Warum Ihr Sicherheitsbudget vielleicht falsch angelegt ist

Geben Sie Ihre für die IT-Sicherheit gedachten Euro und Dollar an der richtigen Stelle aus?

Falls Sie den Großteil Ihres Sicherheitsbudgets für den Netzperimeter ausgeben - zu Lasten der Anwendungssicherheit und des Identitätsmanagements -, dann stimmen vielleicht die Proportionen nicht.

Fast 25 Prozent der Unternehmen nennen Anwendungen als die Quelle von Sicherheitsverletzungen. Dennoch gibt mehr als die Hälfte der Unternehmen nur ein Prozent des IT-Budgets oder weniger für Anwendungssicherheit aus - oder sie wissen erst gar nicht, wie viel sie ausgeben.

Fast 25 prozent der Unternehmen nennen Anwendungen als die Quelle von Sicherheitsverletzungen. Dennoch gibt mehr als die Hälfte der Unternehmen (51 Prozent)  ein Prozent des IT-Budgets oder weniger für Anwendungssicherheit aus - oder sie wissen erst gar nicht, wie viel sie ausgeben. Fast drei Viertel (74,5 Prozent)der Unternehmen räumen ein, dass ihre Programme für die Anwendungssicherheit nicht ausgereift sind.

Und dann gibt es da noch das Thema Nutzeridentitäten. Je nachdem, mit wem man spricht, sind kompromittierte Identitäten Ursache Nummer 1 oder Nummer 2 für Sicherheitsverletzungen.

 

74.5%

74,5 Prozent der Unternehmen räumen ein, dass ihre Programme für Anwendungssicherheit nicht ausgereift sind.

Angesichts dieser Zahlen ist schwer zu glauben, dass die meisten Unternehmen den Großteil ihres Budgets für IT-Sicherheit in den Schutz des Netzperimeters stecken. Wenn Ihr Unternehmen das auch tut, sollten Sie sich ernsthaft Gedanken machen.

Ihr "Netzperimeter" existiert nicht mehr wirklich

Mit der Zunahme mobiler Geräte und Cloud-basierender Anwendungen ist Ihr Perimeter wahrscheinlich ziemlich durchlässig geworden. Sie haben nun Hunderte, vielleicht sogar Tausende verwundbarer Nutzer in aller Welt, die mit einer breiten Auswahl an Anwendungen auf weitgehend ungeschützten Geräten auf Ihre Daten zugreifen. Wie verbreitet sind Cloud-basierende Anwendungen? Vier von fünf Organisationen hosten Anwendungen in der Cloud, und 20 Prozent planen, mehr als die Hälfte ihrer Anwendungen in diesem Jahr über die Cloud bereitzustellen. 2018 werden über zwölf Milliarden mobile Geräte weltweit genutzt werden. Ihre Anwendungen sind überall zu Hause, Ihre Nutzer greifen von beliebigen Geräten aus darauf zu - Ihr Netzperimeter ist  damit geplatzt.

Hinzu kommt, dass das Identitäts- und Zugangsmanagement komplexer wird. Ob sich Ihre Anwendungen nun bei Ihnen vor Ort, in Ihrer privaten oder in einer Public Cloud befinden oder als Software as a Service (SaaS) vorliegen: In jedem Fall ist eine Authentisierung der Nutzer erforderlich. Ein durchschnittliches Unternehmen nutzt 700 Anwendungen. Das ist die offizielle Zahl. Ihre Nutzer leiden an Passwortmüdigkeit, und die IT kämpft damit, den Wildwuchs an Identitäten und Zugriffsrechten in den Griff zu bekommen.

Fakt ist: Selbst wenn es gelingt, Cyberkriminelle aus dem Netzwerk auszusperren, finden diese doch immer einen gutgläubigen Nutzer als Phishing-Opfer oder dringen über eine Sicherheitslücke in einer Webanwendung ein. Die Welt der Sicherheit hat sich gewaltig geändert.

Vier Schritte, wie Sie die IT-Sicherheitsausgaben neu ausrichten

Was können Sie tun? Fangen Sie mit diesen vier aufeinander aufbauenden Schritten an.

 

Schritt 1. Priorisieren Sie, was Sie schützen müssen

Anwendungen, die offiziell von der IT entwickelt oder implementiert wurden, sind relativ leicht zu überprüfen. Oft übersehen werden allerdings SaaS-Anwendungen. Identifizieren Sie auch alle Schatten-Anwendungen, die Ihre Anwender einsetzen, und bewerten Sie das Risiko, das sie für Ihre Organisation darstellen. Diese Anwendungen sind nicht leicht aufzuspüren. Sprechen Sie mit den einzelnen Geschäftsbereichen, prüfen Sie die Protokolle der Webfilter-Software und die Verträge, die Sie mit SaaS-Anbietern geschlossen haben. Stellen Sie sich darauf ein, dass dies eine überwiegend manuelle Arbeit ist. Dennoch sollten Sie sämtliche Anwendungen, die Sie finden, priorisieren und diejenigen absichern, die am verwundbarsten sind.

 

Schritt 2. Prüfen Sie, ob Budget und Bedrohungen im Einklang stehen

Wofür geben Sie Ihr IT-Sicherheitsbudget aus? Möglicherweise ist Ihr Unternehmen schon auf dem richtigen Weg. Sollten Sie aber feststellen, dass die Geschäftsleitung so sehr mit Compliance beschäftigt ist, dass sie die kritischsten Schwachstellen in Anwendungen oder beim Wildwuchs der Nutzeridentitäten übersieht, bringen Sie Ihre Argumente vor. Dokumentieren Sie Ihre Rechercheergebnisse, damit Sie nachweisen können, wo zu viel beziehungsweise zu wenig ausgegeben wird.

 

Schritt 3. Kommunizieren Sie Ihre Erkenntnisse

Teilen Sie der Geschäftsleitung und dem Vorstand mit, was Sie herausgefunden haben. Erläutern Sie die Lücken zwischen den aktuellen Ausgaben und den Bereichen, die darüber hinaus (oder stattdessen) geschützt werden müssen. Geben Sie präzise Empfehlungen, und präsentieren Sie eine Kosten-Nutzen-Analyse der empfohlenen Investitionen, um das notwendige Budget bewilligt zu bekommen. Wahrscheinlich sind Investitionen in Identitäts- und Zugangsmanagement, das Management der Anwendungssicherheit und fortschrittliche Firewall-Lösungen erforderlich.

 

Schritt 4. Implementieren Sie Kontrollen, und zeigen Sie, wie Sie die Bedrohungen managen

Verfolgen und dokumentieren Sie, wie Sie das zusätzliche Budget ausgeben, und berichten Sie Vorstand und Geschäftsleitung auf Basis von Fakten, wie gut es läuft. Natürlich besteht weiterhin die Möglichkeit, dass es zu einer Sicherheitsverletzung kommt. Investieren Sie deshalb auch in eine Cyber-Versicherung und sichern Sie sich die Unterstützung eines auf Incidence Response (IR) spezialisierten Dienstleisters, der im Notfall einspringt und den Schaden eindämmt.

 

Fokussieren Sie sich auf das Wesentliche

Sie werden selbstverständlich nie in der Lage sein, jedwede Schwachstelle auf Ihrer Liste anzupacken. Bei manchen Risiken sind die Kosten, sie auszuräumen, in Ihren Augen vielleicht höher als der Preis, den Sie bezahlen, wenn Sie weiter damit leben. Teilen Sie der Unternehmensleitung Ihre Überlegungen mit, und legen Sie Ihre Pläne dar, wie Sie mit sämtlichen Risiken umgehen wollen - ob Sie nun entscheiden, sie zu minimieren oder nicht. Teilen Sie sich die Verantwortung für die Priorisierung des Budgets mit der Firmenleitung in dieser neuen perimeterlosen Welt.