Gütersloh, 28.08.2017

IT-Sicherheit messbar gemacht

Themenbereich: Medien & Services
Land: Deutschland
Kategorie: Projekt

Auskünfte über die Finanzkraft eines Geschäftspartners holen sich Unternehmen schon lange ein; unabhängige Ratingagenturen wie Moody‘s oder Standard & Poor’s machen dies möglich. Genauso normal wird es in Zukunft sein, sich vor Vertragsabschluss über die IT-Sicherheit eines Geschäftspartners zu informieren. Denn aufgrund der sich wandelnden, digitalen Geschäfte werden auch immer größere Datenmengen zwischen den Unternehmen ausgetauscht und übergreifend verarbeitet. Neben einer guten Bonität spielt es daher eine immer wichtigere Rolle, wie gewissenhaft sich Unternehmen gegen Cyber-Risiken absichern. Durch die Zusammenarbeit mit dem US-amerikanischen Start-up Bitsight Technologies geht die Corporate IT von Bertelsmann in diesem Gebiet neue Wege.

„Vor ungefähr einem Jahr sind wir mit der Vision gestartet, Cyber-Risiken unserer Geschäftsbereiche messbar und vergleichbar zu machen“, sagt Carsten Bittner, Senior Vice President und Chief Information Security Officer bei Bertelsmann. „Hierzu haben wir unter anderem den fachlichen Austausch mit Versicherungsunternehmen gesucht, die Cyber-Risiken versichern und somit zwangsläufig auch bewerten müssen“, so Bittner weiter.

20 verschiedene Einflussfaktoren

Mit der Frage, wie IT-Sicherheit vergleichbar und unabhängig, also durch externe Partner, messbar gemacht werden kann, beschäftigen sich auch verschiedene Start-up-Unternehmen. Diese sammeln öffentlich sichtbare Informationen aus dem Internetverkehr und bewerten, wie konsequent IT-Sicherheitsmaßnahmen, beispielsweise im E-Mail-Umfeld, implementiert wurden. Darüber hinaus wird erkannt, ob und welche Infektionen von Systemen vorliegen. Diese Verfahren basieren auf modernsten „Big Data“-Analyseverfahren. „Die bis zu 20 verschiedenen gemessenen Einflussfaktoren werden je nach Bedeutung für die IT-Sicherheit unterschiedlich gewichtet, mittels eines mathematischen Algorithmusʼ normalisiert und zu einem ‚Cyber Security Rating‘, vergleichbar mit einem Kreditrating, verdichtet“, sagt Elke Focken, Senior Director Performance Measurement in der Bertelsmann Corporate IT. „Da die ‚Cyber Security Ratings‘ auf öffentlich verfügbaren Informationen basieren, werden diese ohne Mitwirkung des zu bewertenden Unternehmens durchgeführt und am Markt angeboten.“

Bereits vor einem Jahr ist Bertelsmann eine Partnerschaft mit dem Start-up Bitsight Technologies eingegangen, das solche „Standard Cyber Security Ratings“ anbietet. Bitsight hat seinen Sitz in Cambridge im US-Bundesstaat Massachusetts nahe der Harvard Universität und des Massachusetts Institute of Technology (MIT). „Durch den Bitsight-Service haben wir erstmals ein Instrument, mit dem wir die Wirksamkeit und kontinuierliche Verbesserung unserer Sicherheitsmaßnahmen objektiv messen und sichtbar machen können“, so Carsten Bittner. „Darüber hinaus etablieren sich ‚Cyber Security Ratings‘ zunehmend als unabhängige Benchmarking-Quellen, auf die bereits heute aktuelle und potenzielle Kunden, aber auch Konkurrenten und Cyber-Versicherer zugreifen.“ „Um mit unseren Geschäften auch mit Blick auf IT-Sicherheit konkurrenzfähig zu bleiben, müssen wir uns daher zunehmend mit dem Management dieser Ratings auseinandersetzen“, ergänzt Elke Focken.

Sicherheitslücken erkennen

Bitsight stellt in einem webbasierten Portal neben den „Cyber Security Ratings“ auch Informationen zu den jeweiligen Einflussfaktoren und Hinweise zur Verbesserung des eigenen Sicherheitsstatus zur Verfügung. Sicherheitslücken können somit erkannt und schnell geschlossen werden. Über sogenannte „Infection Alerts“ informiert Bitsight darüber hinaus in Echtzeit über identifizierte Infektionen internetfähiger Systeme im Unternehmen.

Bereits heute haben alle Bertelsmann-Unternehmensbereiche Zugriff auf ihre individuellen Ratings sowie die dahinterliegenden Detailinformationen. Im Juni dieses Jahres wurde nach einem erfolgreichen ersten Jahr ein weitreichender Partnerschaftsvertrag mit Bitsight Technologies abgeschlossen. „Somit können unsere Unternehmensbereiche eigenständig mit den Bitsight-Services arbeiten und die IT-Sicherheit optimieren. Darüber hinaus besteht jetzt die Möglichkeit, auch Ratings von aktuellen oder potenziellen Lieferanten sowie von Konkurrenten und möglichen M&A-Targets zu beobachten“, erläutert Elke Focken.

Bertelsmann Cyber Security Program

„Wir freuen uns sehr, dass wir die Zusammenarbeit mit Bertelsmann fortführen werden“, so Stephen Boyer, Co-Founder & CTO von Bitsight Technologies. „Unsere Partnerschaft ist für uns von besonderer Bedeutung, da Bertelsmann ein führendes deutsches Unternehmen ist. Bertelsmann befasst sich bereits seit langem intensiv mit dem Thema Cyber Security. Durch den Austausch mit ihren Experten lernen auch wir und können so unsere Services weiter verbessern.“

„Bitsight Technologies passt hervorragend zu dem von uns aufgesetzten Bertelsmann Cyber Security Programm. Es ergänzt unsere Basis, das Information Security Management System (ISMS), sowie unsere Aktivitäten im Bereich der Cyber Defense Technologien um eine weitere wichtige Komponente – die objektive Security Performance-Messung“, betont Bertelsmann-CISO Carsten Bittner und ergänzt: „Es ist damit zu rechnen, dass sich ‚Cyber Security Ratings‘ zukünftig weiter etablieren werden und Kunden ein bestimmtes Sicherheitsniveau, gemessen am Rating, von ihren Lieferanten einfordern werden. Auch die Versicherungsunternehmen, mit denen wir uns zum Thema Cyber-Risikobewertung ausgetauscht haben, lassen die Ratings zunehmend in ihre Preisgestaltung einfließen. Mit der Entscheidung, uns frühzeitig mit ‚Cyber Security Ratings‘ zu beschäftigen, sind wir aktuell also sehr gut aufgestellt und nun in der Lage, alle Unternehmensbereiche gezielt zu unterstützen und die IT-Sicherheit zu verbessern.“