Risiken, Schwachstellen und Zero-Trust: Hier drohen Missverständnisse zwischen CISO und Unternehmensleitung

Der CISO ist nicht nur dafür verantwortlich, wirksame Cybersicherheits-Programme zu implementieren und das Sicherheitsteam effektiv in alle Geschäftsprozesse einzubinden. Er muss der Unternehmensleitung auch regelmäßig beweisen, wie wertvoll diese Maßnahmen sind. Dafür ist eine gemeinsame Sprache notwendig, in diesem Fall die Sprache der Geschäftswelt. Vorsicht Falle!  Oft verwenden Sicherheitsexperten und Führungskräfte zwar die gleichen Wörter, meinen aber völlig unterschiedliche Dinge damit. Manche ähnliche Begriffe werden auch fälschlich als Synonyme gebraucht. Infolgedessen versteht das Top-Management möglicherweise nicht, welche Bedrohungen das Sicherheitsteam abwehren will, wie es tatsächlich um die Cyber-Resilienz des Unternehmens steht und wie Budget und Ressourcen eingesetzt werden. Bevor du also anschauliche Präsentationen erstellst oder den ROI von Sicherheitsprogrammen berechnest, solltest du die wichtigsten Begriffe möglichst sorgfältig klären.

Wenn es eine eindeutige, gemeinsame Terminologie gibt, reden CISO und Unternehmensleitung nicht mehr aneinander vorbei und können die Sicherheit des Unternehmens gezielt stärken.

Warum Begriffe aus der Cybersicherheit für die Unternehmensleitung wichtig sind

Unterschiedliche Interpretationen von Begriffen sind nicht nur lästig, sondern können ernsthafte Folgen haben. Wenn es an der Kommunikation mangelt, kann einiges passieren:

• Falsch eingesetzte Investitionen. Das Management könnte die Anschaffung einer Zero-Trust-Lösung genehmigen, ohne zu wissen, dass dies Teil eines langfristigen, umfassenden Programms mit einem erheblichen Budget ist. Das Geld wird ausgegeben, aber die erwarteten Ergebnisse werden nie erreicht. Oder die Unternehmensleitung könnte bei einer Cloud-Migration davon ausgehen, dass dadurch automatisch die gesamte Sicherheitsverantwortung auf den Anbieter übertragen wird. Und Zusatzkosten für die Cloud-Sicherheit werden abgelehnt.
• Blinde Akzeptanz von Risiken. Abteilungsleiter könnten Cybersicherheitsrisiken in Kauf nehmen, ohne die möglichen Auswirkungen vollständig zu überblicken.
• Mangelnde Kontrolle. Wenn die Terminologie unklar ist, stellt das Management möglicherweise nicht die notwendigen, schwierigen Fragen oder verteilt die Verantwortungsbereiche nicht zweckgemäß. Bei Vorfällen stellt sich oft heraus: Die Unternehmensleitung denkt, die gesamte Sicherheit liege ausschließlich beim CISO, während dieser aufgrund mangelnder Befugnisse die Geschäftsprozesse nicht effektiv beeinflussen kann.

Cyber-Risiko vs. IT-Risiko

Viele Führungskräfte glauben, Cybersicherheit sei ein rein technisches Problem, das der IT überlassen bleibt. Zwar ist die Bedeutung der Cybersicherheit für Unternehmen unumstritten, und Cybervorfälle gelten nicht erst seit gestern als eines der wichtigsten Geschäftsrisiken. Trotzdem zeigen Umfragen, dass Führungskräfte, die nicht aus dem technischen Bereich stammen, bei der Cybersicherheit in vielen Unternehmen nicht mit am Tisch sind.

Risiken für die Informationssicherheit werden oft mit IT-Problemen wie Betriebszeit und Dienstverfügbarkeit in einen Topf geworfen.  In Wirklichkeit ist ein Cyber-Risiko ein strategisches Geschäftsrisiko, das mit Geschäftskontinuität, finanziellen Verlusten und Reputationsschaden zusammenhängt.

IT-Risiken sind in der Regel operativer Natur und beeinträchtigen die Effizienz, Zuverlässigkeit und das Kostenmanagement. Die Reaktion auf IT-Vorfälle wird oft komplett von IT-Mitarbeitern übernommen. Umfangreiche Cybersicherheitsvorfälle haben jedoch ganz andere Maßstäbe: Sie erfordern das Engagement fast aller Abteilungen und haben in vielerlei Hinsicht langfristige Auswirkungen auf das Unternehmen – unter anderem in Bezug auf den Ruf, die Compliance, die Kundenbeziehungen und die allgemeine Finanzlage.

Compliance vs. Sicherheit

Cybersicherheit ist auf allen Ebenen mit regulatorischen Anforderungen verknüpft – von internationalen Verordnungen (wie NIS2 und DSGVO) über weltweit gültige Branchenstandards (wie PCI-DSS) bis hin zu spezifischen Unternehmensrichtlinien. Darum betrachtet die Unternehmensleitung Cybersicherheitsmaßnahmen oft als einen von vielen Punkten in der Compliance-Checkliste. Sobald die Vorschriften erfüllt sind, gelten auch die Cybersicherheitsprobleme als gelöst. Ein Grund für diesen Irrtum ist die bewusste Minimierung der Sicherheitsausgaben („wir tun nur, was verlangt wird“) oder ein handfestes Missverständnis („Wir haben ein ISO 27001-Audit bestanden, also können uns Hacker nichts anhaben“).

In Wirklichkeit entspricht Compliance nur den Mindestanforderungen, die von Wirtschaftsprüfern und Aufsichtsbehörden zu einem bestimmten Zeitpunkt erlassen wurden. Komplexe Cyberangriffe auf große Unternehmen zeigen leider immer wieder, dass „Mindestanforderungen“ häufig zu kurz greifen. Für einen echten Schutz vor modernen Cyberbedrohungen müssen Unternehmen ihre Sicherheitsstrategien und -maßnahmen ständig verbessern und dabei die spezifischen Anforderungen ihrer Branche berücksichtigen.

Bedrohung, Schwachstelle und Risiko

Diese drei Begriffe werden oft synonym verwendet und führen bei der Unternehmensleitung zu falschen Schlussfolgerungen: „Auf unserem Server gibt es eine kritische Schwachstelle? Also besteht ein kritisches Risiko!“ Um Panik oder umgekehrt Untätigkeit zu vermeiden, muss man diese Begriffe präzise definieren und ihre Beziehung verstehen.

Eine Schwachstelle ist wie eine „offene Tür“. Dies kann ein Fehler im Softwarecode sein, ein falsch konfigurierter Server, ein unverschlossener Serverraum oder ein Mitarbeiter, der fleißig jeden E-Mail-Anhang öffnet.

Eine Bedrohung ist eine mögliche Ursache für einen Vorfall. Es kann ein Angreifer, Malware oder sogar eine Naturkatastrophe sein. Eine Bedrohung ist das, was „durch die offene Tür gehen kann“.

Ein Risiko ist ein potenzieller Verlust. Es ist die Gesamtbewertung der Wahrscheinlichkeit eines erfolgreichen Angriffs und des möglichen Verlustes für das Unternehmen (Auswirkung).

Der Zusammenhang zwischen diesen Elementen lässt sich am besten mit einer einfachen Formel erklären:

Risiko = (Bedrohung × Schwachstelle) × Auswirkung

Dazu zwei Beispiele: Stell dir vor, in einem veralteten System wird eine kritische Schwachstelle mit dem höchsten Schweregrad entdeckt. Das System ist jedoch nicht mit Netzwerken verbunden, befindet sich in einem isolierten Raum und wird nur von drei zuverlässigen Mitarbeitern bedient. Die Wahrscheinlichkeit, dass ein Angreifer das System erreicht, liegt bei null. Ein anderes Extrem: Wenn in Buchhaltungssystemen die Zwei-Faktor-Authentifizierung fehlt, haben wir ein reales, hohes Risiko. Es ergibt sich sowohl aus der hohen Wahrscheinlichkeit eines Angriffs als auch aus einem erheblichen potenziellen Schaden.

Reaktion auf Vorfälle, Notfallwiederherstellung und Geschäftskontinuität

Die Unternehmensführung nimmt IT-Sicherheitskrisen oft stark vereinfacht wahr: „Wenn es einen Ransomware-Angriff gibt, richten wir uns einfach nach dem IT-Notfallplan (Disaster Recovery) und stellen alles aus dem Backup wieder her.“ Es ist aber äußerst gefährlich, diese Konzepte (und Prozesse) durcheinanderzuwürfeln.

Für die Reaktion auf Vorfälle (Incident Response) ist das Sicherheitsteam oder ein spezialisierter Auftragnehmer verantwortlich. Sie müssen die Bedrohung lokalisieren, den Angreifer aus dem Netzwerk verjagen und eine Ausbreitung des Angriffs verhindern.

Disaster Recovery ist eine technische IT-Aufgabe. Dabei werden Server und Daten aus Backups wiederhergestellt, nachdem die Vorfallreaktion abgeschlossen wurde.

Geschäftskontinuität (Business Continuity) ist eine strategische Aufgabe der Geschäftsleitung. Hier geht es um Situationen, in denen primäre Systeme ausgefallen sind, und um einen passenden Plan für die Bedienung von Kunden, Warenlieferungen, Entschädigungszahlungen und Pressearbeit.

Wenn sich das Management nur auf die Wiederherstellung konzentriert, steht das Unternehmen unter kritischen Bedingungen ohne Plan da.

Sicherheitsbewusstsein vs. Sicherheitskultur

Häufig gehen Führungskräfte aller Ebenen davon aus, regelmäßige Trainings seien eine Sicherheitsgarantie: „Die Mitarbeiter haben den jährlichen Test bestanden, also klicken sie jetzt nicht mehr auf Phishing-Links.“ Leider reichen die von Personalabteilung und IT organisierten Schulungen alleine nicht aus. Effektive Sicherheit erfordert eine Verhaltensänderung des Teams, und hier ist die Unternehmensleitung gefragt.

Bewusstsein ist Wissen. Ein Mitarbeiter weiß, was Phishing ist, und er versteht, wie wichtig komplexe Passwörter sind.

Sicherheitskultur bezieht sich auf Verhaltensmuster. Wie reagiert ein Mitarbeiter, wenn er unter Stress steht oder wenn niemand zusieht. Die Kultur wird nicht durch Tests geprägt, sondern durch ein Umfeld, in dem Fehler gefahrlos gemeldet werden können und wo es üblich ist, potenziell gefährliche Situationen zu erkennen und zu vermeiden. Wenn ein Mitarbeiter Sanktionen fürchten muss, wird er einen Vorfall eher verbergen. In einer gesunden Unternehmenskultur melden Mitarbeiter verdächtige E-Mails beim SOC oder weisen einen Kollegen darauf hin, dass er seinen Computer nicht gesperrt hat. Dies sind Puzzleteile einer effektiven Abwehrkette.

Erkennung vs. Prävention

Die Unternehmensleitung denkt oft in veralteten Kategorien: „Wir haben teure Schutzsysteme angeschafft, also können wir nicht gehackt werden. Falls doch ein Vorfall auftritt, hat der CISO versagt.“ In der Praxis ist es jedoch technisch unmöglich, Angriffe vollständig zu verhindern. Zudem sind auch wirtschaftliche Aspekte relevant. Eine moderne Strategie balanciert zwischen Cybersicherheit und Unternehmenseffektivität. In einem ausgewogenen System arbeiten Komponenten, die der Erkennung und Prävention von Bedrohungen dienen, zusammen.

Prävention wehrt automatisierte Massenangriffe ab.

Erkennung und Reaktion (Detection and Response) helfen dabei, komplexe, gezielte Angriffe zu identifizieren und neutralisieren, falls Präventionstools umgangen und Schwachstellen ausgenutzt wurden.

Das Hauptziel des Cybersecurity-Teams besteht heute nicht darin, vollständige Unverwundbarkeit zu garantieren. Die Devise lautet vielmehr: Angriffe frühzeitig erkennen und die Auswirkungen auf das Unternehmen minimieren. Der Erfolg wird in der Regel mit speziellen Metriken gemessen, z. B. Mean Time to Detect (MTTD) oder Mean Time to Respond (MTTR).

Zero-Trust-Philosophie vs. Zero-Trust-Produkte

Im Zero-Trust-Konzept gilt für alle Komponenten einer IT-Infrastruktur: „Niemals vertrauen, immer überprüfen“. Für die Unternehmenssicherheit gilt dieser Ansatz seit langem als relevant und effektiv. Er erfordert eine permanente Überprüfung der Identität (Benutzerkonten, Geräte und Dienste) und des Kontexts für jede Zugriffsanfrage, wobei die Annahme gilt, dass das Netzwerk bereits kompromittiert wurde.

Wenn eine Sicherheitslösung mit „Zero-Trust“ wirbt, bedeutet dies jedoch nicht, dass ein Unternehmen das Produkt einfach kaufen und diesen Ansatz über Nacht einfach einführen kann.
Zero-Trust funktioniert nicht auf Knopfdruck. Es ist eine Architekturstrategie und erfordert langfristige Transformation. Die Implementierung von Zero-Trust erfordert eine Umstrukturierung von Zugriffsprozessen und eine Optimierung der IT-Systeme. Anders lässt sich eine kontinuierliche Überprüfung der Identität und der Geräte nicht gewährleisten. Wenn die Prozesse beim Alten bleiben, wird der Kauf von Software keine nennenswerten Auswirkungen haben.

Sicherheit der Cloud vs. Sicherheit in der Cloud

Bei der Migration von IT-Diensten in Cloud-Infrastrukturen (z. B. AWS oder Azure) besteht oft die Illusion, alle Risiken würden vollständig abgegeben: „Wir bezahlen den Provider, also ist die Sicherheit nicht mehr unser Problem.“ Leider ein gefährlicher Irrtum und eine Fehlinterpretation des Modells der gemeinsamen Verantwortung.

Für die Sicherheit der Cloud (Security of the Cloud) ist der Anbieter verantwortlich. Er schützt die Rechenzentren, die physischen Server und die Datenkabel.

Die Sicherheit in der Cloud (Security in the Cloud) liegt in der Verantwortung des Kunden.

Diskussionen über Budgets für Cloud-Projekte und deren Sicherheitsaspekte sollten immer durch konkrete Beispiele illustriert werden. Der Anbieter schützt die Datenbank vor unbefugtem Zugriff. Die Zugriffseinstellungen werden jedoch von den Mitarbeitern des Kunden festgelegt. Wenn Mitarbeiter eine Datenbank nach Gebrauch nicht schließen, wenn schwache Passwörter verwendet werden oder wenn die Zwei-Faktor-Authentifizierung für das Administratorkonto nicht aktiviert ist, kann der Anbieter den unbefugten Download nicht verhindern. Solche Geschichten hört man leider viel zu oft. Deshalb müssen beim Budget für solche Projekte auch Cloud-Sicherheitstools und Konfigurationsmanagement berücksichtigt werden.

Untersuchung auf Schwachstellen vs. Penetrationstests

Nicht nur Führungskräfte verwechseln automatisierte Prüfungen (die zur Cyberhygiene zählen) häufig mit der Bewertung von IT-Assets auf Widerstandsfähigkeit gegen ausgeklügelte Angriffe: „Warum sollen wir Hacker für einen Pentest bezahlen, wenn wir jede Woche eine Untersuchung durchführen?“

Bei der Untersuchung auf Schwachstellen (Vulnerability Scanning) wird eine Liste bestimmter IT-Assets auf bekannte Schwachstellen überprüft. Bildlich gesprochen: Es ist wie ein Wachmann, der kontrolliert, ob alle Fenster und Türen in den Büros abgeschlossen sind.

Penetrationstests (Pentests) sind Handarbeit: Es wird überprüft, ob Schwachstellen für eine reale Sicherheitsverletzung ausgenutzt werden können. Um bei unserem Vergleich zu bleiben: Es ist, als würde man einen erfahrenen Einbrecher damit beauftragen, versuchsweise in ein Büro einzubrechen.

Beide Methoden sind einzigartig. Ein Unternehmen benötigt beide Tools, um die Sicherheitslage realistisch einzuschätzen.

Verwaltete Assets vs. Angriffsfläche

Ein weit verbreitetes und gefährliches Missverständnis bezieht sich auf den Schutzumfang und die allgemeine Sichtbarkeit von IT und Sicherheit. In Meetings hört man oft: „Wir haben unsere Hardware genau inventarisiert. Wir schützen alles, was wir besitzen.“

Verwaltete IT-Assets (Managed IT Assets) sind Dinge, die die IT-Abteilung gekauft und konfiguriert hat und die in ihren Berichten auftauchen.

Die Angriffsfläche (Attack Surface) ist alles, was für Angreifer zugänglich ist und als potenzieller Einstiegspunkt in das Unternehmen dienen kann. Dazu gehört auch Schatten-IT (Cloud-Dienste, private Messaging-Apps und Testserver), also im Grunde alles, was Mitarbeiter unter Umgehung offizieller Protokolle nutzen, um schneller oder einfacher zu arbeiten. Oft sind es diese „unsichtbaren“ Assets, die zum Einstiegspunkt für einen Angriff werden. Denn das Sicherheitsteam nicht etwas schützen, von dem es gar nichts weiß.