Logo Concepture

Was man von Pareto über Cybersicherheit lernen kann

20 Prozent Aufwand für ein 80 prozentiges Ergebnis: Was Sie von Pareto über Cybersicherheitsmaßnahmen lernen können - Setzen Sie die richtigen Prioritäten?
Was sagen Pentest über den Reifegrad der Cybersicherheit aus?

Das Buzzword Cybersicherheit lässt bei Sicherheitsverantwortlichen den Puls höher schlagen. Nicht aus freudiger Erregung, sondern eher aus einem Gefühl der Verunsicherung. Nicht nur, weil die Herstellung von Cybersicherheit mit einem hohen Zeitaufwand und nicht minder hohen Kosten verbunden ist, sondern auch, weil die zu ergreifenden Maßnahmen äußerst vielfältig und deren Wirkungsgrad und Interdependenzen nur schwer einschätzbar sind. So stellt mancher nach mehrjährigen Investitionen fest, dass zwar viel getan, aber wenig erreicht wurde. Ergebnis: Der Reifegrad der Cybersicherheit hat sich kaum erhöht.

Pareto meets Drucker (Die gute, alte 80/20-Regel)

Mit 20% Aufwand 80% Ergebnis. Für die restlichen 20% des Ergebnisses (also das Feintuning) benötigt es 80% des Aufwands. Pareto hätte sich zu seiner Zeit (1848-1923) nicht ausmalen können, auf was das von ihm stammende Prinzip alles angewendet wird. Heute also auch auf die Cybersicherheit. Denn auch hier beweist es immer wieder seine Gültigkeit. Mit wenig Aufwand lässt sich die Cybersicherheit in Organisationen drastisch erhöhen. Vorausgesetzt, man konzentriert sich auf die richtigen Maßnahmen. Nämlich solche mit einem hohen Wirkungsgrad. Nicht selten werden in Unternehmen jedoch Maßnahmen umgesetzt, die besonders zeit- und kostenintensiv sind und am Ende kaum etwas bewirken. Der Fahrplan für die Cybersicherheit sollte nicht von Aktionismus, sondern von informierten und kompetenten Entscheidungen getrieben sein.

Hebelwirkung

In dieselbe Kerbe schlägt der Ökonom Peter Drucker (1909-2005) mit seiner oft zitierten Managementweisheit: „First things first. Second, not at all”. Und unter “first” sollten diejenigen Maßnahmen fallen, die schnell wirksam werden können. Im Fokus steht also nicht, was Unternehmen alles tun, um den Reifegrad ihrer Cybersicherheit und damit die Resilienz Ihres Unternehmens zu erhöhen, sondern darum, was (in einem bestimmten Zeitraum) wirksam ist. Beim Thema Cybersicherheit gibt es Maßnahmen, die nun mal wirksamer sind als andere. “Second not at all” ist beim Thema nicht so ganz richtig. Aber…

Praktikabilität geht vor

Managementsysteme – wie z.B. die ISO/IEC 27001 – verleiten uns dazu, die Frage nach der Wirksamkeit einzelner Maßnahmen hintenan zu stellen. Die Normen geben uns einen Rahmen, die Berater eine Roadmap vor. So kommt es häufig vor, dass sich Unternehmen über monatelang (…oder länger) mit der Entwicklung von Leit- und Richtlinien beschäftigen, noch bevor überhaupt eine Maßnahme angegangen wird. Das ist ein Fehler. So richtig es auch sein mag, ein Managementsystem zu implementieren.

Leck im Boot

Wenn ein Boot ein Leck hat, durch das Wasser eindringt, sollte man sich nicht zu lange mit Fragen der Managementstrukturen und -prozesse aufhalten. Sonst gibt es nämlich bald kein Boot und keine Seemannschaft mehr, die zu managen ist. Natürlich gibt es einen Unterschied zwischen dem Beispiel “Boot” und einem Unternehmen. Ein Unternehmen wird ein solches “Leck” – also eine potentielle oder gar ausgenutzte Schwachstelle – im Zweifel gar nicht erkennen oder die potentielle Gefährdung nicht richtig einschätzen. Auf einem Boot – mitten im Meer – wird es kaum jemanden geben, der sagt: “Das hat jetzt keine Priorität, wir arbeiten unsere To-Do-Liste nach Managementsystem ab.” Stattdessen wird sich die Seemannschaft rasch einig sein: “Zuerst müssen wir das Leck schließen!”.

Immer der Reihe nach

Da Unternehmen ihre “Lecks” nicht kennen, sollten sie danach suchen. Und zwar regelmäßig: nicht jährlich, nicht wöchentlich, sondern kontinuierlich und in Echtzeit. Dafür gibt es eine Vielzahl technischer Lösungen, die noch nicht einmal Geld kosten müssen. Stichwort: Open Source. Der wesentliche Punkt ist: Das Finden und Schließen von Schwachstellen in Ihrer IT/OT sollte höhere Priorität haben als die Implementierung eines Managementsystems. Und das sage ich als ISO/IEC 27001 Auditor. Hier gibt es kein “entweder/oder”, sondern ein “und”. Für eine effiziente Erhöhung des Reifegrades Ihrer Cybersicherheit ist die richtige Reihenfolge essentiell.

Manuel Bohe

CEO
Manuel Bohé ist Ihr Ansprechpartner rund um die Themen Informations- und Cybersicherheit und berät unsere Kunden online und vor Ort.

Jetzt weiterlesen!

Cybersicherheit

Datenaustausch und Zusammenarbeit: Schlüssel zur Stärkung der Cybersicherheit in der Lieferkette

Die Sicherheit von Lieferketten ist entscheidend für den Schutz vor Cyberbedrohungen. Angesichts der globalen Vernetzung von Unternehmen und ihrer Zulieferer ist eine durchgängige Cybersicherheitsstrategie essentiell. Ein Schlüsselelement hierbei ist der verstärkte Datenaustausch und die Kooperation zwischen allen Beteiligten der Lieferkette, um gemeinsam Risiken effektiv zu minimieren und die Resilienz gegenüber Cyberangriffen zu stärken.

Sicherheitsberatung

Perimeter im Check: Ist Ihre Grundstücksgrenze ausreichend geschützt?

Viele Unternehmen verlassen sich auf imposante Perimeterabsicherungen an ihren Grundstücksgrenzen, die durch Zaunanlagen mit Stachel- oder NATO-Draht potenzielle Täter aufhalten und abschrecken sollen. Die Frage ist jedoch, ob diese Maßnahmen wirklich ausreichen.

Managementberatung

Die Rolle der Business Impact Analysis im Business Continuity Management

In einer Welt voller disruptiver Bedrohungen ist es entscheidend, auf Betriebsunterbrechungen vorbereitet zu sein. Erfahren Sie, wie die Business Impact Analysis (BIA) als Herzstück des Business Continuity Managements (BCM) Unternehmen hilft, Risiken zu identifizieren und deren potenzielle Auswirkungen zu bewerten.

Durch Absenden des Kontaktformulars stimmen Sie unseren Datenschutzbestimmungen zu. Ihre angegebenen Daten werden ausschließlich zu Beratungszwecken gespeichert und nicht an Dritte weitergegeben.

Alternativ zum Formular können Sie uns auch eine E-Mail an info@concepture.de senden.