:quality(80)/p7i.vogel.de/wcms/35/f4/35f444940b03b06ae67f7e5591631792/0115165737.jpeg "Angesichts der vielen Cyberrisiken ist es wichtig, die Mitarbeiter so gut wie möglich rund um das Thema Sicherheit zu sensibilisieren. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/3a/f1/3af1c9fdf1a925e4b2f55f3fa725f66e/0115165714.jpeg "Moderne Enterprise Network Firewalls zählen zu den Grundlagen leistungsfähiger IT-Security-Maßnahmen. (Bild: monsitj - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/23/e2/23e21031cde02335c81dfd78228df829/0115166204.jpeg "SSE-Lösungen bieten Sicherheit direkt in der Cloud und rücken damit einen Schritt näher an die Nutzer und ihre Endgeräte. (Bild: AkuAku - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/a0/95/a095168ae2294c8b7ff3a1128643d10a/0114443428.jpeg "Im Einzelhandel herrscht in Sachen Datensicherheit noch Verbesserungsbedarf, wie eine aktuelle Arcserve-Studie zeigt. (Bild: Werner Moser)")
:quality(80)/p7i.vogel.de/wcms/f7/5f/f75fe8856b3a544c0e93a77c5b345685/0115186788.jpeg "Hacker haben eine neue Methode entwickelt, um über Dropbox an Zugangsdaten zu gelangen. (Bild: B_A)")
:quality(80)/p7i.vogel.de/wcms/3a/97/3a9762eff04833a94471e6fbfd205e3a/0115143155.jpeg "In diesem Video-Tipp zeigen wir, wie sich Sicherheitslücken im Netzwerk mit Metasploit und Nmap identifizieren lassen. (Bild: Kurhan - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/0a/1d/0a1d5160bd84f148343b99829afb77cf/0115212172.jpeg "Die Verwaltung von TLS-Maschinenidentitäten ist keine leichte Aufgabe. Wenn die Zertifikate nicht ersetzt werden, bevor sie ablaufen, verursachen sie einen Ausfall der Website oder Anwendung, die sie schützen. (Bild: Skórzewiak - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/84/46/8446ae030778a3654d2b3e6dab91209b/0115650702.jpeg "Das neue eBook dreht sich um intelligente Cyberschutzmaßnahmen als Antwort auf aktuelle Herausforderungen. (Bild: stock.adobe.com / Blue Planet Studio / VIT)")
:quality(80)/p7i.vogel.de/wcms/c8/d1/c8d1f3442178098f90def365545bda6f/0115034228.jpeg "Sicherheit heißt Kontrolle über den Zugriff auf Edge-Geräte und Elemente sowie alle lokalen Schnittstellen, Terminals und Portale. (Bild: putilov_denis - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e4/12/e412ce4886ae7a9735f2e41ed5044be8/0115212283.jpeg "Alle Unternehmen, die für ihre Anwendungen einen Cloud-nativen Ansatz verfolgen, sollten die Sicherheit von Anfang an einbeziehen. (Bild: Flo - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/0e/dd/0edd1f78dc564fcb3a474cd7670fc655/0114777783.jpeg "CyberArk hat neue Funktionen für seinen Secure Cloud Access vorgestellt. (Bild: frei lizenziert Lee Jie Jie - Pixabay)")
:quality(80)/p7i.vogel.de/wcms/85/dc/85dc8937392c9ee9c8050e17cbd61e9f/0115596163.jpeg "Um das gesamte Sicherheitsmaßnahmenspektrum abzudecken, braucht es nicht nur die entsprechenden Produkte, sondern auch qualifizierte Managed Security Service Provider. (Bild: janews094 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/c3/99/c3993faccfec24f2fb4380ec8129cdd9/0115631702.jpeg ""Wie die Cloud E-Mails schützen kann", ein Interview von Oliver Schonschek, Insider Research, mit Günter Esch von SEPPmail. (Bild: Vogel IT-Medien / SEPPmail / Schonschek)")
:quality(80)/p7i.vogel.de/wcms/f9/18/f9184a82eabf262e6ab3ceadb1890309/0112150345.jpeg "Unsere Reise durch Metavers startet bei isolierten 3D-Welten und führt uns über interoperable Plattformen bis zu spezialisierten, industriellen Anwendungen. (Bild: Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/79/9b/799bd1b922182554e787754eef6ddc12/0115212110.jpeg "Der Kampf um sichere Logins ist in vollem Gange. Dieser Beitrag erklärt, warum Passkeys schneller, einfacher und sicherer sind als Passwörter. (Bild: bloomicon - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/1b/c3/1bc38dde697b6cbb871803b277ecda55/0114970324.jpeg "Flexxon Xsign dient als physischer Schlüssel zu sensiblen Daten. (Bild: Flexxon)")
:quality(80)/p7i.vogel.de/wcms/43/12/43126efe9769dd09bcc69ddf76be9165/0115212299.jpeg "Die Umsetzung des Datenschutzes wird nie abgeschlossen sein. Unternehmen müssen fortlaufend an ihrem Datenschutzkonzept arbeiten, um die darin definierten Maßnahmen wirksam zu halten. (Bild: fotohansel - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d1/d7/d1d77deeabe6acbcda7494c86f59d6f0/0115212147.jpeg "Die ISO/IEC 27001 stellt sicher, dass alle Aspekte der Informationssicherheit angemessen berücksichtigt werden – und dies systematisch und nach einem einheitlichen, weltweit gültigen Schema. (Bild: WrightStudio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/49/36/4936caa8c7ac63e6d30e963670d1e85f/0113634057.jpeg "Eine Sanktionslistenprüfung ist der Abgleich der Geschäftskontakte mit verschiedenen Sanktionslisten mit dem Ziel der weltweiten Bekämpfung von Terrorismus und der Durchsetzung voin Embargos. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/89/3e/893eddbc47586768cdf9a6ede1318ebd/0113634021.jpeg "Das Lieferkettengesetz regelt die Sorgfaltspflichten der Unternehmen für ihre Lieferketten mit dem Ziel der Vermeidung von Menschenrechtsverletzungen bei Zulieferern. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/1e/07/1e073cdae9c2c2bea53ab367850c0809/0113634031.jpeg "HTTPS ist ein Internet-Protokoll zur verschlüsselten Datenübertragung zwischen Webserver und Webbrowser. (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
IT-Security und Recht CISOs sollten enger mit Rechtsberatungen zusammenarbeiten
Anbieter zum Thema
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/117800/117805/65.png "VIT_Logo_RGB_Full.png ()")
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/118100/118185/65.jpg "VIT_Logo_Akademie.jpg ()")
:fill(fff,0)/p7i.vogel.de/companies/60/51/6051ee3ab9254/v2-screen-m.png "V2_Screen_M.png (SEPPmail - Deutschlang GmbH)")
Die Folgen von Datenschutz-Verletzungen werden für das Management und CISOs immer schwerwiegender. Hinzu kommt, dass der Umfang an Vorschriften für IT-Security ebenfalls stetig anwächst. Anwälte helfen dabei, häufigere Änderungen bei Datenschutzgesetzen und Sicherheitsvorschriften effektiver umzusetzen.
CISOs haben es heutzutage nicht besonders leicht: Das Budget ist nie das, was sie für nötig halten, sie werden oft als Kostenstelle und Hindernis angesehen, ihr Einfluss auf größere Geschäftsentscheidungen, die sich auf die IT-Security auswirken, ist normalerweise begrenzt, und wenn es zu einem Vorfall kommt, ist der CISO die erste Person, der die Schuld zugeschoben bekommt. Dies hat dazu geführt, dass sich viele CISOs ständig auf einem Schleudersitz befinden.
Ganzheitlicher IT-Security-Ansatz
Die IT-Security ist nicht nur eine Aufgabe einer IT-Abteilung, sondern muss, um Wirkung zu zeigen, ein unternehmensweiter Ansatz zur Erstellung und Pflege eines effektiven IT-Security-Programms im Rahmen der Management-Funktionen sein. Daher sollte die Geschäftsleitung die Aufsicht übernehmen und das Programm mit ausreichenden Ressourcen und Finanzmitteln unterstützen.
Funktionierende IT-Security-Programme erfordern eine Koordination und Kommunikation über mehrere interne Abteilungen hinweg. Bei der Einrichtung eines solchen Programms müssen Organisationen insbesondere auch relevante Rechts- und Compliance-Experten so früh wie möglich in den Risikobewertungsprozess einbeziehen. Ein solches teambasiertes Modell ermöglicht es den Beteiligten, ihr Fachwissen ganzheitlich zu nutzen, was ein IT-Security-Programm nochmal deutlich robuster macht.
Hinzu kommt, dass unterschiedliche Abteilungen und Interessengruppen Sicherheitsrisiken oft aus sehr verschiedenen Perspektiven betrachten und diese somit auf unterschiedliche Weise beurteilen. Das bedeutet, ohne einen integrierten Governance-basierten Ansatz, der eine Vielzahl interner Interessengruppen einbezieht, kann es bei einem IT-Security-Programme teilweise zu erheblichen Schwachstellen und Lücken im Verständnis der Risiken kommen. Die logische Konsequenz: Fehlen geeignete Maßnahmen zu deren Eindämmung, kann dies die Schwere der Schäden erhöhen.
Mehrwerte von Rechts- und Compliance-Experten
Während Unternehmen meist ihren Fokus auf die Ausweitung der IT-Security-Maßnahmen richten, können Rechts- und Compliance-Experten auf viele verschiedene Arten Mehrwerte schaffen. Zu den Aktivitäten eines Rechtsberaters gehören beispielsweise folgende Aufgaben:
- Beteiligung an der Implementierung des IT-Security-Programms und der Schlüsselkontrollen eines Unternehmens.
- Bestimmung des Umfangs einer IT-Sicherheitsversicherung.
- Datenschutz- und Sicherheitsbestimmungen in der Lieferkette hinsichtlich des Zugriffs, der Nutzung, Speicherung und Weitergabe von Daten.
- Überprüfung öffentlicher Offenlegungen zu Vorfällen.
- Erarbeitung informeller Richtlinien zu Lösegeldzahlungen.
- Überprüfung von Incident-Response-Plänen.
- Unterstützung bei Mitarbeiterschulungen.
Vertragsanwälte handeln auch wichtige Datenschutz- und Sicherheitsbestimmungen in Lieferantenverträgen hinsichtlich der Daten aus. Tatsächlich könnten Unternehmen von ihren Partnern verlangen, dass sie während der Vertragslaufzeit eine akzeptable Mindestsicherheitsbewertung einhalten, die beispielsweise auf ein Rating von SecurityScorecard basiert.
Insbesondere sollte der Anwalt bei der Frage zur Seite stehen, ob ein bestimmtes Security-Ereignis unter Umständen eine gesetzliche Verpflichtung zur Benachrichtigung von Behörden, Versicherer, Wirtschaftsprüfer, Anbieter, eines oder mehrerer Kunden des Unternehmens oder sogar des Marktes auslöst. Wenn jedoch erst nach einem Security-Ereignis ein Rechtsbeistand hinzugezogen wird, kann dies für ein Unternehmen angesichts des Arbeitsaufwands, den der Anwalt in sehr kurzer Zeit bewältigen muss, recht teuer werden.
So verringert das frühzeitige Hinzuziehen eines Anwalts das Risiko eines Security-Vorfalls und gibt ihm ausreichend Zeit, sich mit der Netzwerkinfrastruktur eines Unternehmens besser vertraut zu machen und bereits solide Arbeitsbeziehungen mit dem CISO und den Rechts- bzw. Compliance-Teams aufzubauen.
Abschluss von Security-Versicherungen
Der Abschluss einer Versicherung für Security-Vorfälle, die tatsächlich das abdeckt, was benötigt wird, war für CISOs schon immer ein heikler Punkt. Es empfiehlt sich daher einen Rechtsanwalt einzuschalten, um CISOs bei der Analyse von Versicherungspolicen zu helfen, die richtigen Kauf- oder Verlängerungsentscheidungen zu treffen.
Hier dazu ein Fallbeispiel: Ein Unternehmen hat eine Versicherung zum Schutz vor Ransomware-Angriffen abgeschlossen. Es hat jedoch dabei versäumt, anzugeben, dass ein solcher Hacker-Angriff über Phishing beginnen könnte, da es an wirksamen E-Mail-Sicherheitskontrollen mangelt. Während das Unternehmen dies möglicherweise als einzelnes Risiko einstuft, betrachten einige Versicherer das Ereignis möglicherweise als finanzielles Risiko. Daher kann es sein, dass die abgeschlossene Cyber-Versicherung den Ransomware-Angriff nicht unbedingt abdeckt.
Versicherungen für CISOs und leitende Angestellte
CISOs sollten zudem über den Abschluss einer D&O-Versicherung (Directors-and-Officers-Versicherung) bzw. Organ- oder Manager-Haftpflichtversicherung nachdenken und sich gegebenenfalls von einem Anwalt dazu beraten lassen. Die Versicherung, die häufig auch das Unternehmen schützt, deckt Anwaltskosten, Vergleiche und andere Kosten ab. Eine D&O-Versicherung ist die finanzielle Absicherung einer Standard-Entschädigungsregelung, die leitende Angestellte für Schäden aus ihrer Funktion im Unternehmen schadlos hält.
Direktoren und leitende Angestellte können aus verschiedenen Gründen im Zusammenhang mit ihrer Unternehmensrolle verklagt werden. Dazu zählen unter anderem folgende Sachverhalte:
- Verletzung der Treuhandpflicht, die zu finanziellen Verlusten oder Insolvenz führt.
- Falsche Darstellung des Unternehmensvermögens.
- Missbrauch von Unternehmensgeldern.
- Betrügerische Handlungen.
- Nichteinhaltung der Arbeitsgesetze.
- Diebstahl geistigen Eigentums und Abwerben von Kunden der Konkurrenz.
- Mangelnde Unternehmensführung.
(ID:49763093)
:quality(80)/p7i.vogel.de/wcms/d4/ba/d4ba7d9c80dd783f861f4fb50dcc91dd/0111554559.jpeg "Es ist an der Zeit, dass CFOs die traditionelle Einzelposten-Methode zur Festlegung der Ausgaben für IT-Security aufgeben. (Bild: rogerphoto - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/41/98/4198deaa53a07b680c066e95d66f1421/0109019435.jpeg "Ein CISO ist nicht nur ein weiterer IT-Experte, sondern eine wichtige Führungskraft auf oberster Ebene in einer Organisation. (Bild: jamesteohart - stock.adobe.com)")