Frau beobachtet PCs und hat mehrere Bildschirme im Blick.

Acht Punkte, die CISOs im Blick haben sollten

Diese Checkliste hilft Ihnen, die Datensicherheit im Unternehmen zu verbessern.

Daten und digitale Infrastrukturen haben bereits einen erheblichen Einfluss auf unsere Gegenwart und werden in Zukunft eine immer wichtigere Rolle spielen – sei es, um neue Produkte und Dienstleistungen zu entwickeln, für technologischen Fortschritt oder um effizientere Prozesse zu etablieren. Die zunehmende Nutzung von Daten und digitalen Infrastrukturen bringt aber auch Herausforderungen mit sich in den Bereichen Sicherheit, Datenschutz und Ethik. Sie werfen grundlegende Fragen zum Vertrauen in digitale Systeme auf, denn mit der zunehmenden Vernetzung und Abhängigkeit von digitalen Strukturen steigt auch das Interesse derjenigen, die diese Infrastrukturen angreifen und missbrauchen wollen.

In vielen Unternehmen wurde deshalb mittlerweile ein Chief Information Security Officer (CISO) etabliert, um sicherzustellen, dass die richtigen Schritte unternommen werden, die die Cyber-Sicherheit gewährleisten.

Auf diese Punkte sollten CISOs achten, um die Vorteile der digitalen Transformation im Unternehmen zu maximieren und potenzielle Cyber-Security-Risiken zu minimieren.

1. Digitales Vertrauen: Eine gemeinsame Verantwortung

Digitales Vertrauen und die Debatten über Datenschutz, Sicherheit und Ethik gewinnen zunehmend an Bedeutung – zum einen aufgrund von regulatorischen Vorschriften, zum anderen aufgrund der öffentlichen Meinung. Der zukünftige Erfolg eines jeden digitalisierten Unternehmens basiert auf digitalem Vertrauen – Cybersicherheit und Datenschutz sind hierfür wichtige Grundlagen.

Um dieses Vertrauen zu stärken, sollten CISOs dem Vorstand und der Geschäftsleitung ihres Unternehmens dabei helfen, Datenschutz und Sicherheit in der Unternehmenskultur zu priorisieren: Dazu gehören klare Richtlinien für die Verwendung von Daten im Unternehmen, die Implementierung von robusten Sicherheitsmaßnahmen, die Verwendung von Verschlüsselungstechnologien, aber auch die offene Kommunikation mit Kund:innen über Datenschutzpraktiken des Unternehmens und wie ihre Daten genutzt werden.

2. Unauffällige Sicherheit fördert sichere Verhaltensweisen

Ein zentrales, wenn auch oft schwer fassbares Ziel von CISOs sollte es sein, die Sicherheit so in das Unternehmen einzubetten, dass die Mitarbeitenden vertrauensvoll arbeiten, produktive Entscheidungen treffen und ihren Teil zum Schutz des Unternehmens beitragen können. So kann man unauffällige Sicherheit im Unternehmen fördern: CISOs sollten Sicherheitslösungen und -maßnahmen so benutzerfreundlich wie möglich gestalten und sie in die bestehenden Arbeitsabläufe und Prozesse nahtlos integrieren. Sicherheitsmaßnahmen sollten nicht als separate Aufgaben betrachtet werden, sondern als integraler Bestandteil der Arbeitsroutine.

Auf realen Szenarien basierende Schulungen zu sicherheitsrelevanten Themen stellen sicher, dass sich alle im Unternehmen der Cyberrisiken bewusst sind, und helfen, potenzielle Bedrohungen zu erkennen und angemessen darauf zu reagieren. Cybersicherheit ist ein sich ständig weiterentwickelndes Feld, und es ist wichtig, regelmäßig die Sicherheitsmaßnahmen an neue Bedrohungen und Technologien anzupassen. Durch die Förderung einer unauffälligen Sicherheitskultur schaffen Sie ein Umfeld, in dem sichere Verhaltensweisen zur Norm werden. Mitarbeitende werden dazu ermutigt, proaktiv auf Sicherheitsrisiken zu reagieren und Verantwortung für die Sicherheit des Unternehmens zu übernehmen.

3. Datensicherheit als oberste Priorität

Es ist keine Überraschung, dass sich die Geschäftsmodelle in den letzten zehn Jahren grundlegend verändert haben. Sie wurden zu fließenden, datenzentrierten, vernetzten Ökosystemen aus internen und externen Partnern und Dienstleistern. In dieser Welt der verteilten Datenverarbeitung sollten CISOs und Sicherheitsteams neuartige Ansätze verfolgen, um den Radius potenzieller Ausfälle oder Verstöße zu verringern, zum Beispiel ein Zero-Trust-Sicherheitsmodell, Secure Access Service Edge (SASE) und Cybersecurity-Mesh-Modelle.

Stellen Sie sicher, dass der Schutz von Daten oberste Priorität hat. Fokussieren Sie sich nicht nur auf den Schutz des Netzwerkperimeters, sondern auf den Schutz der Daten selbst, egal wo sie sich befinden. Implementieren Sie starke Verschlüsselung, Zugriffskontrollen und Überwachungsmechanismen, um die Vertraulichkeit, Integrität und Verfügbarkeit der Daten zu gewährleisten.

4. Neue Partnerschaften, neue Modelle

Die Zeiten, in denen sich Sicherheitsteams ausschließlich auf die Sicherheit der IT-Systeme ihres Unternehmens konzentrierten, sind vorbei. CISOs sollten wissen, wann sie auf die Bremse treten sollten, wann sie das Outsourcing von Cyber-Security-Bemühungen vorantreiben sollten und welche Fähigkeiten sie heute und in Zukunft intern behalten sollten. Sicherheit ist zu einer geschäftlichen Priorität geworden, die durch ein Modell der geteilten Verantwortung zwischen dem Unternehmen und den Dienstleistern umgesetzt wird. Arbeiten Sie mit anderen Organisationen und Branchen zusammen, um Best Practices und Standards für den Schutz von Daten zu entwickeln und zu fördern. Zusammenarbeit und der Austausch von Erfahrungen können dazu beitragen, die Sicherheit in der gesamten digitalen Landschaft zu verbessern.

5. Vertrauen in die Automatisierung

Im Wettlauf um Innovationen und die Nutzung neuer Technologien werden Bedenken in Bezug auf Sicherheit, Privatsphäre, Datenschutz und Ethik zwar immer mehr beachtet, aber noch zu oft ignoriert oder vergessen. Unkontrolliert könnte diese Nachlässigkeit dazu führen, dass Unternehmen ihr Potenzial sabotieren, insbesondere angesichts der sich abzeichnenden neuen KI-Datenschutzvorschriften. Legen Sie klare Verantwortlichkeiten fest und nehmen Sie die Verantwortung für die automatisierten Systeme wahr. Stellen Sie sicher, dass die Verantwortung für Fehler oder unerwartete Ergebnisse übernommen wird und Mechanismen zur Fehlerbehebung und Verbesserung vorhanden sind. Rechenschaftspflicht fördert das Vertrauen und zeigt, dass diejenigen, die die automatisierten Systeme entwickeln und einsetzen, für deren Ergebnisse verantwortlich sind.

6. Verantwortung für Produktsicherheit übernehmen

In praktisch allen Branchen verlagert sich der Schwerpunkt auf die Entwicklung netzwerkfähiger Dienste und die Verwaltung der zugehörigen Geräte. CISOs und ihre Teams werden in Diskussionen mit Technik-, Entwicklungs- und Produkt-Support-Teams einbezogen, da Unternehmen erkennen, dass auch die Produktsicherheit wichtig ist. CISOs und ihre Teams können wertvolle Einblicke und Lösungsvorschläge liefern, um Sicherheitsprobleme zu bewältigen. Sie können beim Entwickeln von Sicherheitsrichtlinien, Implementieren von Sicherheitskontrollen und Durchführen von Sicherheitstests unterstützen. Durch ihre Zusammenarbeit mit anderen Teams können sie dazu beitragen, dass Sicherheitsaspekte effektiv berücksichtigt werden, ohne die Produktivität oder Benutzererfahrung zu beeinträchtigen. Die Einbeziehung von CISOs und ihren Teams ist ein wesentlicher Schritt, um sicherzustellen, dass die Produktsicherheit angemessen berücksichtigt wird. Dies führt zu sichereren Produkten, stärkt das Vertrauen der Kunden und minimiert das Risiko von Sicherheitsverletzungen und Datenlecks.

7. Bekämpfung von agilen Angreifenden

Die Zeitspanne von der ersten Kompromittierung bis zur unternehmensweiten Aktivierung von Ransomware wird immer kürzer. Cyberkriminelle und staatlich geförderte Angreifende können zunehmend mit automatisierten Werkzeugen in Systeme eindringen. Diese Werkzeuge ermöglichen es ihnen, Unternehmen in großem Maßstab anzugreifen, Schwachstellen zu identifizieren und zu exploitieren sowie Schadsoftware zu verbreiten, ohne dass eine manuelle Interaktion erforderlich ist. Dies führt zu einer erhöhten Effizienz und Geschwindigkeit von Angriffen.

Angesichts dieser Herausforderungen ist es für Unternehmen von entscheidender Bedeutung, proaktive Maßnahmen zu ergreifen, um sich vor automatisierten Angriffen zu schützen. Durch eine Kombination aus technischen Sicherheitsmaßnahmen, Schulungen und Überwachung können CISOs die Verteidigungsfähigkeiten ihres Unternehmens gegenüber automatisierten Cyberattacken stärken und das Risiko eines erfolgreichen Einbruchs verringern.

8. Resilient sein, wenn – und wo – es darauf ankommt

Jedes Sicherheitssystem ist mit Mängeln behaftet. Es ist unvermeidlich, dass ein Unternehmen irgendwann von einem größeren oder kleineren Cyber-Security-Vorfall betroffen sein wird, und wahrscheinlich sogar von mehreren. Die Aufsichtsbehörden konzentrieren sich zunehmend auf plausible Szenarien und drängen Unternehmen – vor allem solche in strategisch wichtigen Branchen wie Energie, Finanzen und Gesundheitswesen – dazu, widerstandsfähig zu werden und sich für den Ernstfall zu wappnen. Die Vorbereitung auf Sicherheitsvorfälle und die Stärkung der Widerstandsfähigkeit sind kontinuierliche Prozesse. Indem Unternehmen sich auf plausible Szenarien konzentrieren und ihre Sicherheitsmaßnahmen entsprechend ausrichten, können sie besser darauf vorbereitet sein, Sicherheitsvorfälle zu bewältigen und die Auswirkungen zu minimieren.

In der globalen KPMG-Studie „Überlegungen zur Cybersicherheit 2023“ erfahren Sie, welche Maßnahmen Ihr Unternehmen ergreifen sollte, damit Sicherheit der rote Faden des Unternehmens wird. Jetzt herunterladen: Cybersecurity considerations 2023 – KPMG Global.