Cybersicherheit als umfassende Unternehmensaufgabe

Cyberattacken auf große Unternehmen oder die Entdeckung neuer Superviren bestimmen regelmäßig die Schlagzeilen. Von der Öffentlichkeit kaum beachtet gibt es aber auch immer mehr - vielleicht weniger spektakuläre - Vorfälle, die für die betroffenen Firmen aber dennoch schwere Konsequenzen haben.

Gerade kleineren oder mittelständischen Unternehmen ohne große IT bietet der Cyberspace enorme Chancen und Vorteile für Innovationen, Effizienzsteigerung, Wettbewerbsfähigkeit und Kundenbindung. Vielen Unternehmen fällt es jedoch schwer, die Chancen mit den Risiken des Cyberspace abzuwägen. Beispielsweise möchten sie so schnell wie möglich von neuen Technologien oder Webdiensten profitieren und setzen diese ein, ohne deren Sicherheit vorher ausreichend geprüft zu haben.

Für den Umgang mit Bedrohungen aus dem Cyberspace fehlt ihnen dann oft eine wirksame Strategie. Und das, obwohl die immer schneller wachsenden Möglichkeiten des Internets mit immer komplexeren und gefährlicheren Bedrohungen einhergehen. Durch den sogenannten “Malspace” gibt es heute zudem einen großen und differenzierten Markt für Tools und Know-how für gezielte Attacken. Per “Crime as a Service” lassen sich Cybercrime-Dienstleistungen für fast jeden ganz einfach einkaufen.

Steve Durbin, der Autor dieses Gastbeitrags für ZDNet, ist Global Vice President des Information Security Forums (Bild: ISF).

Anders als noch vor einigen Jahren ist für Cyberkriminalität also kein IT-Fachwissen mehr erforderlich, kriminelle Energie und das nötige Kleingeld reichen aus. Dazu kommt, dass einzelne Bedrohungen und Methoden immer häufiger kombiniert eingesetzt werden.

Wenn sie die Chancen des Cyberspace nutzen möchten, ist es für Unternehmen jeder Größe also höchste Zeit, sich mit den Risiken auseinanderzusetzen. Dazu sollten sie eine IT- und Cybersicherheitsstrategie entwickeln beziehungsweise ihre bestehende auf den Prüfstand stellen und gegebenenfalls überarbeiten. Weil das Verhalten aller Mitarbeiter die Cybersicherheit beeinflusst, muss das Thema unbedingt als Aufgabe für das gesamte Unternehmen angegangen werden.

Basierend auf den Erfahrungen von mehr als 300 Mitgliedsunternehmen weltweit empfiehlt das ISF Unternehmen deshalb, den klassischen Sicherheitsansatz aufzugeben, bei dem alleine die IT-Abteilung für IT- und Cybersicherheit zuständig ist. Im ISF Cyber Resilience Framework beschreibt die Organsiation ein Konzept, das Unternehmen hilft, Cybersicherheit in ihren Abläufen zu verankern und in mehreren Schritten eine wirkungsvolle und flexible Cybersicherheits-Strategie aufzubauen. Einige Eckpunkte möchte ich näher herausgreifen.

Cybersicherheit auf höchster Ebene

Cyberattacken können für Unternehmen im schlimmsten Fall existenzgefährdend sein. Deshalb sollten Unternehmen zunächst sicherstellen, dass Cybersicherheit zum Zuständigkeitsbereich des Top-Managements beziehungsweise der Geschäftsführer gehört. Darüber hinaus sollte auf höchster Ebene ein Verantwortlicher für Sicherheitsfragen ernannt werden. Dieser sollte sich regelmäßig mit dem Vorstand zu Sicherheitsfragen und -bedürfnissen austauschen und im Falle einer Attacke oder einer Veränderung der Bedrohungslandschaft, die Reaktion des Unternehmens abteilungsübergreifend koordinieren.

Analyse des Status quo

Anschließend sollten Unternehmen ihre aktuelle Situation kritisch auf den Prüfstand stellen. Nur wenn sie ihre eigene Bedrohungslandschaft im Detail kennen, können sie passende, individuelle Maßnahmen ergreifen. Dafür gilt es folgende Fragen zu beantworten: Welche Informationen und Daten des Unternehmens sind für Cyberkriminelle wertvoll? Welche Sicherheitsvorkehrungen und -maßnahmen sind aktuell im Unternehmen implementiert? Wie regelmäßig werden diese auf den Prüfstand gestellt? Wer ist aktuell im Unternehmen für das Thema verantwortlich? Wie sind die Mitarbeiter bislang in das Thema eingebunden? Haben sich bereits Sicherheitsvorfälle ereignet, die ihren Ursprung im Cyberspace hatten?

Maßnahmen und Richtlinien entwickeln

Auf Grundlage der Analyse sollten konkrete Prozesse und Maßnahmen entwickelt werden. Zwar hat jedes Unternehmen individuell Anforderungen und benötigt daher eine individuelle Cyberstrategie, entscheidend ist es jedoch, das Thema fest in die Abläufe des Unternehmens zu implementieren. Wir raten deshalb, Cybersicherheit wie andere kritische Geschäftsrisiken zu behandeln und Cyberbedrohungen als festen Bestandteil in das Risikomanagement zu integrieren.

So sollte das Thema nicht nur regelmäßig auf der Tagesordnung des Top-Managements stehen. Hilfreich sind darüber hinaus Arbeitsgruppen für Cybersicherheit, in denen sich die Mitarbeiter zum Thema austauschen können. Zudem ist ein individueller Notfallplan für den Fall eines Angriffs oder Datenverlusts ein absolutes Muss.

Aufmerksamkeit hoch halten

Cybersicherheit erfordert permanente Aufmerksamkeit – und zwar im gesamten Unternehmen. Dafür ist kontinuierliche Überzeugungsarbeit notwendig. Die IT-Abteilung, Sicherheits- oder Datenschutzbeauftragte sowie andere müssen deswegen sowohl das Management, vor allem aber auch die Belegschaft, immer wieder von der existenziellen Bedeutung des Themas überzeugen.

Hilfreich hierbei sind Hinweise auf aktuelle Vorfälle bei anderen Unternehmen und Szenarien, wie die Konsequenzen im Falle einer Attacke aussehen könnten, aber auch Best-Practices, wie man sich vor welchen Gefahren schützen kann. Bei der Sensibilisierung der Mitarbeiter dürfen außerdem Hinweise darauf nicht fehlen, wie einfach viele Schädlinge in Unternehmen geraten und welche Rolle dabei die Mitarbeiter spielen.

Denn sogar komplexe Schadprogramme wie Flame oder Stuxnet werden häufig über simple Übertragungswege wie USB-Sticks, CDs oder E-Mail-Anhänge in Kombination mit Sorglosigkeit eingeschleust. Wichtig dabei ist, die Mitarbeiter nicht einzuschüchtern, sondern aufzuklären. Sie sollen Chancen und Tools schließlich nutzen.

Zusammenarbeit und Austausch mit Partnern

Gerade weil die Chancen und Vorteile des Cyberspace auf seiner Interaktivität mit externen Partnern beruhen, können Unternehmen Sicherheit im Cyberspace nicht isoliert erreichen. Deshalb sollten sie bei ihrer Sicherheitsstrategie unbedingt mit ihren Partnern, Lieferanten und Kunden zusammenarbeiten. Plattformen wie das ISF bieten Unternehmen darüber hinaus die Möglichkeit, sich vertrauensvoll in Workshops, Meetings und Foren zu ihren aktuellen Problemen und Herausforderungen im Bereich Cyber- und Informationssicherheit auszutauschen. Eine solche Transparenz und gegenseitiger Austausch sind kein Zeichen von Schwäche, sondern machen Unternehmen stark und bieten die Möglichkeit, sich gegenseitig zu unterstützen und von Best-Practices zu profitieren.

Flexibilität bei neuen Bedrohungen

Die Bedrohungslandschaft verändert sich ständig. Unternehmen müssen deshalb ihre implementierten Maßnahmen und Prozesse in regelmäßigen Zyklen unter die Lupe nehmen und gegebenenfalls schnell verändern können. Dabei ist es wichtig, auch potenzielle neue Bedrohungen im Blick zu behalten. Wenn die Entdeckung eines neuen Schädlings wie “Flame” bekannt wird, gilt es, dessen mögliche Auswirkungen schnell und umfassend zu analysieren.

Dazu gehört die Identifizierung der damit verbundenen Bedrohungen sowie möglicher Schwachstellen im eigenen System. Je nach dem muss dann die Cyber- und IT-Sicherheitsstrategie angepasst werden, auch hier helfen Best Practices und die Erfahrung anderer Unternehmen. Gerade wenn Schnelligkeit gefragt ist, muss nicht jeder das Rad neu erfinden.

Fazit

Cyberangriffe lassen sich nicht komplett verhindern. Ganz im Gegenteil – wenn wir auf unseren Bericht “Threat Horizon 2014” schauen, wird die Zahl der Angriffe in Zukunft deutlich zunehmen. Mit gezielten Maßnahmen können Unternehmen ihr Risiko aber deutlich reduzieren und sich bestmöglich auf Bedrohungen und Gefahren einstellen. Cyberkriminelle gehen professioneller, effizienter und organisierter denn je vor. Unternehmen sollten das auch tun.

AUTOR

Steve Durbin ...

... ist Global Vice President des Information Security Forums (ISF). Zu seinem Aufgabengebiet gehören dabei Cybersicherheit in Managed Services, ausgelagerte Cloudsicherheit, Third Party Management sowie Social Media im Geschäftsumfeld. Durbin war zuvor unter anderem Senior Vice President bei Gartner sowie Vorstandsmitglied von Aktiengesellschaften im Bereich Softwareentwicklung und Technologieberatung in Großbritannien und Asien, an Fusionen beziehungsweise Übernahmen von Unternehmen in Europa und den USA beteiligt und hat an der NASDAQ und der NYSE gelistete Technologieunternehmen beraten.

Neueste Kommentare 

Noch keine Kommentare zu Cybersicherheit als umfassende Unternehmensaufgabe

Hinterlasse eine Antwort

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *