CEOs halten Cyberrisiken für die größten Gefahr für ihre Unternehmen. Das belegt unser CEO-Outlook, für den wir Hunderte Unternehmensentscheider:innen weltweit befragt haben.
Gleichzeitig zeigen unsere Gespräche mit Kunden, dass viele ihre Maßnahmen zur IT-Sicherheit falsch bewerten. „Wir sind bestens auf Attacken aus dem Netz vorbereitet“, höre ich oft. Bei genauem Hinschauen zeigt sich dann, dass viele ihre Cyber Security überschätzen. Deshalb empfehle ich, gehen Sie Schritt für Schritt vor, um die Bedrohungslage inklusive regulatorischer Implikationen genau zu erfassen und entsprechende technische, aber auch organisatorisch-prozessuale Maßnahmen zu implementieren:
Kennen Sie Ihr Unternehmen
Meine Praxiserfahrung aus Jahrzehnten zeigt, dass insbesondere hier der Überblick der Geschäftsführer, Chief Executive Officer und Manager:innen nicht so gut ist, wie er sein sollte, um entstehende Cyberrisiken rechtzeitig sicher zu erkennen und zu bewältigen. Schauen Sie also noch einmal genau hin, prüfen Sie, welche Daten wo verarbeitet und gespeichert werden. Wer hat welche Zugriffsrechte und welche Geschäftsprozesse sind besonders wichtig? Wie könnte es Ihnen schaden, wenn die Daten entweder nicht mehr verfügbar sind, manipuliert werden oder an Mitbewerber bzw. die Öffentlichkeit gelangen können.
Bewerten Sie Ihre Cyber-Risiken
Auf Basis dieses Wissens, sollten Sie mögliche Risiken erkennen und wenn möglich auch quantitativ bewerten. Fahren Sie dazu einen sogenannten All-Gefahren-Ansatz, bei dem Sie möglichst alle Angriffsvektoren betrachten. Häufig versenden Angreifer:innen Emails an Mitarbeitende, die vertrauenswürdig erscheinen, aber Schadsoftware enthalten, um Infrastruktur lahmzulegen und Daten zu stehlen. Doch auch von anderswo drohen Gefahren, Stichwort: Binnentäter:in. Und auch Ihre Software kann ein Einfallstor für Täter:innen sein. Meiner Erfahrung nach, ist der Blick auf Risiken oft zu eingeschränkt. Was Unternehmen zum Schutz gegen Hacker brauchen, ist eine 360-Grad-Analyse möglicher Gefahren.
Prüfen Sie Ihre Lieferanten auf Sicherheitslücken
Sobald Sie von Lieferanten abhängig sind, sollten Sie auch deren Cybersicherheit mitdenken. Unsere Erfahrung zeigt, dass immer öfter kleinere Zulieferer attackiert werden, mit dem Ziel hiervon betroffene Konzerne zu erpressen. Behalten Sie also Ihre gesamte Lieferkette im Auge, um sich vor Cyber-Angriffen zu schützen. Gerade, wenn sie sehr international aufgestellt sind, ist das komplex, aber gerade dort ist die IT-Infrastruktur anfällig. Stellen Sie eine Liste auf und identifizieren Sie besonders kritische Geschäftspartner:innen. Fordern Sie entsprechende Sicherheitszertifikate ein, überprüfen Sie diese oder führen Sie selber Lieferantenaudits durch.
Implementieren Sie Kontrollpunkte und setzen Sie auf Automatisierung
Jetzt – mit einem guten Überblick über alle Risiken – sollten Sie kritisch hinterfragen, ob Ihre bisherigen Sicherheitsmaßnahmen, Passwörter, Firewalls usw. ausreichen, um den Ernstfall zu verhindern. Falls nicht, rüsten Sie zügig nach. Definieren und implementieren Sie darüber hinaus prozessuale und technische Kontrollen dieser Sicherheitsmaßnahmen. Setzen Sie dabei auf Automatisierung, denn häufig können neue Technologien die Rolle der Aufpasser:in und Verteidiger:in besser übernehmen.
Setzen Sie auf einen CISO, der über den Tellerrand hinausblickt
Die meisten unserer Kunden haben bereits einen Chief Information Security Officer oder zumindest Verantwortliche für den Bereich Cyber-Sicherheit definiert. Um ihre Arbeit gut zu machen, sollten diese auf Augenhöhe mit dem Vorstand kommunizieren und ihren Horizont deutlich über die IT hinaus erweitern. Das bedeutet, stets auch Kosten und allgemeine Unternehmensinteressen mitzudenken. Ebenso wichtig ist es, dass auch alle übrigen Mitarbeiter Cyberrisiken mitdenken – und zwar bei allem, was sie tun. Kurz: Cybersicherheit muss in die Unternehmens-DNA eingewebt werden. Der CISO spielt bei diesem Transformationsprozess eine zentrale Rolle.
Berücksichtigen Sie diese Maßnahmen, sind Sie auf einem guten Weg. Null Risiko kann Ihnen zwar niemand versprechen, aber Sie sollten jetzt zumindest gut schlafen können. Und noch ein Tipp zum Schluss: Speichern Sie sich die Nummer eines IT-Forensikers oder einer IT-Forensikerin und schließen Sie am besten einen Rahmenvertrag ab. Damit Sie nicht erst im Ernstfall anfangen müssen, danach zu suchen.