fbpx
BlogCybersecurity

Datenschutz wird weltweit verschärft – Womit CIOs und CISOs 2023 rechnen müssen

by Yara El-Sabagh

Cyber Security – OUT NOW im #Confare Blog: Datenschutz wird weltweit verschärft

Interested in Cyber Security? Hier zwei Livin IT Blogs für Sie: 
Cyber Attacken so gefährlich wie noch nie
Was wollen Hacker überhaupt?

Im Industrieunternehmen HOERBIGER wird Innovation großgeschrieben. Erst kürzlich haben wir im Blog über das New Venture Lab berichtet. (New Venture Lab bei Hoerbiger: So meistern Industrieunternehmen die steile Lernkurve im Verkauf Digitaler Services (confare.at)) CISO Wolfgang Mayer ist überzeugt: Geschwindigkeit und Agilität bei Innovation brauchen Stabilität und Sicherheit. Wolfgang Mayer ist einer der Referenten bei der traditionellen Cybersecurity CIO Executive Arena auf dem wichtigsten IT-Management Treffpunkt Österreichs, dem Confare #CIOSUMMIT.

In der Recherche für das kommende Confare Factsheet „Cyber Security Update 2023“, das Confare in Zusammenarbeit mit T-Systems Austria veröffentlicht, haben wir mit Wolfgang über Rollen und Trends gesprochen und welche Compliance Themen 2023 besonders wichtig werden.

Kein Factsheet verpassen? Einfach das Confare Factsheet Abo bestellen!

zum Factsheet-Abo

Cyber SecurityInflation, Pandemie, Krieg – Welche Herausforderungen bringen die aktuellen Unwägbarkeiten für die Unternehmens-IT

Inflation, Pandemie und Krieg stellen für jede Unternehmens-IT verschiedene, teilweise massive Herausforderungen dar.

Die Pandemie führte zum Beispiel dazu, dass viele Unternehmen ihre Geschäftsprozesse entsprechend anpassen mussten, um geschäftsfähig zu bleiben. Vielen Lesern wird hier wahrscheinlich sofort die Anpassung der IT-Systeme einfallen, die eine verstärkte Remote-Arbeit erst ermöglichte, und damit Home-Office und flexible Arbeitsmodelle „salonfähig“ gemacht hat.

Nach der Pandemie führte auch der Krieg zu weiteren Unterbrechungen der Lieferketten und zu Versorgungsengpässen, die nicht nur die Produktion, sondern auch die Verfügbarkeit neuer IT-Systeme und -Komponenten beeinträchtigte. Wartezeiten von Wochen und Monaten verzögerte Projekte. Beschaffungskosten und Energiepreise explodierten.

Die Inflation beeinträchtigt zusätzlich die Finanzierung laufender und geplanter Projekte erheblich, sodass diese sich massiv verzögern oder gar gestoppt werden.

All diese Faktoren haben somit maßgeblichen Einfluss auf die Umsetzung der Firmenstrategie.

Wichtig hierbei ist, dass all die ungeplanten, zusätzlichen Kosten, und die teilweise unter Druck gemachten Anpassungen der IT-Infrastruktur, die Sicherheit und den Schutz der Unternehmensdaten beeinträchtigt haben.

Die Häufung von „Databreaches“ könnte nicht nur den gestiegenen Befugnissen und Ressourcen der staatlichen, oder staatsnahen “Threat-Actors”, sondern gleichzeitig den Versäumnissen der letzten Jahre geschuldet sein.

Insgesamt erfordert die Bewältigung obiger Herausforderungen Flexibilität, Anpassungsfähigkeit und allen anderen voran, die Fähigkeit, schnell auf diese Veränderungen reagieren zu können.

Viele vorausschauende Organisationen legen deshalb große Aufmerksamkeit auf Automatisierung und Stärkung der immer mehr in die Geschäftsprozesse verwobenen IT und den Schutz ihrer Daten.

Widerstandskraft (also Resilienz) ist in unsicheren Zeiten zu einem entscheidenden Faktor für die Unternehmens-IT geworden. Was sind die wichtigsten Faktoren dabei?

Die Resilienz der Unternehmens-IT ist in unsicheren Zeiten von entscheidender Bedeutung.

Einige der wichtigsten Faktoren dabei:

  1. Eine sinnvolle Redundanz und Sicherung der IT-Systeme und -Infrastruktur helfen, Ausfallzeiten zu minimieren und die Verfügbarkeit von IT-Systemen und -Diensten sicherzustellen.
  2. Flexible IT-Infrastruktur und –Prozesse ermöglichen es Unternehmen, schnell auf Veränderungen zu reagieren und ihre Geschäftsprozesse an die neuen Bedingungen anzupassen.
  3. Effektive Datensicherheit und robuste Sicherheitssysteme helfen, Datenverlust oder -diebstahl zu verhindern und das Risiko von Datenschutzverletzungen zu minimieren.
  4. Skalierbare IT-Infrastruktur ermöglicht es Unternehmen, ihre IT-Ressourcen schnell und einfach an die sich verändernden Geschäftsbedürfnisse anzupassen.
  5. Ausführliche Dokumentation der IT-Systeme und -Prozesse kann helfen, die Wartung und das Troubleshooting zu erleichtern und die Wiederherstellung im Falle eines Ausfalls zu beschleunigen.
  6. Kontinuierliche Überprüfung und Verbesserung der IT-Systeme und -Prozesse erhöht die Widerstandsfähigkeit der IT-Infrastruktur und beschleunigt die Reaktionsfähigkeit.
Confare_CIOSUMMIT_Wien_2025

Welche Rolle kommt der Cyber Security zu, wenn es um Resilienz geht?

Cyber-Security spielt eine wichtige Rolle bei der Schaffung von Resilienz, da sie dazu beiträgt, die Wahrscheinlichkeit und das Ausmaß von Security Incidents zu minimieren. Durch die Implementierung von technischen und organisatorischen Sicherheitsmaßnahmen wird das Risiko von Datenverlust, Datenlecks und Systemausfällen reduziert. Zusätzlich ermöglichen diese Maßnahmen den Unternehmen rasch auf Bedrohungen zu reagieren und sich schnell von Ausfällen zu erholen.

Folgende Maßnahmen, tragen wesentlich zur Erhöhung der Resilienz bei:

Organisatorische Maßnahmen:

  • Die Einrichtung eines Notfallplans trägt dazu bei, dass das eigene Unternehmen schnell und effektiv auf Cyber-Bedrohungen reagieren kann.
  • Regelmäßige Schulungen und Sensibilisierung der Mitarbeiter tragen dazu bei, dass diese die notwendigen Kenntnisse und Fähigkeiten erwerben, um schnellstens auf Cyber-Bedrohungen reagieren zu können.
  • Regelmäßige Prüfungen, Assessments, Penetration Test und Audits helfen Unternehmen Schwachstellen in den IT-Systemen und -Prozessen zu identifizieren und zu beheben.

Technische Maßnahmen:

  • State-of-the-Art Firewalls, Intrusion Detection Systems (IDS) und Endpoint Detection & Response (EDR) Systeme erkennen und wehren unerwünschte Verbindungen und Angriffe frühzeitig ab.
  • Identifikation, ZugriffsbeschränkungB. mit Sensitivity Labels, Conditional Access, Multifaktor und Verschlüsselung von sensiblen Daten kann dazu beitragen, dass diese im Falle eines Datenlecks nicht von Unbefugten gelesen werden können, bzw. der Zugriff nicht gewährt wird.
  • Regelmäßiges Backup und ein geübter Desaster Recovery Plan tragen dazu bei, dass das Unternehmen schnell auf einen Systemausfall reagieren und Daten wiederherstellen kann. Reale Übungen dieser Recovery Pläne (z.B. Dauer der Wiederherstellung mehrerer Systeme gleichzeitig) decken meist Verbesserungspotenzial auf.
  • Unterteilen des Netzwerks in Segmente kann dazu beitragen, dass Angreifer sich nicht im Netzwerk ausbreiten und weitere Systeme infizieren können. Eine Segregierung (z.B. Zero-Trust Architektur) der Netze und Services funktioniert im Ernstfall wie Brandschutztüren, welche Brandzonen schnell abtrennen, bzw. gar eine Ausbreitung verhindern.

Es ist von größter Wichtigkeit zu erkennen, dass auch im Bereich Cybersecurity die Resilienz Schaffung ein fortlaufender Prozess ist, da sowohl Bedrohungen als auch Technologien sich kontinuierlich verändern. Daher müssen die oben genannten Maßnahmen stetig evaluiert und angepasst werden, um sicherzustellen, dass sie effektiv gegen die aktuellen Bedrohungen wirken.

Welche sind die wichtigsten Compliance und Regulierungstrends 2023? Worauf müssen CIOs und CISOs achten?

Immer mehr Länder erlassen und verschärfen Datenschutz- und Cybersicherheitsgesetze. Neben der bekannten EU-Datenschutz-Grundverordnung (DSGVO), gibt es zum Beispiel das chinesische 3-Säulen Cybersecurity-Gesetzessystem, bestehend aus Cybersecurity Law (CSL), Data Security Law (DSL), und dem Personal Information Protection Law (PIPL).

In Australien, Brasilien, Kanada, Japan, aber auch in den USA gibt es eine zunehmende Anzahl von Vorschriften zur Cybersicherheit z.B. die kalifornische Datenschutzrechtsordnung (CCPA).

Der Gartner Report Oct. 2022 „Top Predictions for Cybersecurity“ schätzt, dass 2023 die Daten von über 5 Milliarden Menschen durch Datenschutzgesetze reglementiert werden. Die Trends zur globalen Datensicherheit setzten sich damit eindeutig in den kommenden Jahren fort. Konkret in der EU u.a.:

  • Umsetzung der abgelösten EU-Richtlinie zur Netz- und Informationssicherheit (NIS) durch die NIS-2-Richtlinie, welche ein weiteres Feld an Firmen einbindet als der Vorgänger und strengerer Kontrollmaßnahmen und Meldepflichten sowie EU-weit harmonisierte Sanktionen beinhaltet.
  • Vorbereitung auf den European Cyber Resilience Act (CRA). Der derzeitige Gesetzentwurf schreibt erstmals EU-weit verbindliche Maßnahmen zur Cybersicherheit von internetfähigen Geräten und Produkten vor.
  • Validierung der EU-Verordnung zur Funkanlagenrichtlinie (RED), welche ab August 2024 auch eine verpflichtende Cybersicherheit für alle drahtlosen Geräte wie Mobiltelefone, Tablets oder Smartwatches vorsieht.

 

Auch Standards und Zertifizierungen durch unabhängige Dritte werden im Hinblick auf eine länderübergreifende Umsetzung immer wichtiger.

  • Bekannte Standards werden laufend angepasst: wie z.B. PCI-DSS 4.0, NIST Cybersecurity Framework und die ISO 27001:2022. Aber auch andere Standards wie z.B. die ISO 9001, ISO/SAE 21434 (Automotive-Cybersecurity-Standard) haben ihre Controls angepasst und Anforderungen an die Datensicherheit und Resilienz der Firmen erhöht. Auditoren fordern daher auch hier verstärkt Konformitätsnachweise. Unternehmen müssen ihre Compliance-Maßnahmen daher genau dokumentieren.
  • Unternehmen, die Cloud-Dienste nutzen, müssen sicherstellen, dass sie ihre Daten in der Cloud sicher aufbewahren und dass sie den Anforderungen an die Datensicherheit und -compliance entsprechen. Dazu gehört zum Beispiel die Einhaltung von Standards wie SOC 2 und ISO 27018.

CIOs und CISOs sollten sich bewusst sein, dass die Compliance- und Regulierungsanforderungen ständig ansteigen und sich ändern können und sollten daher ihre Compliance-Strategie regelmäßig überprüfen und anpassen. Sie sollten auch sicherstellen, dass sie über die neuesten Entwicklungen in Bezug auf Compliance und Regulierung auf dem Laufenden bleiben und dass sie die notwendigen Ressourcen und Fähigkeiten haben, um diesen Anforderungen gerecht zu werden.

Wie verändern sich die Rollenbilder von CIO und CISO, wenn es um Cyber Security 2023 geht?

Die Rollen von CIO und CISO haben sich in den letzten Jahren stark verändert. Früher waren sie hauptsächlich dafür verantwortlich, die IT-Infrastruktur eines Unternehmens ausschließlich auf technischer Ebene zu schützen, die sich meist in einem lokalen Netzwerk befand.

Heute müssen CIOs und CISOs sicherstellen, dass die Daten zusätzlich zu den ursprünglichen Speicherorten nun auch in den diversen Cloud Plattformen/-Apps sowohl technisch als auch organisatorisch geschützt sind und auch hochgradig migrationsfähig bleiben müssen.

In Zukunft werden CIOs und CISOs noch enger zusammenarbeiten, um die Cyber-Sicherheit des Unternehmens zu gewährleisten. Sie werden auch verstärkt für die Einhaltung gesetzlicher Vorschriften und die Vermeidung von Strafen verantwortlich sein.

Die Zusammenarbeit mit der Geschäftsführung wird weiter intensiviert, damit die Geschäftsprozesse, die Geschäftsziele und -strategien bestmöglich unterstützt und geschützt werden können, und sich die Sicherheitsstrategie an die sich ändernden Bedrohungen anpassen.

Ein CIO oder CISO, der sich auf Cyber-Sicherheit im Jahr 2023 konzentrieren möchte, sollte sich auf mehrere Schwerpunkte konzentrieren:

  1. Cloud-Anwendungs und -Infrastruktur Sicherheit: CIOs und CISOs müssen sicherstellen und dokumentieren, dass die in der Cloud gespeicherten Daten, ausreichend sicher sind und dass die richtigen Sicherheitsmaßnahmen ergriffen wurden, um diese Daten vor unbefugtem Zugriff und Datenverlust zu schützen.
  2. Proaktive Bedrohungserkennung: CIOs und CISOs müssen sicherstellen, dass
    1. sie über die neuesten Bedrohungen informiert sind
    2. sie proaktiv nach Anzeichen von Angriffen suchen und dazu über die neuesten Tools und Technologien verfügen, um diese Bedrohungen zu erkennen und zu bekämpfen.
    3. sie über einen Notfallplan verfügen, um schnell auf Bedrohungen reagieren zu können.
  3. Compliance: CIOs und CISOs helfen, dass ihr Unternehmen die geltenden Datenschutz- und Datensicherheitsgesetze und Vorschriften einhält, und regelmäßig Audits und Prüfungen durchgeführt werden, um diese Anforderungen sicherzustellen und zu dokumentieren.
  4. Risikomanagement: Einige CIOs und CISOs hatten bisher sicherzustellen, dass das Unternehmen geeignete Cyber-Versicherungen hat, um sich gegen potenzielle Verluste durch Cyber-Angriffe abzusichern. Da die Versicherungen die Preise angehoben und die Deckung gesenkt haben, ist eine exakte Risikobetrachtung und -analyse wichtiger denn je. Dabei helfen die CIOs und CISOs den Risikomanagern und der Geschäftsführung in der Entscheidungsfindung maßgeblich.
  5. Ein wichtiger Aspekt des Schutzes vor Cyberbedrohungen ist die Mitarbeiterschulung und -sensibilisierung. CIOs und CISOs stellen sicher, dass Mitarbeiter über die neuesten Bedrohungen und Sicherheitsverfahren informiert sind und entsprechend reagieren können.

Agilität, Kundenorientierung und Geschwindigkeit sind Erfolgsfaktoren in einem hoch dynamischen Umfeld. Wie lässt sich das mit Forderung nach Stabilität, Widerstandsfähigkeit und Sicherheit unter einen Hut bringen?

Es kann schwierig sein, Agilität, Kundenorientierung und Geschwindigkeit mit der Forderung nach Stabilität, Widerstandsfähigkeit und Sicherheit in Einklang zu bringen, da diese Ziele oft scheinbar im Widerspruch zueinanderstehen. Einige Schritte, die CIOs und CISOs ergreifen können, um diese Ziele zu vereinen, sind:

  1. Identifizierung und Priorisierung der Bedrohungen, die am häufigsten auftreten und die am meisten schädigen können, und Fokus darauf, diese Bedrohungen zu bekämpfen.
  2. Automatisierung von Sicherheitsprozessen wie z.B. die Überwachung und Reaktion auf Bedrohungen, um Zeit und Ressourcen zu sparen.
  3. Schaffung und Verankerung einer Sicherheitskultur, in der die Mitarbeiter aktiv an der Sicherheit beteiligt sind und sich verantwortlich fühlen.
  4. Flexible und anpassungsfähige Sicherheitsstrategien, die sich an sich ändernde Bedrohungen und Geschäftsanforderungen anpassen können.
  5. Integriertes Risiko-Management in den Entscheidungsprozess, um die Auswirkungen von Sicherheitsmaßnahmen auf die Geschäftsführung und die Agilität des Unternehmens zu bewerten.
  6. Proaktive, kontinuierliche Überwachung des Netzwerks und der IT-Systeme des Unternehmens mit aktuellsten Technologien, um auch neueste Bedrohungen frühzeitig zu erkennen und zu bekämpfen.

Indem CIOs und CISOs diese Schritte unternehmen, können sie die Sicherheit des Unternehmens maßgeblich verbessern, ohne die Agilität, die Kundenorientierung und die Geschwindigkeit des Unternehmens zu beeinträchtigen.

Für Sie ausgewählt

Video: 17. Confare #CIOAward 2024 – Die besten...

Markus Czerner – „Ich bin geil auf Wettbewerbe“...

Digitale Dosis im Spital : Wie Technologie die...

Confare Female IT-Community: Frauen bestärken Frauen – selbstbewusst...

3 Profi-Tipps von Peter Huber für Digitalisierung im...

Confare #ImpactAward Nominee Heike Guthardt: Innovation und Wandel...

Leave a Comment

Save my name, email, and website in this browser for the next time I comment.