The Dept. of Know Live!: Daniel Miessler erklärt, was Sie beim Aufbau eines Asset-Management-Programms beachten sollten

Wir können nur das schützen, von dem wir auch wissen, dass es existiert Dies gilt grundsätzlich auch für das Thema Security. Trotzdem besitzen viel zu viele Unternehmen noch immer keine solide Strategie oder kein System, um eine umfassende Bestandsaufnahme ihrer Assets in Echtzeit durchzuführen. 

Vergangene Woche durfte ich in der letzten Ausgabe von The Dept. of Know Live! mit Kelly Shortridge und Bea Hughes darüber sprechen, warum Asset Management in der Security eine wichtige Rolle spielt und wie Unternehmen ihren diesbezüglichen Ansatz verbessern können. Hier finden Sie eine Aufzeichnung des Gesprächs. Die wichtigsten Punkte habe ich im Folgenden für Sie zusammengefasst.  

1. Suchen Sie nicht nach Perfektion 

So wichtig das Asset Management auch ist, so aussichtslos ist dabei das Streben nach Perfektion. Assets (und die damit verbundenen Informationen) entwickeln sich ständig weiter. Eine hundertprozentig korrekte Bestandsaufnahme ist also unrealistisch. Ich betrachte Security-Programme vielmehr als Fragenkatalog, der Ihnen helfen kann, eine akzeptable Lösung zu finden. Beispiele:

  • Welche Szenarien könnten uns unmittelbar zum Verhängnis werden? 

  • Welche unserer Assets sind den Gefahren des Internets ausgesetzt? Welche unserer Assets sind den Gefahren des Internets ausgesetzt und besonders anfällig? 

  • Sind irgendwelche unserer Assets veraltet? Welche unserer Assets sind bereits am Ende ihrer Lebensdauer angelangt?

Wenn Sie diese Fragen nicht beantworten können, werden Sie sich schwer tun, auf Sicherheitsvorfälle zu reagieren, und steuern direkt auf eine Katastrophe zu. Angenommen, Sie müssen bei einem Sicherheitsvorfall plötzlich sämtliche Instanzen einer Web-App identifizieren, die Python verwenden. Ohne Antworten auf diese Fragen geraten Sie dabei unweigerlich ins Straucheln. Wenn Sie aber ein funktionierendes Asset Management haben, hilft eine einfache Query, da Sie sich Fragen wie oben ja bereits gestellt und beantwortet haben.  

2. Vergessen Sie nicht Ihre Zielgruppe, wenn Sie Probleme ans Tageslicht bringen

Wie bereits von Ellen Körbes bei The Dept. of Know Live! erörtert, kommen Sie nicht weiter, wenn Sie sich keine Gedanken über die Prioritäten und Erwartungen Ihres Publikums machen. Überlegen Sie sich, welche Botschaften Sie übermitteln wollen und wie Sie den Informationsfluss und -umfang steuern wollen. Wenn Sie wissen, dass die Aufmerksamkeitsspanne Ihres Entwickler- oder Engineering-Teams für Security-Themen eher kurz ist, sollten Sie nur das kommunizieren, was für das Unternehmen am wichtigsten ist. Wenn Sie dem Team jedes einzelne Problem aufbürden, fühlt es sich unter Umständen hilflos und überfordert und kümmert sich irgendwann nicht mehr um Security-Fragen. 

Eine weitere Möglichkeit besteht darin, ein Dashboard zu erstellen, das Mitarbeitern den Gefährdungskontext ihrer jeweiligen Rolle aufzeigt. Als Führungsperson loggen Sie sich dort einfach ein, um sich einen Überblick über sämtliche Sicherheitslücken zu verschaffen, die Sie und Ihr Entwicklerteam betreffen. Developer sehen jeweils nur diejenigen Schwachstellen, für die sie verantwortlich sind.

3. Für ein funktionierendes Asset Management brauchen Sie die Führungsebene auf Ihrer Seite 

Der Aufbau eines soliden Asset-Management-Programms erfordert die Unterstützung durch Führungskräfte und die Geschäftsleitung. Diese Unterstützung basiert allerdings oft eher auf emotionalen als auf rationalen Faktoren. Die Hoffnung besteht darin, dass unter den Personen, die für die Risikoprüfung zuständig sind, genügend Leute sind, die die schmerzhafte Erfahrung gemacht haben, Schwachstellen zu beseitigen, ohne das Ausmaß ihrer Auswirkungen richtig einschätzen zu können, und die bereit sind, etwas zu unternehmen, um diese Schmerzen in Zukunft zu vermeiden. Wenn Sie auf einen bestimmten Vorfall verweisen und aufzeigen können, wie vier ganze Arbeitstage ins Land gingen, um sämtliche Instanzen einer Schwachstelle zu finden, statt in nur 30 Sekunden eine Abfrage durchzuführen, wird das Problem greifbarer. 

4. Asset Management könnte sich zum Schlüsselfaktor bei Cyber-Versicherungen entwickeln

Cyber-Versicherungen werden meines Erachtens künftig einen Anreiz bieten, in Asset Management zu investieren. Ich könnte mir vorstellen, dass Wirtschaftsprüfer und Versicherer sich bei der Beurteilung der Reife und Stabilität eines Unternehmens an diesem System orientieren werden. Wenn Sie keine dedizierten Asset Owner oder keine Liste aller über das Internet zugänglichen Assets haben, könnte für Versicherungsgesellschaften ein Signal für höhere Prämien sein. Schließlich ist die Wahrscheinlichkeit, dass Sie kompromittiert werden, höher als bei Unternehmen, die ihr Asset Management im Griff haben.

Zusammenfassung 

Je mehr Sie über Ihre Assets wissen, desto besser ist Ihre Sicherheitslage. Die Bedeutung des Asset Managements wird oft erst erkannt, wenn ein Sicherheitsvorfall eintritt und Sie nicht selbstbewusst darauf reagieren können, weil Sie nicht wissen, welche Assets davon betroffen sein könnten. Ohne dieses Wissen ist es unmöglich, ein proaktives statt reaktives Sicherheitsprogramm auf die Beine zu stellen. 

Das vollständige Gespräch ist auch on-demand verfügbar. Alle weiteren Episoden finden Sie hier. Die fünf Ausgaben von The Dept. of Know Live! stehen auch weiterhin on-demand zum Abruf bereit. Sie können sich das, was Ihnen am besten gefallen hat, also auch mehrmals ansehen.  

Daniel Miessler
Founder, Unsupervised Learning
Veröffentlicht am

Lesedauer: 3 Min.

Sie möchten sich mit einem Experten austauschen?
Sprechen Sie mit einem Experten
Diesen Beitrag teilen

Daniel is an information security leader, writer, and active programmer who combines technical problem-solving with first principles thinking to solve business, security, and technology problems for the world's top companies. Prior to running Vulnerability Management and AppSec at a large financial services company, he ran the Business Intelligence team for Apple Information Security. He has served as a full-authority virtual CISO, technical consultant, and IoT leader. He also founded Unsupervised Learning, a networking community for people interested in security, technology, and society. His life purpose is to model human flourishing and to develop frameworks for increasing it.