Ob durch Ransomware, Datendiebstahl oder Denial-of-Service-Angriffe, die Cyberkriminalität gedeiht und floriert. Schon längst ist nicht nur die Realwirtschaft in der digitalen Transformation, auch die Schattenwelt nimmt am digitalen Goldrausch teil und hat neue Einnahmequellen für sich entdeckt. Sicherheitsvorfälle nehmen zu und verursachen empfindliche Störungen in den Betriebsabläufen der Unternehmen.
Foto: frank_peters - shutterstock.com
Dennoch unternimmt nur ein überraschend geringer Prozentsatz der Unternehmen proaktive Schritte, um Cyberrisiken einzudämmen. Laut einer Studie des Ponemon Institutes berichten 63 Prozent der IT-Sicherheitsverantwortlichen nicht regelmäßig an den Vorstand. Darüber hinaus verfügt eine Mehrheit der Unternehmen nach wie vor über einen reaktiven, vorfallbezogenen Ansatz für die IT-Sicherheit, was sie verwundbar für externe Angreifer macht.
Stärkere Einbindung der Chefetage
Trotz zunehmender Abhängigkeit von der Verfügbarkeit der IT nehmen Vorstände weiterhin eine eher reaktive Haltung ein, um die Cyberrisiko-Strategie ihres Unternehmens zu steuern. Laut der Ponemon-Studie berichten 40 Prozent der CISOs überhaupt nicht an den Vorstand, was auf ein fehlendes Problembewusstsein hindeutet. 14 Prozent der IT-Sicherheitsverantwortlichen berichten erst nach einem Sicherheitsvorfall an den Vorstand. Allerdings ist es dann meist zu spät und mitunter Schaden bereits entstanden.
Gleichwohl zeigt eine Studie des Digitalverbands Bitkom, dass die Cyberkriminalität auch hierzulande spürbar zunimmt und für Unternehmen von Jahr zur Jahr teurer wird. Längst steht auch der deutsche Mittelstand im Fadenkreuz, so das gemeinsame Fazit des Bundesamtes für Verfassungsschutz und des Bundesamtes für Sicherheit in der Informationstechnik (BSI) zu der Bitkom-Studie.
Selbst wenn der Vorstand in Sachen Cybersicherheit auf dem Laufenden gehalten wird, werden häufig keine konkreten Maßnahmen zur Eindämmung von Risiken umgesetzt. Laut der Ponemon-Umfrage geben 28 Prozent der CISOs an, dass der Vorstand ein akzeptables Niveau an Cyberrisiken für das Unternehmen festlegt oder genehmigt.
Nur 21 Prozent der CISOs sagen, dass der Vorstand eine Due Diligence auf Cyberrisiken im Rahmen des M&A-Prozesses verlangt. Im Umkehrschluss bedeutet dies, dass Unternehmen mit einer M&A-Transaktion unwissentlich Cyberrisiken als "Technical Liability" übernehmen. Haftungsrisiken gehen mit dem Kauf an den Käufer über. Im Falle einer Datenpanne kann dies mitunter kostspielig werden. So zieht beispielsweise die Datenschutzgrundverordnung (DSGVO) bei der Berechnung des Bußgeldes plötzlich den Gesamt-Jahresumsatz des Käufers heran, der üblicherweise um ein Vielfaches höher ist, als der Umsatz der neu erworbenen Einheit.
Prävention statt Reaktion gefragt
Die Ponemon-Umfrage untersuchte auch, wie proaktiv IT-Sicherheitsverantwortliche bei der Umsetzung von Cybersicherheitsstrategien und -taktiken waren. Statt regelmäßiger Überwachung und Analyse setzen viele auf einen reaktiven, ereignisgesteuerten Ansatz. Es fehlt an Prävention.
So gaben beispielsweise sieben von zehn (69 Prozent) CISOs an, dass ihre Unternehmen einen "reaktiven" Ansatz für Cybersicherheit verfolgen, und 63 Prozent sagten, dass CISOs bessere Überwachungswerkzeuge benötigen. Mehr als die Hälfte (56 Prozent) der Befragten gaben zu, dass ihre IT-Sicherheitsinfrastruktur Deckungslücken oder andere Schwachstellen aufweist, die für Angreifer anfällig sind.
Weniger als ein Viertel (24 Prozent) verfügt über ein "ausgereiftes" Kennzahlen- und Messsystem zur Beurteilung von Cyberrisiken. Weitere 30 Prozent sagten, dies "teilweise" im Einsatz zu haben. Tatsächlich gaben 40 Prozent der Unternehmen an, dass sie ihre IT-Sicherheitsrisiken nicht quantifizieren. Bei den Befragten, die ihre Ergebnisse tatsächlich an den Vorstand berichten, sagten das nur 39 Prozent.
Aufgrund der schieren Datenmenge und der Öffnung von Infrastrukturen zur Verzahnung von Wertschöpfungs- und Lieferketten, wird es immer schwieriger, den Überblick zu behalten. Doch gerade bei Cyberangriffen ist Geschwindigkeit in der Erkennung von Bedrohungen das Gebot der Stunde. Aufgrund des Fachkräftemangels wird es immer schwieriger, die Menge an Bedrohungen und Alarmen allein durch den Faktor Mensch zu bewältigen und zu bewerten. Hier bieten Tools, die auf Automation und Maschinelles Lernen setzen, eine sinnvolle und kosteneffiziente Alternative.
Mehr Transparenz unabdingbar
Viele Unternehmen haben zwischenzeitlich ihre IT-Infrastruktur maßgeblich überholt und investieren in neue Technologien, Apps und digitale Plattformen. Gleichzeitig hinken Organisation, Prozesse und Governance-Modelle noch hinterher. Dies mag in der analogen Welt noch funktioniert haben, führt aber im Kontext der Digitalwirtschaft zu mehr Gefahren und ist schlicht weg nicht mehr zeitgemäß. Unweigerlich geht das Digitalgeschäft mit neuen Risiken wie Störungen, Ausfällen oder Datenpannen einher. Umsatz, Gewinn und Reputation hängen immer mehr vom stabilen IT-Betrieb und der Integrität der Daten ab.
Gefragt ist deshalb ein Paradigmenwechsel - eine neue Unternehmenskultur, die Cyber-Resilienz wertschätzt, respektiert und die Integrität und Verfügbarkeit von Diensten und Daten als Differenzierungsmerkmal in der Digitalwirtschaft versteht. Dies kann jedoch nur gelingen, wenn es an der Unternehmensspitze zur Priorität gemacht und mit Leben gefüllt wird. "Wenn Unternehmensführer nicht aktiv an der Sicherstellung einer starken Cybersicherheit beteiligt sind, sendet dies die Botschaft, dass Cybersicherheit kein unternehmenskritisches Thema ist", sagt Larry Ponemon, Gründer und Vorsitzender des Ponemon Institutes. "Der Vorstand steht typischerweise unter Beschuss, wenn das Unternehmen Datenschutzverletzungen oder andere Sicherheitsvorfälle erleidet, und muss daher an der Durchsetzung eines proaktiven Ansatzes zur Identifizierung und Behebung von Sicherheitslücken beteiligt sein. Während die meisten Unternehmen eine Führungskraft beauftragt haben, die Wirksamkeit ihrer Cybersicherheitsstrategie festzustellen, müssen die Ergebnisse auch regelmäßig an den Vorstand kommuniziert werden," so Ponemon. (jd)