Fünf wichtige Cybersicherheitslektionen für Ihren CEO

Informationssicherheit ist vor allem eines: stressig! Die ständige Suche nach potenziellen Vorfällen und chronisch lange Arbeitszeiten werden durch einen endlosen Kampf mit anderen Abteilungen verstärkt, die Cybersicherheit als unnötiges Ärgernis betrachten. Diese versuchen bestenfalls, nicht darüber nachzudenken, aber in besonders schwerwiegenden Fällen vermeiden sie alles, was mit Cybersicherheit zu tun hat. Als logische Folge geben 62 % der von Kaspersky befragten Top-Manager zu, dass Missverständnisse zwischen Sicherheitsabteilungen zu schwerwiegenden Cybervorfällen geführt haben. Um die Einstellung eines Unternehmens zur Informationssicherheit zu ändern, ist es entscheidend, die größtmögliche Unterstützung durch den Vorstand zu erhalten. Was also können Sie vielbeschäftigten CEOs und Vorsitzenden sagen, die selten Lust haben, über Informationssicherheit nachzudenken? Hier sind fünf leicht verdauliche Kernaussagen, die Sie bei Meetings so lange wiederholen können, bis die die Botschaft bei der Geschäftsleitung angekommen ist.

Cybersicherheitstraining für das gesamte Team – angefangen auf C-Ebene

Jedes Training setzt Vertrauen in den Lehrer voraus, was schwierig sein kann, wenn der Schüler der CEO ist. Eine zwischenmenschliche Brücke zu errichten und Glaubwürdigkeit zu erlangen, ist oftmals einfacher, wenn man nicht mit der Strategie, sondern mit der persönlichen Cybersicherheit des Top-Managements beginnt. Dies wirkt sich direkt auf die Sicherheit des gesamten Unternehmens aus, denn die persönlichen Daten und Passwörter des CEO sind häufig das Ziel von Angreifern.

Werfen wir beispielsweise einen Blick auf den Skandal Ende 2022 in den USA, als Angreifer in das soziale VIP-Netzwerk Infragard eindrangen, das vom FBI genutzt wird, um CEOs großer Unternehmen vertraulich über die schwerwiegendsten Cyberbedrohungen zu informieren. Im Rahmen dieses Angriffs entwendeten die Hacker eine Datenbank mit den E-Mail-Adressen und Telefonnummern von mehr als 80.000 Mitgliedern und boten diese für 50.000 US-Dollar zum Verkauf an. Mit diesen Kontaktinformationen bewaffnet, hätten die Käufer der Daten das Vertrauen der betroffenen CEOs gewinnen oder sie für BEC-Angriffe nutzen können.

Vor diesem Hintergrund sollte die Geschäftsleitung auf allen Geräten die Zwei-Faktor-Authentifizierung mit USB- oder NFC-Token nutzen, lange, eindeutige Passwörter für alle Arbeitskonten verwenden, geeignete Software einsetzen, um alle persönlichen und geschäftlichen Geräte zu schützen und berufliche und private digitale Dinge voneinander trennen. Im Grunde genommen die üblichen Tipps, die auch vorsichtigen Nutzern mit auf den Weg gegeben werden, aber verstärkt durch das Bewusstsein für die potenziellen Kosten eines Fehlers. Zudem ist es unerlässlich, alle verdächtigen E-Mails und Anhänge doppelt zu überprüfen. Einige Führungskräfte benötigen möglicherweise die Hilfe von Informationssicherheitsmitarbeitern, um mit besonders fragwürdigen Links und Dateien umzugehen.

Sobald das Management die wichtigsten Sicherheitslektionen verstanden hat, können Sie es sanft an strategische Entscheidungen über regelmäßige Informationssicherheitsschulungen für das gesamte Unternehmen heranführen. Jede Mitarbeiterebene hat unterschiedliche Wissensanforderungen. Jeder, einschließlich der Frontline-Mitarbeiter, sollte sich der oben genannten Cyber-Hygieneregeln und Tipps zum Umgang mit fragwürdigen oder ungewöhnlichen Situationen bewusst sein. Manager (insbesondere im IT-Bereich) müssen sich fragen, wie Sicherheit in die Produktentwicklung und den Nutzungslebenszyklus integriert ist, welche Sicherheitsrichtlinien die Abteilung implementieren sollte und wie sich diese auf die Geschäftsleistung auswirken können. Umgekehrt sollten die Mitarbeiter der IT-Abteilung selbst die im Unternehmen angewandten Geschäftsprozesse studieren, um ein besseres Gefühl dafür zu bekommen, wie sich die erforderlichen Schutzmaßnahmen problemlos integrieren lassen.

Fünf wichtige Cybersicherheitslektionen für Ihren CEO. #ITSecurity

Tweet

Integration der Cybersicherheit in Unternehmensstrategien und -prozesse

Mit der Digitalisierung der Wirtschaft, der zunehmenden Ausgereiftheit der Cyberkriminalität und strengeren Vorschriften ist das Management von Cyberrisiken zu einer Top-Priorität auf Vorstandsebene geworden. Sie hat technische, menschliche, finanzielle, rechtliche und organisatorische Dimensionen, sodass Führungskräfte in all diesen Bereichen an der Koordinierung der Unternehmensstrategie und -prozesse beteiligt sein müssen.

Wie kann man das Risiko von Lieferanten- und Auftragnehmer-Hacking minimieren, um nicht schnell zum Sekundärziel zu werden? Welche Branchengesetze gelten für die Speicherung und Offenlegung sensibler Daten wie z. B. persönliche Kundendaten? Welche betrieblichen Auswirkungen hätte ein Ransomware-Angriff, bei dem alle Computer blockiert und bereinigt werden, und wie lange würde es dauern, sie anhand von Backups wiederherzustellen? Lässt sich der Reputationsschaden in Geld messen, wenn ein Angriff auf uns bei Partnern und in der Öffentlichkeit bekannt wird? Welche zusätzlichen Sicherheitsmaßnahmen ergreifen wir, um Ihre Remote-Mitarbeiter zu schützen? Das sind die Fragen, mit denen sich Informationssicherheitsdienste und Experten anderer Abteilungen befassen müssen, gestützt von organisatorischen und technischen Maßnahmen.

Es ist wichtig, das Management daran zu erinnern, dass „der Kauf dieses [oder jenes] Schutzsystems“ kein Allheilmittel für all diese Probleme ist, da nach verschiedenen Schätzungen zwischen 46 % und 77 % aller Vorfälle auf den Faktor Mensch zurückzuführen sind: von der Nichteinhaltung von Vorschriften über böswillige Insider bis hin zu mangelnder IT-Transparenz seitens der Auftragnehmer.

Trotzdem werden sich Fragen der Informationssicherheit immer um das Budget drehen.

Angemessene Budgetverteilung

Die Budgets für Informationssicherheit sind immer knapp, aber die zu lösenden Probleme in diesem Bereich scheinen endlos. Es ist wichtig, Prioritäten basierend auf den Anforderungen jeder Branche und den Bedrohungen zu setzen, die für das Unternehmen am relevantesten sind und das Potenzial haben, den größten Schaden anzurichten. Dies kann in nahezu jedem Bereich erfolgen, von der Schließung von Schwachstellen bis hin zur Mitarbeiterschulung. Keiner kann ignoriert werden und jeder Bereich hat seine eigenen Prioritäten. Unter Berücksichtigung des zugewiesenen Budgets schaffen wir zunächst größere Risiken aus der Welt und gehen dann zu weniger wahrscheinlichen Risiken über. Es ist fast unmöglich, die Risikowahrscheinlichkeiten selbst einzuordnen. Daher sollten Berichte über die Bedrohungslandschaft der Branche herangezogen werden, um typische Angriffsvektoren zu analysieren.

Richtig interessant wird es natürlich erst, wenn das Budget erweitert werden muss. Der sinnvollste, aber auch arbeitsintensivste Ansatz für die Budgetierung ist der, der sich an den Risiken und den jeweiligen Kosten für deren Realisierung bzw. Minimierung orientiert. Beispiele aus der Praxis – idealerweise aus der Erfahrung von Wettbewerbern – spielen eine wichtige unterstützende Rolle bei Gesprächen mit der Chefetage. Leider ist es gar nicht so einfach an solche Praxisbeispiele zu gelangen, weshalb häufig auf verschiedene Benchmarks zurückgegriffen wird, die durchschnittliche Budgets für einen bestimmten Geschäftsbereich und ein bestimmtes Land darstellen.

Berücksichtigung aller Risiken

Diskussionen über die Informationssicherheit legen ihren Fokus in der Regel zu sehr auf Hacker und Softwarelösungen zu deren Bekämpfung. Viele Unternehmen sind jedoch im Alltag mit anderen Risiken konfrontiert, die ebenfalls die Informationssicherheit betreffen.

Eines der größten Risiken der letzten Jahre war zweifellos das Risiko, gegen Gesetze zur Erhebung und Verwendung personenbezogener Daten zu verstoßen: DSGVO, CCPA und dergleichen. Aktuelle Strafverfolgungspraktiken zeigen, dass es keine Option ist, sie zu ignorieren: Früher oder später wird die Aufsichtsbehörde ein Bußgeld verhängen, und in vielen Fällen – vor allem in Europa – geht es hierbei um wirklich erhebliche Summen. Eine noch beunruhigendere Aussicht für Unternehmen ist die Verhängung von umsatzabhängigen Bußgeldern für Datenlecks oder den falschen Umgang mit personenbezogenen Daten, so dass eine umfassende Prüfung der Informationssysteme und -prozesse mit Blick auf die schrittweise Beseitigung von Verstößen in der Tat mehr als angebracht wäre.

Diverse Branchen haben ihre eigenen, noch strengeren Kriterien, insbesondere der Finanz-, Telekommunikations- und Medizinsektor sowie Betreiber kritischer Infrastrukturen. Es muss eine regelmäßig überwachte Aufgabe der Führungskräfte in diesen Bereichen sein, die Einhaltung der Vorschriften in ihren Abteilungen zu verbessern.

Richtig reagieren

Leider können Cybersicherheitsvorfälle trotz aller Anstrengungen kaum vermieden werden. Ist das Ausmaß eines Angriff jedoch so groß, dass dieser die Aufmerksamkeit der Vorstandsetage auf sich zieht, hat dies meist mit ziemlicher Sicherheit eine Unterbrechung des Betriebs oder den Verlust wichtiger Daten zur Folge. Nicht nur die Informationssicherheit, sondern auch die Geschäftsbereiche müssen auf solche Szenarien bestens vorbereitet sein, im Idealfall durch regelmäßige Trainings und Simulationen. Im Ernstfall sollte zumindest die Geschäftsleitung die Reaktionsverfahren kennen und befolgen, um die Chancen auf einen positiven Ausgang zu steigern und nicht zu minimieren. Für den CEO gelten dabei 3 essenzielle Schritte:

1. Die Schlüsselparteien sollten umgehend über einen Vorfall benachrichtigt werden; je nach Kontext: Finanz- und Rechtsabteilungen, Versicherer, Branchenregulierungsbehörden, Datenschutzbehörden, Strafverfolgungsbehörden, betroffene Kunden. In vielen Fällen ist der Zeitrahmen für eine solche Benachrichtigung gesetzlich festgelegt. Ist das nicht der Fall, sollte er dennoch in den internen Vorschriften etabliert werden. Eine Meldung sollte immer unverzüglich, aber informativ erfolgen. D. h. vor der Meldung müssen Informationen über die Art des Vorfalls gesammelt werden, einschließlich einer ersten Einschätzung des Ausmaßes und der getroffenen Erstreaktionsmaßnahmen.
2. Untersuchen Sie den Vorfall. Es ist wichtig, verschiedene Maßnahmen zu ergreifen, um das Ausmaß und die Auswirkungen des Angriffs richtig einschätzen zu können. Neben rein technischen Maßnahmen sind beispielsweise auch Befragungen unter Mitarbeitern wichtig. Während der Untersuchung ist es besonders wichtig, digitale Beweise für den Angriff oder andere Artefakte nicht zu beschädigen. In vielen Fällen macht es Sinn, externe Experten mit in die Untersuchung und Bereinigung des Vorfalls einzubeziehen.
3. Erstellen Sie einen Kommunikationsplan. Ein typischer Fehler, den Unternehmen machen, ist der Versuch, einen Vorfall zu verbergen oder herunterzuspielen. Früher oder später wird das wahre Ausmaß des Problems ans Licht kommen, was Rufschädigungen und Finanzverluste maximiert und in die Länge zieht. Deshalb muss die externe und interne Kommunikation regelmäßig und systematisch erfolgen und Informationen liefern, die für Kunden und Mitarbeiter konsistent und von praktischem Nutzen sind. Sie müssen genau wissen, welche Maßnahmen ergriffen werden und was sie in Zukunft zu erwarten haben. Ratsam ist an dieser Stelle die Zentralisierung jeglicher Kommunikation, d. h. interne und externe Sprecher zu benennen und allen anderen zu verbieten, diese Aufgabe zu übernehmen.

Der Geschäftsleitung Angelegenheiten rund um die Informationssicherheit zu vermitteln ist eine recht zeitaufwändige und nicht immer lohnende Aufgabe. Es ist daher eher unwahrscheinlich, dass diese fünf Botschaften in nur einem oder zwei Meetings vermittelt und beherzigt werden können. Die Interaktion zwischen Unternehmen und Informationssicherheit ist ein kontinuierlicher Prozess, der gegenseitige Anstrengungen zum besseren Verständnis des jeweils anderen erfordert. Nur mit einem systematischen, Schritt-für-Schritt-Ansatz, an dem praktisch alle Führungskräfte beteiligt sind, kann Ihr Unternehmen bei der Navigation durch die heutige Cyberlandschaft die Oberhand gewinnen.