Publiziert am 30. August 2023 von unter:

Mit Teamwork zur Cyber Security: 5 Fragen, die CEOs ihren CISOs stellen sollten

Teaserbild Blogbeitrag 5 Fragen, die CEOs ihren CISOs stellen sollten, q.beyond. Bild: © vgajic / Getty Images

Um rechtzeitig Sicherheitsprobleme aufzudecken und nötige Schutzmaßnahmen zu identifizieren, sollten CEOs auf ein klärendes Gespräch mit ihren CISOs setzen. Bild: © vgajic / Getty Images

Cloud Computing, Internet of Things (IoT), Analytik-Tools oder mobile Technologien: Die digitale Vernetzung ist in Unternehmen jeder Größe angekommen. Sie bringt zahlreiche Vorteile, weitet aber auch die Angriffsfläche für Kriminelle stark aus. Aufzudecken, wo konkret Gefahren lauern, scheint auf den ersten Blick angesichts der immer komplexer werdenden Hackeroffensive eine Mammutaufgabe zu sein. Tatsächlich können CEOs die Cyber-Security-Lage ihrer Organisation schnell ausloten – mit den richtigen Fragen an ihre CISOs.

 

Cyber-Vorfälle: Geschäftsführerhaftung vermeiden!

Cyber Security ist kein singuläres Projekt, das nach Umsetzung bestimmter Schutzmaßnahmen ein klares Ende zeichnet. Ganz im Gegenteil! Die zunehmende Digitalisierung in Unternehmen, die Komplexität der IT-Infrastruktur und eine evolvierende Bedrohungslandschaft erfordern Kontinuität. Dass das C-Level diese Notwendigkeit verinnerlicht hat, ist jedoch noch nicht spürbar: In der PwC-Umfrage Digital Trust Insights 2023 gab lediglich ein Viertel der Organisationen in Deutschland an, Risiken vollständig im Griff zu haben. Der Rest kämpft mit Sicherheitslücken.

Lassen Unternehmen einen erfolgreichen Cyber-Angriff zu, stehen Chief Executive Officers (CEOs) in der Pflicht. Denn Compliance, unter die auch die Informations- und Datensicherheit fällt, ist stets Aufgabe der Chefetage. Drohen Unternehmen Umsatzausfälle, Bußgeldforderungen oder Schadensersatzansprüche, haften Geschäftsführer:innen im Zweifel persönlich – erst recht, wenn vorsätzliche oder fahrlässige Pflichtverletzungen bei Risikomaßnahmen offensichtlich sind. Deshalb sollten CEOs ihr Wissen über moderne Cyber-Security-Strategien kontinuierlich ausbauen und stets den Überblick über entsprechende Risiken und Gegenmaßnahmen wahren.

 

Begriffseinordnung: Informationssicherheit vs. IT-Sicherheit

Informationssicherheit und IT-Sicherheit liegen sehr nah beisammen – sind aber nicht miteinander zu verwechseln.

  • Die Informationssicherheit beschäftigt sich mit dem Schutz von Informationen. Darunter sind technische wie auch nicht-technische Systeme gefasst. Die Konzeption, Umsetzung und Überprüfung von Maßnahmen, um diese Systeme zu schützen, sind ihre Hauptaufgaben.
  • Die IT-Sicherheit hingegen ordnet sich als Teilbereich der Informationssicherheit zu – mit klarem Fokus auf den Schutz der IT.

CISOs tragen dabei die Gesamtverantwortung für die Informationssicherheit. Damit beschäftigen sie sich mit weit mehr als der rein technischen Sicherheit und sind verlässliche Ansprechpartner:innen für die CEOs.

CEO und CISO: Zusammen für mehr Cyber Security

Um die Geschäftsführerhaftung auszuschließen und ihrer Pflichterfüllung nachzukommen, sind CEOs nicht auf sich allein gestellt. Im Chief Information Security Officer, kurz CISO, finden sie kompetente Unterstützung. Denn er befasst sich mit allen Fragen rund um Informations- und Datensicherheit – daher mit der

  • Erstellung von Sicherheitsleitlinien
  • Konzeption eines Sicherheitskonzepts und essenzieller Teilkonzepte
  • Entwicklung von Cyber-Security-Anforderungen an die IT-Abteilung
  • Überprüfung von Sicherheitsmaßnahmen und
  • Untersuchung sicherheitsrelevanter Vorfälle.

Beim Thema Cyber Security hilft dem oder der CEO also ein klärendes Gespräch mit seinem/seiner CISO. Dabei sollten mindestens diese fünf Fragen zur Sprache kommen:

 

Frage 1: Sollten wir unseren Sicherheitsstandard erhöhen?

Security-Lösungen kosten Geld. Allerdings lohnt sich die Entscheidung gegen geeignete Maßnahmen in der Regel nicht. Durchschnittlich kostet ein Datenvorfall deutsche Unternehmen laut Cost of a Data Breach Report 2023 über vier Millionen Euro. Entscheidungen für oder gegen die Invesitionen in Sicherheitsmaßnahmen sollten die Verantwortlichen folglich gut abwägen. Grundlage für die Cyber-Security-Anforderungen der IT-Abteilung ist die Feststellung des Ist-Zustands der Organisation.

Erst wenn CISO und CEO darüber Klarheit gewonnen haben, kann der nächste Schritt folgen: die Risikoabschätzung. Mit geschärftem Blick fällt die Entscheidung über zielgerichtete und vor allem nötige Sicherheitsmaßnahmen leichter.

 

Frage 2: Halten Sicherheitsaspekte Sie nachts wach?

Mit einem „Nein“ könnte man diese Frage schnell abhaken. Das sollten Verantwortliche aber nur, wenn sie ihre IT-Infrastruktur regelmäßig auf Schwachstellen scannen. Zögert der CISO jedoch oder fallen ihm sofort konkrete Bereiche ein, die aus seiner Warte nicht sicher sind, ist schnelles Handeln unerlässlich. Das A und O lautet, ungenutzte Optimierungsmöglichkeiten aufzudecken.

Hierbei unterstützt das Schwachstellenmanagement. Es lenkt den Blick auf Sicherheitslücken in Geräten, Netzwerken oder Anwendungen. Sind Probleme erkannt, müssen Verantwortliche diese ihrer Wichtigkeit nach priorisieren und beheben.

 

Information Security Management System: Sicherheit im Blick!

Um Informationssicherheit im Unternehmen kontinuierlich zu gewährleisten, sind Regeln, Methoden sowie Tools nötig. Eine ganzheitliche Herangehensweise lässt sich optimalerweise in einem Informationssicherheits-Managementsystem (ISMS) festhalten. Wichtig dabei: Informationsziele und Business Intelligence harmonisieren. Ein Aufbau des ISMS als Risikomanagement in sieben Schritten ist empfehlenswert:

  • Risikoanalyse
  • Festlegung einer ganzheitlichen Strategie
  • Bestimmung des Ist-Zustands
  • Erarbeitung eines Maßnahmenkatalogs
  • Erstellung eines Informationssicherheitshandbuchs
  • kontinuierliche Kontrolle
  • PDCA-Zyklus

Frage 3: Müssen wir die Sicherheit permanent überwachen?

Cyber-Kriminelle schlagen nicht nur während der regulären Arbeitszeit zu. Darum ergibt es wenig Sinn, wenn Organisationen der Cyber Security lediglich temporär Beachtung schenken. Angesichts des Fachkräftemangels ist das keine leichte Aufgabe. Auf die Frage des CEOs nach permanenter Überwachung könnte der CISO eine Unterstützung in den Ring werfen: das Managed Security Operations Center, kurz Managed SOC.

Externe IT-Fachleute überwachen hier rund um die Uhr die Cyber-Sicherheit der Firma. Ständige Prävention, die Analyse von Bedrohungen und die Durchführung von Schutzmaßnahmen sind dabei nur drei Vorteile, die ein Managed SOC zu bieten hat. So lassen sich Geschäftsführerhaftungen ausschließen, auch wenn interne Ressourcen für die Cyber Security fehlen.

 

Frage 4: Im Falle eines Angriffes: Was ist unser Plan?

Ob das Unternehmen für eine Cyber-Attacke gewappnet ist, sollten CEO und CISO nicht dem Glück überlassen. Ratsam ist eine ganzheitliche Cyber-Security-Strategie. Einmal aufgestellt, überprüfen Verantwortliche regelmäßig, ob die Cyber-Security-Anforderungen an die IT-Abteilung noch dem aktuellen Stand der Dinge entsprechen. Unerlässlicher Bestandteil ist dabei das Notfallkonzept. Kommt es trotz geeigneter Schutzmaßnahmen zur Hackeroffensive, wissen alle Beteiligten unmittelbar, was zu tun ist.

Das funktioniert allerdings nur, wenn das Vorgehen transparent niedergeschrieben und kommuniziert wurde. Nur so können Mitarbeitende den Schaden im Falle eines Angriffes ohne Zeitverlust begrenzen und beheben. Auch regelmäßige Schulungen und Live-Übungen, beispielsweise Phishing-Simulationen, tragen ihren Teil zu risikobewussten Kolleg:innen bei.

 

Frage 5: Hindert Sie etwas daran, unsere Sicherheit zu verbessern?

CISOs geht es wie den meisten: Im Alltag bleibt wenig Zeit, die operativen Themen beiseitezulegen, um die Arbeit zu reflektieren. Wo fehlen Ressourcen, die die Cyber Security verbessern könnten? Welche Zuständigkeiten sind ungeklärt? Und welche Prozesse fallen dem Unternehmen womöglich im Angriffsfall auf die Füße?

Mit dieser Frage sollten CEOs also nicht direkt auf Antworten drängen, sondern ihren CISOs Zeit einräumen, damit sie tiefer graben können. Wichtig ist dabei, Fort- und Weiterbildungen zu ermöglichen, damit sie neueste Methoden kennen und abwehren.

 

Cyber Security auf Kurs bringen

In Anbetracht der zunehmenden Cyber-Bedrohungen benötigen CEOs ein klares Bild über die aktuellen Sicherheitsrisiken. Durch das regelmäßige Gespräch mit ihren CISOs legen CEOs dafür einen wichtigen Grundstein. Frühzeitig decken sie gemeinsam potenzielle Probleme auf, identifizieren nötige Schutzmaßnahmen für die IT und planen langfristige Sicherheitsziele. Im Ergebnis verdeutlicht der Austausch die Cyber-Security-Anforderungen an die IT-Abteilung, erleichtert die Umsetzung in der Praxis und reduziert die Haftungsrisiken auf CEO-Ebene.

 

Weiterführende Informationen:

  • Sie wollen mehr zu modernen Cyber-Security-Strategien erfahren? Dann ist unser Whitepaper wie für Sie gemacht.
  • Sie suchen nach Unterstützung beim Thema Cyber Security? Hier erfahren Sie, wie q.beyond Ihrem Unternehmen hilft.
  • Sie sind bereit für die nächsten Schritte? Unser Blogbeitrag zeigt Ihnen, welche Cyber-Security-Trends Sie 2023 nicht verpassen sollten.

 

Mitautor des Beitrags war Stefan Peter.

Drucken

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

*

Um die Diskussionsqualität zu wahren, veröffentlichen wir nur noch Kommentare mit nachvollziehbarem Vor- und Nachnamen sowie authentischer E-Mail-Adresse.

Startseite