Interview mit Qualys-CEO Sumedh Thakar über das Messen, Kommunizieren und Eliminieren von Cyber-Risiken

Sumedh Thakar, Chief Executive Officer bei Qualys

Messen, Kommunizieren und Eliminieren von Cyber-Risiken ist die neue Vision von Qualys. Netzpalaver sprach im Interview mit Sumedh Thakar , CEO bei Qualys, wie die „Qualys Enterprise TruRisk Platform“ dies Vision realisiert.

 

Netzpalaver: Herr Thakar, Qualys präsentiert eine neue Vision: „Messen, Kommunizieren und Eliminieren von Cyber-Risiken“. Können Sie uns erläutern, was diese Vision genau umfasst?

Sumedh Thakar: In der heutigen Zeit ist nahezu jedes Unternehmen auf Software angewiesen, um seine zentralen Geschäftsprozesse zu steuern. Das macht sie anfälliger für Cyber-Risiken und Sicherheitsverletzungen. Cyber-Risiken sind gleichzusetzen mit Geschäftsrisiken. Angreifer und Ransomware-Gruppen agieren mittlerweile wie professionelle Unternehmen und nutzen fortschrittliche Werkzeuge, einschließlich Künstlicher Intelligenz, um maximale Gewinne zu erzielen.

Die Erkenntnis, dass Cyber-Risiken eine ganzheitliche Bedrohung für Unternehmen darstellen, gewinnt zunehmend an Bedeutung und findet bei CISOs Gehör. CISOs stehen unter enormem Druck, sich mit kritischen Sicherheitsproblemen auseinanderzusetzen, während gleichzeitig Budgetbeschränkungen zusätzlichen Druck verursachen. Die Herausforderung besteht darin, mit begrenzten Mitteln maximale Sicherheit zu gewährleisten. Qualys hat die Herausforderungen, mit denen CISOs konfrontiert sind, erkannt und strebt an, über traditionelle Sicherheitsmaßnahmen hinaus zu gehen. Unser Ziel ist es, Unternehmen zu befähigen, ihr Cyber-Risiko präzise zu messen, es effektiv zu kommunizieren und proaktiv dessen Beseitigung voranzutreiben.

 

Netzpalaver: Was genau bedeutet „De-risk your business“ und wie unterstützt Qualys Unternehmen dabei, dieses Ziel zu erreichen?

Sumedh Thakar: Der Ausdruck „De-risk“ beschreibt traditionell, wie Finanzinstitute Risiken nicht nur verwalten, sondern aktiv vermeiden. Da Cyber-Risiken nun einen entscheidenden Einfluss auf die Risikolage eines Unternehmens haben, ist das aktive Verringern von Cyber-Risiken zu einem Hauptanliegen für Führungskräfte geworden.

Cyber-Risiken können für ein Unternehmen heute gravierender sein als physische Risiken. Zum Beispiel ist ein Banküberfall selten, aber ein Cyberangriff auf Bankserver ist eine reale Bedrohung. Unternehmen müssen sich daher fragen, wie sie solche Risiken minimieren und was sie bereit sind, dafür zu investieren. Entscheidend ist die Fähigkeit, das Risiko zu berechnen und zu kommunizieren. Wenn Sie das Risiko effektiv messen und kommunizieren können, sind Sie in der Lage, das Gesamtrisiko zu senken. Genau hier setzt Qualys an: Wir helfen Unternehmen, ihr Cyber-Risiko zu messen, zu minimieren und klar zu kommunizieren.

Unsere neue „Enterprise TruRisk Platform“ bietet einen fortschrittlichen Ansatz für das Cyber-Risikomanagement. Sie ermöglicht eine präzise Risikomessung, klare Kommunikation und effektive Risikominderung. Die Plattform berücksichtigt externe Risikofaktoren aus dem IT- und Sicherheitsökosystem und bietet Unternehmen konkrete Maßnahmen zur Risikoreduzierung.

 

Netzpalaver: Welche finanziellen Auswirkungen haben Cyber-Risiken auf CISOs und ihre Unternehmen?

Sumedh Thakar: CISOs müssen sich zunehmend mit den finanziellen Folgen von Cyber-Risiken auseinandersetzen. Es ist eine unternehmensweite Aufgabe, die kritischsten Geschäftsbereiche zu identifizieren und das potenzielle finanzielle Risiko zu bewerten. In den letzten Jahren, mit der wachsenden Bedeutung von Cyber-Risiken, streben CISOs danach, auf Vorstandsebene vertreten zu sein. Doch Vorstände interessieren sich oft mehr für Umsatz, Gewinn und allgemeine Geschäftsrisiken als für die technischen Details der Cybersicherheit. Daher wird es immer wichtiger, das finanzielle Risiko von Geschäftsanwendungen zu quantifizieren, zu kommunizieren und zu entscheiden, wie viel in die Risikominderung investiert werden soll.

Wenn zwei Geschäftsanwendungen dieselbe Schwachstelle aufweisen, aber unterschiedliche finanzielle Risiken bergen, müssen Ressourcen entsprechend priorisiert werden. Die Bewertung des finanziellen Risikos ist auch für den Finanzvorstand von Bedeutung. Ein Unternehmen muss nachweisen können, wie es sein Cybersicherheitsbudget verwendet hat und ob die Investitionen erfolgreich waren. CISOs, die ihre Entscheidungen auf Geschäftswert und Verlustrisiko stützen, können besser mit anderen Führungskräften zusammenarbeiten und dem Vorstand berichten.

 

Netzpalaver: Mit der Einführung der Qualys Enterprise TruRisk Platform erweitert Qualys seine Dienste. Können Sie uns die Neuerungen und die Idee dahinter näherbringen?

Sumedh Thakar: Vor rund 18 Monaten hat Qualys das TruRisk-Konzept im Bereich des Schwachstellenmanagements eingeführt. Unsere Analysen zeigten, dass nur ein geringer Teil der identifizierten Schwachstellen tatsächlich von Angreifern ausgenutzt wird. Deshalb empfehlen wir Unternehmen, sich auf die Behebung der Schwachstellen zu konzentrieren, die am häufigsten ausgenutzt werden und die für das Unternehmen von größter Bedeutung sind. Dieser Ansatz ist nicht nur zeitsparend und kosteneffizient, sondern führt auch zu einer verbesserten Sicherheitslage.

Die Rückmeldungen unserer Kunden zu dieser Strategie waren positiv, und sie wünschten sich eine Erweiterung auf weitere Risikofaktoren. Neben Schwachstellen sind auch Fehlkonfigurationen und Firewall-Einstellungen wichtige Sicherheitsaspekte. Obwohl wir bereits eine Vielzahl von Risikodaten auf unserer Plattform sammeln, gibt es immer noch Bereiche, die wir nicht abdecken. Mit der neuen „Qualys Enterprise TruRisk Platform“ erweitern wir nun unsere Fähigkeit zur Risikoanalyse. Wir integrieren zusätzliche Faktoren, wie beispielsweise die Kosten für die Risikominderung, und verbessern die Art, wie wir diese Informationen an die Verantwortlichen weitergeben.

Darüber hinaus ergänzen wir die Plattform um Daten von anderen Sicherheitsanbietern, die von den Unternehmen genutzt werden könnten. Dies ermöglicht es uns, eine umfassende und einheitliche Risikoübersicht zu bieten. CISOs möchten die kritischsten Schwachstellen oder Risiken kennen, die es zu beheben gilt. Wenn ein Unternehmen jedoch viele verschiedene Sicherheitstools verwendet, kann dies zu einer Flut von unterschiedlichen Prioritäten führen. Mit der „Qualys Enterprise TruRisk Platform“ vereinheitlichen wir diese Informationen, sodass unsere Kunden eine klare Sicht auf die Risiken erhalten, die für ihr Unternehmen am relevantesten sind.

#Qualys