Bitsight IT-Sicherheitsratings: Cybersecurity-Performance eigener und dritter IT-Systeme überwachen

IT-Verantwortliche müssen wissen, wie gut die IT-Sicherheit ihrer Bank oder des Versicherers ist. Zudem müssen sie auf Vorstandsniveau verständlich über die IT-Sicherheitslage informieren, Budget einwerben, Vergleiche mit anderen Branchenmitgliedern anstellen, die Effizienz der Ausgaben für IT-Sicherheit messen und die IT-Sicherheit ihrer Dienstleister, Partner und Drittanbieter valide einschätzen. Bitsight will nun mit IT-Sicherheitsratings helfen, die es als kostenpflichtigen Abonnementdienst (Software as a Service, SaaS) anbietet.

Herkömmliche Methoden zur Untersuchung der IT-Sicherheit (von sich selbst und von Dritten) wie Checklisten, Audits, Zertifizierungen, Penetration-Tests und Vulnerability Scans eignen sich laut Bitsight kaum dafür, die eigene IT-Sicherheit konkret einzuschätzen. Um das zu tun, testet das Unternehmen – nach eigenen Angaben – weltweit über 135.000 Unternehmen täglich in Bezug auf ihre IT-Sicherheit – selbst wenn sie keine Kunden sind. Die Ratings werden täglich aktualisiert und beziehen die letzten 12 Monate mit ein.

BitSight biete so einen tagesaktuellen und 12-monatigen historischen Überblick über die Cyber-Sicherheitsleistung eines Unternehmens. Der Prozess der Ratingvergabe läuft hochautomatisiert und in Echtzeit ab. Anhand umfassender, extern verfügbarer Daten erstellt der Algorithmus das Rating, das die IT-Sicherheit einer Organisation (und eventuellen Tochterfirmen) in einer Zahl zwischen 250 bis 900 ausdrückt. Je höher das Rating, desto besser ist die IT-Sicherheit.

Bitsight: “Wie Kreditrating für IT-Sicherheit”

Diese Herangehensweise sei vergleichbar mit Credit Ratings und ebenso standardisiert. Laut BitSight basiere das Rating auf zuverlässigen Daten, die “öffentlich zugänglich” sind, d. h. sie werden nicht von innerhalb der zu bewertenden Unternehmen bezogen. Das Unternehmen sammelt seine Daten bei mehr als 120 Datenquellen von Anbietern von Sicherheitsdienstleistungen und Partnerschaften mit weltweit aktiven Unternehmen. Das umfasst eine Vielzahl von Quellen wie Botnet, Spam, Nutzerverhalten, Newsfeed und Social Media. Bevor eine Quelle in das Rating aufgenommen wird, werde sie einer sorgfältigen Überprüfung und Genauigkeitsüberwachung unterzogen.

BitSight ordnet anhand von IP-Adressen die Daten einzelnen Organisationen zu und analysiert die Daten anschließend auf 23 verschiedene Risikofaktoren hin, die in vier breit gefasste Kategorien: kompromittierte Systeme, IT-Sicherheitssorgfalt, Nutzerverhalten und Veröffentlichungen zu Datenschutzverletzungen:

1. „Kompromittierte Systeme“ umfasst Risikofaktoren wie Botnet-Infektionen, unerwünschte Kommunikation mit Malware-Servern oder Spam-Ausbreitung. Das macht mit 55 % den größten Teil des Ratings aus. BitSight erfasst diese Risikofaktoren mit Hilfe seiner Tochterfirma AnubisNetworks. AnubisNetworks betreibt laut eigenen Angaben eine der größten Sinkhole Infrastrukturen weltweit.

2. Die IT-Sicherheitssorgfaltsreports enthalten Informationen über die Maßnahmen, die ein Unternehmen zur Verhinderung von Angriffen ergriffen hat. Die Risikovektoren hier werden beispielsweise durch die Beobachtung offener Ports, Web Application Header und TLS/SSL-Zertifikate und -Konfiguration identifiziert.

3. Ein weiteres Risiko ist das Nutzerverhalten, d. h. jedes mögliche Risiko, das mit dem Verhalten von Nutzern in Unternehmensnetzen verbunden ist. Ein Beispiel für gefährliches Nutzerverhalten ist Peer-to-Peer Filesharing. Dabei laden Nutzer Dateien, oft unter Verstoß gegen Urheberrechtsgesetze, herunter und öffnen sie eventuell sogar. Sind diese Dateien mit Schadsoftware infiziert, kann die Malware das Unternehmensnetzwerk infiltrieren.

4. Informationen über der Öffentlichkeit gemeldete Verstöße bezieht das Unternehmen von Nachrichtenquellen und verfügt zudem über eine eigene Datenbank, in der öffentlich bekannte Datenschutzverletzungen erfasst sind. Dazu gehören Informationen über Datenverlust bei Diebstahl aufgrund erfolgreicher Angriffe, Mitarbeiternachlässigkeit oder Hardwarediebstahl.

Rating mit Mitbewerbern vergleichen – als Argumentationsgrundlage für den Vorstand

Bei signifikanten Änderungen des Ratings der eigenen Organisation und des von Dritten alarmiert BitSight die Anwender und fungiert damit als Frühwarnsystem. Der datenbasierte Ansatz ohne Befragungen etc. ermögliche eine unabhängige Verifizierung von Angaben Dritter (wie potenzieller Dienstleister, Partner) über deren IT-Sicherheit. Zudem können Organisationen durch den datenbasierten Ansatz zudem ihre IT-Sicherheit z. B. mit der von Mitbewerbern vergleichen. Vergleichbar sind sowohl der gesamte Überblick über die Cyber-Sicherheitsleistung als auch die Performance bei den einzelnen Risikofaktoren. So erhalten Organisationen einen Überblick über ihre IT-Sicherheitsstrategien und ob diese über, im oder unter dem Branchendurchschnitt liegen.

BitSight (Website) gibt außerdem an, dass durch die tägliche Aktualisierung des Ratings und dem historischen Überblick über die letzten 12 Monate die Effizienz von Initiativen zur Verbesserung der IT-Sicherheit gemessen werden kann. Weiterhin glaubt das Unternehmen, dass seine Ratings bei der Überbrückung der Kommunikationslücke zwischen Sicherheits- und Risikoteams und Vorstandsmitgliedern helfen. Das komplexe Thema IT-Sicherheit werde auf eine einzige Zahl runtergebrochen. So könne auch Führungskräften ein leicht verständliches Bild über das Risikoniveau eines Unternehmens vermittelt werden.

Weltweit würden 3 der Top 5 Investmentbanken, 20 % der Fortune 500 und 7 der 10 größten Anbieter von Cyber-Versicherungen auf das Bitsight-Rating setzen. In EMEA haben es neben der BNP Paribas unter anderem auch der Finanzinvestor KKR, die Bank Mizuho, die Metro Bank, die BCC Roma und KPMG im Einsatz.aj