Security Rating: hohes IT-Sicherheitsniveau als WettbewerbsvorteilGeschäftspartner als Schlupflöcher für Cyber-Kriminelle
30. Juli 2020Welche Faktoren sind für den Unternehmenserfolg von maßgeblicher Bedeutung? An erster Stelle wird in den meisten Fällen die Liquidität genannt. Möchte man sich dieser als Geschäftspartner sicher sein, wird in der Regel eine Bonitätsprüfung angeordnet. Was dabei nicht bedacht wird: Auch jedes noch so wirtschaftlich gut aufgestellte Unternehmen kann durch einen Cyber-Angriff innerhalb kürzester Zeit starke Liquiditätsprobleme bekommen oder sogar zahlungsunfähig werden. Dazu muss es nicht einmal direkt betroffen sein, denn auch eine unternehmerische Krise beim Geschäftspartner kann zu ausbleibenden Zahlungen, fehlenden Aufträgen oder Lücken in der Lieferkette führen. Angesichts der massiven Zunahme von Sicherheitsvorfällen ist es daher wichtig, den IT-Sicherheitsstatus des Partnerunternehmens einschätzen zu können.
Schäden, die durch Cyber-Angriffe hervorgerufen werden, sind mittlerweile für nahezu jedes Unternehmen eine elementare Bedrohung. Kleinste Lücken in der IT-Sicherheit können weitreichende und existenzgefährdende Folgen haben – von Datenverlusten bis zum Risiko des kompletten Betriebsausfalls. Hinzu kommen Reputationsschäden sowie rechtliche Konsequenzen.
Obwohl sogar 72 Prozent der Manager im Mittelstand das Risiko durch Cyber-Kriminalität für hoch halten, scheinen viele die Gefahren für ihr eigenes Unternehmen noch immer zu unterschätzen. Hier herrscht häufig die Meinung, ihr Unternehmen sei für Cyber-Kriminelle entweder zu klein oder nicht interessant genug. Dabei bedenken die Verantwortlichen jedoch meist nicht, dass nicht nur sie selbst, sondern auch ihre Geschäftspartner angegriffen werden können.
Bonitätsprüfung: IT-Sicherheit nicht vergessen
Unternehmen bewegen sich in einem Netzwerk aus Kunden, Lieferanten und finanzierenden Banken. Um beispielsweise in der Produktion den richtigen Partner zu finden, wird meist ein hoher Aufwand betrieben: Betriebswirtschaftliche Kennzahlen werden ausgetauscht und Wirtschaftsauskunfteien befragt, um die Bonität des Partners zu überprüfen.
Auch das Qualitätsmanagement spielt eine entscheidende Rolle, denn natürlich sollen die Produkte gleichbleibende Eigenschaften und Qualität aufweisen. Dies lässt sich durch eine entsprechende Zertifizierung, wie z.B. die ISO 9001, garantieren. Doch was nützen Bewertungskriterien, wie z.B. Bonitätsindex und Ausfallrisiko, wenn unerwartet IT-Systeme ausfallen und dadurch die Produktion für mehrere Stunden, Tage oder Wochen stillsteht?
Es gilt daher, auch den Bewertungsfaktor IT-Sicherheit bei der Evaluierung neuer Geschäftspartner mit in das Ergebnis einfließen zu lassen, um so eine objektive Bewertung des Unternehmensrisikos zu erreichen. Auf diese Weise können nicht nur Unternehmen ihre Partner in der Supply Chain besser einschätzen, sondern auch Banken und Versicherungen haben die Möglichkeit, gezieltere Bewertungen zu vorzunehmen.
Security-Bewertung als Erfolgsfaktor
Wie aber können Unternehmen den Grad ihrer IT-Sicherheit zuverlässig einstufen? Durch die massive Zunahme von Cyber-Angriffen auf Unternehmen müssen immer mehr Risikofaktoren berücksichtigt werden. Dazu zählen nicht nur technische, sondern auch organisatorische und menschliche Risikofaktoren. Als Konsequenz daraus können Unternehmen ihre Cyber-Risikolandschaft in der Regel nicht mehr selbst realistisch einstufen und valide bewerten.
Da insbesondere KMUs meist nicht über ein vollständiges Informationssicherheits-Managementsystem (ISMS) verfügen, welches auch ihre IT- und Informationssicherheit mit einbezieht, lässt sich eine entsprechende und vollständige Bewertung des aktuellen Sicherheitsniveaus nur schwer realisieren. An dieser Stelle unterstützen einheitliche Security Rating Tools, mit denen eine unabhängige Prüfung und Bewertung vorgenommen wird.
Mit einer validen IT-Sicherheitsbewertung lassen sich Cyber-Risiken des entsprechenden Unternehmens identifizieren und analysieren. Anschließend erfolgt mit der Vergabe eines sogenannten Risk Score eine objektive und transparente Einstufung des aktuellen IT-Sicherheitsniveaus des jeweiligen Unternehmens. Daraus lassen sich spezifische Maßnahmen – technisch sowie organisatorisch – ableiten, und die Risiken werden so kontinuierlich reduziert.
Die Ergebnisse eines solchen Cyber Security Rating sollten sowohl in die Evaluierung und Vertragserstellung mit neuen Partnern als auch in die Bewertung von Cyber-Versicherungen einfließen, da sie die Ist-Situation des IT-Sicherheitsniveaus in ihre Kalkulation einfließen lassen. Mit zunehmenden Sicherheitsvorfällen steigt auch die Abschlussquote von Cyber-Versicherungen kontinuierlich an. Ein hohes Schutzniveau von Unternehmen hat einen entsprechend niedrigeren Versicherungsbeitrag zur Folge. Eine valide IT-Sicherheitsbewertung kann sich also aus mehreren Gründen langfristig auf den Unternehmenserfolg auswirken:
- Firmeninhaber und Manager, aber auch Geschäftspartner und potentielle Kunden erhalten ein reales Bild über das IT-Sicherheitsniveau des Unternehmens.
- Sicherheitsbezogene Geschäftsrisiken werden identifiziert und können durch das Ergreifen entsprechender Maßnahmen kontinuierlich reduziert werden.
- Die Unternehmenssicherheit als Ganzes nimmt zu und lässt sich idealerweise durch regelmäßige IT-Sicherheitsbewertungen kontrollieren und verbessern.
- Managemententscheidungen, z.B. Investitionen in Infrastruktur und Kooperationen, werden valide abgesichert.
Die Einhaltung entsprechender gesetzlicher Bestimmungen (z.B. aus dem IT-Sicherheitsgesetz oder der EU-DSGVO) ist gewährleistet.
Vorgehensweise eines Security Rating
Inzwischen gibt es benutzerfreundliche Tools, mit denen sich das Sicherheitsniveau objektiv bewerten lässt. Dabei werden verschiedene Vorgehensweisen genutzt. Das Rating Tool Ratingcy setzt beispielsweise ein zweistufiges Verfahren ein, um ein einheitliches und vergleichbares Cyber Security Rating zu erstellen.
Im ersten Schritt findet eine technische IT-Sicherheitsüberprüfung statt, in der alle vom Internet zugänglichen Dienste des Unternehmens vollautomatisch auf vorhandene Sicherheitslücken untersucht werden. Aus allen gefundenen Schwachstellen wird am Ende automatisiert ein Risk Score erstellt.
Der zweite Teil der Sicherheitsbewertung beinhaltet einen organisatorischen Fragebogen, der an die Vorgaben des IT-Grundschutzes sowie an die ISO-Norm 27001/2 angelehnt ist. Dabei geht es mit einfach zu beantwortenden Ja-Nein-Fragen unter anderem um die organisatorische Bewertung von implementierten Geschäfts- und IT-Sicherheitsprozessen.
Die beiden Teilergebnisse werden miteinander verrechnet. Als finales Ergebnis erhalten die Kunden unter anderem einen Risk Score sowie ein Ergebnisdiagramm, aus dem der Wert der IT-Sicherheit des Unternehmens im Vergleich zum Branchendurchschnitt abgelesen werden kann. Da insbesondere auch fachfremde Personen mit den Ergebnissen arbeiten müssen, lassen sich diese einfach auslesen und daraus konkrete Empfehlungen zur Verbesserung des IT-Sicherheitsniveaus ableiten.
Evaluierung der Partner gefordert
Nicht nur das eigene Unternehmen, sondern auch Geschäftspartner können von einem Cyber-Angriff betroffen sein. Ist dies der Fall, würde dies auch die eigene Liquidität gefährden – durch ausbleibende Zahlungen, fehlende Aufträge oder Lücken in der Lieferkette. Angesichts der massiven Zunahme von Cyber-Attacken sollte daher bei der Evaluierung neuer Partner und der Bewertung von Bestandspartnern immer auch der jeweilige IT-Sicherheitsstandard überprüft werden.
Auch wenn eine hundertprozentige Sicherheit nie sichergestellt sein wird, lässt sich durch eine unabhängige Prüfung und Bewertung gewährleisten, dass jeder Partner ein angemessenes Sicherheitsniveau nachweisen kann. Durch ein valides Security Rating lassen sich Cyber-Risiken identifizieren sowie analysieren. Somit wird eine objektive und transparente Einstufung des aktuellen IT-Sicherheitsniveaus von Unternehmen erreicht. Ein hohes Sicherheitsniveau wirkt sich daher langfristig auf den Unternehmenswert aus und schützt vor Gefahren sowie vor finanziellem Schaden – damit ein Hackerangriff nicht an die Unternehmensexistenz geht.
Marcus Henschel ist Geschäftsführer von Allgeier CORE.