McAfee Fakten zum Thema Sicherheit

McAfee Fakten zum Thema Sicherheit

Das Risiko messen, um die Verwundbarkeit abzuschätzen

Die Vielfalt der Bedrohungen, denen sich IT-Abteilungen gegenübersehen, nimmt immer noch zu. Sicherheitsexperten lassen sich da nur allzu leicht überwältigen. Jede Warnung über eine neue Softwareschwachstelle oder Abart von bösartigem Code kann das IT-Personal dazu treiben, so schnell wie möglich eine Korrektur anzubringen. Das Ergebnis ist unter Umständen fieberhafte, ereignisgesteuerte Aktivität, die zwar Zeit und Energie verzehrt, aber dem Unternehmen nicht notwendigerweise bestmöglichen Schutz bringt.

Stattdessen sollten Sicherheitsteams kluge Strategien zum Risiko-Management entwickeln, sodass sich ihre begrenzten Ressourcen auf die größten Bedrohungen für Ihren Betrieb konzentrieren.

"Keine Firma hat genug Geld und Personal, um absolut alle möglichen mit der IT verbundenen Risiken vollständig zu beseitigen", erklärt George Kurtz, Senior Vice President of Risk Management von McAfee. "Daher muss man in der Lage sein, die vorhandenen Risiken zu quantifizieren und die Sicherheitsinvestitionen entsprechend zu priorisieren."

Kurtz ist von dem kürzlich übernommenen Foundstone zum Management-Team von McAfee gestoßen. Zum Quantifizieren des Risikos und zur Priorisierung von Gegenmaßnahmen schlägt er ein Modell vor, nach dem das Risiko aufgrund von drei Faktoren gemessen wird: nach dem Wert von Anlagegütern, nach ihrer Gefährdung und nach den realen Bedrohungen.

Wert von Gütern: Ein Server, der pro Minute Transaktionen im Wert von Tausenden von Euro verarbeitet, ist offensichtlich ein wichtigeres Anlagegut als der Desktop-PC eines Kundendienst-Mitarbeiters. Dementsprechend erfordert eine intelligente Strategie zur Risikoreduzierung einen klaren Einblick in den geschäftlichen Wert, den die IT-Bestände unterschiedlicher Art im Unternehmen darstellen.

Gefährdung von Gütern: IT-Bestände haben nicht nur unterschiedlichen wirtschaftlichen Wert, sie sind auch ihrem Wesen nach verschieden stark gefährdet. Ein Rechner, der öffentliche Web-Seiten liefert, ist gefährdeter als einer, der gar keine Verbindung zum Internet hat. Ein in einem Kabelschrank eingeschlossener Switch ist weniger exponiert als ein Laptop, der Tausende von Kilometern von der Sicherheitsgrenze des Unternehmens entfernt arbeitet.

Reale Bedrohungen: Schließlich müssen Sicherheitsteams ein klares Bild von den konkreten Gefährdungen besitzen, denen jedes Anlagegut jeweils ausgesetzt ist. Zum Beispiel richten sich mehr Exploit-Angriffe auf kommerziell verbreitete Betriebssysteme als auf ältere Rechner. So besitzen ältere Applikationen, die auf solchen alten Rechnern laufen, hohen Wert für das Unternehmen. Andererseits sind sie aber Ziel von weit weniger Angriffen. Daher stellen sie ein geringeres Risiko für das Unternehmen dar als Anwendungen, die unter Microsoft® Windows® oder Linux™ laufen.

Durch Verrechnung dieser drei Attribute miteinander können Sicherheitsteams genau feststellen, wo das größte Geschäftsrisiko vorliegt, und ihre Maßnahmen zur Risikominderung entsprechend priorisieren.

Berechnen lässt sich das Risiko durch Faktorisieren des wirtschaftlichen Werts des Anlageguts mit seiner inhärenten Gefährdung und der Intensität der Bedrohungen, denen er tatsächlich unterliegt.

Strategien zum Risiko-Management

Sicherheitsteams können ihre Effektivität nicht nur durch die Kenntnis spezifischer Risikogrößen steigern, sondern auch, indem sie eine breitere Vorstellung davon gewinnen, wie sich mit IT verbundene Risiken behandeln lassen. Dazu verweist Kurtz auf vier mögliche Strategien zum Risiko-Management: Risikominderung, Risikoannahme, Risikoübertragung und Risikovermeidung.

Minderung von Risiken: Diese Reaktion auf Risiken liegt typischerweise am nächsten. Dazu zählen alle Gegenmaßnahmen, die Sicherheitsteams gegen Bedrohungen ergreifen – einschließlich Firewalls, Intrusion Detection und Virenschutz.

Annahme von Risiken: Wenn die Kosten dafür, sich mit einem Risiko zu befassen, höher sind als das Risiko selbst oder wenn seine Behandlung Ressourcen von einem viel ernsteren Risiko abziehen würde, könnte die rationale Handlungsweise darin bestehen, das Risiko einfach zu akzeptieren.

Übertragung von Risiken: In manchen Fällen ist es vernünftiger, das Risiko an einen Dritten wie etwa einer Versicherung zu übertragen, als begrenzte Ressourcen für seine Verringerung einzusetzen, die wahrscheinlich keinen Unterschied bewirken würden.

Vermeidung von Risiken: Es gibt auch Situationen, wo die Höhe des Risikos und die Kosten für seine Behandlung einfach nicht hinnehmbar sind. In diesen Fällen ist es am besten, das Risiko vollständig zu vermeiden, indem man das fragliche System außer Betrieb setzt oder es gar nicht erst einrichtet.

"Wenn man glaubt, jedes Risiko mindern zu müssen, auf das man trifft, werden einem die Ressourcen eher ausgehen als die Gefährdungen", erklärt Kurtz. "Abhängig von der Art der Umgebung und der Höhe des Sicherheitsetats muss man eine Kombination von Strategien einsetzen."

Sicherheitsteams können ihre Effektivität noch weiter steigern, indem sie den Risiko-Management-Prozess so weit wie möglich automatisieren: von der Bestandserfassung und der Einschätzung des mit den Anlagegütern verbundenen Risikos bis hin zur Verifikation, dass Abhilfemaßnahmen einwandfrei durchgeführt wurden und ihre beabsichtigte Wirkung entfalten.

Nach Aussage des IT-Marktforschers Gartner werden Unternehmen, die geeignete Prozesse zum Risiko-Management sowie Technologien zur Entdeckung, Priorisierung und Beseitigung von Schwachstellen einführen, mit 90 Prozent geringerer Wahrscheinlichkeit Opfer eines erfolgreichen Angriffs.

"Der größte Irrglaube, auf den man trifft, lautet, man könne sich einfach dadurch sicher machen, dass man eine Firewall einrichtet", betont Kurtz. "In Wirklichkeit hängt das Sicherheitsniveau weitgehend davon ab, wie gut man Risiken in all ihren verschiedenen Formen versteht und damit umgeht und wie gut man es schafft, seine begrenzten Ressourcen dahin zu lenken, wo sie am meisten bewirken."

Nachdem dieser Artikel verfasst wurde, hat McAfee neue Produkte vorgestellt, die ähnliche Fähigkeiten bieten. In unserem Produktbereich finden Sie weitere Informationen.

Mehr

Lesen Sie das Whitepaper “Strategies for Managing Vulnerabilities and Threats to Critical Digital Assets”, um mehr über die McAfee® Risiko-Management-Lösungen zu erfahren.