{"id":29720,"date":"2023-02-03T09:30:36","date_gmt":"2023-02-03T07:30:36","guid":{"rendered":"https:\/\/www.kaspersky.de\/blog\/?p=29720"},"modified":"2023-02-03T09:30:36","modified_gmt":"2023-02-03T07:30:36","slug":"5-cybersecurity-lessons-ceo","status":"publish","type":"post","link":"https:\/\/www.kaspersky.de\/blog\/5-cybersecurity-lessons-ceo\/29720\/","title":{"rendered":"F\u00fcnf wichtige Cybersicherheitslektionen f\u00fcr Ihren CEO"},"content":{"rendered":"

Informationssicherheit ist vor allem eines: stressig! Die st\u00e4ndige Suche nach potenziellen Vorf\u00e4llen und chronisch lange Arbeitszeiten werden durch einen endlosen Kampf mit anderen Abteilungen verst\u00e4rkt, die Cybersicherheit als unn\u00f6tiges \u00c4rgernis betrachten. Diese versuchen bestenfalls, nicht dar\u00fcber nachzudenken, aber in besonders schwerwiegenden F\u00e4llen vermeiden sie alles, was mit Cybersicherheit zu tun hat. Als logische Folge geben 62 % der von Kaspersky befragten Top-Manager<\/a> zu, dass Missverst\u00e4ndnisse zwischen Sicherheitsabteilungen zu schwerwiegenden Cybervorf\u00e4llen gef\u00fchrt haben. Um die Einstellung eines Unternehmens zur Informationssicherheit zu \u00e4ndern, ist es entscheidend, die gr\u00f6\u00dftm\u00f6gliche Unterst\u00fctzung durch den Vorstand zu erhalten. Was also k\u00f6nnen Sie vielbesch\u00e4ftigten CEOs und Vorsitzenden sagen, die selten Lust haben, \u00fcber Informationssicherheit nachzudenken? Hier sind f\u00fcnf leicht verdauliche Kernaussagen, die Sie bei Meetings so lange wiederholen k\u00f6nnen, bis die die Botschaft bei der Gesch\u00e4ftsleitung angekommen ist.<\/p>\n

Cybersicherheitstraining f\u00fcr das gesamte Team \u2013 angefangen auf C-Ebene<\/h2>\n

Jedes Training setzt Vertrauen in den Lehrer voraus, was schwierig sein kann, wenn der Sch\u00fcler der CEO ist. Eine zwischenmenschliche Br\u00fccke zu errichten und Glaubw\u00fcrdigkeit zu erlangen, ist oftmals einfacher, wenn man nicht mit der Strategie, sondern mit der pers\u00f6nlichen Cybersicherheit des Top-Managements beginnt. Dies wirkt sich direkt auf die Sicherheit des gesamten Unternehmens aus, denn die pers\u00f6nlichen Daten und Passw\u00f6rter des CEO sind h\u00e4ufig das Ziel von Angreifern.<\/p>\n

Werfen wir beispielsweise einen Blick auf den Skandal Ende 2022 in den USA, als Angreifer in das soziale VIP-Netzwerk Infragard<\/a> eindrangen, das vom FBI genutzt wird, um CEOs gro\u00dfer Unternehmen vertraulich \u00fcber die schwerwiegendsten Cyberbedrohungen zu informieren. Im Rahmen dieses Angriffs entwendeten die Hacker eine Datenbank mit den E-Mail-Adressen und Telefonnummern von mehr als 80.000 Mitgliedern und boten diese f\u00fcr 50.000 US-Dollar zum Verkauf an. Mit diesen Kontaktinformationen bewaffnet, h\u00e4tten die K\u00e4ufer der Daten das Vertrauen der betroffenen CEOs gewinnen oder sie f\u00fcr BEC-Angriffe<\/a> nutzen k\u00f6nnen.<\/p>\n

Vor diesem Hintergrund sollte die Gesch\u00e4ftsleitung auf allen Ger\u00e4ten die Zwei-Faktor-Authentifizierung<\/a> mit USB- oder NFC-Token nutzen, lange, eindeutige Passw\u00f6rter f\u00fcr alle Arbeitskonten verwenden, geeignete Software einsetzen, um alle pers\u00f6nlichen und gesch\u00e4ftlichen Ger\u00e4te zu sch\u00fctzen und berufliche und private digitale Dinge voneinander trennen. Im Grunde genommen die \u00fcblichen Tipps, die auch vorsichtigen Nutzern mit auf den Weg gegeben werden, aber verst\u00e4rkt durch das Bewusstsein f\u00fcr die potenziellen Kosten eines Fehlers. Zudem ist es unerl\u00e4sslich, alle verd\u00e4chtigen E-Mails und Anh\u00e4nge doppelt zu \u00fcberpr\u00fcfen. Einige F\u00fchrungskr\u00e4fte ben\u00f6tigen m\u00f6glicherweise die Hilfe von Informationssicherheitsmitarbeitern, um mit besonders fragw\u00fcrdigen Links und Dateien umzugehen.<\/p>\n

Sobald das Management die wichtigsten Sicherheitslektionen verstanden hat, k\u00f6nnen Sie es sanft an strategische Entscheidungen \u00fcber regelm\u00e4\u00dfige Informationssicherheitsschulungen f\u00fcr das gesamte Unternehmen heranf\u00fchren. Jede Mitarbeiterebene hat unterschiedliche Wissensanforderungen. Jeder, einschlie\u00dflich der Frontline-Mitarbeiter, sollte sich der oben genannten Cyber-Hygieneregeln und Tipps zum Umgang mit fragw\u00fcrdigen oder ungew\u00f6hnlichen Situationen bewusst sein. Manager<\/em> (insbesondere im IT-Bereich) m\u00fcssen sich fragen, wie Sicherheit in die Produktentwicklung und den Nutzungslebenszyklus integriert ist, welche Sicherheitsrichtlinien die Abteilung implementieren sollte und wie sich diese auf die Gesch\u00e4ftsleistung auswirken k\u00f6nnen. Umgekehrt sollten die Mitarbeiter<\/em> der IT-Abteilung selbst die im Unternehmen angewandten Gesch\u00e4ftsprozesse studieren, um ein besseres Gef\u00fchl daf\u00fcr zu bekommen, wie sich die erforderlichen Schutzma\u00dfnahmen problemlos integrieren lassen.<\/p>\n

F\u00fcnf wichtige Cybersicherheitslektionen f\u00fcr Ihren CEO. #ITSecurity<\/p>Tweet<\/a><\/blockquote>\n

Integration der Cybersicherheit in Unternehmensstrategien und -prozesse<\/h2>\n

Mit der Digitalisierung der Wirtschaft, der zunehmenden Ausgereiftheit der Cyberkriminalit\u00e4t und strengeren Vorschriften ist das Management von Cyberrisiken zu einer Top-Priorit\u00e4t auf Vorstandsebene geworden. Sie hat technische, menschliche, finanzielle, rechtliche und organisatorische Dimensionen, sodass F\u00fchrungskr\u00e4fte in all diesen Bereichen an der Koordinierung der Unternehmensstrategie und -prozesse beteiligt sein m\u00fcssen.<\/p>\n

Wie kann man das Risiko von Lieferanten- und Auftragnehmer-Hacking minimieren, um nicht schnell zum Sekund\u00e4rziel zu werden? Welche Branchengesetze gelten f\u00fcr die Speicherung und Offenlegung sensibler Daten wie z. B. pers\u00f6nliche Kundendaten? Welche betrieblichen Auswirkungen h\u00e4tte ein Ransomware-Angriff, bei dem alle Computer blockiert und bereinigt werden, und wie lange w\u00fcrde es dauern, sie anhand von Backups wiederherzustellen? L\u00e4sst sich der Reputationsschaden in Geld messen, wenn ein Angriff auf uns bei Partnern und in der \u00d6ffentlichkeit bekannt wird? Welche zus\u00e4tzlichen Sicherheitsma\u00dfnahmen ergreifen wir, um Ihre Remote-Mitarbeiter zu sch\u00fctzen? Das sind die Fragen, mit denen sich Informationssicherheitsdienste und Experten anderer Abteilungen befassen m\u00fcssen, gest\u00fctzt von organisatorischen und technischen Ma\u00dfnahmen.<\/p>\n

Es ist wichtig, das Management daran zu erinnern, dass \u201eder Kauf dieses [oder jenes] Schutzsystems\u201c kein Allheilmittel f\u00fcr all diese Probleme ist, da nach verschiedenen Sch\u00e4tzungen zwischen 46 %<\/a> und 77 %<\/a> aller Vorf\u00e4lle auf den Faktor Mensch zur\u00fcckzuf\u00fchren sind: von der Nichteinhaltung von Vorschriften \u00fcber b\u00f6swillige Insider bis hin zu mangelnder IT-Transparenz seitens der Auftragnehmer.<\/p>\n

Trotzdem werden sich Fragen der Informationssicherheit immer um das Budget drehen.<\/p>\n

Angemessene Budgetverteilung<\/h2>\n

Die Budgets f\u00fcr Informationssicherheit sind immer knapp, aber die zu l\u00f6senden Probleme in diesem Bereich scheinen endlos. Es ist wichtig, Priorit\u00e4ten basierend auf den Anforderungen jeder Branche und den Bedrohungen zu setzen, die f\u00fcr das Unternehmen am relevantesten sind und das Potenzial haben, den gr\u00f6\u00dften Schaden anzurichten. Dies kann in nahezu jedem Bereich erfolgen, von der Schlie\u00dfung von Schwachstellen bis hin zur Mitarbeiterschulung. Keiner kann ignoriert werden und jeder Bereich hat seine eigenen Priorit\u00e4ten. Unter Ber\u00fccksichtigung des zugewiesenen Budgets schaffen wir zun\u00e4chst gr\u00f6\u00dfere Risiken aus der Welt und gehen dann zu weniger wahrscheinlichen Risiken \u00fcber. Es ist fast unm\u00f6glich, die Risikowahrscheinlichkeiten selbst einzuordnen. Daher sollten Berichte \u00fcber die Bedrohungslandschaft<\/a> der Branche herangezogen werden, um typische Angriffsvektoren zu analysieren.<\/p>\n

Richtig interessant wird es nat\u00fcrlich erst, wenn das Budget erweitert werden muss. Der sinnvollste, aber auch arbeitsintensivste Ansatz f\u00fcr die Budgetierung ist der, der sich an den Risiken und den jeweiligen Kosten f\u00fcr deren Realisierung bzw. Minimierung orientiert. Beispiele aus der Praxis \u2013 idealerweise aus der Erfahrung von Wettbewerbern \u2013 spielen eine wichtige unterst\u00fctzende Rolle bei Gespr\u00e4chen mit der Chefetage. Leider ist es gar nicht so einfach an solche Praxisbeispiele zu gelangen, weshalb h\u00e4ufig auf verschiedene Benchmarks zur\u00fcckgegriffen wird, die durchschnittliche Budgets f\u00fcr einen bestimmten Gesch\u00e4ftsbereich und ein bestimmtes Land darstellen<\/a>.<\/p>\n

Ber\u00fccksichtigung aller Risiken<\/h2>\n

Diskussionen \u00fcber die Informationssicherheit legen ihren Fokus in der Regel zu sehr auf Hacker und Softwarel\u00f6sungen zu deren Bek\u00e4mpfung. Viele Unternehmen sind jedoch im Alltag mit anderen Risiken konfrontiert, die ebenfalls die Informationssicherheit betreffen.<\/p>\n

Eines der gr\u00f6\u00dften Risiken der letzten Jahre war zweifellos das Risiko, gegen Gesetze zur Erhebung und Verwendung personenbezogener Daten zu versto\u00dfen: DSGVO, CCPA und dergleichen. Aktuelle Strafverfolgungspraktiken zeigen, dass es keine Option ist, sie zu ignorieren: Fr\u00fcher oder sp\u00e4ter wird die Aufsichtsbeh\u00f6rde ein Bu\u00dfgeld verh\u00e4ngen, und in vielen F\u00e4llen \u2013 vor allem in Europa \u2013 geht es hierbei um wirklich erhebliche Summen. Eine noch beunruhigendere Aussicht f\u00fcr Unternehmen ist die Verh\u00e4ngung von umsatzabh\u00e4ngigen Bu\u00dfgeldern f\u00fcr Datenlecks oder den falschen Umgang mit personenbezogenen Daten, so dass eine umfassende Pr\u00fcfung der Informationssysteme und -prozesse mit Blick auf die schrittweise Beseitigung von Verst\u00f6\u00dfen in der Tat mehr als angebracht w\u00e4re.<\/p>\n

Diverse Branchen haben ihre eigenen, noch strengeren Kriterien, insbesondere der Finanz-, Telekommunikations- und Medizinsektor sowie Betreiber kritischer Infrastrukturen. Es muss eine regelm\u00e4\u00dfig \u00fcberwachte Aufgabe der F\u00fchrungskr\u00e4fte in diesen Bereichen sein, die Einhaltung der Vorschriften in ihren Abteilungen zu verbessern.<\/p>\n

Richtig reagieren<\/h2>\n

Leider k\u00f6nnen Cybersicherheitsvorf\u00e4lle trotz aller Anstrengungen kaum vermieden werden. Ist das Ausma\u00df eines Angriff jedoch so gro\u00df, dass dieser die Aufmerksamkeit der Vorstandsetage auf sich zieht, hat dies meist mit ziemlicher Sicherheit eine Unterbrechung des Betriebs oder den Verlust wichtiger Daten zur Folge. Nicht nur die Informationssicherheit, sondern auch die Gesch\u00e4ftsbereiche m\u00fcssen auf solche Szenarien bestens vorbereitet sein, im Idealfall durch regelm\u00e4\u00dfige Trainings und Simulationen. Im Ernstfall sollte zumindest die Gesch\u00e4ftsleitung die Reaktionsverfahren kennen und befolgen, um die Chancen auf einen positiven Ausgang zu steigern und nicht zu minimieren. F\u00fcr den CEO gelten dabei 3 essenzielle Schritte:<\/p>\n

    \n
  1. Die Schl\u00fcsselparteien sollten umgehend \u00fcber einen Vorfall benachrichtigt werden; je nach Kontext: Finanz- und Rechtsabteilungen, Versicherer, Branchenregulierungsbeh\u00f6rden, Datenschutzbeh\u00f6rden, Strafverfolgungsbeh\u00f6rden, betroffene Kunden. In vielen F\u00e4llen ist der Zeitrahmen f\u00fcr eine solche Benachrichtigung gesetzlich festgelegt. Ist das nicht der Fall, sollte er dennoch in den internen Vorschriften etabliert werden. Eine Meldung sollte immer unverz\u00fcglich, aber informativ erfolgen. D. h. vor der Meldung m\u00fcssen Informationen \u00fcber die Art des Vorfalls gesammelt werden, einschlie\u00dflich einer ersten Einsch\u00e4tzung des Ausma\u00dfes und der getroffenen Erstreaktionsma\u00dfnahmen.<\/li>\n
  2. Untersuchen Sie den Vorfall. Es ist wichtig, verschiedene Ma\u00dfnahmen zu ergreifen, um das Ausma\u00df und die Auswirkungen des Angriffs richtig einsch\u00e4tzen zu k\u00f6nnen. Neben rein technischen Ma\u00dfnahmen sind beispielsweise auch Befragungen unter Mitarbeitern wichtig. W\u00e4hrend der Untersuchung ist es besonders wichtig, digitale Beweise f\u00fcr den Angriff oder andere Artefakte nicht zu besch\u00e4digen. In vielen F\u00e4llen macht es Sinn, externe Experten<\/a> mit in die Untersuchung und Bereinigung des Vorfalls einzubeziehen.<\/li>\n
  3. Erstellen Sie einen Kommunikationsplan. Ein typischer Fehler, den Unternehmen machen, ist der Versuch, einen Vorfall zu verbergen oder herunterzuspielen. Fr\u00fcher oder sp\u00e4ter wird das wahre Ausma\u00df des Problems ans Licht kommen, was Rufsch\u00e4digungen und Finanzverluste maximiert und in die L\u00e4nge zieht. Deshalb muss die externe und interne Kommunikation regelm\u00e4\u00dfig und systematisch<\/a> erfolgen und Informationen liefern, die f\u00fcr Kunden und Mitarbeiter konsistent und von praktischem Nutzen sind. Sie m\u00fcssen genau wissen, welche Ma\u00dfnahmen ergriffen werden und was sie in Zukunft zu erwarten haben. Ratsam ist an dieser Stelle die Zentralisierung jeglicher Kommunikation, d. h. interne und externe Sprecher zu benennen und allen anderen zu verbieten, diese Aufgabe zu \u00fcbernehmen.<\/li>\n<\/ol>\n

    Der Gesch\u00e4ftsleitung Angelegenheiten rund um die Informationssicherheit zu vermitteln ist eine recht zeitaufw\u00e4ndige und nicht immer lohnende Aufgabe. Es ist daher eher unwahrscheinlich, dass diese f\u00fcnf Botschaften in nur einem oder zwei Meetings vermittelt und beherzigt werden k\u00f6nnen. Die Interaktion zwischen Unternehmen und Informationssicherheit ist ein kontinuierlicher Prozess, der gegenseitige Anstrengungen zum besseren Verst\u00e4ndnis des jeweils anderen erfordert. Nur mit einem systematischen, Schritt-f\u00fcr-Schritt-Ansatz, an dem praktisch alle F\u00fchrungskr\u00e4fte beteiligt sind, kann Ihr Unternehmen bei der Navigation durch die heutige Cyberlandschaft die Oberhand gewinnen.<\/p>\n","protected":false},"excerpt":{"rendered":"

    Informationssicherheits-Ma\u00dfnahmen sind weitaus effektiver, wenn sie von der Chefebene unterst\u00fctzt werden. Doch wie gelingt Ihnen das?<\/p>\n","protected":false},"author":2722,"featured_media":29721,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[1848,3107],"tags":[844,1582,53,535,2183,2596,3701],"class_list":{"0":"post-29720","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-business","8":"category-enterprise","9":"tag-business","10":"tag-hacks","11":"tag-phishing","12":"tag-ransomware","13":"tag-risiken","14":"tag-training","15":"tag-vorfalle"},"hreflang":[{"hreflang":"de","url":"https:\/\/www.kaspersky.de\/blog\/5-cybersecurity-lessons-ceo\/29720\/"},{"hreflang":"en-in","url":"https:\/\/www.kaspersky.co.in\/blog\/5-cybersecurity-lessons-ceo\/25132\/"},{"hreflang":"en-ae","url":"https:\/\/me-en.kaspersky.com\/blog\/5-cybersecurity-lessons-ceo\/20627\/"},{"hreflang":"en-us","url":"https:\/\/usa.kaspersky.com\/blog\/5-cybersecurity-lessons-ceo\/27759\/"},{"hreflang":"en-gb","url":"https:\/\/www.kaspersky.co.uk\/blog\/5-cybersecurity-lessons-ceo\/25465\/"},{"hreflang":"es-mx","url":"https:\/\/latam.kaspersky.com\/blog\/5-cybersecurity-lessons-ceo\/25847\/"},{"hreflang":"es","url":"https:\/\/www.kaspersky.es\/blog\/5-cybersecurity-lessons-ceo\/28364\/"},{"hreflang":"ru","url":"https:\/\/www.kaspersky.ru\/blog\/5-cybersecurity-lessons-ceo\/34613\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/5-cybersecurity-lessons-ceo\/47030\/"},{"hreflang":"fr","url":"https:\/\/www.kaspersky.fr\/blog\/5-cybersecurity-lessons-ceo\/20086\/"},{"hreflang":"pt-br","url":"https:\/\/www.kaspersky.com.br\/blog\/5-cybersecurity-lessons-ceo\/20717\/"},{"hreflang":"ja","url":"https:\/\/blog.kaspersky.co.jp\/5-cybersecurity-lessons-ceo\/33197\/"},{"hreflang":"ru-kz","url":"https:\/\/blog.kaspersky.kz\/5-cybersecurity-lessons-ceo\/25825\/"},{"hreflang":"en-au","url":"https:\/\/www.kaspersky.com.au\/blog\/5-cybersecurity-lessons-ceo\/31504\/"},{"hreflang":"en-za","url":"https:\/\/www.kaspersky.co.za\/blog\/5-cybersecurity-lessons-ceo\/31218\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.de\/blog\/tag\/business\/","name":"Business"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts\/29720","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/users\/2722"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/comments?post=29720"}],"version-history":[{"count":3,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts\/29720\/revisions"}],"predecessor-version":[{"id":29724,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts\/29720\/revisions\/29724"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/media\/29721"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/media?parent=29720"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/categories?post=29720"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/tags?post=29720"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}