Strategie: Cybersecurity

Die Frage ist nicht ob, sondern wann: Cybersicherheit muss zu einem Thema für die Unternehmensstrategie werden
Die aktuelle Sicherheitslage zeigt: Es geht nicht mehr nur um die Abwehr von Cyberangriffen. Der Schwerpunkt der Cybersicherheit verschiebt sich zu strategischem Sicherheitsmanagement.
TEXT: RALPH SCHRÖDER

Es ist keine Überraschung mehr, dass das World Economic Forum einen umfassenden Cybersicherheitsvorfall als eines der fünf größten Risiken der heutigen Welt ansieht. Das Ausmaß der Bedrohung nimmt dramatisch zu: Bis 2021 werden die weltweiten Kosten für Cybersicherheitsvorfälle Schätzungen zufolge auf 6 Billionen US-Dollar ansteigen, doppelt so viel wie 2015. Bemerkenswert ist auch, dass die UN versuchen, den Einsatz von Cyberwar-Waffen zu reglementieren – wie bei Atomwaffen. Unternehmen sind gezwungen, sich mit diesen Themen zu beschäftigen, denn diese stellen essentielle Geschäftsrisiken dar.

Welchen IT-Sicherheitsrisiken Unternehmen heute ausgesetzt sind, untersuchen langjährige Studien. Im Rahmen des „20. EY Global Information Security Survey“ wurden knapp 1.200 IT-Verantwortliche von Unternehmen aus über 20 Branchen befragt; zusätzlich flossen weitreichende Erfahrungen mit Kunden aus der ganzen Welt in die Untersuchung mit ein. (Hier finden Sie weitere Ergebnisse aus der Umfrage.) Dabei zeigte sich: Unternehmen räumen dem Thema Cybersicherheit zwar nach wie vor hohe Priorität ein und haben bei der Identifizierung und Beseitigung von Sicherheitslücken bereits große Fortschritte erzielt. Doch angesichts der Vielzahl und der Komplexität der Bedrohungen sind sie besorgter als je zuvor.

Nur 4 Prozent aller Unternehmen glauben, dass sie mit ihrer aktuellen Unternehmensstrategie alle Sicherheitsimplikationen berücksichtigt haben. Kluge Unternehmen wissen, dass es nur eine Frage der Zeit ist, bis Cyberangreifer ihre Schutzwälle überwinden werden. Nie war es für Unternehmen so schwierig wie heute, die digitale Landschaft, in der sie agieren, zu überschauen. Cyberkriminelle können sich in dieser Umgebung fast gänzlich frei bewegen. Und sie sind gut getarnt: Um sie aufzudecken, benötigt man Sicherheitsmaßnahmen, die die Bedrohung auch dann identifizieren, wenn sie völlig unauffällig ist. Vor diesem Hintergrund müssen Unternehmen ihre Widerstandsfähigkeit im Hinblick auf die unterschiedlichsten Bedrohungsarten prüfen und sich auf den immer möglichen Ernstfall durch verschiedene Angriffe vorbereiten.

Zudem sollten Unternehmen über einen unternehmensweiten Reaktionsplan (Cyber Breach Response Plan) für Cyberangriffe verfügen, um mögliche Schäden gering zu halten. Dabei geht es letztlich darum, ein Netz von adäquaten Sicherheitsmaßnahmen aufzuspannen, das einen Sicherheitsvorfall nicht durchschlagen lässt, sondern tolerierbar abfedert.

FÜNF STRATEGISCHE KOMPONENTEN SIND DABEI BESONDERS WICHTIG:

TALENT-ZENTRIERT

Cybersicherheit liegt nicht in der alleinigen Verantwortung der ITAbteilung, sondern in der jedes Mitarbeiters. Deshalb gehören zum strategischen Sicherheitsmanagement neben dem Talentmanagement zum Beispiel auch die Cyber- Governance mit den „Three Lines of Defense“, die Implementierung einer Risiko- und Sicherheitskultur sowie das Training und die Sensibilisierung der Mitarbeiter.

STRATEGISCH UND INNOVATIV

Sicherheit ist integraler Bestandteil von strategischen Entscheidungen und unterstützt die laufende Innovation durch funktionale Elemente. Dazu gehören zum Beispiel die Verlinkung der Sicherheits- mit der Unternehmensstrategie, die sorgfältige Prüfung und Analyse der Cybersicherheit sowie die Unterstützung der digitalen Transformation. Integrierte Sicherheit bei der Entwicklung neuer Produkte, strategischer Innovationen und neuer Ideen, wie die Nutzung von Blockchain und verteilter Buchführung, ist keine Option, sondern ein Muss.

RISIKO-FOKUSSIERT

Ein klar Risikofo-kussiertes Vorgehen ist ein Kernelement jeder Strategie. Dazu gehören ein Risikobewusstsein und die richtige Priorisierung der einzelnen Risiken genauso wie eine adäquate Führung, die agiles Cyberrisiko- Management betreibt und dazu entsprechende Richtlinien und Standards, Metriken und Reportings aufsetzt. Third-Party-Risikomanagement (TPRM) und Bewusstsein für die regulatorischen Vorgaben kommen dazu.

INTELLIGENT UND AGIL

Zur Risikosteuerung gehört eine situationsbewusste und intelligenzgetriebene Cybersicherheitsfunktion, die eine rechtzeitige Erkennung von und Reaktion auf Bedrohungen ermöglicht. Dazu braucht es ein intelligentes Cyber- Bedrohungsprogramm, ein aktives Bedrohungs- und Schwachstellenmanagement sowie ein übergreifendes Identitäts- und Zugriffsmanagement. Schnelle Security- Operations und Managed Security- Services (MSS) sowie eine passende Technologiearchitektur gehören ebenfalls dazu.

BELASTBAR UND SKALIERBAR

Eine skalierbare Belastbarkeit hilft, die Auswirkungen von Störungen zu minimieren und mit dem Wachstum des Unternehmens Schritt zu halten. Wesentliche Elemente sind ein strukturiertes Sicherheitsvorfallmanagement und geübtes Cyber-Krisenmanagement, das die Widerstandsfähigkeit und Geschäftskontinuität aufrechterhält.

RALPH SCHRÖDER

ist als Executive Director zuständig für Informationssicherheitsmanagement- Consulting bei Ernst & Young (EY) und langjähriges Mitglied in nationalen und internationalen Sicherheitsmanagement-Gremien. EY ist Strategischer Partner des CEDO-Magazins, die Experten stehen der Redaktion zu ausgewählten Themen beratend zur Seite. Sie haben keinerlei Einfluss auf die Themenauswahl sowie die redaktionelle Unabhängigkeit des Magazins.

Natürlich können nicht alle Unternehmen alle diese Komponenten in vollem Umfang umsetzen. Jedes Unternehmen muss ein individuell passendes Maß dafür finden und regelmäßig justieren. Im Kern muss es darum gehen, die Risiken der jeweiligen Geschäftstätigkeit zu managen – wobei die Cybersicherheit ein wesentlicher Zielparameter ist, aber eben nur einer. Die Cybersicherheit gehört mit dem steuernden Risikomanagementprozess in den Mittelpunkt der Unternehmensstrategie und trägt dann dazu bei, das Vertrauen der Kunden, der Regulierungsbehörden und der Medien zu erhalten und sogar zu verbessern. Gerade die C-Suite eines Unternehmens kann heute nicht mehr davon ausgehen, dass Cybersicherheit allein in der Verantwortung der Abteilungen Informationssicherheit (IS) oder Informationstechnologie (IT) liegt. Allerdings sind Kenntnisse und selbst ein Bewusstsein für die Anforderungen aktuell noch wenig vorhanden. Kein Wunder, schließlich werden diese Themen in der aktuellen Hochschullandschaft und in Unternehmensführungsseminaren kaum behandelt.