Das Buzzword Cybersicherheit lässt bei Sicherheitsverantwortlichen den Puls höher schlagen. Nicht aus freudiger Erregung, sondern eher aus einem Gefühl der Verunsicherung. Nicht nur, weil die Herstellung von Cybersicherheit mit einem hohen Zeitaufwand und nicht minder hohen Kosten verbunden ist, sondern auch, weil die zu ergreifenden Maßnahmen äußerst vielfältig und deren Wirkungsgrad und Interdependenzen nur schwer einschätzbar sind. So stellt mancher nach mehrjährigen Investitionen fest, dass zwar viel getan, aber wenig erreicht wurde. Ergebnis: Der Reifegrad der Cybersicherheit hat sich kaum erhöht.
Pareto meets Drucker (Die gute, alte 80/20-Regel)
Mit 20% Aufwand 80% Ergebnis. Für die restlichen 20% des Ergebnisses (also das Feintuning) benötigt es 80% des Aufwands. Pareto hätte sich zu seiner Zeit (1848-1923) nicht ausmalen können, auf was das von ihm stammende Prinzip alles angewendet wird. Heute also auch auf die Cybersicherheit. Denn auch hier beweist es immer wieder seine Gültigkeit. Mit wenig Aufwand lässt sich die Cybersicherheit in Organisationen drastisch erhöhen. Vorausgesetzt, man konzentriert sich auf die richtigen Maßnahmen. Nämlich solche mit einem hohen Wirkungsgrad. Nicht selten werden in Unternehmen jedoch Maßnahmen umgesetzt, die besonders zeit- und kostenintensiv sind und am Ende kaum etwas bewirken. Der Fahrplan für die Cybersicherheit sollte nicht von Aktionismus, sondern von informierten und kompetenten Entscheidungen getrieben sein.
Hebelwirkung
In dieselbe Kerbe schlägt der Ökonom Peter Drucker (1909-2005) mit seiner oft zitierten Managementweisheit: „First things first. Second, not at all”. Und unter “first” sollten diejenigen Maßnahmen fallen, die schnell wirksam werden können. Im Fokus steht also nicht, was Unternehmen alles tun, um den Reifegrad ihrer Cybersicherheit und damit die Resilienz Ihres Unternehmens zu erhöhen, sondern darum, was (in einem bestimmten Zeitraum) wirksam ist. Beim Thema Cybersicherheit gibt es Maßnahmen, die nun mal wirksamer sind als andere. “Second not at all” ist beim Thema nicht so ganz richtig. Aber…
Praktikabilität geht vor
Managementsysteme – wie z.B. die ISO/IEC 27001 – verleiten uns dazu, die Frage nach der Wirksamkeit einzelner Maßnahmen hintenan zu stellen. Die Normen geben uns einen Rahmen, die Berater eine Roadmap vor. So kommt es häufig vor, dass sich Unternehmen über monatelang (…oder länger) mit der Entwicklung von Leit- und Richtlinien beschäftigen, noch bevor überhaupt eine Maßnahme angegangen wird. Das ist ein Fehler. So richtig es auch sein mag, ein Managementsystem zu implementieren.
Leck im Boot
Wenn ein Boot ein Leck hat, durch das Wasser eindringt, sollte man sich nicht zu lange mit Fragen der Managementstrukturen und -prozesse aufhalten. Sonst gibt es nämlich bald kein Boot und keine Seemannschaft mehr, die zu managen ist. Natürlich gibt es einen Unterschied zwischen dem Beispiel “Boot” und einem Unternehmen. Ein Unternehmen wird ein solches “Leck” – also eine potentielle oder gar ausgenutzte Schwachstelle – im Zweifel gar nicht erkennen oder die potentielle Gefährdung nicht richtig einschätzen. Auf einem Boot – mitten im Meer – wird es kaum jemanden geben, der sagt: “Das hat jetzt keine Priorität, wir arbeiten unsere To-Do-Liste nach Managementsystem ab.” Stattdessen wird sich die Seemannschaft rasch einig sein: “Zuerst müssen wir das Leck schließen!”.
Immer der Reihe nach
Da Unternehmen ihre “Lecks” nicht kennen, sollten sie danach suchen. Und zwar regelmäßig: nicht jährlich, nicht wöchentlich, sondern kontinuierlich und in Echtzeit. Dafür gibt es eine Vielzahl technischer Lösungen, die noch nicht einmal Geld kosten müssen. Stichwort: Open Source. Der wesentliche Punkt ist: Das Finden und Schließen von Schwachstellen in Ihrer IT/OT sollte höhere Priorität haben als die Implementierung eines Managementsystems. Und das sage ich als ISO/IEC 27001 Auditor. Hier gibt es kein “entweder/oder”, sondern ein “und”. Für eine effiziente Erhöhung des Reifegrades Ihrer Cybersicherheit ist die richtige Reihenfolge essentiell.