwenden Anmeldeinformationen, die niemand nachverfolgt.

Auswirkung auf das Unternehmen: Vergrößerte Angriffsfläche, nicht bewertete Vermögenswerte werden zu Sprungbrettern für Angriffe.

Handlungsempfehlung: Überprüfen und aktualisieren Sie regelmäßig den Bewertungsumfang, beziehen Sie alle Vermögenswerte ein, einschließlich Entwicklungsumgebungen, Drittanbieterschnittstellen, API-Endpunkte, KI/ML-Komponenten. Führen Sie eine umfassende Bestandsaufnahme der Anmeldeinformationen und Berechtigungen von KI-Agenten durch.

4. Übermäßiges Vertrauen in das Risikoregister ohne Überprüfung der Annahmen

Risikobeschreibung: Wenn das Ziel darin besteht, eine Bewertung abzuschließen, anstatt die tatsächliche Exposition zu verstehen, mögen die Ausgabedokumente die Prüfung zufriedenstellen, aber sie führen die Führungsebene in die Irre. Amit Basu, CIO/CISO von International Seaways, erklärt, dass diese Haltung falsches Vertrauen schafft – Führungskräfte sehen ein grünes Dashboard und glauben, die Organisation sei sicher, während echte Bedrohungen ignoriert werden, weil sie nicht in das Bewertungsframework passen.

Auswirkung auf das Unternehmen: Entscheidungen der Führungsebene basieren auf unvollständigen Informationen, Risiken akkumulieren sich weiter.

Handlungsempfehlung: Dokumentieren Sie die Annahmen hinter der Bewertung explizit und überprüfen Sie sie, wenn sich das Geschäft ändert, die Bedrohungslandschaft sich wandelt oder Vorfälle Lücken aufdecken. Eine Bewertung ist kein fertiges Produkt, sondern ein lebendiger Input für den kontinuierlichen Dialog zwischen Sicherheit und Geschäft.

5. Versäumnis, Risiken mit Geschäftsauswirkungen zu verknüpfen

Risikobeschreibung: Die Verbindung zwischen Risiko und Geschäft wird ignoriert oder heruntergespielt, was dazu führt, dass Probleme leichter herabgestuft oder ignoriert werden. Dan Moore, Senior Director für Identitätsstandards bei FusionAuth, weist darauf hin, dass dies dazu führt, dass Sicherheitsteams sich unverstanden fühlen, was die Teamleistung schwächt.

Auswirkung auf das Unternehmen: Sicherheitsausgaben sind von den Geschäftszielen entkoppelt, die Priorisierung der Verteidigung ist chaotisch.

Handlungsempfehlung: Seien Sie konkret und zielgerichtet. Sagen Sie nicht „Wir haben eine Patch-Compliance-Rate von 95 %“, sondern beschreiben Sie das Risiko, das ungepatchte Systeme für das Geschäft darstellen. Erkennen Sie an, dass einige Systeme (z. B. nicht mit dem Internet verbundene Legacy-Systeme) ein geringeres Risiko haben, selbst wenn sie das gleiche Patch-Problem aufweisen, und behandeln Sie sie differenziert.

6. Verwechslung von Compliance mit echter Sicherheit

Risikobeschreibung: Viele Organisationen glauben, dass die Erfüllung regulatorischer Anforderungen gleichbedeutend mit Sicherheit ist. Adriel Desautels, CEO von Netragard, warnt, dass Compliance keinen echten Schutz bedeutet – jeder große Leak der letzten zehn Jahre betraf Organisationen, die zum Zeitpunkt des Vorfalls compliant waren.

Auswirkung auf das Unternehmen: Falsches Sicherheitsgefühl führt zu nachlassender Verteidigung, Angriffe haben Erfolg.Empfehlung: Beauftragen Sie Penetrationstest-Unternehmen, die sich auf menschlich gesteuerte Tests spezialisieren und nicht auf automatisches Scannen. Betrachten Sie Compliance als Grundlage, aber führen Sie zusätzlich bedrohungsbasierte Tests durch.

7. Versäumnis, Risiken wirklich zu verstehen

Risikobeschreibung: Viele Organisationen behandeln die Risikobewertung als eine Übung zur Erstellung eines Schwachstellenkatalogs: Lücken finden, Schweregrade zählen, Audit bestehen. Safi Raza, Senior Director für Cybersicherheit bei Fusion Risk Management, weist darauf hin, dass das Bestehen eines Audits nicht gleichbedeutend mit dem Verständnis von Risiken ist.

Auswirkungen auf das Unternehmen: Das Risikoverständnis bleibt auf technischer Ebene und kann nicht in geschäftliche und finanzielle Entscheidungen übersetzt werden.

Empfehlung: Verbinden Sie technische Risikosignale mit betrieblichen Ergebnissen. Verstehen Sie, welche Dienste betroffen sind, wie sich Ausfälle ausbreiten und was dies für Umsatz, Kunden und regulatorische Verpflichtungen bedeutet. Wechseln Sie von statischen Bewertungen zu einer kontinuierlichen, kontextgesteuerten Risikotransparenz.

Branchentrendbeobachtung

Diese Fallstricke sind keine isolierten Phänomene, sondern spiegeln weit verbreitete Probleme im Bereich der Risikobewertung wider. Viele Organisationen betrachten die Risikobewertung immer noch als einmalige Compliance-Aufgabe und nicht als kontinuierlichen strategischen Prozess. Mit der schnellen Einführung von KI-Technologien wird das Problem des hinterherhinkenden Bewertungsumfangs noch deutlicher. Darüber hinaus ist unter dem Druck der Compliance immer noch eine Bewertungskultur mit dem Ziel 'Audit bestehen' weit verbreitet, was die Risikobewertung von ihrem Kernzweck abweichen lässt – Risiken wirklich zu verstehen und zu reduzieren.

Abwehr- und Handlungsempfehlungen

  • Unternehmensebene: Einführung eines kontinuierlichen Bewertungsmechanismus, regelmäßige Aktualisierung von Bewertungsumfang und Annahmen. Einbeziehung der Risikobewertung in das jährliche Sicherheitsbudget und die Governance-Prozesse.
  • Identitätssicherheit: Stellen Sie sicher, dass KI-Agenten-Anmeldeinformationen verwaltet werden, implementieren Sie MFA und minimale Berechtigungen.
  • Technische Ebene: Nutzen Sie EDR/XDR und Bedrohungsinformationen, um die Simulation von Angriffsszenarien zu verbessern.
  • Managementebene: Entwickeln Sie einen Incident-Response-Plan und führen Sie auf Basis der Risikobewertungsergebnisse regelmäßige Übungen durch.
  • Drittanbieter-Risikomanagement: Beziehen Sie Lieferanten und Partner in den Bewertungsumfang ein.

SecurityPost Einblick

Die Cybersicherheits-Risikobewertung ist keine isolierte Prüfaktivität, sondern eine Brücke, die technische Sicherheit mit der Geschäftsstrategie verbindet. Die in diesem Artikel aufgezeigten sieben Fallstricke erinnern uns daran: Der Wert der Bewertung liegt nicht darin, einen schönen Bericht zu liefern, sondern darin, Führungskräften zu helfen, die tatsächlichen Bedrohungen zu verstehen und fundierte Ressourcenentscheidungen zu treffen.

In der heutigen Zeit der rasanten Verbreitung von KI und Cloud-nativen Architekturen müssen Sicherheitsteams die 'Abhaken-Kultur' ablegen und dynamische, kontextgesteuerte Risikobewertungsmethoden annehmen. Insbesondere wenn KI-Agenten beginnen, Geschäftsprozesse weitgehend zu übernehmen, müssen ihre Zugriffsberechtigungen und ihr Verhalten in den Bewertungsfokus einbezogen werden. Zukünftige Risikobewertungen müssen so agil sein wie das Geschäft selbst, sonst werden sie zu einer veralteten Karte, die das tatsächliche Schlachtfeld nicht widerspiegelt.Für CISOs besteht die eigentliche Herausforderung nicht darin, eine Bewertung durchzuführen, sondern sicherzustellen, dass die Bewertung stets die tatsächliche Angriffsfläche widerspiegelt und die Organisation dazu bewegt, wirksame Gegenmaßnahmen zu ergreifen. Nur so kann die Risikobewertung von einer Compliance-Last zu einem strategischen Vorteil werden.

---

*Dieser Artikel basiert auf einer Übersetzung und Zusammenstellung des CSOOnline-Artikels „7 cyber risk assessment gotchas to avoid“, verfasst von John Edwards.*

Belegroute · securitypost

securitypost stellt diesen Hinweis in Security Post veröffentlicht defensive Cybersecurity-Intelligence für Sicherheitsverantwortliche in Unterne.... Bedrohungsbriefing / Unternehmenssicherheit / KI & Cybersecurity erklärt den lokalen redaktionellen Blick: die Quellenlinks sollten vor jeder Wiederverwendung der Zusammenfassung geöffnet werden. Daten, Namen und Statuswechsel bleiben zu prüfen.

Source URL

  1. https://www.csoonline.com/article/4189703/7-cyber-risk-assessment-gotchas-to-avoid.htmlPrimary

Ähnliche Artikel

Zurück zum Kanal