Jedes moderne Unternehmen weiß, dass Cybersicherheit ein heißes Thema ist.
Von öffentlichkeitswirksamen Sicherheitsverletzungen in den Nachrichten bis hin zu verstärkten Investitionen in Sicherheitstalente in allen Branchen besteht kaum ein Zweifel daran, dass Unternehmen sich der Risiken der Cyberkriminalität bewusst werden müssen.
Doch nicht immer wird dies im Alltag umgesetzt, und es ist unklar, wie viele Unternehmen in Bezug auf die Cybersicherheit genügend Verantwortung übernehmen.
Nicola Crawford, CFIRM, Vorsitzende des Institute of Risk Management, sagte in den Risikoprognosen 2017 der Organisation: „Unternehmen müssen sicherstellen, dass Risiken in der Vorstandsetage ernst genommen werden, um den Erfolg und die Langlebigkeit des Unternehmens zu gewährleisten.
„Disruptive Geschäftsmodelle, das Internet der Dinge und die Auswirkungen einer stärker vernetzten Welt werden die Art und Weise, wie wir arbeiten, verändern. Obwohl dies aufregende Zeiten sind, war die Rolle des Risikomanagers noch nie so wichtig wie heute, mit vielen Chancen und Herausforderungen für Unternehmen.“
RSA stellte fest, dass die überwiegende Mehrheit der befragten Unternehmen in den letzten 12 Monaten ein bedeutendes Cyber-Ereignis erlebt hat, das sich negativ auf den Betrieb ausgewirkt hat, und 5 Prozent berichteten von mehr als 40 solcher Angriffe.
Wer ist dafür verantwortlich?
Bei der Festlegung der Risikobereitschaft geht es in erster Linie darum, zu bestimmen, wie viel Risiko Ihr Unternehmen bereit ist zu akzeptieren, ohne seine Geschäftsziele zu gefährden. Dies hängt von der Art der Ziele sowie von der Größe und Komplexität des Unternehmens als Ganzes ab.
Einige Verluste können als akzeptabel angesehen werden, während andere zu kostspielig sind.
Die Aufteilung dieser Verantwortung ist von entscheidender Bedeutung und sollte zwischen dem CEO, dem CISO und dem CRO erfolgen, um sicherzustellen, dass Geschäftsziele und Risiken in Übereinstimmung mit den Zielen und Prioritäten des gesamten Unternehmens ausgewogen sind. Sicherheit braucht Ressourcen, und die müssen irgendwoher kommen.
Dies steht auch im Zusammenhang mit den Bedenken, die Unternehmen in Bezug auf das Risikomanagement haben, wobei der Reputationsverlust in der RSA-Umfrage zu Cyberrisiken an erster Stelle steht (hier herunterladen). Ein Reputationsschaden ist vielleicht ein weniger greifbares Problem als die Betriebsunterbrechung oder die Verletzung von Kundendaten – die an zweiter bzw. dritter Stelle stehen -, kann aber potenziell verheerende langfristige Folgen haben, die schwieriger zu messen sind.
Verständlicherweise konzentrieren sich die meisten Organisationen auf externe Bedrohungen, die von außen auf das Unternehmen einwirken, doch muss auch den internen Risiken, die dem Unternehmen in ähnlicher Weise schaden könnten, Aufmerksamkeit geschenkt werden. Viele dieser Risiken können unbeabsichtigt und das Ergebnis menschlichen Versagens sein, aber sie können ebenso gefährlich sein, wenn sie nicht ordnungsgemäß verwaltet werden.
Wie oft sollte das Cyber-Risiko überprüft werden?
Das Cyber-Risiko ist keine feste, unveränderliche Größe und sollte auch nicht als solche behandelt werden. Die Bestimmung der Risikobereitschaft eines Unternehmens sollte daher ein fortlaufender Prozess sein, der kontinuierlich überprüft wird. Cyberangriffe nehmen mit alarmierender Häufigkeit zu und werden immer raffinierter. Laut der Gov.uk’s Cyber Security Breaches Survey 2017 haben fast sieben von zehn Großunternehmen im vergangenen Jahr einen Verstoß oder Angriff festgestellt.
Ciaran Martin, CEO des National Cyber Security Centre, sagte: „Indem sie die grundlegenden Schutzmaßnahmen richtig umsetzen, können Unternehmen jeder Größe ihren Ruf, ihre Finanzen und ihre Betriebsabläufe schützen.“
Das Verantwortungsbewusstsein der Unternehmen scheint zuzunehmen, denn 65 Prozent der Unternehmen gaben gegenüber RSA an, dass Cyber-Risiken nun regelmäßig in Vorstandssitzungen thematisiert werden. Allerdings geben nur 23 Prozent dieser Unternehmen an, dass das Thema in jeder Sitzung zur Sprache kommt, während der Rest es jedes zweite Mal bespricht.
Die verbleibenden 36 Prozent der Befragten der RSA-Umfrage (lesen Sie mehr über die Ergebnisse im vollständigen Bericht, den Sie hier finden) riskieren weiterhin die Sicherheit ihres Unternehmens, wobei 17 Prozent zugeben, dass das Thema nur einmal im Jahr besprochen wird und 16 Prozent es „ad hoc“ behandeln.
Die Festlegung der Risikobereitschaft für Cyberrisiken war noch nie so wichtig wie heute, und die Unternehmensleiter müssen sich dafür einsetzen, dass diese Diskussionen häufiger in Vorstandssitzungen geführt werden. Da sich die Welt der Cyberkriminalität weiterentwickelt, müssen sich auch ihre potenziellen Opfer weiterentwickeln.
Quelle: ITPro, Caroline Preece.
