Cyber-Sicherheit: Checkliste für CEOs

Unternehmen überschätzen ihre Sicherheitsmaßnahmen oft. Haben Sie an alles gedacht?

Keyfacts

  • CEOs wissen um das hohe Risiko, sind aber nicht ausreichend vorbereitet.
  • Sie brauchen eine 360-Grad-Analyse möglicher Gefahren, die neben Daten auch Mitarbeitende und Lieferketten miteinbezieht.
  • Chief Information Security Officer sollten über den Tellerrand schauen und alle Unternehmensinteressen im Blick haben.
Wilhelm Dolle
  • Partner, Security Consulting
Mehr über meine Themen Nachricht schreiben

CEOs halten Cyberrisiken für die größten Gefahr für ihre Unternehmen. Das belegt unser CEO-Outlook, für den wir Hunderte Unternehmensentscheider:innen weltweit befragt haben.

Gleichzeitig zeigen unsere Gespräche mit Kunden, dass viele ihre Sicherheitsmaßnahmen falsch bewerten. „Wir sind bestens auf Attacken aus dem Netz vorbereitet“, höre ich oft. Bei genauem Hinschauen zeigt sich dann, da überschätzen sich viele. Deshalb empfehle ich, gehen Sie Schritt für Schritt vor, um die Bedrohungslage inklusive regulatorischer Implikationen genau zu erfassen und entsprechende technische, aber auch organisatorisch-prozessuale Maßnahmen zu implementieren:

Kennen Sie Ihr Unternehmen

Meine Praxiserfahrung aus Jahrzehnten zeigt, dass insbesondere hier der Überblick der Unternehmensentscheider:innen nicht so gut ist, wie er sein sollte, um entstehende Cyberrisiken rechtzeitig sicher zu erkennen und zu bewältigen. Schauen Sie also noch einmal genau hin, prüfen Sie, welche Daten wo verarbeitet und gespeichert werden. Wer hat welche Zugriffsrechte und welche Geschäftsprozesse sind besonders wichtig? Wie könnte es Ihnen schaden, wenn die Daten entweder nicht mehr verfügbar sind, manipuliert werden  oder an  Mitbewerber bzw. die Öffentlichkeit gelangen können.

Bewerten Sie Ihre Risiken

Auf Basis dieses Wissens, sollten Sie mögliche Risiken erkennen und wenn möglich auch quantitativ bewerten. Fahren Sie dazu einen sogenannten All-Gefahren-Ansatz, bei dem Sie möglichst alle Angriffsvektoren betrachten. Häufig versenden Angreifer:innen Emails an Mitarbeitende, die vertrauenswürdig erscheinen, aber Schadsoftware enthalten, um Infrastruktur lahmzulegen und Daten zu stehlen. Doch auch von anderswo drohen Gefahren, Stichwort: Binnentäter:in. Und auch Ihre Software kann ein Einfallstor für Täter:innen sein. Meiner Erfahrung nach, ist der Blick auf Risiken oft zu eingeschränkt. Was Unternehmen brauchen ist eine 360-Grad-Analyse möglicher Gefahren.

Prüfen Sie Ihre Lieferanten

Sobald Sie von Lieferanten abhängig sind, sollten Sie auch deren Cybersicherheit mitdenken. Unsere Erfahrung zeigt, dass immer öfter kleinere Zulieferer attackiert werden, mit dem Ziel hiervon betroffene Konzerne zu erpressen. Behalten Sie also Ihre gesamte Lieferkette im Auge. Stellen Sie eine Liste auf und identifizieren Sie besonders kritische Geschäftspartner:innen. Fordern Sie entsprechende Sicherheitszertifikate ein, überprüfen Sie diese oder führen Sie selber Lieferantenaudits durch.

Implementieren Sie Maßnahmen und setzen Sie auf Automatisierung

Jetzt – mit einem guten Überblick über alle Risiken – sollten Sie kritisch hinterfragen, ob Ihre bisherigen Sicherheitsmaßnahmen, Passwörter, Firewalls usw. ausreichen, um den Ernstfall zu verhindern. Falls nicht, rüsten Sie zügig nach. Definieren und implementieren Sie darüber hinaus prozessuale und technische Kontrollen dieser Sicherheitsmaßnahmen. Setzen Sie dabei auf Automatisierung, denn häufig können neue Technologien die Rolle der Aufpasser:in und Verteidiger:in besser übernehmen.

Setzen Sie auf einen CISO, der über den Tellerrand hinausblickt

Die meisten unserer Kunden haben bereits einen Chief Information Security Officer oder zumindest Verantwortliche für den Bereich Cyber-Sicherheit definiert. Um ihre Arbeit gut zu machen, sollten diese auf Augenhöhe mit dem Vorstand kommunizieren und ihren Horizont deutlich über die IT hinaus erweitern. Das bedeutet, stets auch Kosten und allgemeine Unternehmensinteressen mitzudenken. Ebenso wichtig ist es, dass auch alle übrigen Mitarbeiter Cyberrisiken mitdenken – und zwar bei allem, was sie tun. Kurz: Cybersicherheit muss in die Unternehmens-DNA eingewebt werden. Der CISO spielt bei diesem Transformationsprozess eine zentrale Rolle.

Berücksichtigen Sie diese Maßnahmen, sind Sie auf einem guten Weg. Null Risiko kann Ihnen zwar niemand versprechen, aber Sie sollten jetzt zumindest gut schlafen können. Und noch ein Tipp zum Schluss: Speichern Sie sich die Nummer eines IT-Forensikers oder einer IT-Forensikerin und schließen Sie am besten einen Rahmenvertrag ab. Damit Sie nicht erst im Ernstfall anfangen müssen, danach zu suchen.

Wilhelm Dolle
  • Partner, Security Consulting
Mehr über meine Themen Nachricht schreiben