Cybersecurity Risk Assessment nach NIST CSF

INHALTSVERZEICHNIS
Cybersecurity Risk-Assessment

Die Cybersicherheit ist für mittelständische Unternehmen kein optionaler Luxus mehr, sondern eine grundlegende Notwendigkeit. Eine der effektivsten Strategien in die Thematik ernsthaft einzusteigen, ist das Cybersecurity Risk Assessment. Diese Risikobewertung hilft Dir, potenzielle CyberSecurity Gefahren zu identifizieren, zu analysieren und entsprechende Sicherheitsmaßnahmen zu ergreifen, bevor Schäden entstehen können.

In diesem Artikel führen wir Dich durch die Grundlagen der Risikobewertung, zeigen Dir Schritt für Schritt, wie Du diesen Ansatz in Deinem Unternehmen implementieren kannst, und betonen, warum eine kontinuierliche Risikobewertung der Schlüssel zur Aufrechterhaltung einer robusten Cyber-Verteidigung ist.

Unsichtbare Gefahren sind trotzdem real. Beginne mit Cybersecurity, bevor es zu spät ist.

Voraussetzungen

Die Voraussetzungen um so eine Bewertung vornehmen zu können sind denkbar einfach. Lediglich das Bewusstsein und Engagement der Unternehmensleitung sowie das Vorhandensein der notwendigen Ressourcen (Arbeitszeit von Mitarbeitern) ist eine zwingende Voraussetzung.

Alle anderen Aspekte erleichtern und verkürzen die Arbeit für das Cybersecurity Risk Assessment:

  • Kenne alle deine digitalen Assets (Computer, Programme, Daten)
  • Kenne die Bedrohungslage und spezifische Risiken deiner Branche
  • Implementierte Sicherheitsrichtlinien und Verfahren
  • Implementierte Schulungsstrategie
  • Eingesetzte Technologie (Antivirus/EDR)

Das erste CyberSecurity Risk Assessment

Das beste Projekt-Setup für dein erstes CyberSecurity Risk Assessment, ist es gemeinsam mit einem erfahrenen externen Berater zu starten. Er verschwendet keine Zeit und hält den Fokus auf das Wesentliche während er Dir dabei hilft, die wichtigsten Methoden, Prozesse und Begriffe zu verstehen und die wichtigsten Quick-Wins eventuell schon zum Teil vorab anzugehen.

Es gibt verschiedene Frameworks zum CyberSecurity Risk Assessment, die das Thema jeweils aus einer anderen Perspektive betrachten.

Obwohl es breiter angelegt ist und nicht ausschließlich auf Risikobewertungen fokussiert, bietet das NIST CSF wertvolle Richtlinien für das Risikomanagement im Rahmen seiner fünf Hauptfunktionen: Identifizieren (Identify), Schützen (Protect), Erkennen (Detect), Reagieren (React) und Wiederherstellen (Recover). Es ist besonders nützlich für Organisationen, die ihre Cybersecurity-Praktiken umfassend verbessern möchten und berücksichtigt auch betriebliche Aspekte der CyberSecurity.

Das NIST CSF ist sehr effektiv (da nicht so aufwendig wie e.g. ISO 27001) und international gängig (e.g. setzt auch der deutsche IKT Minimalstandard darauf auf).

Wie funktionierts

Das erste interne Assessment sollte vor allem dem Thema „Aktuellen Zustand verstehen“ gewidmet sein und besteht im Wesentlichen aus:

  • das Definieren des Scopes (Welche Geschäftsbereiche, Systeme, Software sind wichtig) sowie
  • das Durchgehen und Dokumentieren der Implementierungsstufe der verschiedenen „Controls“

In einem vollständigen Assessment nach NIST CSF werden die Risiken noch identifizert und bewertet, die Maßnahmen zur Risikominderung geplant und durchgeführt und natürlich einem kontinuierlichen Verbesserungsprozess zugeführt.

Was ist ein Control?

Controls im NIST Cybersecurity Framework (CSF) sind spezifische Sicherheitsmaßnahmen und -praktiken, die Organisationen anleiten, um ihre Cybersecurity-Risiken zu managen. Diese Controls sind organisiert in die fünf Hauptfunktionen: Identifizieren, Schützen, Erkennen, Reagieren und Wiederherstellen, die jeweils in verschiedene Kategorien und Unterkategorien unterteilt sind, um ein breites Spektrum an Sicherheitsaspekten abzudecken.

Beispiel für einen Control im NIST CSF:

Innerhalb der Funktion „Schützen“ gibt es eine Kategorie namens „Zugangskontrolle“ (PR.AA: Access Control bzw. fürher PR.AC), die darauf abzielt, den Zugang zu Systemen und Daten zu beschränken und zu kontrollieren. Ein spezifischer Control in dieser Kategorie könnte die Implementierung der Zwei-Faktor-Authentifizierung (2FA) sein.

Schritte der Risikobewertung

Bei dem allerersten Cybersecurity Risk Assessment sollten verschiedene grundlegende Schritte unternommen werden, um ein umfassendes Verständnis der Sicherheitslage und der potenziellen Risiken für die Organisation zu erlangen.

Es legt den Grundstein für ein fortlaufendes Sicherheitsmanagement und hilft dabei, eine Kultur der Sicherheitsbewusstheit in der gesamten Organisation zu etablieren. Es ist ein kritischer Schritt, um Sicherheitsrisiken systematisch zu identifizieren, zu bewerten und zu mindern.

Hier sind die wichtigsten Schritte, die Du berücksichtigen solltest.

Team festlegen

Der wichtigste Schritt, ist einen internen Projektverantwortlichen zu definieren. Er kümmert sich um die Koordination und Führung des Projekts und kann durch seine Unternehmenskenntnis Personen und Prozesse am besten einschätzen.

Der externe Berater kann seine Erfahrung nutzen das Projekt rasch zu starten und effizient zu gestalten. Durch sein Fachwissen und seine objektive Sichtweise wird verhindert falsche Annahmen zu treffen oder den Fokus abgleicten zu lassen. Die Kosten machen sich rasch bezahlt!

Ziele definieren

Kläre die Ziele des Assessments. Bestimme, welche Informationen, Systeme und Assets geschützt werden sollen und warum sie kritisch für Ihre Organisation sind.

Wer: Projektmanager, externer Berater, Geschäftsführung, IT Leitung (oder gesamte IT)

Umfang festlegen

Definiere den Umfang des Risk Assessments. Entscheide, welche Bereiche, Systeme und Prozesse einbezogen werden sollen. Der Umfang kann sich auf die gesamte Organisation, spezifische Abteilungen, Netzwerke oder Anwendungen erstrecken. Der definierte Umfang wird letztendlich von der Geschäftsleitung freigegeben.

Wer: Projektmanager, externer Berater

Relevante Stakeholder identifizieren

Ermittle, wer in den Prozess einbezogen werden sollte. Dazu gehören IT-Sicherheitsexperten und Abteilungsleiter.

Wer: Projektmanager, externer Berater

Aktuelle Sicherheitslage bewerten

Sammle Informationen über die aktuelle Sicherheitsinfrastruktur, vorhandene Sicherheitsmaßnahmen, Richtlinien und Verfahren. Dies beinhaltet auch die Identifizierung von bereits bekannten Schwachstellen und die Bewertung der Effektivität der aktuellen Sicherheitskontrollen.

Wer: Projektmanager, externer Berater, IT

Vermögenswerte und Ressourcen identifizieren

Erstelle eine Inventarliste aller physischen und digitalen Vermögenswerte innerhalb des festgelegten Umfangs. Bewerte deren kritische Bedeutung und die potenziellen Auswirkungen eines Sicherheitsvorfalls auf diese Vermögenswerte.

Wer: Projektmanager, externer Berater, Interviews mit Verantwortlichen aus allen administrativen und operativen Abteilungen

Bedrohungen und Schwachstellen identifizieren

Ermittle potenzielle Bedrohungen und Schwachstellen, die Ihre Vermögenswerte gefährden könnten. Dies umfasst sowohl interne als auch externe Bedrohungen sowie technische und nicht-technische Schwachstellen.

Wer: Projektmanager, externer Berater, IT

Risikoanalyse durchführen

Bewerte die identifizierten Risiken, indem Du die Wahrscheinlichkeit eines Vorfalls und die potenziellen Auswirkungen auf die Organisation analysierst. Dies hilft bei der Priorisierung der Risiken basierend auf ihrer Schwere.

Wer: Projektmanager, externer Berater

Risikobewertungskriterien festlegen

Definiere Kriterien für die Bewertung und Priorisierung von Risiken. Dies sollte auf der Grundlage der spezifischen Toleranz Ihrer Organisation gegenüber Risiken und der Geschäftsziele erfolgen.

Wer: Projektmanager, externer Berater

Risikominderungsstrategien entwickeln

Entwickle Strategien und Maßnahmen, um identifizierte Risiken zu mindern, zu übertragen, zu akzeptieren oder zu vermeiden. Planen Sie spezifische Aktionen, um die Sicherheitskontrollen zu verbessern und die Risikoexposition zu reduzieren.

Wer: Projektmanager, externer Berater, IT

Berichterstattung und Dokumentation

Erstelle einen detaillierten Bericht, der die Ergebnisse des Assessments, die identifizierten Risiken, die Bewertungsergebnisse und die empfohlenen Sicherheitsmaßnahmen umfasst.

Wer: Projektmanager, externer Berater

Überprüfungs- und Aktualisierungsplan erstellen

Cybersecurity ist ein kontinuierlicher Prozess. Plane regelmäßige Überprüfungen und Aktualisierungen des Risk Assessments, um sicherzustellen, dass neue Bedrohungen und Veränderungen in der Organisation berücksichtigt werden.

Wer: Projektmanager, externer Berater

Wie lange dauert das erste Cybersecurity Risk Assessment?

Die Projektdurchlaufzeit eines ersten Cybersecurity Risk Assessments kann erheblich variieren, abhängig von verschiedenen Faktoren wie der Größe und Komplexität der Organisation, dem Umfang des Assessments, der Verfügbarkeit und dem Engagement der beteiligten Teammitglieder sowie der Tiefe und Detailgenauigkeit der gewünschten Analyse. Basierend auf den genannten Schritten kann man jedoch eine grobe Schätzung vornehmen:

  1. Team festlegen und Ziele definieren: Diese initialen Schritte können relativ schnell abgeschlossen werden, vorausgesetzt, die Stakeholder sind verfügbar und engagiert. Schätzung: 1 Woche.
  2. Umfang festlegen und relevante Stakeholder identifizieren: Abhängig von der Organisationsstruktur und der Komplexität kann dieser Schritt einige Tage bis zu einer Woche in Anspruch nehmen.
  3. Aktuelle Sicherheitslage bewerten und Vermögenswerte identifizieren: Dieser Teil des Prozesses kann zeitaufwendig sein, besonders in großen oder komplexen Umgebungen. Schätzung: 1-2 Wochen.
  4. Bedrohungen und Schwachstellen identifizieren: Die Dauer dieses Schrittes hängt stark von der vorhandenen Dokumentation und den genutzten Tools ab. Schätzung: 2 Wochen.
  5. Risikoanalyse durchführen und Risikobewertungskriterien festlegen: Dies kann parallel zu Schritt 4 erfolgen und benötigt eine gründliche Analyse. Schätzung: 1-2 Wochen.
  6. Risikominderungsstrategien entwickeln: Die Entwicklung effektiver Strategien erfordert eine detaillierte Planung und Koordination. Schätzung: 2 Wochen.
  7. Berichterstattung und Dokumentation: Die Zusammenstellung der Ergebnisse und Empfehlungen in einen umfassenden Bericht kann je nach Detailgrad einige Tage bis zu einer Woche dauern.
  8. Überprüfungs- und Aktualisierungsplan erstellen: Dieser abschließende Schritt sollte nicht zu viel Zeit in Anspruch nehmen, vorausgesetzt, die vorherigen Schritte wurden gründlich durchgeführt. Schätzung: Wenige Tage bis 1 Woche.

Gesamtdauer: Unter Berücksichtigung der oben genannten Schätzungen könnte ein erstes Cybersecurity Risk Assessment in einem KMU etwa 1,5 bis 2 Monate in Anspruch nehmen. Diese Schätzung geht davon aus, dass das IT-Team neben dem Assessment weiterhin seinen regulären Aufgaben nachgehen muss und daher nicht vollständig für das Projekt abgestellt werden kann. Externe Berater spielen eine Schlüsselrolle, um das Assessment effizient zu gestalten und die Belastung für das interne Team zu minimieren. Die tatsächliche Dauer kann je nach spezifischen Umständen, wie der genauen Größe des Unternehmens, der vorhandenen IT-Infrastruktur, der Komplexität der Geschäftsprozesse und der Erfahrung des externen Beraters, variieren.

Was kostet das erste CyberSecurity Risk Assessment?

In den zuvor geschätzten 1,5-2 Monaten Durchlaufzeit kann man je nach Verfügbarkeit der eigenen Ressourcen von 50% – 100% anwesenheit des externen Beraters ausgehen. Das sind somit

Kurzfassung: Was kostet das erste CyberSecurity Risk Assessment?
Die Stundensätze bei der Beratung im CyberSecurity Umfeld fangen in der DACH-Region aus unserer Erfahrung bei 150 EUR an. Deswegen sollte man bei den externen Kosten mit 15.000 € – 25.000 € für das gesamte Projekt rechnen. Je nach Unterstützung aus den eigenen Reihen (siehe auch Wie lange dauert das erste Cybersecurity Risk Assessment?) kann dies noch variieren.

Business Impact nicht vergessen

Vergiss beim Cybersecurity Risk Assessment nicht auch die Auswirkung auf die Geschäftstätigkeit (Business Impact) näher zu betrachten. Dabei solltest Du untersuchen, welche realistischen und maximal negativen Folgen eine Beeinträchtigung von IT-Komponenten (einschließlich Personen, Daten, Prozessen, Dienstleistungen und Netzwerken) auf das Geschäft haben könnte. Diese Folgen werden in verschiedenen Bereichen bewertet, darunter finanzielle, operative, rechtliche, reputationsbezogene und gesundheitliche Auswirkungen.

Anschließend muss das Unternehmen jeweils entscheiden, welche Auswirkungen es akzeptieren kann, falls die benötigten Ressourcen nicht wie erwartet zur Verfügung stehen. Auf dieser Grundlage sind dann die notwendigen Anforderungen und Schutzniveaus festzulegen. Diese sollen die Vertraulichkeit, Integrität und Verfügbarkeit (CIA Triade) der wichtigen IT-Ressourcen sichern (entsprechend dem Risiko, das das Unternehmen zu akzeptieren bereit ist).

Zusammenfassung und Schlussfolgerungen

Die Auseinandersetzung mit der Cyber-Sicherheit und das Durchführen eines Cybersecurity Risk Assessments sind für mittelständische Unternehmen unausweichlich geworden. Der Prozess, von der Bestimmung des Umfangs bis hin zur Identifikation von Schwachstellen und der Entwicklung von Risikominderungsstrategien, ist komplex und erfordert sowohl interne als auch externe Expertise.

Die Zusammenarbeit mit erfahrenen externen Beratern beim ersten Cybersecurity Risk Assessment kann Zeit sparen und gleichzeitig dazu beitragen, die häufigsten Fallen bei der Risikobewertung zu vermeiden. Sie bieten nicht nur ihr Fachwissen an, sondern auch eine unparteiische Sichtweise, die für eine objektive Analyse notwendig ist.

Frameworks wie das NIST Cybersecurity Framework (CSF) bieten wertvolle Richtlinien und eine strukturierte Herangehensweise an das Risk Assessment, die auch für Unternehmen mit begrenzten Ressourcen machbar sind. Die Einhaltung solcher Standards ermöglicht es Unternehmen, ein systematisches Verständnis für ihre aktuelle Sicherheitslage zu entwickeln und kontinuierliche Verbesserungen zu planen.

Während die Kosten für ein erstes Risk Assessment als Investition in die Zukunft des Unternehmens anzusehen sind, ist der Business Impact ein entscheidendes Element, das nicht übersehen werden darf. Es ist wichtig zu erkennen, welche Auswirkungen ein Cyber-Angriff haben könnte, und entsprechend vorzubeugen.

Letztlich muss ein Cybersecurity Risk Assessment regelmäßig aktualisiert und überprüft werden, um neue Bedrohungen und Veränderungen im Unternehmen zu berücksichtigen. Cyber-Sicherheit ist kein einmaliges Projekt, sondern ein fortlaufender Prozess, der ständige Aufmerksamkeit und Anpassung erfordert.

Das Bewusstsein für die Wichtigkeit von Cybersecurity und das Engagement für ein umfassendes Risk Assessment sind entscheidende Schritte, um die Resilienz gegenüber digitalen Bedrohungen zu stärken und die Zukunft des Unternehmens zu sichern.

Relevante Artikel

Risikomanagement nach ISO 27005 für die Implementation eines ISMS nach ISO27001

Wie baue ich ein ISMS auf?

Was sind CIS Controls und warum eigenen sie sich hervorragend für ein erstes Cybersecurity Risk Assessment?

Relevante Glossareinträge

Risk Tolerance Criteria

Zusätzliche Ressourcen

Deteillierte Information zum NIST CSF (National Institute of Standards and Technology – Cybersecurity Framework)

Du willst das Thema Cybersecurity professionell angehen und systematisch die Cyber-Resilienz verbessern?
Herwart Wermescher

Managing Director

Herwart ist Gründer von kmusec.com und Cybersecurity-besessen seit 2011.

Artikel teilen!