4-Schritte-Ansatz zur Identifizierung und Absicherung geschäftskritischer Assets: Ein ganzheitlicher Blick auf Cybersicherheit

Doch wie genau können Unternehmen sicherstellen, dass sie sich auf die wirklich entscheidenden Ressourcen konzentrieren, ohne in der Flut von potenziellen Bedrohungen und Schwachstellen unterzugehen?

Der Schlüssel liegt darin, sich nicht auf jedes einzelne Problem zu stürzen, sondern einen klaren und systematischen Ansatz zu verfolgen. Ein strukturierter Ansatz zur Identifizierung, Verknüpfung und Absicherung dieser Assets hilft, Ressourcen gezielt einzusetzen und die Cybersicherheit auf ein strategisches Level zu heben.

Der Fokus auf geschäftskritische Assets: Warum ist das so wichtig?

Nicht jedes IT-Asset in einem Unternehmen ist gleich wichtig. Es gibt zahlreiche Technologiekomponenten, aber einige sind absolut entscheidend für den Betrieb und den finanziellen Erfolg. Geschäftskritische Assets sind genau die IT-Komponenten, die eng mit den wichtigsten Geschäftsprozessen verbunden sind. Ein Ausfall dieser Assets kann den Geschäftsbetrieb direkt gefährden und erhebliche finanzielle Verluste nach sich ziehen.

In der Praxis gibt es jedoch so viele potenzielle Sicherheitslücken – von Software-Schwachstellen über fehlerhafte Konfigurationen bis hin zu unzureichend geschützten Identitäten –, dass es nahezu unmöglich ist, alle gleichzeitig zu beheben. Hier liegt das Problem vieler Unternehmen: Sie versuchen, alles auf einmal zu lösen, was zu einer Verschwendung von Zeit, Geld und Ressourcen führt. Der „Alles auf einmal“-Ansatz, der oft auf Unsicherheit und fehlender Priorisierung basiert, wird auch als „Spray ’n Pray“-Ansatz bezeichnet und sollte vermieden werden.

Die Lösung liegt darin, sich auf die geschäftskritischen und geschäftsrelevanten Bereiche zu konzentrieren und den Aufwand gezielt dort zu investieren, wo der größte potenzielle Schaden vermieden werden kann.

Schritt 1: Die wichtigsten Geschäftsprozesse identifizieren

Der erste Schritt besteht darin, herauszufinden, welche Geschäftsprozesse für das Unternehmen am wichtigsten sind. Dies mag auf den ersten Blick simpel erscheinen, erfordert jedoch eine sorgfältige Analyse. Unternehmen sollten genau verstehen, welche Prozesse den größten Einfluss auf die Umsätze und das operative Geschäft haben.

Ein hilfreicher Ansatz ist die „Follow the Money“-Methode: Woher kommt der Umsatz des Unternehmens? Welche Produkte oder Dienstleistungen sind besonders wertvoll? Und wo fließt das Geld wieder ab – in Form von operativen Ausgaben oder Investitionen? Diese Fragen helfen, die kritischsten Geschäftsprozesse zu identifizieren.

Sobald die Schlüsselprozesse definiert sind, müssen sie mit den zugrunde liegenden IT-Assets verknüpft werden. Dabei handelt es sich um die technischen Komponenten, die für das Funktionieren dieser Prozesse unverzichtbar sind, wie z.B. Datenbanken, Server und Nutzerkonten mit besonderen Berechtigungen. Diese Assets bilden die Basis für den erfolgreichen Betrieb und verdienen daher die höchste Priorität im Sicherheitsmanagement.

Schritt 2: Technologie-Assets mit Geschäftsprozessen verknüpfen

Sobald die wichtigsten Geschäftsprozesse identifiziert sind, sollten Unternehmen die entsprechenden IT-Assets, die diese Prozesse unterstützen, klar zuordnen. Das sind z. B. Server, Datenbanken, Speicherlösungen und privilegierte Benutzerkonten. Diese Infrastrukturkomponenten müssen sorgfältig erfasst werden, da sie den betrieblichen Kern ausmachen.

 

 

Ein Asset-Management-System oder eine einfache Dokumentation kann hier hilfreich sein, um eine Übersicht zu erhalten. Ohne eine solche Verknüpfung zwischen Prozessen und IT-Assets läuft man Gefahr, wichtige Ressourcen zu übersehen, die bei einem Sicherheitsvorfall kritisch werden könnten.

Schritt 3: Risiken priorisieren

Da es unmöglich ist, jede Schwachstelle sofort zu beheben, müssen Sicherheitsmaßnahmen sinnvoll priorisiert werden. Das bedeutet, dass die Frage „Was hat den größten Einfluss auf unser Geschäft?“ im Mittelpunkt stehen sollte. Unternehmen sollten stets zuerst die Prozesse und Assets schützen, die bei einem Ausfall den größten Schaden verursachen könnten.

Hier sollte die Zusammenarbeit mit der Führungsebene und dem Risikomanagement eine zentrale Rolle spielen. Was sind die „Game Over“-Prozesse für das Unternehmen? Was betrachten die C-Level-Manager und Vorstandsmitglieder als die wichtigsten Bereiche, die geschützt werden müssen? Diese Abstimmung ist entscheidend, um sicherzustellen, dass die Cybersicherheitsstrategie mit den Geschäftszielen des Unternehmens übereinstimmt.

Schritt 4: Effektive Sicherheitsmaßnahmen umsetzen

Nachdem die wichtigsten geschäftskritischen Assets identifiziert und priorisiert wurden, geht es darum, gezielte Sicherheitsmaßnahmen zu implementieren. Dabei können Schwachstellenmanagement-Tools, Penetrationstests und andere Sicherheitsprüfungen wertvolle Erkenntnisse liefern, wo Handlungsbedarf besteht.

Für eine gezielte Umsetzung ist es jedoch entscheidend, dass die Ressourcen dort investiert werden, wo sie den größten Unterschied machen. Tools wie XM Cyber bieten hier einen wertvollen Vorteil: Sie simulieren kontinuierlich Angriffe auf definierte, geschäftskritische Assets und bieten eine Liste von priorisierten Maßnahmen mit dem höchsten Return on Investment (ROI).

 

Durch die Fokussierung auf geschäftskritische Assets und die Umsetzung gezielter Maßnahmen kann das Unternehmen seine Sicherheit deutlich verbessern und gleichzeitig effizienter mit seinen Ressourcen umgehen.

 

Fazit

Die Sicherung der geschäftskritischen Assets eines Unternehmens ist von zentraler Bedeutung für eine erfolgreiche Cybersecurity-Strategie. Durch die Identifizierung und Priorisierung der wichtigsten Geschäftsprozesse und ihrer zugrunde liegenden IT-Assets können Unternehmen nicht nur ihre Sicherheit verbessern, sondern auch sicherstellen, dass sie ihre begrenzten Ressourcen optimal nutzen.

Der Schlüssel liegt darin, nicht alles gleichzeitig lösen zu wollen, sondern die Ressourcen auf das zu konzentrieren, was wirklich zählt. Indem Sicherheitsmaßnahmen in enger Abstimmung mit den Unternehmenszielen umgesetzt werden, entsteht eine Synergie zwischen der IT-Sicherheit und den geschäftlichen Prioritäten, die letztlich den langfristigen Erfolg des Unternehmens sichert.


Florian Jörgens

Florian Jörgens ist Chief Information Security Officer und neben dieser Tätigkeit seit seinem Master-Abschluss 2015 unter anderem an diversen Hochschulen als Dozent, Autor und wissenschaftlicher Mitarbeiter tätig. Weiterhin hält er Fachvorträge rund um die Themen Informationssicherheit, Awareness und Cyber-Security. Florian Jörgens wurde im September 2020 vom CIO-Magazin mit dem Digital Leader Award in der Kategorie „Cyber-Security“ ausgezeichnet.