Das Jahr neigt sich dem Ende zu. Die Weihnachtsmärkte öffnen ihre Pforten, die Budgets der Sicherheits- und Risikoverantwortlichen sind ausgeschöpft und, der Wunschzettel an Mitteln fürs kommende Jahr schon wieder eingereicht. Die dunklen Dezembertage läuten eine ruhige Zeit ein und geben uns so die Möglichkeit der Einkehr, der Rekapitulation. Einen Moment der Stille für uns, in dem wir Resümee und Lernkurve zugleich ziehen können. Und da stellt sich uns doch vor allem erstmal die Frage: 2023: Hat´s Ihnen gefallen? Gab es Sekt oder eher Selters?
Werfen wir einen Blick auf die Beiträge des Jahres, zeigt sich ein gewohntes Bild. Im Januar geht’s los, voller Tatendrang. Leitfäden und Strategiepläne werden erstellt, Maßnahmen für ganzheitliches Security-Management definiert, abgeleitet, priorisiert und geplant. Investitionsoptimierung wird betrieben.
Ein wichtiger Meilenstein des Jahres war der Mai 2023. Das BSI fordert, dass in Bezug auf Anomalieerkennung überall KRITIS drin ist, wo auch KRITIS draufsteht. Die Einführung UND Auditierung der Anomalieerkennung bei KRITIS-Betreibern war im Grunde geprägt durch das Unternehmen und den bisherigen Vorbereitungen. Da gab es sehr erfreuliche Perspektiven bei den Kunden, die bereits heute etablierte Prozesse und Technologien im Risikomanagement und zur Prävention einsetzen. Dort war die Einführung der Anomalieerkennung (wenn nicht bereits vorhanden), der nächste logische Schritt. Leider war das eher selten so. Denn gerade die kleineren Unternehmen, mit weniger Spiel-Budget bei gleicher Bedrohungslage und gleichen regulatorischen Anforderungen, tun sich da naturgemäß viel schwerer.
Begleitend zur Regulatorik rund um BSI-G darf auch NIS-2 nicht unerwähnt bleiben. Unter dem Oberbegriff “die Schaffung einer Kultur der Cybersicherheit” zielt man auf umfassendes IT-Security-Management und Standards ab, von Geltungsbereich über Sicherheitsvorschriften und Anforderungen bis hin zur Kommunikation nebst Förderung der Zusammenarbeit und Anpassungsfähigkeit auf neue Risiken. Bei all der Regulatorik und priorisierten Sicherheitsmaßnahmen durfte auch Methodik und praktische Anwendung nicht fehlen.
Auf dem Weg zum ganzheitlichen Risiko-Management mittels Digitalem Zwilling, nicht nur auf technologischer Ebene (IT, OT, Cloud), sondern auch im Kontext der (baulichen) Infrastruktur, Prozesse und Rollen, haben wir vorgelebt und gedacht, was Nutzen stiftet. Das Aufbrechen von Datensilos und damit einhergehend die Überführung aller wichtigen Informationen für ganzheitliches Risikomanagement in einen digitalen Zwilling, bildet(e) dabei immer die Grundlage des Schaffens.
Die effiziente Modellierung, beispielsweise auch von alternativen Szenarien zur Budgetoptimierung oder Erhöhung des Sicherheitsgrades, wurde durch Bibliotheken positiv verstärkt.
Wie der Digitale Zwilling den Kontext visualisiert, visualisiert der Angriffsbaum potenzielle Risiken. Die Risikoableitung auf Basis des Zwillings zeigt auf, welche potenziellen Risiken auf die Geschäftsprozesse wirken und mit welchen Konsequenzen zu rechnen ist. Unser Credo; nicht Schwachstellen zählen, sondern über die Auswirkung einer Schwachstelle effizientes Handeln priorisieren!
Das Arbeiten mit Digitalem Zwilling, Angriffsbaum und etablierten Strukturen, die vergleichbare und fortschreibbare Datenlage bedeuten, schafft ein belastbares, sozusagen resilientes, Risikomanagement.
Methodik, die es in Zeiten von Fachkräftemangel und etlichen – leider zu oft – erfolgreichen Cyber-Angriffen dringend braucht. Ein Grund mehr, warum wir diese Methodik immer auch im Kontext der Effizienzsteigerung mittels maschinellem Lernen vordenken.
Im Oktober 2023 folgt dann das obligatorische Klassentreffen in Nürnberg. Die it-sa öffnet aufs Neue Ihre Pforten. Die wenigen verbleibenden Vor-Ort-Veranstaltungen sind ein wichtiger Mosaikstein des Austauschs und des Miteinanders, nicht nur mit Interessenten und Kunden, sondern auch mit unseren Partnern. Wir bedanken uns an dieser Stelle noch einmal sehr herzlich für die konstruktiven Gespräche und die zahlreichen Impulse und Erfahrungen aus Anwendersicht.
Ein weiteres (Cyber-Erfahrungs-)Jahr ist fast zu Ende und das Grundbild der Security der letzten Jahre hat sich trotzdem kaum verändert. Mehr Digitalisierung und Transformation schaffen höhere Komplexität und gewollte Vernetzung. Mehr Regulatorik unternimmt den Versuch der Standardisierung, als ernstgemeinte Hilfestellung, aus Überzeugung, dass uns diese Maßnahmen in der Informations-Sicherheit, in der Compliance, im Risiko- und Security-Management vorantreiben. Dem entgegen stehen fehlende Hände, volle Schreibtische, wenig oder falsche Mittel/Investitionen. Der Trend für 2024 fortfolgend zeichnet sich deshalb bereits ab. Effizienzsteigerung, Standardisierung, Nähe zu Normen und Best Practises und nicht zuletzt auch Technologien wie maschinelles Lernen.
Auf die begründete Gefahr, dass uns diese Themen noch eine Weile beschäftigen werden und 2024 sich im kommenden Dezember ähnlich anfühlt, wünschen wir allen (Sparrings-)Partnern, Kunden und Interessenten, eine ruhige Phase. Zeit für Rekapitulation aber vor allem, um neue Kraft zu tanken. Kraft, die wir auf unserer Mission “mehr Sicherheit!” auf jeden Fall gebrauchen werden.