Der Countdown für die Keyfactor Tech Days läuft - sichern Sie sich noch heute Ihren Platz!

Warum cyber-kompetente Gremien eine Notwendigkeit sind

Trends in der Industrie

In seinem Bericht "Top Security and Risk Trends for 2021" bezeichnete Gartner Cyber-savvy Boards als eine der wichtigsten Prioritäten für Unternehmen, da die Zahl der öffentlich bekannt gewordenen Sicherheitsverletzungen weiter zunimmt. In diesem Blog erläutern wir, warum Vorstandsmitglieder der Sicherheitslage mehr Aufmerksamkeit schenken sollten und was nötig ist, um einen cyber-versierten Vorstand aufzubauen.

Cyberrisiken sind Geschäftsrisiken

Das Weltwirtschaftsforum veröffentlicht jedes Jahr den Global Risks Report, in dem alle Risiken aufgezeigt werden, mit denen Unternehmen heute konfrontiert sind - vom Klimawandel über politische und gesellschaftliche Instabilität bis hin zu Cybersicherheit und Gesundheitskrankheiten.

Mit der zunehmenden Digitalisierung und Abhängigkeit der Unternehmen von cybergestützten Technologien haben Cybersecurity-Bedrohungen und datenbezogene Risiken sowie Risikomanagement-Strategien zu deren Abmilderung höchste Priorität erlangt. In der Tat hat das Weltwirtschaftsforum 2021 Global Risks Report das Versagen der Cybersicherheit als eines der fünf größten kurzfristigen Geschäftsrisiken eingestuft.

weltwirtschaftsforum risikobericht chart

Cybersecurity-Bedrohungen und datenbezogene Risiken sowie Risikomanagement-Strategien zu deren Abwendung haben für Unternehmen im digitalen Wandel höchste Priorität. Es gibt eine Vielzahl von Faktoren, die dazu führen, dass sich die Bedrohungsfläche eines Unternehmens schneller als je zuvor vergrößert:

  • Die laufende Migration zur Cloud, die sich als Reaktion auf die Pandemie beschleunigt hat.
  • Die weit verbreitete Verlagerung zur Telearbeit und die Notwendigkeit, Initiativen zur Arbeit von überall aus zu unterstützen, bei denen die Mitarbeiter ihre eigenen Geräte mitbringen.
  • Die zunehmende Abhängigkeit von umfangreichen und komplexen Lieferketten macht Unternehmen anfällig für Risiken, die von Dritten und Partnern ausgehen.
  • Ein erweiterter Flickenteppich von Datenschutzbestimmungen mit Anforderungen an die Datenaufbewahrung und Verschlüsselung.

Cybersecurity ist eine gemeinsame Verantwortung

Kriminelle und Gegner nutzen die sich entwickelnde und wachsende Bedrohungslandschaft, um immer zahlreichere und raffiniertere Cyberangriffe zu starten. Da sich Cyberangriffe immer stärker auf die physische Welt auswirken, werden auch die Folgen dieser Angriffe immer gravierender.

Laut einem Gartner-Berichtwerden bis 2024 75 % der CEOs persönlich für Cyber-Physical-Security-Vorfälle haften, während bis 2023 die finanziellen Auswirkungen eines Cyber-Physical-Angriffs, der zu Todesfällen führt, voraussichtlich über 1 Milliarde Dollar betragen werden. Gartner erklärt dass "selbst wenn man den tatsächlichen Wert eines Menschenlebens nicht in die Gleichung einbezieht, die Kosten für Unternehmen in Form von Entschädigungen, Rechtsstreitigkeiten, Versicherungen, Geldbußen und Reputationsverlusten erheblich sein werden."

In Anbetracht der weitreichenden Auswirkungen von Cyber-Physik-Vorfällen und -Angriffen müssen Branchenführer erkennen, dass Cyber-Risiken genauso möglich und folgenreich sind wie die "traditionellen" Risiken, mit denen sie konfrontiert sind. Tatsächlich können Cyber-Bedrohungen die Quelle von Geschäftsrisiken sein, wenn es an geeigneten Maßnahmen zu ihrer Vermeidung mangelt. Es ist auch wichtig zu verstehen, dass Cyberrisiken nicht nur die Aufgabe der IT-Abteilung sind. Ein isolierter Ansatz für die Cybersicherheit schafft mehr blinde Flecken, die von Cyberkriminellen ausgenutzt werden können.

Siemens erwähnt in einem Bericht:

"Cybersicherheit sollte eine gemeinsame Verantwortung aller Mitarbeiter eines Unternehmens sein, von der Führungsetage bis hin zur engen Zusammenarbeit zwischen OT, Betrieb und Unternehmens-IT. Die Cybersicherheit sollte auch die Teams für Gesundheit, Sicherheit und Umwelt (HSE) einbeziehen, da ein schwerwiegender Sicherheitsverstoß potenzielle HSE-Auswirkungen hat. Auch die Personalabteilung muss einbezogen werden, denn alle Mitarbeiter müssen sich ihrer möglichen Rolle bewusst sein, geschult werden und Verantwortung übernehmen, wenn sie Angreifern - ob absichtlich oder unabsichtlich - die Tür öffnen.

Cyber-sichere Gremien für Cyber-Resilienz

Es ist kein Wunder, dass die Cybersicherheit zu einer Top-Priorität für die Geschäftsleitung geworden ist. In der Gartner-Umfrage zum Vorstand 2021 bewerteten die Vorstandsmitglieder die Cybersicherheit als zweithöchste Risikoquelle für das Unternehmen nach der Einhaltung von Vorschriften.

Vorfälle im Bereich der Cybersicherheit stellen potenzielle geschäftliche Verluste dar, die mit der gleichen Wachsamkeit behandelt werden müssen wie herkömmliche Faktoren, die zu Geschäftsunterbrechungen und Gewinneinbußen führen können. Darüber hinaus kann in einer vernetzten digitalen Welt ein Vorfall oder eine Sicherheitsverletzung in einer Abteilung oder einem Unternehmen auf die gesamte Lieferkette und sogar auf einzelne Branchen ausstrahlen - und in einigen Fällen zu einem erheblichen strukturellen Schaden für die Nation führen.

Daniel Dobrygowski, Leiter des Bereichs Corporate Governance and Trust beim Weltwirtschaftsforum, sagte: "Wir brauchen eine effektive Zusammenarbeit und eine strategische Vision, um die Cyber-Resilienz zu gewährleisten und das Vertrauen zwischen allen Beteiligten zu schützen." Die Veränderungen in der industriellen Bedrohungslandschaft machen eine stärkere Betonung der Cybersicherheit als strategisches, unternehmensweites Risiko erforderlich.

Infolgedessen hat Gartner in seinem Bericht Top Security and Risk Trends for 2021 die Verlagerung hin zu cyber-versierten Vorständen festgestellt. Um dies zu erreichen, richten Unternehmen einen speziellen Ausschuss ein, der sich auf die Erörterung von Cybersicherheitsfragen konzentriert. Dieser Ausschuss wird häufig von einem Vorstandsmitglied mit Sicherheitserfahrung oder einem externen Berater geleitet. Gartner prognostiziert, dass bis zum Jahr 2025 40 % der Vorstände einen speziellen Ausschuss für Cybersicherheit haben werden, der von einem qualifizierten Vorstandsmitglied geleitet wird - heute sind es weniger als 10 %.

Die Verlagerung hin zu cyber-affinen Gremien wird zwei Dinge signalisieren:

  • Verstärkte Unterstützung - Budget und Ressourcen - um die Bedrohungslandschaft zu bewältigen.
  • Verstärkte Kontrolle und Erwartungen seitens des CISO und der Sicherheitsteams zur Erfüllung der vom Vorstand festgelegten Anforderungen zum Schutz des Unternehmens vor Cyberangriffen bei gleichzeitiger Gewährleistung der Geschäftskontinuität.

 

Ein cyberkompetenter Vorstand kann die gesamte Kette innerhalb eines Unternehmens dazu motivieren, Cybersicherheit als Aufgabe aller zu betrachten - er gibt eine Vision vor, der alle folgen können. Diese Vision sollte auf den folgenden Säulen beruhen:

  1. Cyber-Sicherheitsstrategie. Eine strategische Vision und ein taktischer, operativer Plan können die Vermögenswerte des Unternehmens proaktiv schützen und sich an die aufkommenden Cyber-Bedrohungen und die sich entwickelnden gesetzlichen Anforderungen anpassen.
  2. Überprüfung der Richtlinien. Die Unternehmensrichtlinien und -praktiken zur Cybersicherheit sowie die Rollen und Zuständigkeiten sollten bewertet werden, um sicherzustellen, dass sie aktuell und für den Schutz des Unternehmens angemessen sind. Zusammen mit der Überprüfung der Richtlinien sollte der Vorstand das für Cybersicherheit und Datenschutz bereitgestellte Budget überprüfen, um sicherzustellen, dass diese Initiativen angemessen finanziert sind.
  3. Mit gutem Beispiel vorangehen. Cybersicherheitsrichtlinien müssen von der Unternehmensführung durchgesetzt und unterstützt werden, die in der Lage sein sollte, einen unternehmensweiten Plan zur Bewältigung von Cyberrisiken zu kommunizieren und dabei alle Mitarbeiter einzubeziehen.
  4. Geschäftskontinuität. Der Vorstand sollte die Entwicklung eines umfassenden Notfallplans überwachen, der die Widerstandsfähigkeit und Kontinuität des Unternehmens auch während eines Cyberangriffs gewährleistet. Der Plan sollte allgemein verstanden und geübt werden.
  5. Kontinuierliche Überwachung und Bewertung. Der Vorstand sollte die Cybersecurity-Kontrollen und -Fähigkeiten der Organisation regelmäßig überwachen und überarbeiten, um sie an neue Schwachstellen und externe Bedrohungen anzupassen.
  6. Bewusstsein für Cybersicherheit. Der Vorstand sollte sicherstellen, dass das Unternehmen ein umfassendes Schulungsprogramm für Cybersicherheit einführt, um eine Kultur zu fördern, in der alle Mitarbeiter Verantwortung für die Cybersicherheit übernehmen.

 

Da Cyberangriffe nicht mehr eine Frage des "ob", sondern eher des "wann und wie oft" sind, sollte die Cybersicherheit kein nachträglicher Gedanke sein. Stattdessen sollte sie in das Gefüge des Unternehmens eingewoben werden, um sicherzustellen, dass kritische Vermögenswerte, der Ruf der Marke und die Einhaltung gesetzlicher Vorschriften nicht gefährdet werden. Es ist an der Zeit, dass alle Unternehmen ihre Vorstände in cyberkompetente Vorstände umwandeln, um die Widerstandsfähigkeit und Geschäftskontinuität zu fördern.

Cybersicherheit und Maschinenidentitäten

Maschinenidentitäten - kryptografische Schlüssel, digitale Zertifikate und Geheimnisse - bilden die Grundlage für die Identität und das Vertrauen in die Cybersicherheit von heute. Die Bedeutung von Maschinenidentitäten wird jedoch häufig von IT- und Sicherheitsverantwortlichen übersehen, die sich in vielen Fällen nicht des vollen Umfangs und der damit verbundenen Risiken unbekannter oder nicht verwalteter Maschinenidentitäten in ihrem Unternehmen bewusst sind.

Laut Gartner ist das Management von Maschinenidentitäten heute unabdingbar. Aus diesem Grund haben wir den allerersten Bericht über den Stand des Machine Identity Management mit Antworten von mehr als 1.100 IT- und Sicherheitsexperten zusammengestellt. Hier finden Sie den vollständigen Bericht.