Moderne Cyber-Security-Strategien: Was sollte ein CEO wissen?
Mit modernen Cyber-Security-Strategien schützen CEOs ihr Unternehmen vor Angriffen. Bild: © Cecilie_Arcurs / Getty Images
Cyber-Spione, Internet-Terroristen, Insider-Akteure oder Hacktivisten: Die Liste der Tätergruppen ist lang. Setzen CEOs nicht auf eine moderne und nachhaltige Cyber-Security-Strategie, drohen ihren Unternehmen erhebliche Konsequenzen. Datenmissbrauch, Reputationsverlust und Erpressungszahlungen in Millionenhöhe sind nur einige der realen Risiken. Deshalb lohnt es sich, rechtzeitig auf Prävention zu setzen. Um die richtigen Stellschrauben zu drehen und wirksame Cyber-Sicherheit für das Unternehmen zu schaffen, sollten CEOs wichtige fachliche Grundlagen kennen.
Cyber Crime? Es wird alle treffen!
Mittelständler sind Cyber-Angriffen immer häufiger ausgesetzt. 2021 waren bereits neun von zehn Unternehmen betroffen – so die Ergebnisse einer aktuellen Bitkom-Studie. Einer der Gründe: Bei der Umsetzung der Remote-Arbeit im Zuge der Coronapandemie setzten Verantwortliche oftmals auf eine schnelle Umsetzung zulasten der Cyber-Sicherheit des Unternehmens. Somit brachten Home-Office und Cloud-Nutzung neue Schwachstellen mit sich.
Auf der anderen Seite nimmt das Bewusstsein für die Notwendigkeit von Cyber-Security-Strategien aufgrund stetig wachsender Bedrohungen zu. Dem aktuellen Tempo können viele Organisationen aber nicht standhalten. Denn mit immer neuen Digitalisierungstrends entwickeln sich auch Angreifer:innen ständig weiter. Schnell finden sie beispielsweise neue Wege, um die Datensicherheit auszuhebeln. Im Zuge der 25. Global CEO Survey von PwC hat sich herausgestellt: Das Thema bereitet der Führungsebene bereits starkes Kopfzerbrechen. So sehen rund 59 Prozent der deutschen CEOs in Cyber-Attacken das größte Risiko für die eigene Organisation. Nur ein ganzheitliches Cyber Security Management kann hier Abhilfe schaffen: Damit das gelingt, muss ein CEO allerdings wenigstens die Grundlagen entsprechender Strategien verstehen.
Cyber-Sicherheit im Unternehmen ist Chefsache
Kommt es zu einem Angriff auf die Cyber-Sicherheit des Unternehmens, müssen alle Beteiligten schnell handeln. In diesem Moment ist es wichtig, auf eine durchdachte Cyber-Security-Strategie zurückgreifen zu können. Die Initiative für eine gute Vorarbeit sollten CEOs rechtzeitig ergreifen.
Ihr Weg zum Sicherheitserfolg: Mit einem Top-down-Ansatz ein ganzheitliches Cyber Security Management schaffen.
Es ist dabei die Pflicht der obersten Führungsebene, in sämtlichen Bereichen einen reibungslosen und vor allem gesetzeskonformen Betrieb zu gewährleisten. Darunter fällt auch eine sorgfältig erstellte und ständig aktualisierte Cyber-Security-Strategie. Das Stichwort ist hier Prävention. Vernachlässigen es CEOs, hier rechtzeitig die Weichen zu stellen, handeln sie mitunter grob fahrlässig und haften mit ihrem persönlichen Vermögen.
In drei Schritten zur Cyber-Security-Strategie
Um Organisationen vor Cyber-Angriffen zu schützen, müssen CEOs zunächst ein Verständnis für die Risiken entwickeln. Dabei fällt der erste Blick häufig auf technische Aspekte. Ist die Firewall ausreichend? Sind Hard- und Software geschützt? Wo können Ransomware-Attacken im System ansetzen? Häufig rutschen dabei die Mitarbeitenden aus dem Blickfeld. Doch bei einem erfolgreichen Cyber Crime spielen Mensch und Technik gleichermaßen eine Rolle. Drei Schritte helfen CEOs auf ihrem Weg zu mehr Cyber-Sicherheit fürs Unternehmen.
Schritt 1: Awareness schaffen
Angefangen bei der Geschäftsführung müssen am Ende alle Mitarbeitenden ein Bewusstsein für mögliche Risiken entwickeln. Vor welchen Herausforderungen steht die IT? Und wie können Einzelne ihre Arbeitsplätze zu Hause vor Angriffen schützen? An erster Stelle steht dabei die Datensicherheit. Immer mehr rückt der geschützte Informationsaustausch über Cloud-Anwendungen in den Fokus. Aber auch das Thema Social Engineering (siehe Infobox) sollten CEOs mit ihren Mitarbeitenden besprechen. Nur so können sie gemeinsam menschliches Handeln als Gefährdungspotenzial minimieren.
Schritt 2: Präventionsstrategien entwickeln
Prävention ist wichtig. Denn kommt es zum Ernstfall, können Schäden entstehen, die in letzter Konsequenz sogar zur Schließung führen. Deshalb ist eine kontinuierliche Risikobewertung essenziell. Auf ihr basierend können Organisationen Präventionsstrategien entwickeln und falls nötig umsetzen. Dabei sollte das Cyber Security Management alle Ebenen abdecken: Mensch, Technik und Organisation. Um die Präventionsziele zu erreichen, sollten CEOs regelmäßig Erfolgskontrollen durchführen (lassen).
Schritt 3: Kontinuität gewährleisten
Die Entwicklung einer Cyber-Security-Strategie ist keine Einmalangelegenheit. Viel eher sollte die Geschäftsführung sie als fortlaufenden Prozess verstehen. Denn Angreifer:innen finden immer neue Möglichkeiten, um Unternehmen zu bedrohen. 2021 hat das Bundesamt für Sicherheit in der Informationstechnik an einem Tag einen Spitzenwert von 553.000 neuen Varianten von Schadprogrammen identifiziert. Um Risiken schnell zu erkennen und ihnen sicher zu begegnen, sind CEOs also kontinuierlich gefragt. Ihr To-do: Sie setzen die Cyber-Sicherheit des Unternehmens regelmäßig auf die Agenda.
In der Praxis: Cyber-Security-Strategien für CEOs
Um die richtigen Weichen für die Cyber Security in ihrer Organisation stellen zu können, sollten CEOs diese zwei Strategien kennen:
Die Defense-in-Depth-Strategie rückt die Datensicherheit ins Zentrum. Die Theorie dahinter: Legt ein Unternehmen Hackern ausreichend Steine in den Weg, scheitert ihr Versuch, an vertrauliche Daten zu gelangen. Um den Angriff so zeitaufwendig und kostspielig wie möglich zu gestalten, wenden Organisationen das Zwiebelprinzip an. Die wertvollsten Unternehmensinformationen stecken dabei tief im Kern. Das Durchdringen der äußeren Schichten verschafft dem Unternehmen Zeit, um Schutzmaßnahmen zu implementieren. Im Ergebnis entsteht ein vielschichtiges Abwehrsystem.
Mit der Zero-Trust-Access-Strategie lässt sich die Defense-in-Depth-Vorgehensweise optimal ergänzen. Wortwörtlich besagt sie, dass das Unternehmen niemandem vertraut. Innerhalb wie auch außerhalb der Unternehmensgrenzen soll also keine Person unkontrolliert auf vertrauliche Daten zugreifen. Mit einer Zero-Trust-Lösung lassen sich Zugänge anhand von mehreren Faktoren erteilen oder verweigern. Dazu zählen nicht nur schwache Faktoren wie Benutzername oder Passwort. Auch Kriterien wie Uhrzeit oder Gerätesicherheit lassen sich in diese Cyber-Security-Strategie einbeziehen.
Cyber Security Management braucht Führung
Eine moderne Unternehmensführung ohne Cyber-Security-Strategie ist heute kaum denkbar. Denn nur mit ihr können Organisationen Sicherheitsrisiken effizient minimieren und sich letztlich vor Schäden schützen. Ein zusätzlicher Benefit: Durch eine zielgerichtete Cyber-Security-Strategie minimieren CEOs ihre persönlichen Haftungsrisiken.
Um hierfür die richtigen Weichen zu stellen, sollten CEOs die Grundlagen moderner Abwehrstrategien kennen und verstehen. Nur so sind sie in der Lage, die richtigen Aufgaben zu delegieren und im Unternehmen ein starkes Bewusstsein für real-existente Bedrohungen konsequent aufzubauen.
Erfahren Sie jetzt mehr, wie Sie als CEO Ihr Unternehmen vor Cyber-Angriffen schützen können:
- Erfahren Sie in unserem Whitepaper mehr über moderne Cyber-Security-Strategien und überprüfen Sie anhand unserer Checkliste, wie es um ihre Cyber-Sicherheit steht.
- Lesen Sie hier, wie q.beyond Sie beim Thema Cyber Security unterstützen kann.
- Lernen Sie, wie Sie „Mit dem MITRE ATT&CK Framework zur Cyber Security“ gelangen.