5 Tipps für mehr Cybersecurity

Führungsgremien und die Cyber-Risiken

| Autor / Redakteur: Brian Stafford / Peter Schmitz

Das Führungsgremium im Unternehmen muss IT-Sicherheit nicht nur zu einer organisatorischen Priorität machen, sondern auch dafür sorgen, dass genug Budget zur Verfügung steht.
Das Führungsgremium im Unternehmen muss IT-Sicherheit nicht nur zu einer organisatorischen Priorität machen, sondern auch dafür sorgen, dass genug Budget zur Verfügung steht. (Bild: gemeinfrei / Pixabay)

Die Bedrohung durch Cyberkriminalität erfordert, dass auf allen Ebenen des Unternehmens Maßnahmen ergriffen werden. Auch Vorstands- und Aufsichtsratsmitglieder müssen eine aktive Rolle bei der Minderung von Cyber-Risiken spielen, indem sie die Richtlinien, Prozesse und Protokolle zur Cybersicherheit überwachen, damit Führungs- und Fachkräfte ihre Aufgaben erfüllen können.

Jedes siebte Unternehmen in Deutschland wurde in den vergangenen zwei Jahren Opfer von Cyberattacken, sei es in Form von Datenklau, Sabotage oder Spionage. Dabei entstand ein Gesamtschaden in Höhe von 43,4 Milliarden Euro. International werden die Schäden auf mehrere Billionen Euro beziffert. Die Tendenz ist klar: Cyberbedrohungen werden weiter zunehmen. Unternehmen müssen deshalb handeln – und zwar auf allen Ebenen.

Gerade Mitglieder in Führungsgremien – neben Vorständen etwa auch Aufsichtsräte – sind sich ihrer Verantwortung hierbei aber nicht immer bewusst. Um sich die Bedeutung von Cybersicherheit vor Augen zu halten, denke man einmal über die technischen Aspekte hinaus. Wenn die Website – das digitale Aushängeschild und mitunter auch die Plattform für einen Kauf – gekapert wird, verliert das Unternehmen Kunden oder zumindest deren Vertrauen. Fallen intern genutzte Protokolle und Anwendungen aufgrund einer Cyberattacke aus, kann nicht mehr effizient gearbeitet und kommuniziert werden. Wenn IP-Schnittstellen gekappt oder manipuliert werden, sind möglicherweise Finanztransaktionen nicht mehr durchführbar oder werden auf die Konten von Betrügern geleitet.

Warum CISOs das Security-Marketing verändern müssen

Der CISO und der Stellenwert der Security

Warum CISOs das Security-Marketing verändern müssen

12.07.19 - Gute IT-Sicherheit ist ein Wettbewerbsvorteil, eigentlich ein tolles Argument für mehr Security-Budget. Doch wenn Sicherheit zu sehr als Marketing-Faktor gesehen wird, schadet dies der Security. CISOs müssen Einfluss auf das Marketing nehmen, keine leichte Aufgabe, aber zwingend erforderlich. Die Security braucht einen neuen Stellenwert, um nicht unter die Räder der Werbung zu gelangen. lesen

Darüber hinaus müssen Vorstands- und Aufsichtsratsmitglieder selbst genau darauf achten, wie sie kommunizieren, welche Technologien/Geräte sie verwenden und wie sie verwaltet werden. Andernfalls könnten sie etwa ungesicherte persönliche E-Mails verwenden, um über Aktivitäten im Gremium zu kommunizieren. Ein Bericht von Forrester aus dem Jahr 2018 zeigt tatsächlich, dass die überwiegende Mehrheit der Führungsgremien dies tut. Um mit dem Cyber-Risiko richtig umzugehen, müssen die Gremien prüfen, ob sie nicht selbst (versehentlich) Risiken erzeugen.

Klar ist: Mitglieder eines Führungsgremiums müssen keine technischen Experten werden – dazu gibt es die Fachleute in der IT-Abteilung. Sie müssen jedoch ihrer Verantwortung gegenüber dem Unternehmen sowie seinen Stake- und Shareholdern gerecht werden. Das bedeutet für Vorstände sowie Aufsichtsräte, dass sie die Risiken durch Cyberkriminalität erkennen, die Gefahren einkalkulieren und den IT-Abteilungen Ressourcen zur Abwehr zuweisen müssen. Es braucht umfassende Richtlinien und Verfahren zur Cybersicherheit, deren Einhaltung von den Führungsgremien kontrolliert werden. Hier sind fünf Schritte, die Vorstände, Aufsichtsräte und andere Mitglieder von Führungsgremien in Sachen Cybersecurity gehen sollten:

Schritt 1: Sicherstellen, dass Cybersicherheitsrichtlinien und -pläne vorhanden sind

Die Frage ist nicht, ob ein Angriff erfolgreich ist, sondern wann. Prävention ist daher ebenso wichtig wie vorbereitende Maßnahmen, um im Notfall reagieren zu können. Das Gremium spielt eine wichtige Rolle bei der Festlegung von Richtlinien zum Handling von Cyber-Risiken und zur Cybersicherheit. Es sollte sicherstellen, dass das Unternehmen Sicherheitsstandards einhält, dass es ein angemessenes Maß an Wissen über Cyber-Risiken in der Belegschaft gibt und dass Richtlinien zur Nutzung von mobilen wie stationären Devices innerhalb wie außerhalb der Firewall des Unternehmens etabliert und beachtet werden.

Während die IT-Abteilung – geschult durch spezielle Trainings und Weiterbildungen – im Krisenfall die Attacke abwehrt, sind Vorstandsmitglieder dafür verantwortlich, Entscheidungen zu treffen und die Öffentlichkeit über mögliche Vorfälle zu informieren. Es muss also vorab geklärt werden, wer mit den Medien, den verschiedenen Interessengruppen und Aktionären spricht und was kommuniziert wird. Während eines Angriffs ist es wichtig, die Kommunikation zwischen IT und Vorstand genau zu steuern. Damit dies und der gesamte Krisenplan funktionieren, bedarf es einer regelmäßigen Kommunikation zwischen Vorstand und IT-Abteilung. Das Gremium sollte daher sicherstellen, dass die Pläne mindestens einmal jährlich im Rahmen einer vom IT-Team angeleiteten Simulation geprobt werden.

Schritt 2: Training zur IT-Sicherheit auf Vorstandsebene

Was banal klingt, ist doch die grundlegende Maßnahme: Eine Präsentation von IT-Verantwortlichen oder dem CIO vor dem Vorstand helfen, auf die Probleme und Risiken aufmerksam zu machen. Die Vorstände erhalten hierbei eine Auffrischung hinsichtlich geltender Sicherheitsvorkehrungen, zugehörigen Richtlinien und Verfahren. Außerdem können Beispiele für tatsächliche Angriffe auf die eigenen oder fremden Systeme beschrieben werden und Szenarien illustriert bzw. diskutiert werden. (Die wichtigsten Angriffe sollten keine Neuigkeit sein; aber neue Bedrohungen oder kleinere Zwischenfälle gibt es tagtäglich.) Sinnvoll ist auch das Bestellen von unabhängigen IT-Beratern, die unter Umständen auch eine Überprüfung der Systeme im Unternehmen vornehmen können.

Schritt 3: After-Attack-Protokolle richtig vorbereiten

Sobald eine Krise aufgetreten und überstanden ist, sollte ein „post-mortem“-Bericht über den Angriff erstellt werden. Dieser muss die folgenden Fragen beantworten, um die Krisenpläne für die Zeit nach dem Angriff zu verbessern: Wie schnell haben wir den Angriff gestoppt? Wie gut haben wir unsere wichtigsten Assets während des Angriffs geschützt? Wie weit verbreitet war der Vorfall, wer war betroffen und wie gut funktionierte unser Krisenplan? Wenn ein Angriff stattfindet, ohne erhebliche Schäden zu verursachen, ist die Rekonstruktion des Angriffs und seine erfolgreiche Verteidigung darüber hinaus auch als PR-Geschichte geeignet, um Vertrauen nach innen und außen zu gewinnen.

Schritt 4: Ändern der Einstellung zu Sicherheitsthemen

Es darf nicht in Ordnung sein, wenn sich Mitglieder eines Führungsgremiums dem Einsatz moderner Technik (zur Wahrung der IT-Sicherheit) versperren. Vielmehr sollten alle ermutigt werden, neugierig auf Programme zur Cybersicherheit zu sein, Fragen zu stellen, regelmäßige Berichte vom IT-Sicherheitsteam einzuholen und sich gegenseitig dafür verantwortlich zu machen, auf Risiken zu achten. Die Tatsache, dass die Vorstands- und Aufsichtsratsmitglieder eine Vorbildfunktion haben, liegt in der Natur ihrer Aufgabe, immer im Interesse des Unternehmens zu handeln.

Die meisten erfolgreichen Angriffe werden durch menschliches Versagen verursacht: Ein verlorenes Smartphone hier, ein verlegter USB-Stick mit sensiblen Daten oder Schlüsseln dort, und schon ist das Unternehmen in Gefahr. Außerdem ist Phishing ein großes Problem, denn ein Großteil der Mitarbeiter kann nicht erkennen, dass die von ihnen geöffnete E-Mail oder die von ihnen besuchte Website gefälscht ist. Diese Risiken müssen „von oben“ aufgezeigt werden. Das Führungsgremium muss den Kulturwandel vorantreiben und Prozesse und Verfahren entwickeln, die die Botschaft unterstützen, dass Cybersicherheit die höchste Priorität hat.

Schritt 5: Ressourcen für IT optimal einplanen

Führungsgremien verfügen über die im Unternehmen einzusetzenden Mittel und Ressourcen. Dabei sollte heutzutage vor allem in Sachen IT nicht gespart werden. In der Realität sieht das oft noch anders aus: IT-Budgets decken oft nur den Minimalbedarf und ermöglichen keinerlei Verbesserungen, die für die Personal-, Strategie- und Taktikplanung sowie die Bereitstellung von aktueller Soft- und Hardware erforderlich wären. Das Führungsgremium muss Sicherheit nicht nur zu einer organisatorischen Priorität machen, sondern auch dafür sorgen, dass genug Budget zur Verfügung steht. Kurzfristige Gewinnziele auf Kosten der Cybersicherheit sind zu hinterfragen, denn jeder in die IT investierte Euro wird sich im Krisenfall auszahlen.

Am Ende spielen bei Cybersicherheit technische, betriebswirtschaftliche und Management-Aspekte eine Rolle. Besonders im Sinne guter Leadership-Prinzipien sollten Mitglieder von Führungsgremien beispielhaft vorangehen und Cybersicherheit im Berufsalltag großschreiben. Die gute Nachricht ist, dass immer mehr Unternehmen die wachsende Bedrohung sehen. Wichtiger denn je ist aber, die notwendigen Maßnahmen zu ergreifen, um das Geschäft zu schützen.

Über den Autor: Brian Stafford ist CEO von Diligent, dem weltweit führenden Anbieter im Bereich Enterprise-Governance-Management. Das Unternehmen unterstützt mit seinen SaaS-Lösungen Mitglieder von Führungsgremien weltweit dabei, gute Governance in einen Wettbewerbsvorteil zu verwandeln.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Kontaktieren Sie uns über: support.vogel.de/ (ID: 46032580 / Mitarbeiter-Management)