Das Smartphone: Die moderne eierlegende Wollmilchsau
Wir leben in einer digitalen Welt, im Mittelpunkt: Das Smartphone. Privat wie auch im Business ist es unser täglicher Begleiter: Es bringt uns ans Ziel, erinnert uns an unsere Termine und ob wir dabei einen Regenschirm brauchen. Zugriff auf Emails und Dokumente sind ohnehin bereits selbstverständlich, und die Zahl der verfügbaren nützlichen (und unnützlichen) Apps wächst täglich. Kaum ein anderes Gerät vereint so viele Funktionen vom digitalen Wallet bis hin zur Kamera, kein anderes Gerät ist so häufig im Einsatz (im Durchschnitt 3,7 Stunden täglich). Insofern ist es nur logisch, dass auch Unternehmen vermehrt die Chancen durch die Nutzung mobiler Devices erkennen:
- Bessere Erreichbarkeit, bessere Zusammenarbeit von Teams
- Steigerung der Effizienz, höhere Flexibilität
- Potential für Kosteneinsparung
- Basis für Multi-Faktor-Authentifizierung (MFA)
- Grundlage für Einsatz von Unternehmens-Apps
Verborgene Risiken in der mobilen Nutzung
Im Cyber Risk Management bisher oft vernachlässigt sind allerdings die Risiken, die insbesondere beim Einsatz von mobilen Devices entstehen, und das obwohl bei bereit 45% der Unternehmen im letzten Jahr ein Cybervorfall auftrat, bei dem ein mobiles Gerät involviert war (laut Verizon Mobile Security Index Report 2022). Im Gegensatz zu einem klassischen Büroarbeitsplatz ist ein mobiles Device viel stärker Cyberbedrohungen ausgesetzt (Nutzung von unterwegs z.B. über unsichere WLAN-Verbindungen, kein Abschalten nach Büroschluss, Vermischung von privater und geschäftlicher Nutzung). Bei Phishingversuchen tappen wir am Smartphone viel einfacher in die Falle, zum einen aus technischen Gründen (z.B. kein „Mouse-Over“ bei dem wir die Link-URL sehen), aber auch weil wir unterwegs verminderte Aufmerksamkeit haben. Zusätzlich gibt es etwa Malicious Apps (z.B. Hiddad, AlienBot), Spyware oder Vulnerability Exploits, die uns zur Gefahr werden können.
Mobiles Cyber Risk Management: Eine moderne und dynamische Strategie für mehr Resilienz
Wie können Unternehmen auf Management-Ebene dem Risiko durch mobile Devices erfolgreich entgegentreten? Häufig sehen wir, dass punktuelle Maßnahmen getroffen werden (z.B. mit Hilfe von Security-Software oder im MDM vergebenen Richtlinien). Einen ganzheitlichen Blick auf die Risiken für das Unternehmen liefert das jedoch nicht. Werden falsche oder nicht zielgerichtete Maßnahmen getroffen, entstehen Kosten ohne Mehrwert – auf der anderen Seite können essentielle Risiken unentdeckt bleiben und daher einen erheblich größeren Schaden verursachen.
Ein Cyber Risk Management zeigt und bewertet die Risiken und ermöglicht es, das Thema von einer rein operativen Aufgabe ins Management zu rücken. Die Risiken werden sicht- und einschätzbar und das Management kann sich für geeignete Strategien und Maßnahmen entscheiden.
Erfolgreiches Cyber Risk Management umfasst die folgenden fünf Schritte:
Abbildung 1: Risk Management Framework (angelehnt an NIST RMF)
Was braucht es im Cyber Risk Management?
1. Cyber Risk Kommunikation
Von der Geschäftsführung über Budget- und Security-Verantwortliche und Digitalisierungsexperten bis hin zum IT-Team können viele Ebenen und Abteilungen zum Cyber Risk Erfolg des Unternehmens beitragen. Die Voraussetzung für eine konstruktive Zusammenarbeit liegt in einer transparenten und verständlichen Kommunikation über alle Funktionsebenen hinweg. Wie gelingt eine bessere Kommunikation? Klare und einheitliche Risikowerte Key Risk Indicators (KRI) sowie komplexitätsreduzierte Berichte tragen dazu bei, dass das Management und die IT gemeinsam versteht, wo Handlungsbedarf besteht und finanzielle Investitionen erforderlich sind.
2. Cyber Risk Visualisierung
Ein Bild sagt mehr als 1000 Worte? Das ist nicht neu – und dennoch müssen wir uns oft durch lange Buchstabenkolonnen quälen, und sind danach oft nicht schlauer als zuvor. Eine gute Visualisierung (etwa in einem Dashboard) ermöglicht eine Übersicht über die Risiken im Unternehmen, die schnell für alle Ebenen verständlich ist. Passende Darstellungen (z.B. Trendkurven, Häufigkeit und Verteilung von Risiken, Kritikalität,…) liefern ein aussagekräftiges Lagebild. Das Cyber Risk Management kann dadurch viel stärker Steuerungs- und Beratungsfunktionen einnehmen.
3. Cyber Risk Insights
Daten, Daten, Daten: Zu keiner Zeit wurden mehr Daten produziert als jetzt, Tendenz steigend. Gerade diese Vielzahl an Daten richtig zu nutzen, ist die große Herausforderung unserer Zeit – das gilt für die Medizin oder die Autoproduktion genauso wie für unser Thema hier.
Die Vielzahl an Informationen zum Risiko von mobilen Devices, zu Cyber Bedrohungen, zu aufgetretenen Schwachstellen gilt es zusammenzutragen und daraus Risiken zu erkennen, zu bewerten und zu klassifizieren.
Der Clou liegt darin, diese Schritte automatisiert durchführen zu lassen und Fachexperten besser dort einzusetzen, wo sie ihre menschlichen Stärken ausspielen können: Im Zusammenhang der aufgezeigten Risiken zum Unternehmen und in der Steuerung von Security Maßnahmen: Organisatorisch, technisch und strategisch.
Abbildung 2: Analyse und Steuerung von Cyber Risks
4. Cyber Risk Ergebnis
Am Ende zählt das Ergebnis und der Erfolgsnachweis – das gilt insbesondere auch für Managementaufgaben. Das Feststellen der Wirksamkeit von getroffenen Maßnahmen ist essentiell für das Cyber Risk Management: Nur wer sieht ob und wie gut Maßnahmen greifen und tatsächlich zum Sinken des Risikos beitragen, kann sinnvoll evaluieren und gegebenenfalls optimieren.
„Risk Management ist die Kunst, bei ungeplanten Ereignissen die Balance zu halten“.
Elmar Jilka, CEO & Founder SEQiFY
Ungeplante Ereignisse treten gerade in der schnelllebigen Welt der mobilen Risiken häufig auf und sind nicht zu 100% vermeidbar. Ein geeignetes Risikoprofil und eine optimale Positionierung zu finden ist wichtig, um entsprechende Handlungsmaßnahmen auf Basis fundierter und vor allem aktueller Daten zu entwickeln.
Wo liegt die Zukunft?
Ein Wandel der Sicherheitsstrategie wird für Unternehmen nötig sein, um mit der realen Entwicklung Schritt zu halten. Obwohl das Budget für Security insgesamt beim Großteil der Unternehmen erweitert wird, wird noch immer ein großer Teil der Aufmerksamkeit den (oft statischen) Security-Maßnahmen gewidmet, die PCs und Server betreffen. Die Realität zeigt hingegen, dass der Trend ganz klar immer mehr zu mobilen Lösungen geht – vom PC zum mobilen Device, von On-Premise-Lösungen in die Cloud. Wer die Risiken von mobilen Devices nicht in sein Kommandozentrum über die Cyber Risiken mitaufnimmt, lässt einen immer größer wachsenden Teil der möglichen Angriffsvektoren und Risikofaktoren aus den Augen – umso höher steigt im Gegenzug die Wahrscheinlichkeit eines Cybervorfalls (der sich mit einfachen Mitteln verhindern hätte lassen).
Moderne digitale Management Dashboards liefern die technische Voraussetzung für ein erfolgreiches Cyber Risk Management. Ein Neudenken der Risiko-Strategie bietet Unternehmen die Chance, einen erfolgreichen Zukunftsweg zu gehen.
Über SEQiFY
Mit SEQiFY managen Unternehmen ihre Cyber Risiken für mobile Devices „with Ease“, also mit Leichtigkeit, wie Gründer Elmar Jilka gerne zu sagen pflegt. Die Vision hinter SEQiFY ist ein einfaches Risk Management zur Verfügung zu stellen, bei dem die Risiken stets aktuell (Live Data) identifiziert und automatisiert bewertet werden. In einem Dashboard finden sich die wichtigsten KPI’s und Risikowerte, eine klare und übersichtliche Darstellung der Risiken für das Management sowie technische Detailinfos für zielgerichtete Maßnahmen. Täglich liefert SEQiFY Risikowerte für tausende mobile Devices unserer Kunden vom Finanz- bis zum Industriesektor – und das alles: Made in Europe.
Erleben Sie das SEQiFY - Cyber Risk Management Dashboard und erhalten Sie bereits in der kostenlosen Trial erste Risikowerte für Ihr Unternehmen!
Link: Demo buchen
https://www.seqify.net/lp/seqify-demo-buchen/