Wie so oft im Leben ist es bei Cyber-Security so, dass Vorbereitung essenziell ist, um einerseits Eintrittswahrscheinlichkeit und Auswirkungen von Sicherheitsvorfällen zu reduzieren und andererseits Vorkehrungen zu treffen, um schnell und effektiv auf solche zu reagieren. Security ist kein Add-on, das im Nachhinein einfach hinzugefügt werden kann. Es muss von Beginn an mitgedacht sein.

Ein mögliches Einfallstor für Cyber-Angriffe und somit ein Risiko, das sich technisch nur in Teilen begrenzen lässt, sind auch die Mitarbeiter selbst – meistens unbeabsichtigt. Um die Risiken zu begrenzen, sollten neben technischen Aspekten daher auch kulturelle und organisatorische Punkte beachtet werden:

Kulturell

  • Schaffen Sie in der gesamten Organisation ein Verständnis dafür, dass jeder Bereich anfällig für Cyber-Risiken ist – oder, positiv formuliert, auf Vertraulichkeit, Integrität und Verfügbarkeit von Daten und Systemen angewiesen ist.
  • Vermitteln Sie den Wert (beziehungsweise Schaden) von potenziellen Angriffen – und setzen Sie das in Relation zum Unternehmen.
  • Für jeden Mitarbeiter muss es wichtig sein, Cyber-Risiken zu erkennen und entsprechend zu reagieren. Das schaffen Sie mit Trainings – ideal auf spielerische Art und Weise und eventuell sogar mit Preisen. Achten Sie jedoch darauf, dass die notwendige Ernsthaftigkeit gewahrt bleibt.

Organisatorisch

  • Beziehen Sie die Cyber-Risiko Komponente immer in Entscheidungen ein – verschiedene strategische Ausrichtungen, beispielsweise im IT Operating Model, haben vollkommen unterschiedliche Risikoprofile.
  • Schaffen Sie eine mehrstufige organisatorische Sicherheits-Architektur. Typisch sind drei Level:
  • 1st Level: Operative Security – beispielsweise Monitoring und Incident Response, aber auch andere Einheiten für die Security Policies gelten, wie zum Beispiel Anwendungsentwicklung oder Software-Einkauf
  • 2nd Level: CISO Organisation – gibt Policies und Metriken vor, coached 1st Level in der Umsetzung und überwacht Einhaltung
  • 3rd Level: Audit – überprüft die Wirksamkeit der CISO Organisation
  • Die Verankerung der CISO-Organisation außerhalb der IT kann hilfreich sein, um darauf zu verweisen, dass es sich nicht um ein rein technisches Thema handelt, sondern das Gesamtunternehmen in der Pflicht ist.

Technisch

  • Identifizieren Sie Ihre kritischsten Anwendungen und entwickeln Sie entsprechende Schutzmechanismen. Kritisch kann sowohl die Anfälligkeit für Angriffe bedeuten (hohe Eintrittswahrscheinlichkeit) oder aber große Auswirkungen auf die Unternehmensprozesse (hoher Schaden).
  • Entwickeln Sie nach einer ersten Analyse einen Wellen-Plan mit Sofortmaßnahmen (inklusive Schulungen), kurzfristigen Zielen und mittelfristiger Strategie um die technischen Risiken nachhaltig zu reduzieren.
  • Wenn Sie diese Fähigkeiten nicht im Haus haben, involvieren Sie erfahrene Berater mit breitem Erfahrungsspektrum in Cyber Security, Systemarchitektur und IT Operations.

IT-Sicherheit muss also von der gesamten Organisation als Aufgabe und Verantwortung gleichermaßen begriffen werden. Führungskräfte müssen es ihren Mitarbeitern hierbei einfach machen, das Richtige" zu tun – das geht in vielen Fällen nur über Transparenz und Information sowie über Benutzerfreundlichkeit. 

Mehr zum Thema erfahren Sie außerdem in der Folge #08 Wie Unternehmen Einfallstore für Cyberangriffe schließen können" unseres When It Really Matters" Podcasts:

1255150a.jpg

The content of this article is intended to provide a general guide to the subject matter. Specialist advice should be sought about your specific circumstances.