Moderne Cybersicherheit – Ein risikobasierter Ansatz als Königsweg

Schritthalten mit der steigenden Anzahl an Bedrohungen mit einen systematischen Schwachstellenmanagement

[datensicherheit.de, 13.03.2025] Security-Teams kämpfen heutzutage mit einer Unmenge an Sicherheitslücken und kommen kaum hinterher, diese zu schließen – doch es gibt Hoffnung. Max Rahner, Senior Business Development Manager bei Tenable, erklärt im Gespräch mit datensicherheit.de (ds), wie Unternehmen ihre Exposure mit einem risikobasierten Schwachstellenmanagement systematisch priorisieren, das Verlustrisiko senken, die Vorgaben der NIS2-Richtlinie besser umsetzen und letzlich die Cybersicherheit zu erhöhen.

Max Rahner, Senior Business Development Manager bei Tenable, Bild: Tenable

ds: Herr Rahner, viele Unternehmen tun sich schwer damit, eine effektive und effiziente Cybersicherheit aufzubauen. Warum ist das so?

Derzeit gehen die meisten Unternehmen noch nach dem Gießkannenprinzip vor. Das heißt, sie adressieren ihre Schwachstellen unabhängig davon, in welchem Kontext diese auftreten. Von diesem Ansatz müssen wir wegkommen. Wer sich stattdessen zuerst um die Schwachstellen kümmert, die kritische Auswirkungen auf den Geschäftsprozess haben können, senkt das Risiko eines Ausfalls erheblich. Gartner etwa geht davon aus, dass Unternehmen die Wahrscheinlichkeit eines Geschäftsausfalls so dritteln können.

ds: Die Priorisierung von Schwachstellen ist demnach Teil eines guten Cyber-Risikomanagements.

Genau! Ein risikobasierter Ansatz wird im Übrigen auch explizit von NIS 2 und DORA gefordert. Dafür muss ich mir als Unternehmen zunächst Gedanken darüber machen, welches meine wichtigsten Geschäftsprozesse sind und wie diese mit meiner Technologie zusammenhängen. Wo gibt es Abhängigkeiten? Und welche Abhängigkeiten gibt es jeweils innerhalb meiner Technologien oder Geschäftsprozesse? Wer diese Zusammenhänge untersucht, kann seine wirklich kritischen Schwachstellen um einiges schneller beheben.

ds: Klingt einleuchtend. Eine robuste Cybersicherheit geht also über eine rein Technologie-zentrierte Perspektive hinaus, die in erster Linie die einzelnen Assets schützen will?

So ist es. Der technologische Aspekt ist zunächst einmal nachgelagert. Eine effektive Priorisierung von Schwachstellen folgt dem Grundgedanken, zuallererst die Umsatzgenerierung zu schützen, da diese für die meisten Unternehmen – von Sonderfällen wie Gesundheitseinrichtungen abgesehen, wo natürlich die Patientensicherheit im Vordergrund stehen muss – am wichtigsten ist. Dafür brauchen Unternehmen allerdings Klarheit darüber, wie ihre Geschäftsabläufe sind, wie sie ihr Geld verdienen. Der Schlüssel dazu kann Business Process Modeling sein, das die Prozesse analysiert und sauber beschreibt. Und da geht es um mehr als nur die IT, das betrifft das ganze Unternehmen. Eine Übersicht über Assets und Risiken zu erlangen, ist dabei heute schon Teil der meisten Security-Konzepte. Aber der entscheidende Punkt ist die Kenntnis der geschäftskritischen Prozesse, weil man nur so die unbedingt schützenswerten Systeme identifizieren kann. Und diese Prozesskenntnis fehlt in vielen Cybersicherheitsstrategien, um den notwendigen Zusammenhang zwischen Geschäftserfolg und Risiken durch den IKT-Einsatz herzustellen.

ds: Wie gehen Unternehmen konkret daran, dies umzusetzen? Wer muss alles eingebunden werden?

Die Entscheidung über die Priorisierung, also welche die wichtigsten Prozesse zur Umsatzgenerierung oder die geschäftskritischen Prozesse allgemein sind, kann nur auf der Führungsebene getroffen werden. Das bedeutet, dass jemand aus der Geschäftsführung diese Aufgabe übernehmen muss, da auch nur diese wirklich weiß, wo und wie die einzelnen Fäden letztendlich zusammenlaufen. Das kann ein IT-Leiter gar nicht leisten, und die NIS 2 betont auch explizit die Geschäftsführerhaftung ohne Delegierbarkeit des Risikos. Deshalb ist es im ureigenen Interesse der Führungsebene, Cybersicherheit zur Chefsache zu machen. Dabei läuft es immer auf die gleichen zwei Fragen hinaus: Kann ich meinen Geschäftsprozess beschreiben? Und kann ich auch die Technologien auflisten, die ich benötige, um den Geschäftsprozess auszuführen? Dafür müssen dann jeweils die einzelnen Abteilungen einbezogen werden, die im Detail meist den besseren Überblick darüber haben, welche Assets für sie unverzichtbar sind oder starken Einfluss auf ihre Arbeitsfähigkeit haben. Wir reden da zum Teil auch über so banale Dinge wie die Heizung, bei deren Ausfall die Maschinen in der Produktionshalle oder die Drucker für die Versandlabel nicht funktionieren. Bei der Analyse von Geschäftsprozessrisiken geht es aber um mehr als nur Technologie.

Nämlich?

Wenn das richtige Personal fehlt, oder es nur einen einzigen Admin für ein System gibt und keine Vertreterregelung für dessen Ausfall existiert, dann liegt das Risiko nicht im technischen Bereich. Und daraus folgt auch, dass der Begriff der Schwachstelle missverständlich sein kann.

ds: Inwiefern?

Bei dem Wort Schwachstelle denken deutschsprachige Security-Experten sofort an technische, also Software-Schwachstellen. In der NIS 2 steht Schwachstelle allerdings für jedwede Form von potenzieller Sicherheitslücke im Delivery-Prozess, egal ob es sich dabei um Personen, unzureichende Organisationsschritte, Fehlkonfigurationen, digitale Identitäten oder Software-Fehler handelt. Unter Umständen sind keine Software-Schwachstellen in einem Unternehmen vorhanden, aber trotzdem ist die Wertschöpfungskette des Unternehmens hochgradig verwundbar, weil zum Beispiel ein Cloud Service nicht richtig eingerichtet ist oder eine digitale Identität kompromittiert ist. Und auch bei technischen Schwachstellen geht es ja primär um diejenigen, die für einen Angreifer auch wirklich zu erreichen sind. Wir sind bei Tenable deshalb auch schon länger vom Begriff der Vulnerability abgerückt und sprechen von Exposure. Auch das gehört zu diesem neuen Ansatz von Cybersicherheit.

ds: Stichwort „neuer Ansatz“: Das Prinzip der Priorisierung von Schwachstellen wird ja eigentlich schon seit Längerem angewendet.

Das ist richtig, aber die Bewertungskriterien sind bislang nicht zielführend. In den meisten Security-Konzepten wird die Dringlichkeit, mit der Schwachstellen behoben werden, nach deren Wert im Common Vulnerability Scoring System, kurz CVSS, bestimmt. Die Security-Teams konzentrieren sich dann auf diese technisch hochkritischen Fälle mit CVSS 9 oder 10, während die Schwachstellen von mittlerer Schwere im Schnitt drei Monate offenbleiben und deshalb auch häufiger ausgenutzt werden. Zusätzlich kommt als dritter Faktor die eingangs gestellte Frage ins Spiel, wo die Schwachstelle auftritt. Ein CVSS-Score von 9 in einem abgeschotteten und segmentierten Netzwerk ist ein viel geringeres Risiko als eine Schwachstelle mit CVSS 5 oder 6 auf einem über das Internet zugänglichen Asset.

ds: Wie können Unternehmen ihre Schwachstellen denn differenzierter bewerten?

Indem sie Tools einsetzen, die den Kontext stärker einbeziehen. Bei Tenable bieten wir zum Beispiel zwei weitere Bewertungsoptionen. Die eine ist unser Vulnerability Priority Rating oder VPR. Dabei verknüpfen wir das CVSS mit unserer eigenen Threat Intelligence. So stellen wir fest, ob die jeweilige Schwachstelle zurzeit aktiv von Cyberkriminellen ausgenutzt wird. Eine Schwachstelle mit einem hohen CVSS-Score, die aber von niemandem ausgenutzt wird, erhält also ein niedriges VPR. Umgekehrt haben Schwachstellen von nur mittlerer Schwere, auf die sich die Angreifer aber regelrecht stürzen, ein sehr hohes VPR. Die zweite Bewertungsoption ist das Asset Criticality Rating, kurz ACR. Dieser Wert wird vom Anwender selbst auf einer Skala von 1 bis 10 vergeben. Unternehmen können damit granular festlegen, welchen Stellenwert ein Asset für die eigenen Geschäftsprozesse hat. An diesem Punkt wird klar, warum die Kenntnis der Geschäftsprozesse so entscheidend ist: Ohne diese ist die Abbildung des ACR sehr schwierig. Viele Unternehmen haben die entsprechenden Daten übrigens schon in ihrer CMBD – es lohnt sich also, sich umzusehen, wo im Unternehmen solche Daten schon erhoben werden, so dass wir sie übernehmen können.

Multipliziert man VPR und ACR, ergibt sich unser Asset Exposure Score. In diesen fließt also ein, wie wichtig ein Asset ist, ob und in welcher Kritikalität Schwachstellen vorliegen und wie aktiv diese Schwachstellen derzeit bereits ausgenutzt werden. Diese Bewertung lässt sich dabei nicht nur für Schwachstellen mit CVSS-Score vornehmen, sondern zum Beispiel auch für Fehlkonfigurationen in Cloud-Plattformen – wie etwa die Verwendung von Standardpasswörtern oder das Fehlen von Multi-Factor Authentication. Das Ergebnis ist eine maßgeschneiderte Priorisierung, mit der Unternehmen genau die Sicherheitslücken als Erstes beheben können, die das größte Risiko für ihre Geschäftsprozesse darstellen.