Wie Ritter ohne Schwert: Chief Information Security Officer (CISO) sind in Unternehmen angestellt, um für Cyber Security zu sorgen. Sie wurden von der Entscheiderebene lange Zeit jedoch wenig ernstgenommen und von ihnen empfohlene Maßnehmen für mehr IT-Sicherheit kaum umgesetzt.
Das hat sich mit dem jüngst verschärften IT-Sicherheitsgesetz deutlich geändert. Manche Chief Information Security Officer (CISO) berichten mir, sie hätten regelrecht aufgeatmet, als es endlich in Kraft war. Denn jetzt sind zahlreiche Unternehmen rechtlich gezwungen, sich vor Angriffen aus dem Netz zu schützen, indem sie zum Beispiel Systeme zur Angriffserkennung installieren und diese auch regelmäßig prüfen. Dies sorgt für mehr Sicherheit. Dennoch bleibt der Job als Security Officer eine Herausforderung. Schon aufgrund der sich stetig verändernden Informationen zur Bedrohungslage, steigender regulatorischer Vorgaben oder auch unvorsichtiger Mitarbeitender, die immer wieder maliziöse Mails öffnen. Rückblickend auf rund dreißig Jahre in der Branche, rate ich Chief Information Security Officern (CISO) daher vor allem Folgendes:
1) Nehmen Sie Software-Updates sehr ernst
Erhören Sie die Informationssicherheit, indem Sie gewissenhaft alle Patches aufspielen. Das heißt, machen Sie es zu Ihrer Aufgabe, fällige Software-Updates für Anwendungen oder Betriebssysteme zu installieren, um Fehler zu reparieren oder Security-Lücken zu schließen. Was simpel klingt, ist tatsächlich eine große Herausforderung, vor allem, wenn neben Office-Anwendungen auch Geräte der industriellen Herstellung betroffen sind. Denn manche dieser Systeme verlieren mit Patches die Garantie ihrer Hersteller. Hinzu kommt die lange Lebensdauer einiger Produktionsmaschinen, die entsprechend wenig mit neuer Software kompatibel sind. Tatsächlich stehen in vielen deutschen Unternehmen Geräte, die in den 80ern designt, in den 90ern gebaut – und bis heute unverändert im Einsatz sind. Mit der fortschreitenden technologischen Entwicklung und digitalen Transformation sind auch diese immer häufiger an vernetzte Systeme angeschlossen – und werden so zum Risiko für Informationssicherheit. Werden sie gehackt, stehen sie schnell still – und damit im schlimmsten Fall die gesamte Produktion. Hier hilft dann nur noch eine konsequente Netzwerkseparation und Kontrolle der Kommunikationskanäle zwischen beiden Welten, das heißt Büros und Produktion.
2) Bleiben Sie auf dem Laufenden
Verlassen Sie sich nie vollständig auf die bestehenden Cyber-Security-Maßnahmen Ihres Unternehmens bzw. der IT-Abteilung. Als Chief Information Security Officer (CISO) ist es Ihre Aufgabe, sich im Sinne der Informationssicherheit laufend über die immer neuen Angriffsmethoden der Kriminellen auf dem Laufenden zu halten und präventiv Informationen einzuholen. Aktuell etwa greifen Cyber-Kriminelle vermehrt kleinere Zulieferer und Organisationen an. Denn diese sind auf Attacken oft noch immer nicht vorbereitet. Es fehlen das Know-how, eine IT-Security-Strategie, IT Security Management oder IT-Sicherheitsbeauftragte. Doch wird die Produktion etwa durch Ransomware lahmgelegt, kann dies auch Großkonzerne empfindlich treffen. Diese sind auf die Zulieferer angewiesen und daher – so das Kalkül der Angreifer:innen – bereit und in der Lage, für sie Lösegelder zu zahlen. Das heißt, Chief Information Security Officer sollten auch das Business genau im Blick haben, wissen, weitere Informationen darüber einholen, von welchen Zulieferern sie abhängen – und sich auch von deren Cyber Security überzeugen.
3) Haben Sie einen Notfallplan für Ihre Organisation.
Wenn Sie erfolgreich attackiert wurden, ist es zu spät, um zu überlegen, wie sie und das Management optimal vorgehen. Entscheiden Sie daher vorab, was genau passieren soll, wenn etwa ihre Produktionsanlage stillsteht, übliche Kommunikationswege ausfallen oder Sie aufgefordert werden, Lösegeld zu zahlen. Dabei ist Letzteres übrigens keine gute Idee. Denn überweisen Sie finanzielle Mittel an Kriminelle, finanzieren Sie hiermit womöglich andere Aktivitäten und Organisationen, die nicht nur moralisch problematisch sind, sondern auch immense Reputationsschäden für Ihr Unternehmen verursachen, sollten sie an die Öffentlichkeit gelangen.
Befolgen Chief Information Security Officer (CISO) diese Ratschläge, haben sie bereits sehr viel getan, um ihr Unternehmen vor Cyber-Risiken zu schützen und die IT-Sicherheit zu erhöhen. Wie eingangs erwähnt, hat sich mit dem IT-Sicherheitsgesetz in der deutschen Unternehmerlandschaft in Sachen Cyber-Sicherheit bereits viel zum Besseren verändert. Allerdings sind von dessen Vorgaben vor allem kleinere Unternehmen gar nicht betroffen. Hier ist es als Chief Information Security Officer (CISO) also weiterhin Ihre Aufgabe, das Management zu überzeugen: Cyber-Sicherheit muss sein.