Cyber Scoring setzt sich durch

Heiko Kropf, Geschäftsführer der CyDIS GmbH, erklärte der TREND-REPORT-Redaktion, warum sich Cyberscoring aktuell zu einem Standardmittel im B2B-Umfeld entwickelt.

Mit Cyber Scoring verhindern, dass der Geschäftspartner eine Lücke in die eigene IT-Sicherheit reißt.

Herr Kropf, was bedeutet heute Cyber-Scoring?
Cyber Scoring entwickelt sich aktuell zu einem Standard Mittel im B2B-Umfeld. Das Interesse die IT Risiken seines Geschäftspartners zu kennen nimmt stetig zu. Nicht nur Banken und Versicherungen haben das erkannt, auch immer mehr Industrieunternehmen erkennen diese Notwendigkeit.
Ihre eigene Sicherheit und Lieferfähigkeit hängt auch in großen Teilen von der IT Sicherheit ihrer Geschäftspartner ab. Der anhaltende Trend zu immer mehr Digitalisierung bringt höhere Integration und engere Zusammenarbeit – somit auch steigende IT Abhängigkeiten – mit sich.
Cyber Scorings bieten die Möglichkeit sich schnell, preiswert & fundiert ein entsprechendes Lagebild zu verschaffen.

Was genau wird im Kontext des IT-Securitymanagements überprüft?
Cyber Scorings stellen den aktuellen IST Zustand der IT Sicherheit übersichtlich dar und leiten hiervon individuelle Risiken ab. Wir überprüfen auf der Basis von öffentlich verfügbaren Informationen alle über das Internet erreichbaren Systeme eines Unternehmens und lehnen uns hierbei an die Standards vom BSI bzw. OWASP an.
Häufig treten hier IT Risiken und Probleme auf welche auf nicht funktionierende Prozesse innerhalb der Sicherheitsorganisation eines Unternehmens schließen lassen. So können Mängel im Patch- und Releasemanagement aufgezeigt und anschließend auch behoben werden.

Welche Wettbewerbsvorteile können Unternehmen generieren?
Natürlich nutzen viele Unternehmen Cyber Scoring zuerst für eine Art Selbstaudit. Cyber Scorings stellen ja unabhängig die externe Sicht auf das Unternehmen dar. Gerade bei großen Organisationen kann eine externe Sicht auf die Risiken helfen die notwendigen Maßnahmen zu erkennen oder zu priorisieren.
Der Haupteinsatzbereich ist Risikomanagement im Bereich Vendor- und Providermanagement. Wie identifiziert man die Lieferanten, bei denen das höchste Risiko besteht? Aktuell ist der Ausgangspunkt meist die Abhängigkeit vom Lieferanten, also „strategische Lieferanten“ oder umsatzstarke Lieferanten. Das Vorgehen spiegelt aber nicht das IT Risiko wieder! Auch Lieferanten mit wenig Umsatz können massive IT Risiken haben – und gerade in Zeiten von gemeinsamer Entwicklung und ausgelagerter Fertigung kann das zu großen Problemen führen

Wie sieht bisher das Cyber-Scoring bei Banken und Versicherungen aus, hier im Hinblick auf Cyber-Versicherungen?
Banken und Versicherungen haben ein hohes Interesse daran das Ihre Kunden eine sichere IT betreiben. Während Banken das Ausfallrisiko eines Kreditnehmers besser einschätzen können, können Versicherungen die Eintrittswahrscheinlichkeit eines Cyber Schadens besser beurteilen.
Zudem werden Cyber Scorings im Versicherungsumfeld auch als präventiver Produktmehrwert genutzt. D.h. Versicherungsnehmer können diesen Service freiwillig für sich in Anspruch nehmen um Ihren Standpunkt zu bestimmen und zu optimieren. Das führt zum einen zu besseren Versicherungsprodukten und zum andern zu höherer Sensibilisierung bei den Kunden – sprich am Ende zu sichereren Kunden.

Was hat es mit Ihrer White-Label-Strategie auf sich und für wen ist diese gedacht?
Bei uns bedeutet „White Label“ nicht nur ein „re-branding“. CyDIS Scorings können individuell an die spezifischen Bedürfnisse und Compliance Vorgaben von Unternehmen angepasst werden. Somit ist es in vielen Bereichen flexibel einsetzbar.
Der White Label Ansatz wird auf der einen Seite gerne von Unternehmen genutzt, welche dem Kunden die aktuellen Risiken aufzeigen und diese danach beheben wollen, also primär IT Systemhäuser oder Lösungspartner.
Auf der anderen Seite haben wir Kunden mit unterschiedlichen Compliance Vorgaben und Risikobeurteilungen. Um diesen Anforderungen gerecht zu werden kann unserer Scoring entsprechend angepasst werden. Sowohl die Inhalte, als auch der Umfang und auch die Risikobewertung sind hier individuell einstellbar. Diese Reports werden dann ebenso als „White-Label -Produkt“ genutzt.

Für welche Zielgruppen im Unternehmen ist CyDIS-Scoring gedacht?
CyDIS Scorings sind primär für Risiko- oder Compliance Manager interessant. Die Herausforderung für Unternehmen besteht darin ihre Geschäftspartner bzgl. deren IT Sicherheit zu beurteilen. Hierfür gibt es aktuell keine wirklich guten Ansätze. Fragebögen liefern meist nicht die gewünschte Qualität. Audits sind teuer und skalieren nicht und Zertifizierungen allein stellen nicht immer den gesamten Zustand dar.
Mit CyDIS Scorings können Risikomanager gezielt Risiken erkennen. Zudem bieten CyDIS Scoring die Möglichkeit die Lieferanten zu identifizieren bei welchen sich ein Audit rechnet.
Auch das Top-Management bedient sich gerne unserer Reports um eine – vor der eigenen IT unabhängige – Sicherheitseinschätzung zu bekommen.

Welche Expertise haben Sie, um Cyber-Reports qualifiziert zu generieren?
Wir sind als Team schon viele Jahre im IT Sicherheitsumfeld tätig und profitieren natürlich von den Erfahrungen gerade im Kontext „Abwehr von Hackerangriffen und Industriespionage“ sowie Penetrationstests. Während Penetrationstest einzelne Systeme sehr tiefgreifend analysieren geht Cyber Scoring einen anderen Ansatz. Wir analysieren sehr viele Systeme und Unternehmensdaten und bekommen damit eine umfangreiche Gesamteinschätzung des Sicherheitsbildes.
Die Herausforderung am Cyber Scoring ist weniger die Analyse der Systeme selbst, sehr viel anspruchsvoller ist die vollständige Automatisation des Vorgehens und die zielgruppengerechte Darstellung der Ergebnisse.

„In Zeiten von gemeinsamer Entwicklung und ausgelagerter Fertigung hängt die eigene Sicherheit von der IT-Sicherheit der Geschäftspartner ab“, betont Heiko Kropf.

Aus welchen Firmenzusammenschlüssen ist die CyDIS GmbH hervorgegangen?
Die CyDIS wurde 2017 als Joint Venture der IS4IT GmbH und der Corporate Trust Business Risk & Crisis Management GmbH gegründet. Beide Unternehmen bieten seit vielen Jahren Lösungen und Dienstleistungen im IT Sicherheitsumfeld an. Als mittelständische Unternehmen im IT Umfeld hatten auch sie die Herausforderung gute Mitarbeiter für das Thema IT Sicherheit zu finden.
Die Idee hinter der Gründung der CyDIS ist es qualitativ hochwertige, weitgehend automatisierte und bezahlbare Leistungen für die IT Sicherheit zu schaffen. Wir wollen das Thema „Industrialisierung in der IT Sicherheit“ weiter voranbringen und glauben, dass dies der richtige Ansatz ist um IT Sicherheit in Deutschland in Summe zu verbessern.

Weitere Informationen unter:
https://cydis.de/