Sie kennen es: Cybersicherheit ist ein ständiger Spagat zwischen proaktiven Sicherheitsverbesserungen und der kurzfristigen Reaktion auf Ereignisse. Wir erleben oft, dass operativ-taktische Erwägungen die Aufmerksamkeit von längerfristigen strategischen Fragen ablenken. Die Covid-19-Pandemie sorgt für einen harten Reset der Prioritäten.
In den ersten Wochen der Pandemie haben sich die Unternehmer zu Recht darauf konzentriert, mit operativen und auf kurzfristige Liquidität fokussierte Maßnahmen der Krise zu begegnen. Erst jetzt können sich viele die Zeit nehmen, einen Schritt zurückzutreten und zu fragen: Wie sieht die neue Realität in den kommenden Monaten und in den nächsten Jahren aus, und wie bereite ich mich darauf vor?
Mit Blick auf die Cybersicherheit haben dies unsere Kolleginnen und Kollegen mit dem Center for Cybersecurity des Weltwirtschaftsforums erörtert. Gemeinsam haben sie fünf Prinzipien zusammengestellt, die den Verantwortlichen im Bereich der Cybersicherheit helfen sollen, sich auf diese neue Normalität vorzubereiten.
1. Fördern Sie eine Kultur der Cyber-Resilienz
Unternehmen sollten sich darum bemühen:
- Barrieren zwischen Abteilungen abzubauen,
- die Resilienz-Kultur in der Office-IT, der Produktions- und Fertigungs-IT (OT) und den geschäftsorientierten Funktionen zu vereinheitlichen
- und eine „Resilience by Design“im gesamten Unternehmen zu fördern.
Cybersicherheit kann nicht nur das Abhaken der Compliance-Anforderungsliste sein. Es muss ein Gefühl der kollektiven Dringlichkeit für Cyber Security geben, das über die Sicherheits- und Datenschutzfunktionen hinausgeht. Der Vorstand sollte sich selbst verantwortlich zeigen und sicherstellen, dass Risiken verstanden und Pläne entworfen werden und die Koordination effektiv ist.
2. Konzentrieren Sie sich auf den Schutz kritischer Fähigkeiten und Dienste
Die Pandemie hat gezeigt, wie wenig wir über unsere kritischen Dienste und Ressourcen und den besten Ansatz zu deren Schutz wissen. Die Unternehmen müssen eine Cyber-Hygienekultur in der Belegschaft herstellen. Sie brauchen neue Modelle für die Zugangsverwaltung und die Überwachung der Aktivitäten kritischer Anlagen. Investitionen in die Cyber-Automatisierung sollten sie priorisieren.
3. Wägen Sie Entscheidungen während und nach der Krise risikobewusst ab
Das Cyber-Risikomanagement sollte von Grund auf überholt werden. Die Pandemie hat bewiesen, dass sich die alten Risikoannahmen für die Lieferkette als falsch erwiesen haben. Traditionelle Cyber-Resilienz-Metriken haben sich als eine unangemessene Darstellung des tatsächlichen Risikos erwiesen. Unternehmen müssen ihre Herangehensweise an Lieferketten überdenken, praktische, aussagekräftige Cyber-Risikometriken definieren und sich beim Entwurf neuer digitaler Strategien auf die Risiken für den Betrieb konzentrieren.
4. Aktualisieren und verinnerlichen Sie Ihre Reaktions- und Geschäftskontinuitätspläne
Eine der Annahmen, die den meisten Cyber-Business-Continuity-Plänen zugrunde liegen, ist, dass der Rest des Ökosystems wie gewohnt funktioniert und dass man sich auf die Unterstützung von Lieferanten und Partnern verlassen kann. Die Pandemie hat uns gezwungen, diese Annahme in Frage zu stellen. Die Unternehmen sollten die Prozesse zur Planung der Belastbarkeit überarbeiten und die Krisenmanagementteams mit den Fähigkeiten und Erfahrungen ausstatten, die sie benötigen, um unter starkem Druck zurechtzukommen. Sie müssen auch die Definition eines Worst-Case-Szenarios in der neuen Realität überprüfen.
5. Stärken Sie die Zusammenarbeit im Ökosystem
Die Pandemie hat die Notwendigkeit zur Zusammenarbeit deutlich gemacht. Diese braucht es auch, um gegen internationale Cyber-Bedrohungen vorzugehen: Großunternehmen bündeln Informationen über Bedrohungen, und die Aufsichtsbehörden erkennen den Wert von Transparenz und kollektivem Handeln, um die Widerstandsfähigkeit des Ökosystems zu stärken. Unternehmen sollten darüber nachdenken, wie sie ihre Industrienetzwerke erreichen und gemeinsame Sitzungen zur Bewusstseinsbildung und zum Austausch von Informationen einrichten. Damit können sie effektiv kriminelle Aktivitäten unterbinden und einen systemischen Ansatz für das Risikomanagement als Teil der breiteren Gemeinschaft verfolgen.
So schwer es auch fallen mag. Es ist notwendig, über den reaktionären Modus hinauszukommen und strategische Maßnahmen für die Cybersicherheit einzuleiten.