Was man von Pareto über Cybersicherheit lernen kann

20 Prozent Aufwand für ein 80 prozentiges Ergebnis: Was Sie von Pareto über Cybersicherheitsmaßnahmen lernen können - Setzen Sie die richtigen Prioritäten?
Was sagen Pentest über den Reifegrad der Cybersicherheit aus?

Das Buzzword Cybersicherheit lässt bei Sicherheitsverantwortlichen den Puls höher schlagen. Nicht aus freudiger Erregung, sondern eher aus einem Gefühl der Verunsicherung. Nicht nur, weil die Herstellung von Cybersicherheit mit einem hohen Zeitaufwand und nicht minder hohen Kosten verbunden ist, sondern auch, weil die zu ergreifenden Maßnahmen äußerst vielfältig und deren Wirkungsgrad und Interdependenzen nur schwer einschätzbar sind. So stellt mancher nach mehrjährigen Investitionen fest, dass zwar viel getan, aber wenig erreicht wurde. Ergebnis: Der Reifegrad der Cybersicherheit hat sich kaum erhöht.

Pareto meets Drucker (Die gute, alte 80/20-Regel)

Mit 20% Aufwand 80% Ergebnis. Für die restlichen 20% des Ergebnisses (also das Feintuning) benötigt es 80% des Aufwands. Pareto hätte sich zu seiner Zeit (1848-1923) nicht ausmalen können, auf was das von ihm stammende Prinzip alles angewendet wird. Heute also auch auf die Cybersicherheit. Denn auch hier beweist es immer wieder seine Gültigkeit. Mit wenig Aufwand lässt sich die Cybersicherheit in Organisationen drastisch erhöhen. Vorausgesetzt, man konzentriert sich auf die richtigen Maßnahmen. Nämlich solche mit einem hohen Wirkungsgrad. Nicht selten werden in Unternehmen jedoch Maßnahmen umgesetzt, die besonders zeit- und kostenintensiv sind und am Ende kaum etwas bewirken. Der Fahrplan für die Cybersicherheit sollte nicht von Aktionismus, sondern von informierten und kompetenten Entscheidungen getrieben sein.

Hebelwirkung

In dieselbe Kerbe schlägt der Ökonom Peter Drucker (1909-2005) mit seiner oft zitierten Managementweisheit: „First things first. Second, not at all”. Und unter “first” sollten diejenigen Maßnahmen fallen, die schnell wirksam werden können. Im Fokus steht also nicht, was Unternehmen alles tun, um den Reifegrad ihrer Cybersicherheit und damit die Resilienz Ihres Unternehmens zu erhöhen, sondern darum, was (in einem bestimmten Zeitraum) wirksam ist. Beim Thema Cybersicherheit gibt es Maßnahmen, die nun mal wirksamer sind als andere. “Second not at all” ist beim Thema nicht so ganz richtig. Aber…

Praktikabilität geht vor

Managementsysteme – wie z.B. die ISO/IEC 27001 – verleiten uns dazu, die Frage nach der Wirksamkeit einzelner Maßnahmen hintenan zu stellen. Die Normen geben uns einen Rahmen, die Berater eine Roadmap vor. So kommt es häufig vor, dass sich Unternehmen über monatelang (…oder länger) mit der Entwicklung von Leit- und Richtlinien beschäftigen, noch bevor überhaupt eine Maßnahme angegangen wird. Das ist ein Fehler. So richtig es auch sein mag, ein Managementsystem zu implementieren.

Leck im Boot

Wenn ein Boot ein Leck hat, durch das Wasser eindringt, sollte man sich nicht zu lange mit Fragen der Managementstrukturen und -prozesse aufhalten. Sonst gibt es nämlich bald kein Boot und keine Seemannschaft mehr, die zu managen ist. Natürlich gibt es einen Unterschied zwischen dem Beispiel “Boot” und einem Unternehmen. Ein Unternehmen wird ein solches “Leck” – also eine potentielle oder gar ausgenutzte Schwachstelle – im Zweifel gar nicht erkennen oder die potentielle Gefährdung nicht richtig einschätzen. Auf einem Boot – mitten im Meer – wird es kaum jemanden geben, der sagt: “Das hat jetzt keine Priorität, wir arbeiten unsere To-Do-Liste nach Managementsystem ab.” Stattdessen wird sich die Seemannschaft rasch einig sein: “Zuerst müssen wir das Leck schließen!”.

Immer der Reihe nach

Da Unternehmen ihre “Lecks” nicht kennen, sollten sie danach suchen. Und zwar regelmäßig: nicht jährlich, nicht wöchentlich, sondern kontinuierlich und in Echtzeit. Dafür gibt es eine Vielzahl technischer Lösungen, die noch nicht einmal Geld kosten müssen. Stichwort: Open Source. Der wesentliche Punkt ist: Das Finden und Schließen von Schwachstellen in Ihrer IT/OT sollte höhere Priorität haben als die Implementierung eines Managementsystems. Und das sage ich als ISO/IEC 27001 Auditor. Hier gibt es kein “entweder/oder”, sondern ein “und”. Für eine effiziente Erhöhung des Reifegrades Ihrer Cybersicherheit ist die richtige Reihenfolge essentiell.

Manuel Bohe

CEO
Manuel Bohé ist Ihr Ansprechpartner rund um die Themen Informations- und Cybersicherheit und berät unsere Kunden online und vor Ort.

Jetzt weiterlesen!

Cybersicherheit

Deepfakes: More Than Just a Digital Facelift – A Cybersecurity Threat

Cybersicherheit, Managementberatung, Sicherheitsberatung

Sicherheit 2025: Die Top-Trends, die kein Unternehmen ignorieren kann

Die Welt wird immer vernetzter – und damit auch die Bedrohungen. Egal, ob physisch oder digital: Unternehmen stehen vor Herausforderungen, die sich nicht mehr in altbewährte Muster pressen lassen. Die Burgmauern? Einst ein starkes Bild für Sicherheit. Heute ein nostalgischer Rückblick auf einfachere Zeiten. Bedrohungen machen vor keiner Grenze Halt – weder im digitalen Raum noch in der physischen Welt.

Fill the Gap, Managementberatung, Sicherheitsberatung

Nach der Zeitumstellung: Wie falsche Zeitstempel in Sicherheitsanlagen zum Problem werden

Die Winterzeit ist da – und mit ihr steigt das Risiko fehlerhafter Zeitstempel in Sicherheitsanlagen. Erfahren Sie, wie solche Abweichungen entstehen und warum regelmäßige Prüfungen sowie automatische Uhrzeitsynchronisation entscheidend sind, um Beweissicherung und Nachvollziehbarkeit zu gewährleisten.

Alternativ zum Formular können Sie uns auch eine E-Mail an info@concepture.de senden.