Geschäftsführer unterschätzen die existenzielle Bedrohung durch Cyberangriffe

by Anthony Torno

Wenn jemand Bestseller rund um IT-Themen schreibt, dann ist es Prof. Thomas Köhler. Er ist nicht nur erfolgreicher Unternehmer und beliebter Autor, sondern auch wichtiger Ansprechpartner der deutschen Presse, wenn es darum geht einem breiten Publikum Themen rund um Cybersecurity näher zu bringen. Persönlich kann man Thomas auf den Confare #CIOSUMMITs 2022 in Wien, Zürich und Frankfurt erleben. Im Zuge der Recherche für das Confare Cybersecurity Update 2022 in Zusammenarbeit mit T-Systems Alpine hat uns Thomas verraten, warum Cybersecurity, obwohl existenziell bedrohlich, immer noch zu wenig Aufmerksamkeit im Top-Management hat und welche Acht Dimensionen es zu betrachten gilt.

Die wichtigsten Cybersecurity KPIs finden Sie im Confare Blog hier: https://confare.at/die-10-wichtigsten-cyber-security-kennzahlen/

Welche Rolle nimmt Cybersecurity in einem modernen Unternehmen ein?

Die einfache Antwort wäre: „noch immer nicht die, die es braucht“. Wenn man genauer hinsieht, stellt man fest, dass viele Unternehmen, auch solche die sonst gut aufgestellt sind, Cybersicherheit noch immer nicht den Stellenwert einräumen, der nötig wäre. Cyberattacken müssen als potentiell existenzbedrohende Risiken wahrgenommen werden und entsprechend behandelt werden. Das braucht es Fachexpertise im Unternehmen selbst aber auch „Management Attention“.

Was sind die wichtigsten Elemente, die in eine ganzheitliche Cybersecurity Betrachtung einfließen müssen?

Es gibt verschiedene Annäherungen und Modellbetrachtung, um das Thema und die damit einhergehende Komplexität fassbar zu machen. Für mein aktuelles Buch „Chefsache Cybersicherheit“ (Campus Verlag Frankfurt/New York 2021) habe ich es gewagt einen neuen – aus der Praxis mit großen Unternehmen entwickelten – 360Grad-Ansatz vorzuschlagen, der von 8 Betrachtungsfeldern ausgeht:

  • Identität und Zugangsschutz
  • Endgerätesicherheit
  • Netzwerk – und Mobilsicherheit (da fällt dann auch das Homeoffice mit rein)
  • Daten- und Applikationssicherheit
  • Cloud- und Managed Services-Nutzung
  • Threat Intelligenz und Security Analytic
  • Incident Handling und Recovery

Das waren jetzt – für die Leserinnen und Leser die mitgezählt haben – zwar nur 7 aber der achte Punkt hat besondere Bedeutung:

Der „Human Factor“ schaut gezielt auf den Menschen aber nicht nur den Menschen in der Organisation selbst, sondern auch die Wechselwirkungen mit anderen Personen „draußen“: Kunden, Lieferanten und sonstigen Partnern, wie etwa Dienstleistern im Bereich Steuern oder Recht.

Wenn man sich die Mühe macht, nach diesem Modell zu evaluieren bekommt man ganz automatisch einen guten Überblick über die aktuelle Lage im eigenen Unternehmen.

Cloud und Managed Services erzeugen sehr viel Abhängigkeit von anderen und öffnen Schnittstellen nach Außen – Was braucht es, um sich hier sicherheitsmäßig gut aufzustellen?

Die schöne Metapher von der Burgmauer als Verteidigungslinie und Abgrenzung zwischen dem unsicheren „Außen“ und dem sicheren „Innen“ hat lange ausgedient, wegen Cloud und Managed Services aber auch wegen der Notwendigkeit Homeoffices und mobile Services zu integrieren und Partner mit an Bord zu nehmen. Eine Lösung für diese Herausforderung ist das „Zero Trust“ Modell. Verantwortliche sollten sich damit auseinandersetzen.

Welche organisatorischen Maßnahmen sind erforderlich um ein ganzheitliches Bild über Infrastruktur, Angriffe und Sicherheits-Status zu erhalten?

Das oben genannten Framework liefert einen ersten Ansatz, national wie auch international gängige Frameworks vertiefen dann die Kenntnis von der eigenen – meist über Jahrzehnte – Gewachsenen IT-Systemlandschaft und darauf basierender Architektur. Hier sollte dann eine systematische Überprüfung ansetzen, das geht nicht ohne Fachfirma, die etwa auf Pentesting spezialisiert ist. Mit dem Schließen der selbst gefundenen Lücken sollten auch alle Sicherheitsprozesse (vom Patchprozess bis zur Nutzerrechtevergabe) auf Tauglichkeit überprüft werden. Auch hier kann es sinnvoll sein, sich externen Rat zu holen. Wichtig: Fragen Sie keine Produktverkäufer, sondern wirklich neutrale Experten. Sie kennen die Redenswart: „Wer nur einen Hammer hat, für den ist jedes Problem ein Nagel“. Dies gilt gerade im Bereich Cybersicherheit besonders, wo nicht wenige Wunderprodukte eher neue Probleme schaffen als zu mehr Sicherheit beizutragen.

Was sind die wichtigsten Elemente einer Cybersecurity Architektur? Worauf muss man als CIO achten?

Die wichtigsten zu berücksichtigen Elemente hatten wir oben aufgezählt, entscheidend ist es – vor dem Hintergrund der aktuellen Bedrohungslage – eine Organisation zu schaffen, die im Falle einer Attacke zügig und vollständig wieder recovern kann. Dazu gehört ein Notfallplan, natürlich ein funktionierendes Backup – ideal sind Lösungen, die sowohl offline Daten halten als auch in eine vertrauenswürdige Cloud replizieren.

Wie beurteilt man, was im Markt an Dienstleistungen und Produkten für das eigene Unternehmen wirklich relevant ist?

Es ist selbst für Experten schwer, hier die Spreu vom Weizen zu trennen. Nicht wenige Lösungen versprechen mehr als sie halten können oder taugen nur bedingt für den Einsatz in der europäischen Union, etwa wegen damit einhergehender Datenschutzprobleme. Was genau benötigt wird – jenseits von absoluten Basics wie Firewall und Malware-Schutz – hängt stark vom Unternehmen und dessen Strukturen ab. Wer etwa den Fokus auf Remote Work setzt hat ebenso besondere Anforderungen, wie ein Unternehmen das direkt an Endkunden via Onlineshop verkauft oder ein Industriebetrieb, der – so er etwa Zulieferer in der Autobranche ist – bestimmte Anforderungen seiner Kunden einfach erfüllen muss. Gerade letzteres ist immer auch eine Chance seine Systeme auf Vordermann zu bringen.

Was ist notwendig, um im Fall eines erfolgreichen Angriffs schnell handeln zu können?

Die Antwort ist einfach: Jede Person muss wissen, was zu tun ist und sofort ins Handeln kommen. Man braucht einen Notfallplan und der muss eingeübt sein. Schwimmen lernen sollte man ja auch nicht erst, wenn man beim Segeltörn über Bord gegangen ist. Wichtig: Der Notfallplan muss immer „offline“ zugänglich sein. Zudem sollte ein alternatives Kommunikationsverfahren vereinbart sein, wenn klassische Telefonie und eMail nicht mehr funktionieren und ein Weg definiert werden, wie man – im Fall des Falles – mit Kunden, Partnern und Öffentlichkeit umgeht.

Welche Argumente zählen bei Vorstand und Geschäftsführung wirklich, wenn es um Cybersecurity Investitionen geht?

Das Grundproblem des fehlenden ROI-Wertes für Investitionen in Cybersicherheit ist nicht lösbar. Gängige Hilfskonstruktionen helfen dem Thema selten. Meiner Erfahrung nach bekommt man die notwendige „Management Attention“ und in Folge geeignete Budgets nur über das Thema Risikomanagement. Wenn man das Allianz Global Risk Barometer in der gerade für 2022 erschienenen Neuauflage zur Hand nimmt, so stehen Cyberrisiken in der Einschätzung der befragten Führungskräfte global auf Platz 1, weit etwa vor Pandemiebedingten Risiken oder den Problemen mit Lieferketten. Interessant ist auch Platz 2: „Betriebsunterbrechung“: das ist nicht selten auch ein Cybersecurity-Thema, wenn man sich die Ursachen genau vornimmt.

Am besten wirkt übrigens bei Führungskräften die Frage nach dem persönlichen Haftungsrisiko. In Deutschland etwa fordert das Aktiengesetz (und analog das GmbH Gesetz), das Vorsorge für „existenzbedrohende Risiken“ zu treffen ist. Es steht außer Frage, das Cyber Risiken zu den für Unternehmen existenzbedrohenden Risiken gehören.

Allgemein ist meine Beobachtung, dass speziell in den letzten 2 Jahren sich das Bewusstsein für Cyberrisiken weiterentwickelt hat, auch und gerade was die Führungsebene angeht. Und das ist eine gute Nachricht.

Für Sie ausgewählt

Leave a Comment