Aufrufe
vor 4 Jahren

RISIKO MANAGER 08.2019

  • Text
  • Normalverteilung
  • Insbesondere
  • Beispielsweise
  • Berichterstattung
  • Risiken
  • Informationen
  • Risiko
  • Bitsight
  • Ratingklassen
  • Unternehmen
RISIKO MANAGER ist das führende Medium für alle Experten des Financial Risk Managements in Banken, Sparkassen und Versicherungen. Mit Themen aus den Bereichen Kreditrisiko, Marktrisiko, OpRisk, ERM und Regulierung vermittelt RISIKO MANAGER seinen Lesern hochkarätige Einschätzungen und umfassendes Wissen für fortschrittliches Risikomanagement.

24 firm Frankfurter

24 firm Frankfurter Institut für Risikomanagement und Regulierung Im Interview: Patrick Steinmetz, DACH Sales bei BitSight Auf die richtigen Tools setzen heißt, gute Karten haben Cyber-Sicherheit – ein Dauerthema in allen Bereichen, so auch in der Bankenwelt. Doch wie ist es um die Branche bestellt? Welche Rolle spielen Analyseverfahren? Und wo steht der Mensch bei all den Sicherheitsanforderungen und -über legungen? Fragen, die Patrick Steinmetz, DACH Sales beim Unternehmen BitSight, in unserem Topinterview beantwortet. FIRM-Redaktion: Herr Steinmetz, die vielen Meldungen zu angeblichen oder realen IT-Sicherheitsherausforderungen im Bankenumfeld verheißen nichts Gutes. Wie ist es denn aus Ihrer Sicht um die IT-Sicherheit bei Banken und Versicherungen bestellt? Patrick Steinmetz: Insbesondere die stark regulierten Unternehmen aus dem Finanzsektor investieren jährlich immer höhere Summen in ihre IT-Sicherheit. Sie stellen auch hohe Anforderungen an die Security Posture von Dritten, mit denen sie zusammenarbeiten, weil sie ihnen teilweise Zugriff auf sensible Daten gewähren. Trotzdem nimmt die Häufigkeit von Cyber-Attacken zu. Viele Verantwortliche fragen sich deshalb ständig, wie gut die eigene IT-Sicherheit eigentlich ist und wie hoch die Effizienz der Ausgaben dafür ist. Und wie bekommen sie eine valide Einschätzung der IT-Sicherheit ihrer Lieferanten und Partner? Oder die von potenziellen Versicherungsnehmern? Herkömmliche Methoden, um die IT-Sicherheit zu messen, umfassen Checklisten, Audits, Zertifizierungen, Penetration-Tests und Vulnerability Scans. Diese Methoden sind zeitaufwendig, kostenintensiv und darüber hinaus auch nur eine Momentaufnahme der IT-Sicherheit. Sie sind weder vergleichbar, noch standardisiert. Außerdem sind diese herkömmlichen Methoden alleine zur Beurteilung von IT-Sicherheit nicht ausreichend, wie sich durch die wachsende Zahl von Datenlecks zeigt. Insbesondere das Lieferanten-Cyber-Risiko ist eine immense Herausforderung. In der von BitSight und CeFPro gemeinsam durchgeführten Studie „Third-Party Cyber Risk for Financial Services: Blind Spots, Emerging Issues & Best Practices” haben wir das genauer beleuchtet. Die Studie untersucht aktuelle sowie zukünftige Ansätze und Herausforderungen für das Risikomanagement der von der Lieferkette ausgehenden Cyber-Risiken. Die Studie basiert auf einer Umfrage unter Experten für Finanzdienstleistungen. Sie zeigt, dass die Experten das Risikomanagement von Lieferanten-Cyber-Risiken als geschäftskritisch wahrnehmen. Dennoch fehlt oft ein kontinuierliches Monitoring und ein einheitliches Reporting der Lieferanten-Cyber-Risiken. Zusammen mit weiteren Schwachstellen sorgt dies für Anfälligkeiten von Organisationen für Datenschutzverletzungen und weitere Konsequenzen. Viele Unternehmen arbeiten mit hunderten oder sogar tausenden von Lieferanten zusammen. Dadurch entstehen neue Risiken, zu deren Bewältigung Unternehmen aktiv handeln müssen. Insbesondere in der Finanzindustrie existiert ist ein riesiges geschäftliches Ökosystem, das sich aus rechtlichen Organisationen, Wirtschaftsprüfungs- und Human-Resources-Unternehmen, Unternehmensberatungen und Outsourcing-Unternehmen sowie IT- und Software-Anbietern zusammensetzt. Jeder dieser Anbieter stellt eine potenzielle Schwachstelle für die Cyber-Abwehr dar, wenn das von ihm ausgehende Risiko nicht aktiv gemanagt wird. Nur durch aktives Cyber-Risikomanagement lässt sich der Austausch von Daten und anderen sensiblen Informationen mit den Lieferanten schützen. FIRM-Redaktion: Ihr Unternehmen verspricht dem Leser auf seinen Seiten eine weltweit führende Security-Rating-Plattform. Was macht diese Ihrer Meinung nach führend, ohne dabei werblich zu werden? Patrick Steinmetz: Dazu muss ich gar nicht werblich werden, ich lasse einfach die Fakten sprechen. BitSight ist aus mehreren Gründen Marktführer bei IT-Sicherheitsbewertungen. An erster Stelle steht

25 Ausgabe 08/2019 unser hochwertiger Datensatz. BitSight sammelt seine Daten aus mehr als 120 umfassenden und vielfältigen Datenquellen. Die von BitSight verwendeten Daten sind „öffentlich zugängliche“ Daten, also sie werden nicht von innerhalb des zu bewertenden Unternehmens bezogen. Die Daten sind zwar theoretisch öffentlich verfügbar, aber in der Praxis teils nur mit hohem Aufwand zu erlangen – sonst könnte uns ja jeder unkompliziert kopieren. Ich möchte das an einem Beispiel verdeutlichen: Über unsere Tochterfirma AnubisNetworks betreibt BitSight das weltweit größte Sinkhole. Damit können wir die Kommunikation zwischen mit Malware infizierten Computern und den kontaktierten Command-and-Control (C&C)-Servern analysieren. BitSight kann also genau sagen, welche Computer eines Unternehmens mit Malware infiziert sind. Schon alleine diese Existenz von Malware in einem Unternehmen ist streng genommen ein Breach und ein deutlicher Indikator dafür, dass Sicherheitskontrollen versagt haben. Die Kommunikation zwischen infizierten Computern und C&C-Servern erfolgt also über das öffentliche Internet und ist damit öffentlich, aber nur mit einer weltweit führenden Sinkhole-Infrastruktur wie der unseren lassen sich diese Daten umfassend sammeln und auswerten. Weitere Daten beziehen wir von Anbietern von Sicherheitsdienstleistungen und ÜBER exklusive Partnerschaften mit bewährten globalen Unternehmen. Die Bewertungsinformationen stammen also aus einer Vielzahl von öffentlichen und nur uns zugänglichen Quellen wie Botnet, Spam, Nutzerverhalten, Newsfeed und Social Media. Bevor eine Quelle in das Rating aufgenommen wird, wird sie einer sorgfältigen Überprüfung und Genauigkeitsüberwachung durch unsere Datenwissenschaftler und technischen Experten unterzogen. Die Bewertung selbst wird durch einen Algorithmus erstellt, der die Daten auf Schweregrad, Häufigkeit, Dauer und Vertrauen analysiert. Für BitSight spricht außerdem unsere Fähigkeit, einzigartige und umsetzbare Datenanalysen zu liefern, und die breite Marktakzeptanz. Wir stellen unsere Daten als kostenpflichtigen Abonnementdienst zur Verfügung. BitSight bietet einen 12-monatigen historischen Überblick über die Cyber-Sicherheitsleistung eines Unternehmens, gemessen anhand 23 verschiedener Risikofaktoren. Andere Anbieter sind davon meilenweit entfernt, sie messen höchsten sechs oder sieben Risikofaktoren. Last but not least: BitSight hat 2011 den Markt für IT-Sicherheitsratings überhaupt erst geschaffen. Unsere Infrastruktur, unsere Sensoren, unsere Kooperationen, unsere Algorithmen – bei allem haben wir einen enormen Vorsprung gegenüber Mitbewerbern. FIRM-Redaktion: Haben Sie für unsere Leser ein Praxisbeispiel, wie diese Lösung funktioniert und vor allem welchen Mehrwert sie verspricht? Patrick Steinmetz: Gerne erläutere ich zwei konkrete Beispiele aus der jüngeren Vergangenheit. Über unsere Sinkhole-Infrastruktur wurden wir erstens auf eine Domain aufmerksam, die mit dem Android Mobile Advertising Software Development Kit (SDK) Arrkii in Verbindung steht. Bei ihrer Analyse sind unsere Experten zu dem Ergebnis gekommen, dass das SDK Arrkii Funktionen und Verhaltensweisen einer potenziell unerwünschten Anwendung (Potentially Unwanted Application, PUA) aufweist. Wir haben anschließend einen Teil der Infrastruktur dieses SDKs über Sinkholing identifiziert. Dabei wurden insgesamt 15 Millionen verschiedene Geräte (mit 40 Millionen verschiedenen IP-Adressen) über einen Zeitraum von einem Monat gezählt, die aus einem Unternehmensnetzwerk heraus kommuniziert haben. Dies betrifft Geräte in mehr als 6.000 Unternehmen in vielen Branchen. Die überwiegende Mehrheit der infizierten Geräte befand sich zwar in Indien. In Deutschland wurden aber auch noch knapp 200.000 infizierte Geräte gezählt. Unsere Kunden könnten hier also genau sehen, welche ihrer mobilen Endgeräte mit Schadsoftware infiziert sind – oder wie es um die Cyber-Sicherheit der mobilen Endgeräte ihrer Lieferanten steht. Zweitens haben wir Informationen über die Exposition und den Sicherheitsstatus der Systeme gesammelt, die sich in Unternehmensnetzwerken befinden und für Bluekeep anfällig sind. Weltweit hat Bit- Sight fast eine Millionen Computer mit Internetzugang gefunden, die für die Schwachstelle Bluekeep anfällig sind. Unsere Lösung erlaubt es, die Anfälligkeit für Bluekeep auch nach Ländern aufzuschlüsseln. Die IT-Verantwortlichen in den verschiedenen Ländern haben demnach sehr unterschiedlich auf den Patch-Bedarf ihrer Systeme reagiert. BitSight hat ebenso die Anfälligkeit von Branchen für Bluekeep analysiert. Der Mehrwert für unsere Kunden ist hier, dass sie sich über den Patch-Status ihrer eigenen Systeme weltweit zu dieser kritischen Sicherheitslücke informieren können. Und sie erfahren mehr über den Patch-Status von Lieferanten, Partnern sowie potenziellen Versicherungsnehmern. Und das sind nur zwei Beispiele. FIRM-Redaktion: Lässt sich diese Rating-Plattform auch in weiteren Branchen anwenden? Patrick Steinmetz: Selbstverständlich. Unsere IT-Sicherheitsratings sind für jede Branche geeignet, und unsere Kunden kommen demnach aus den unterschiedlichsten Branchen. Unternehmen aus aller Welt verwenden BitSight IT-Sicherheitsratings. CISOs, CIOs, Sicherheitsmanager und viele andere nutzen BitSight, um ihr eigenes Sicherheitsrisiko oder das Cyber-Risiko ihrer Lieferkette zu analysieren. Globale Versicherer setzen BitSight für das Underwriting und die Risikobewertung von Unternehmen ein, die eine Cyber-Versicherung suchen. Finanzinstitute und Private-Equity-Firmen nutzen BitSight, um das IT-Sicherheitsrisiko einer Investition zu verstehen. IT-Sicherheitsratings ermöglichen aber auch ein verständliches Reporting an den Vorstand und Benchmarking mit Mitbewerbern sowie von Tochterunternehmen. Auf nationalem Level kann beispielsweise ein Staat die IT-Sicherheit seiner kritischen Infrastruktur überprüfen und überwachen – das machen auch schon einige Staaten. Darüber hinaus sind viele weitere Anwendungsmöglichkeiten unserer Lösung denkbar – teilweise sind wir selbst überrascht, für was unsere Kunden die Daten alles einsetzen. FIRM-Redaktion: Welche Rolle spielen in diesem Zuge neue Analyseverfahren, wie beispielsweise Predictive Analytics, um zu einer fortschrittlichen Risikomodellierung zu gelangen? Patrick Steinmetz: Der durch IT-Sicherheitsratings automatisiert erstellte, täglich aktualisierte und umfassende Blick von außen auf die Cyber-Sicherheit der eigenen Organisation oder die von beliebigen anderen Organisationen ist für alle unsere Kunden, insbesondere auch die Neukunden, ein enormer Schritt nach vorne. Sie werden tagesaktuell über ihr Risiko (oder das ihrer Lieferanten) gegenüber den neuesten Bedrohungen informiert.

RISIKO MANAGER

 

Copyright Risiko Manager © 2004-2017. All Rights Reserved.