CyberCompare

Effektives Informationssicherheitsmanagement mit Tool-Unterstützung

Grundlagen

Die steigende Anzahl an möglichen Bedrohungsszenarien (Risiko), der zunehmende Umfang an Regulierungen sowie drohende Strafzahlungen (externe Anforderungen/Compliance) und die in vielen Unternehmen enger werdenden Vorgaben für die Unternehmenssteuerung (interne Auflagen/Governance) bringen viele Unternehmen in die Situation Prozesse, Strategien und Mitarbeiter nicht mehr kohärent steuern zu können.

Um Risiken zu reduzieren, muss ein Informationssicherheitsmanagementsystem (ISMS) aufgebaut werden. Ein ISMS ist ein systematischer Ansatz bestehend aus Richtlinien, Verfahren und Kontrollen, die darauf ausgelegt sind, die drei Ziele (Vertraulichkeit, Verfügbarkeit, Integrität) der Informationssicherheit zu erfüllen. Welche Schritte notwendig sind, um ein ISMS aufzubauen, ergibt sich aus verschiedenen Sicherheitsstandards mit unterschiedlichen Umsetzungsansätzen – das Ergreifen von technischen, organisatorischen und personellen Sicherheitsmaßnahmen wird aber immer vorausgesetzt.

Die Umsetzung des ISMS erfolgt durch das Team um den Chief Information Security Officer (CISO), welcher die Gesamtverantwortung für die Informationssicherheit seiner Organisation trägt. Zu seinen Aufgaben gehören u.a. die Überwachung der Infrastruktur, die kontinuierliche Prüfung der Richtlinien und Kontrollen sowie die Ausarbeitung eines Reaktionsplans für Sicherheitsvorfälle.

Herausforderungen

Neben den Herausforderungen der Umsetzung des ISMS, haben 2/3 der Unternehmen Schwierigkeiten geeignetes Cyber-Personal zu finden. Einen CISO beschäftigen nur die Hälfte der mittelständischen Unternehmen. Hinzu kommt, dass der Bereich OT-Sicherheit unterrepräsentiert ist, da nur knapp 1% der zertifizierten Cyber-Sicherheitsexperten sich auf diesen Bereich spezialisiert haben.

Durch die zahlreichen Herausforderungen erhöhen sich die Pflichten und Zuständigkeitsbereiche der Sicherheitsteams. Das erschwert u.a. das systematische Management von IT-Risiken und Informationssicherheit im Unternehmen. Die Implementierung eines Informationssicherheitsmanagementsystem (ISMS) nach ISO 27001 oder Etablierung der IEC 62443 für die Produktion (OT) kann dauerhaft die Informationssicherheit steuern und verbessern.

Um diesen Herausforderungen zu begegnen, beleuchten wir in unserer jüngsten Marktstudie Lösungen, die helfen Prozesse, Mitarbeiter und Vorgaben zu managen und somit einen substantiellen Teil u.a. zur Cyber-Sicherheit beitragen. Wir haben dabei etablierte Spieler und Newcomer unter die Lupe genommen und können feststellen, eine gute, moderne GRC/ITRM-Lösung muss nicht teuer sein.

Unser Vorgehen

Wir haben unseren Marktübersicht dabei in drei Schritte aufgeteilt: Anbieteridentifizierung, Vorfilterung und Identifikation empfehlenswerter Lösungen.

Der Markt für tool-gestützte GRC/ITRM-Lösungen ist umfangreich und wächst stetig weiter. Wir haben uns deswegen über die Sichtung etlicher Research Reports, die Befragung anerkannter Experten und natürlich über das CyberCompare Netzwerk einen Überblick über das aktuelle Anbieterumfeld verschafft. Nach einer sorgfältigen Expertenbasierten Vorfilterung haben wir 8 Anbieter genauer in den Blick genommen. Unter diesen sind sowohl spezialisierte Anbieter und innovative Startups als auch etablierte globale Marktführer.

Mit Hilfe unserer CyberCompare-Analyse bestehend aus 7 Bewertungskriterien haben wir die 8 Anbieter in der engeren Auswahl über Anfragen, Demos und Expertenbefragungen analysiert und bewertet. Jedes Unternehmen sollte sich demnach eingangs der Frage stellen, welche Regularien und Standards die Plattform bereits standardmäßig unterstützt. In den meisten Fällen bieten die Software-Lösungen zwar die Möglichkeit Standards selbst oder über eine IT-Beratung zu erstellen, dies ist jedoch in den meisten Fällen mit erheblichen finanziellen Mehraufwendungen verbunden. Sobald die „Ausschluss“-Kriterien geklärt sind, kann die eigentliche Funktionalität bewertet werden.

Die Anbieter unterscheiden sich dabei im Wesentlichen über ihre „Workflow-Funktionalitäten“, die vorkonfigurierten „Management-Dashboards“, ihre Benutzerfreundlichkeit (UI & UX) sowie die „Einfachheit der Integration“ bzw. des Setups der Systeme. In unserem Vergleich haben sich gerade bei diesen Nutzbarkeitsfaktoren relevante Unterschiede der Testteilnehmer ergeben. Ein häufig von befragten Kunden genannter Kaufgrund für GRC/ITRM-Lösungen sind die angegeben Referenzen. Sie geben Nutzern eine Indikation, wie wahrscheinlich es ist, dass der Einsatz der Software auch im eigenen Unternehmen erfolgreich verläuft.

Auch wenn relevante Referenzen sicherlich ein Entscheidungskriterium darstellen können, nutzen wir bei CyberCompare diese im Wesentlichen dazu, neuartige und weniger etablierte Lösungen von reiferen Angeboten zu unterscheiden. Die Reife des Unternehmens muss damit nicht immer mit der Ausgereiftheit der Lösung korrelieren. Abschließend bleibt als Kriterium noch das richtige Preis-Leistungs-Verhältnis. In diesem Kriterium lässt sich leider keine eindeutige Antwort geben, da die Preisgestaltungsmodelle der Anbieter meist sehr unterschiedlich funktionieren (Nutzer-basiert vs. Flat Rate und jährliches Abo vs. Einmal-Kauf). Hier ist für jedes Unternehmen also ein individuelles Assessment notwendig.

Zusammenfassung

Sowohl in mittelständischen Unternehmen mit wenig Ressourcen für Cybersecurity, als auch in Großunternehmen können GRC/ITRM-Lösungen dazu beitragen, den Reifegrad erheblich zu erhöhen. Die Lösungen eignen sich, um Informationssicherheit effizient und strukturiert in Unternehmen anzuwenden, bspw. Roadmap-Implementierung, Delegation der Anforderungen an IT und Geschäftsbereiche, Zertifizierungsvorbereitung, Berichterstattung an die Geschäftsführung mit Top-Risiken. Der Markt an Anbietern ist umfangreich und das passende Angebot sollte für jedes Unternehmen individuell geprüft werden. Sprechen Sie uns dazu gerne per Mail (Mail an uns) oder per Telefon (+49 711 811-91494) an, wir stellen Ihnen gerne eine umfangreiche Analyse unserer Ergebnisse individuell zur Verfügung.