:quality(80)/p7i.vogel.de/wcms/9c/bb/9cbb5825efdfea727b826d3f0463dd9b/0108252158.jpeg "Mitarbeiter geraten heute schnell ins Visier von Cyberkriminellen. Nur durch Security Awareness Trainings können sie diese Tricks rechtzeitig erkennen. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/d9/01d96a53f8d2a111e5a98976be1cfff3/0108278988.jpeg "Wir kommen in Zukunft zwar vielleicht ohne Passwörter aus, aber Access-Management-Lösungen zur Authentifizierung und Autorisierung der Benutzer werden weiterhin dringend gebraucht. (Bild: adam121 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e9/34/e93444cbcc0f518c1bc0a005dc36147c/0108250229.jpeg "Enterprise Network Firewalls schützen das Unternehmensnetz vor einer Vielzahl möglicher Attacken. Von klassischen DDoS-Angriffen über Trojaner und Malware in verschlüsselten Datenübertragungen, bis hin zu Advanced Persistent Threats. (Bild: valerybrozhinsky - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ad/0d/ad0d263e64f9b554d2729072a61ba429/0110347950.jpeg "Angreifer nutzen Fehlkonfigurationen, schwache Kennwörter, Fehler und andere Schwachstellen aus, um ihnen den Zugriff auf geschützte Assets zu ermöglichen. (Bild: NicoElNino - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f6/4e/f64e844d9677a0ce82d3d48b1008e10c/0110331365.jpeg "Microsoft bringt zum Patchday im März 2023 74 Updates. Sechs der Schwachstellen sind als kritisch eingestuft! Besonders betroffen sind Windows und Office, mit existierenden Exploits und öffentlich bekannten Lücken. (Logo:Microsoft)")
:quality(80)/p7i.vogel.de/wcms/d7/a7/d7a74fc125765e3aaa4a1cd46952f036/0109587894.jpeg "Checkmarx Supply Chain Threat Intelligence kombiniert Threat Intelligence mit Machine Learning, Retro Hunting und Cross-Language Hunting. (Bild: Checkmarx)")
:quality(80)/p7i.vogel.de/wcms/ea/cb/eacb9148689dcc0aff98ad0fde8f3d1a/0110383284.jpeg "Das Wachstum des Internets der Dinge wird in den nächsten Jahren weitergehen. Die Kombination aus Netzwerk- und Sicherheitsfunktionen macht SASE interessant für Unternehmen, die über eine große Zahl an IoT-Devices verfügen. (Bild: putilov_denis - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d6/32/d63226d47fb28c9e31bd3b019621723f/0110317549.jpeg "Mit dem Aufkommen des vernetzten Internet of Medical Things (IoMT) nehmen auch Cyberbedrohungen zu (© MQ-Illustrations - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/0f/99/0f998fe4c793c2a3004a18956f25511c/0110347017.jpeg "„Eine KI ist in erster Linie ein Werkzeug, welches weder „gut“ noch „böse“ ist. Gut oder böse wird ein Werkzeug erst durch seine Anwender und den Zweck, zu dem sie es einsetzen.“, sagt Tim Berghoff, Security Evangelist bei G DATA CyberDefense. (Bild: Supatman - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/2b/39/2b39615bb59330a79c5721ff23b0e3de/0110385480.jpeg "Verschlüsselung ist als Mittel zur Datensicherheit gerade beim Transport oder Versand sensibler Daten unverzichtbar. Wir zeigen in diesem Beitrag zehn praktische Verschlüsselungstools für Dateien und USB-Sticks. (Bild: JustSuper - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/df/87/df8707de1c856dd66a483a19444c0f6a/0109640555.jpeg "Die Geräte der DL4-FE-Serie von DataLocker sind ab sofort im Preis reduziert. (Bild: DataLocker)")
:quality(80)/p7i.vogel.de/wcms/4c/b9/4cb9d66fafd8d20bf909bfd236e254b6/0110382436.jpeg "Zwar existiert heute noch kein Quantencomputer, der aktuelle Verschlüsselungsmethoden knacken kann, aber Unternehmen sollten dennoch schon heute entsprechende Vorbereitungen für den Tag treffen, wenn der Fall eintritt. (Bild: Siarhei - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/87/4c/874c0af5c15ec80f0d2e20afd9ca476b/0109840850.jpeg "Open-Source-Software birgt Risiken. Synopsys untersucht jährlich, welche das sind. (Bild: © – Words Collage Cloud – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/5c/9e/5c9ee5f6c2154429c4adebfebd62c98b/0110293361.jpeg "Um Angriffe auf die Software-Supply-Chain und Cloud-Native-Infrastrukturen zu verhindern, brauchen Unternehmen den richtigen Sicherheitsansatz, basierend auf Best-Practice-Methoden. (Bild: thodonal - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/8b/e0/8be0b0e53654d7be413a4b4759cdc68d/0110330903.jpeg "Multi-Faktor-Authentifizierung trägt definitiv zur Sicherheit in Unternehmen bei und erschwert Phishing-Angriffe. Aber nur wenn auch die MFA-Lösung selbst Phishing-sicher ist, bietet sie nachhaltig Sicherheit. (Bild: Anya - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/cf/fc/cffcdb017034d5478cacf1bcb30a7665/0109349789.jpeg "Um die Sicherheit von Daten und Systemen zu erhöhen und das Risiko von Angriffen oder Datenverlust zu reduzieren sollten Berechtigungen auf das absolut notwendige Minimum beschränkt werden. (Bild: frei lizenziert Fernando Arcos - Pixabay)")
:quality(80)/p7i.vogel.de/wcms/5a/ae/5aae0faab5e96030eec56fbdc19b5876/0110368604.jpeg ""Mit nachhaltiger Security gegen zukünftige Bedrohungen", ein Interview von Oliver Schonschek, Insider Research, mit Alexander Werkmann von IBM. (Bild: Vogel IT-Medien / IBM / Schonschek)")
:quality(80)/p7i.vogel.de/wcms/2a/52/2a5232e8e490e419cef61ed451773e7d/0110347855.jpeg "Der Cyber Resilience Act führt Regeln zum Schutz digitaler Produkte ein, die von keinen früheren Regelungen erfasst wurden. Security-by-Design wird dabei zum neuen Standard und erweitert somit auch das Verständnis von kritischer Infrastruktur. (Bild: artjazz - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/26/49/26492b67229c580696cf2eaa9995ddc3/0110317608.jpeg "Eine umfassende IT-Abwehr können KMU aufgrund geringer Personalressourcen oft nicht leisten. (Bild: Gunnar Assmy - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ac/ec/acec2e8899c63372cfa6416fb2c12cb8/0109580606.jpeg "Microservices sind kleine, unabhängige Dienste für bestimmte Aufgaben einer Anwendung und bilden einen Gegenentwurf zu monolithischen Anwendungen. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/b1/68/b168e398bcf5fb44337e5a40214e5f56/0109580616.jpeg "Eine API ist eine Schnittstelle zum strukturierten Austausch von Befehlen und Informationen zwischen Programmen oder Programmteilen, mit vorgegebener Syntax. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/67/31/673143fd658b9c7cf226919bfd404398/0109123296.jpeg "ISA-99 ist ein in der Normenreihe IEC 62443 aufgegangener Cybersecurity-Standard für industrielle Automatisierungs- und Steuerungssysteme (IACS). (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
5 Tipps für mehr Cybersecurity Führungsgremien und die Cyber-Risiken
Die Bedrohung durch Cyberkriminalität erfordert, dass auf allen Ebenen des Unternehmens Maßnahmen ergriffen werden. Auch Vorstands- und Aufsichtsratsmitglieder müssen eine aktive Rolle bei der Minderung von Cyber-Risiken spielen, indem sie die Richtlinien, Prozesse und Protokolle zur Cybersicherheit überwachen, damit Führungs- und Fachkräfte ihre Aufgaben erfüllen können.
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/60/87/6087fe6e823c7/arvatosystems-logo-600x600.jpg "ArvatoSystems-Logo_600x600.jpg (Arvato Systems)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/60/50/60506ac0f0156/cohesity-2-color-black-logo.png "Cohesity_2_Color_Black_Logo.png (Cohesity)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/60/a2/60a27b8f295c3/txone-logos-rgb-rgb.png "txone-logos-rgb-rgb (TXOne Networks)")
Jedes siebte Unternehmen in Deutschland wurde in den vergangenen zwei Jahren Opfer von Cyberattacken, sei es in Form von Datenklau, Sabotage oder Spionage. Dabei entstand ein Gesamtschaden in Höhe von 43,4 Milliarden Euro. International werden die Schäden auf mehrere Billionen Euro beziffert. Die Tendenz ist klar: Cyberbedrohungen werden weiter zunehmen. Unternehmen müssen deshalb handeln – und zwar auf allen Ebenen.
Gerade Mitglieder in Führungsgremien – neben Vorständen etwa auch Aufsichtsräte – sind sich ihrer Verantwortung hierbei aber nicht immer bewusst. Um sich die Bedeutung von Cybersicherheit vor Augen zu halten, denke man einmal über die technischen Aspekte hinaus. Wenn die Website – das digitale Aushängeschild und mitunter auch die Plattform für einen Kauf – gekapert wird, verliert das Unternehmen Kunden oder zumindest deren Vertrauen. Fallen intern genutzte Protokolle und Anwendungen aufgrund einer Cyberattacke aus, kann nicht mehr effizient gearbeitet und kommuniziert werden. Wenn IP-Schnittstellen gekappt oder manipuliert werden, sind möglicherweise Finanztransaktionen nicht mehr durchführbar oder werden auf die Konten von Betrügern geleitet.
:quality(80)/images.vogel.de/vogelonline/bdb/1584700/1584735/original.jpg "CISOs brauchen inzwischen gute Argumente für mehr Budget in der IT-Sicherheit. (gemeinfrei)")
Der CISO und der Stellenwert der Security
Warum CISOs das Security-Marketing verändern müssen
Darüber hinaus müssen Vorstands- und Aufsichtsratsmitglieder selbst genau darauf achten, wie sie kommunizieren, welche Technologien/Geräte sie verwenden und wie sie verwaltet werden. Andernfalls könnten sie etwa ungesicherte persönliche E-Mails verwenden, um über Aktivitäten im Gremium zu kommunizieren. Ein Bericht von Forrester aus dem Jahr 2018 zeigt tatsächlich, dass die überwiegende Mehrheit der Führungsgremien dies tut. Um mit dem Cyber-Risiko richtig umzugehen, müssen die Gremien prüfen, ob sie nicht selbst (versehentlich) Risiken erzeugen.
Klar ist: Mitglieder eines Führungsgremiums müssen keine technischen Experten werden – dazu gibt es die Fachleute in der IT-Abteilung. Sie müssen jedoch ihrer Verantwortung gegenüber dem Unternehmen sowie seinen Stake- und Shareholdern gerecht werden. Das bedeutet für Vorstände sowie Aufsichtsräte, dass sie die Risiken durch Cyberkriminalität erkennen, die Gefahren einkalkulieren und den IT-Abteilungen Ressourcen zur Abwehr zuweisen müssen. Es braucht umfassende Richtlinien und Verfahren zur Cybersicherheit, deren Einhaltung von den Führungsgremien kontrolliert werden. Hier sind fünf Schritte, die Vorstände, Aufsichtsräte und andere Mitglieder von Führungsgremien in Sachen Cybersecurity gehen sollten:
Schritt 1: Sicherstellen, dass Cybersicherheitsrichtlinien und -pläne vorhanden sind
Die Frage ist nicht, ob ein Angriff erfolgreich ist, sondern wann. Prävention ist daher ebenso wichtig wie vorbereitende Maßnahmen, um im Notfall reagieren zu können. Das Gremium spielt eine wichtige Rolle bei der Festlegung von Richtlinien zum Handling von Cyber-Risiken und zur Cybersicherheit. Es sollte sicherstellen, dass das Unternehmen Sicherheitsstandards einhält, dass es ein angemessenes Maß an Wissen über Cyber-Risiken in der Belegschaft gibt und dass Richtlinien zur Nutzung von mobilen wie stationären Devices innerhalb wie außerhalb der Firewall des Unternehmens etabliert und beachtet werden.
Während die IT-Abteilung – geschult durch spezielle Trainings und Weiterbildungen – im Krisenfall die Attacke abwehrt, sind Vorstandsmitglieder dafür verantwortlich, Entscheidungen zu treffen und die Öffentlichkeit über mögliche Vorfälle zu informieren. Es muss also vorab geklärt werden, wer mit den Medien, den verschiedenen Interessengruppen und Aktionären spricht und was kommuniziert wird. Während eines Angriffs ist es wichtig, die Kommunikation zwischen IT und Vorstand genau zu steuern. Damit dies und der gesamte Krisenplan funktionieren, bedarf es einer regelmäßigen Kommunikation zwischen Vorstand und IT-Abteilung. Das Gremium sollte daher sicherstellen, dass die Pläne mindestens einmal jährlich im Rahmen einer vom IT-Team angeleiteten Simulation geprobt werden.
Schritt 2: Training zur IT-Sicherheit auf Vorstandsebene
Was banal klingt, ist doch die grundlegende Maßnahme: Eine Präsentation von IT-Verantwortlichen oder dem CIO vor dem Vorstand helfen, auf die Probleme und Risiken aufmerksam zu machen. Die Vorstände erhalten hierbei eine Auffrischung hinsichtlich geltender Sicherheitsvorkehrungen, zugehörigen Richtlinien und Verfahren. Außerdem können Beispiele für tatsächliche Angriffe auf die eigenen oder fremden Systeme beschrieben werden und Szenarien illustriert bzw. diskutiert werden. (Die wichtigsten Angriffe sollten keine Neuigkeit sein; aber neue Bedrohungen oder kleinere Zwischenfälle gibt es tagtäglich.) Sinnvoll ist auch das Bestellen von unabhängigen IT-Beratern, die unter Umständen auch eine Überprüfung der Systeme im Unternehmen vornehmen können.
Schritt 3: After-Attack-Protokolle richtig vorbereiten
Sobald eine Krise aufgetreten und überstanden ist, sollte ein „post-mortem“-Bericht über den Angriff erstellt werden. Dieser muss die folgenden Fragen beantworten, um die Krisenpläne für die Zeit nach dem Angriff zu verbessern: Wie schnell haben wir den Angriff gestoppt? Wie gut haben wir unsere wichtigsten Assets während des Angriffs geschützt? Wie weit verbreitet war der Vorfall, wer war betroffen und wie gut funktionierte unser Krisenplan? Wenn ein Angriff stattfindet, ohne erhebliche Schäden zu verursachen, ist die Rekonstruktion des Angriffs und seine erfolgreiche Verteidigung darüber hinaus auch als PR-Geschichte geeignet, um Vertrauen nach innen und außen zu gewinnen.
Schritt 4: Ändern der Einstellung zu Sicherheitsthemen
Es darf nicht in Ordnung sein, wenn sich Mitglieder eines Führungsgremiums dem Einsatz moderner Technik (zur Wahrung der IT-Sicherheit) versperren. Vielmehr sollten alle ermutigt werden, neugierig auf Programme zur Cybersicherheit zu sein, Fragen zu stellen, regelmäßige Berichte vom IT-Sicherheitsteam einzuholen und sich gegenseitig dafür verantwortlich zu machen, auf Risiken zu achten. Die Tatsache, dass die Vorstands- und Aufsichtsratsmitglieder eine Vorbildfunktion haben, liegt in der Natur ihrer Aufgabe, immer im Interesse des Unternehmens zu handeln.
Die meisten erfolgreichen Angriffe werden durch menschliches Versagen verursacht: Ein verlorenes Smartphone hier, ein verlegter USB-Stick mit sensiblen Daten oder Schlüsseln dort, und schon ist das Unternehmen in Gefahr. Außerdem ist Phishing ein großes Problem, denn ein Großteil der Mitarbeiter kann nicht erkennen, dass die von ihnen geöffnete E-Mail oder die von ihnen besuchte Website gefälscht ist. Diese Risiken müssen „von oben“ aufgezeigt werden. Das Führungsgremium muss den Kulturwandel vorantreiben und Prozesse und Verfahren entwickeln, die die Botschaft unterstützen, dass Cybersicherheit die höchste Priorität hat.
Schritt 5: Ressourcen für IT optimal einplanen
Führungsgremien verfügen über die im Unternehmen einzusetzenden Mittel und Ressourcen. Dabei sollte heutzutage vor allem in Sachen IT nicht gespart werden. In der Realität sieht das oft noch anders aus: IT-Budgets decken oft nur den Minimalbedarf und ermöglichen keinerlei Verbesserungen, die für die Personal-, Strategie- und Taktikplanung sowie die Bereitstellung von aktueller Soft- und Hardware erforderlich wären. Das Führungsgremium muss Sicherheit nicht nur zu einer organisatorischen Priorität machen, sondern auch dafür sorgen, dass genug Budget zur Verfügung steht. Kurzfristige Gewinnziele auf Kosten der Cybersicherheit sind zu hinterfragen, denn jeder in die IT investierte Euro wird sich im Krisenfall auszahlen.
Am Ende spielen bei Cybersicherheit technische, betriebswirtschaftliche und Management-Aspekte eine Rolle. Besonders im Sinne guter Leadership-Prinzipien sollten Mitglieder von Führungsgremien beispielhaft vorangehen und Cybersicherheit im Berufsalltag großschreiben. Die gute Nachricht ist, dass immer mehr Unternehmen die wachsende Bedrohung sehen. Wichtiger denn je ist aber, die notwendigen Maßnahmen zu ergreifen, um das Geschäft zu schützen.
Über den Autor: Brian Stafford ist CEO von Diligent, dem weltweit führenden Anbieter im Bereich Enterprise-Governance-Management. Das Unternehmen unterstützt mit seinen SaaS-Lösungen Mitglieder von Führungsgremien weltweit dabei, gute Governance in einen Wettbewerbsvorteil zu verwandeln.
(ID:46032580)
:quality(80)/images.vogel.de/vogelonline/bdb/1903100/1903132/original.jpg "Das neue eBook „Cyber-Risiken 2022“ hilft Unternerhmen dabei, Lehren zur Cybersicherheit aus Pandemiezeiten auf ein generelles Vorgehen beim Eintreten von Cyber-Risiken zu übertragen. (Vogel IT-Medien / putilov_denis - stock.adobe.com)")
:quality(80)/images.vogel.de/vogelonline/bdb/1945800/1945875/original.jpg "Die EU-Kommission schlägt ein Chip-Gesetz vor, um die Halbleiterknappheit anzugehen und Europas technologische Führungsrolle zu stärken. (EU/Mauro Bottaro)")