CEOs halten Cyberrisiken für die größten Gefahr für ihre Unternehmen. Das belegt unser CEO-Outlook, für den wir Hunderte Unternehmensentscheider:innen weltweit befragt haben.

Gleichzeitig zeigen unsere Gespräche mit Kunden, dass viele ihre Maßnahmen zur IT-Sicherheit falsch bewerten. „Wir sind bestens auf Attacken aus dem Netz vorbereitet“, höre ich oft. Bei genauem Hinschauen zeigt sich dann, dass viele ihre Cyber Security überschätzen. Deshalb empfehle ich, gehen Sie Schritt für Schritt vor, um die Bedrohungslage inklusive regulatorischer Implikationen genau zu erfassen und entsprechende technische, aber auch organisatorisch-prozessuale Maßnahmen zu implementieren:

Kennen Sie Ihr Unternehmen

Meine Praxiserfahrung aus Jahrzehnten zeigt, dass insbesondere hier der Überblick der Geschäftsführer, Chief Executive Officer und Manager:innen nicht so gut ist, wie er sein sollte, um entstehende Cyberrisiken rechtzeitig sicher zu erkennen und zu bewältigen. Schauen Sie also noch einmal genau hin, prüfen Sie, welche Daten wo verarbeitet und gespeichert werden. Wer hat welche Zugriffsrechte und welche Geschäftsprozesse sind besonders wichtig? Wie könnte es Ihnen schaden, wenn die Daten entweder nicht mehr verfügbar sind, manipuliert werden oder an Mitbewerber bzw. die Öffentlichkeit gelangen können.

Bewerten Sie Ihre Cyber-Risiken

Auf Basis dieses Wissens, sollten Sie mögliche Risiken erkennen und wenn möglich auch quantitativ bewerten. Fahren Sie dazu einen sogenannten All-Gefahren-Ansatz, bei dem Sie möglichst alle Angriffsvektoren betrachten. Häufig versenden Angreifer:innen Emails an Mitarbeitende, die vertrauenswürdig erscheinen, aber Schadsoftware enthalten, um Infrastruktur lahmzulegen und Daten zu stehlen. Doch auch von anderswo drohen Gefahren, Stichwort: Binnentäter:in. Und auch Ihre Software kann ein Einfallstor für Täter:innen sein. Meiner Erfahrung nach, ist der Blick auf Risiken oft zu eingeschränkt. Was Unternehmen zum Schutz gegen Hacker brauchen, ist eine 360-Grad-Analyse möglicher Gefahren.

Prüfen Sie Ihre Lieferanten auf Sicherheitslücken

Sobald Sie von Lieferanten abhängig sind, sollten Sie auch deren Cybersicherheit mitdenken. Unsere Erfahrung zeigt, dass immer öfter kleinere Zulieferer attackiert werden, mit dem Ziel hiervon betroffene Konzerne zu erpressen. Behalten Sie also Ihre gesamte Lieferkette im Auge, um sich vor Cyber-Angriffen zu schützen. Gerade, wenn sie sehr international aufgestellt sind, ist das komplex, aber gerade dort ist die IT-Infrastruktur anfällig. Stellen Sie eine Liste auf und identifizieren Sie besonders kritische Geschäftspartner:innen. Fordern Sie entsprechende Sicherheitszertifikate ein, überprüfen Sie diese oder führen Sie selber Lieferantenaudits durch.

Implementieren Sie Kontrollpunkte und setzen Sie auf Automatisierung

Jetzt – mit einem guten Überblick über alle Risiken – sollten Sie kritisch hinterfragen, ob Ihre bisherigen Sicherheitsmaßnahmen, Passwörter, Firewalls usw. ausreichen, um den Ernstfall zu verhindern. Falls nicht, rüsten Sie zügig nach. Definieren und implementieren Sie darüber hinaus prozessuale und technische Kontrollen dieser Sicherheitsmaßnahmen. Setzen Sie dabei auf Automatisierung, denn häufig können neue Technologien die Rolle der Aufpasser:in und Verteidiger:in besser übernehmen.

Setzen Sie auf einen CISO, der über den Tellerrand hinausblickt

Die meisten unserer Kunden haben bereits einen Chief Information Security Officer oder zumindest Verantwortliche für den Bereich Cyber-Sicherheit definiert. Um ihre Arbeit gut zu machen, sollten diese auf Augenhöhe mit dem Vorstand kommunizieren und ihren Horizont deutlich über die IT hinaus erweitern. Das bedeutet, stets auch Kosten und allgemeine Unternehmensinteressen mitzudenken. Ebenso wichtig ist es, dass auch alle übrigen Mitarbeiter Cyberrisiken mitdenken – und zwar bei allem, was sie tun. Kurz: Cybersicherheit muss in die Unternehmens-DNA eingewebt werden. Der CISO spielt bei diesem Transformationsprozess eine zentrale Rolle.

Berücksichtigen Sie diese Maßnahmen, sind Sie auf einem guten Weg. Null Risiko kann Ihnen zwar niemand versprechen, aber Sie sollten jetzt zumindest gut schlafen können. Und noch ein Tipp zum Schluss: Speichern Sie sich die Nummer eines IT-Forensikers oder einer IT-Forensikerin und schließen Sie am besten einen Rahmenvertrag ab. Damit Sie nicht erst im Ernstfall anfangen müssen, danach zu suchen.

Wilhelm Dolle

Partner, Consulting, Head of Cyber Security

Kontaktieren Sie mich

Wilhelm Dolle

Partner, Consulting, Head of Cyber Security

Kontaktieren Sie mich

Cyber-Sicherheitslücken aufdecken

Wie gut sind die Daten Ihres Unternehmens geschützt?

Nutzen Sie diese Business Analytics, um eine fähigkeitsgradbezogene Bewertung Ihrer Sicherungsmaßnahmen durchzuführen.

Jetzt Bewertung durchführen

Was der EU AI Act für Unternehmen bedeutet

Das Metaverse bietet dem Einzelhandel enormes Absatzpotenzial

Change Management aus der Mitte

Fünf Trends in der Cloud-Nutzung

Die Zeit für eine nachhaltige Corporate Governance ist gekommen

S/4HANA: Mit der Einführung mutig vorangehen und die Resilienz erhöhen

Derisking statt Decoupling – ein neuer Ansatz gegenüber China?

So sollte die Logistikbranche auf das Lieferkettengesetz reagieren

Themen-Hubs

Financial Services Hub

Customer Insights Hub

Capital-Markets-Insights Hub

Financial Services Hub

Customer Insights Hub

Capital-Markets-Insights Hub

Cyber-Sicherheit: Checkliste für CEOs

Unternehmen überschätzen ihre Sicherheitsmaßnahmen oft. Haben Sie an alles gedacht?

Kennen Sie Ihr Unternehmen

Bewerten Sie Ihre Cyber-Risiken

Prüfen Sie Ihre Lieferanten auf Sicherheitslücken

Implementieren Sie Kontrollpunkte und setzen Sie auf Automatisierung

Setzen Sie auf einen CISO, der über den Tellerrand hinausblickt

Wilhelm Dolle

Wilhelm Dolle

Cyber-Sicherheitslücken aufdecken

Cybersecurity: Wenn Hacker Betriebssysteme von Autos knacken

Cyber Security: Vier goldene Regeln und ein Hühnerstall

5 strategische Maßnahmen für mehr Cybersicherheit in der neuen Normalität