Warum Cybersicherheit uns alle etwas angeht sowie vier Schritte für den Anfang

CISOs müssen den Umgang mit Cyberrisiken als Unternehmenspriorität neu überdenken.

Normalization_v2_1440x840.jpg

Wichtigste Erkenntnisse:

    • Cyberrisiken sind keine exotischen Bedrohungen, sondern nur eine eigene Form von Geschäftsrisiken.
    • CISOs sollten sich bei der Budgetplanung zuerst auf Personen und Prozesse konzentrieren, dann erst auf Technologie.
    • Unternehmen mit einer offenen Sicherheitskultur sind besser im Umgang mit und der Verwaltung von Risiken.

Jahr für Jahr pumpen Unternehmen immer mehr Geld in ihre Cybersicherheits- Budgets. 2021 waren es insgesamt 262 Milliarden US-Dollar, im Vergleich zu lediglich 3,5 Milliarden US-Dollar vor etwa 20 Jahren. Und dennoch werden jedes Jahr mehr Angriffe, Datenpannen und Verluste verzeichnet. Mit denselben Taktiken neue Ergebnisse zu erwarten ist keine rationale Herangehensweise, wenn es um die Verwaltung von Cybersicherheitsrisiken geht. 

Manche Sicherheitstaktiken – akzeptable Risiken definieren, Risiken mit Haftpflichtversicherungen abfedern und bereits aufgetretene Schäden minimieren – sind natürlich auch weiterhin wichtig, um die Auswirkungen von Angriffen zu reduzieren. Dennoch ist es wichtig, dass Entscheidungsträger ihre Unternehmensstrategie überdenken. Die Unternehmenssicherheit ist zu wichtig, um im Alleingang durch eine Handvoll von Spezialisten geplant zu werden, wie es seit Jahren der Fall ist. Das Thema muss in den Alltag aller Benutzer im Unternehmen eingewoben werden. 

Mit den folgenden vier Strategien können CISOs ihren Umgang mit Cyberrisiken verbessern.

1. Normalisieren von Cybersicherheitsrisiken

Zunächst müssen die Unternehmen ihre Herangehensweise an Cyberrisiken anpassen. Cyberangriffe wurden bisher immer als einzigartige, exogene Bedrohungen betrachtet und separat von anderen Arten von Unternehmensrisiken behandelt. Das muss sich ändern. 

Cyberrisiken sind sehr wohl Unternehmensrisiken. Sie müssen in die Risikomanagement-Frameworks aller Unternehmen integriert und zum Teil mit denselben Methoden verwaltet werden, die auch bei finanziellen und betrieblichen Risiken zum Einsatz kommen. Wenn CFOs und COOs nachts ruhig schlafen können, warum sollte es den Sicherheitsverantwortlichen in der C-Suite dann anders ergehen?

Cybersicherheit ist in vielerlei Hinsicht kein technologisches, sondern ein organisatorisches Problem. Die Sicherheitsprozesse müssen für das Unternehmen ebenso grundlegend sein wie die Prozesse beim Onboarding von Mitarbeitern oder beim Gestalten von Benutzererlebnissen. Sie verdienen dieselbe Aufmerksamkeit wie alle anderen notwendigen Geschäftsfunktionen, sowie angemessene finanzielle und personelle Ressourcen. 

Sicherheit sollte außerdem eher proaktiv anstatt reaktiv sein. Genauso wie das Unternehmen mit dem Einstellen neuer Vertriebsmitarbeiter nicht bis nach dem Produkt-Launch warten würde, sollte nicht erst ein umfassender Vorfall vonnöten sein, um ein Cybersicherheitsteam und die entsprechenden Prozesse einzurichten.

Es steht außer Frage, dass Unternehmen auch weiterhin schweren Angriffen ausgesetzt sein werden. Die Frage ist vielmehr, ob sie angemessene Maßnahmen zu deren Vermeidung getroffen haben und wie effektiv sie im Ernstfall reagieren. 

2. Konzentrieren Sie sich auf Personen, Prozesse und Technologien – in dieser Reihenfolge

Im nächsten Schritt müssen CISOs den Einsatz ihrer Ressourcen neu überdenken. Ihre Budgets sollten klar definierten Prioritäten folgen, und die Technologie sollte – in den meisten Fällen – nicht an oberster Stelle stehen. Personen haben die höchste Priorität. Daher sollten Sie darin investieren, Ihren Mitarbeitern Sicherheits- und Hygienemaßnahmen beizubringen, Ihre Teams zu schulen und umzuformen und eine allgemeine Sicherheitskultur zu pflegen.

Die nächste Priorität für Ihre Ausgaben sollten interne Prozesse sein. Wie gründlich hat das Unternehmen beispielsweise die Vorgehensweisen bei einem Ransomware-Angriff geprobt? Interne und externe Kommunikation, Planung der Betriebskontinuität und der potenzielle Umgang mit den Angreifern sollten nach Möglichkeit geplant werden, bevor eine Krise eintritt.

Drittens, und erst nachdem die dringendsten Probleme im Hinblick auf Personen und Prozesse behoben wurden, sollten CISOs in Technologie und Tools investieren, um Bedrohungen zu reduzieren und zu verwalten. 

3. Mehr Zuckerbrot, weniger Peitsche

Laut einer Studie von Forschern der Universität Stanford entstehen beinahe 9 von 10 Datenpannen durch menschliches Versagen. Und trotz der Ausgaben von mehr als einer Milliarde US-Dollar für Schulungen zum Thema Sicherheitsbewusstsein wird sich daran so schnell nichts ändern. Unternehmen müssen neue Wege finden, um sicheres Verhalten zu belohnen.

Die Aufmerksamkeit der Mitarbeiter wird nicht verbessert, indem man sie für Sicherheitsfehltritte öffentlich an den Pranger stellt. In den meisten Fällen hat dies nur verschämtes Schweigen zur Folge, und die Wahrscheinlichkeit, dass Probleme gemeldet werden, sinkt. Vielleicht versuchen die Mitarbeiter auch, das Problem selbst zu beheben, und machen es dadurch nur noch schlimmer. In stark regulierten Branchen können diese Probleme Sanktionen nach sich ziehen.

Stattdessen sollten Unternehmen eine offene Sicherheitskultur fördern und ihre Mitarbeiter dazu ermutigen, Fragen zu stellen und mögliche Probleme zu melden. Manche Unternehmen verschicken simulierte Phishing-Angriffe und belohnen Mitarbeiter, die diese erfolgreich identifizieren, mit Geschenkgutscheinen und anderen Extras. Andere Unternehmen loben Mitarbeiter nach bestandenen Sicherheitsschulungen öffentlich. Beinahe jede Art von positiver Anerkennung ist ein Schritt in die richtige Richtung.

4. Einfachere Nutzung von Sicherheitstools

Viele der Milliarden von Dollars, die Unternehmen für Sicherheitstechnologien ausgeben, landen in Regalen und werden nie eingesetzt. Oft handelt es sich um komplizierte Tools, die nur von ausgebildeten Experten eingesetzt werden können. Diese Experten sind nur schwer zu finden. Angesichts des Fachkräftemangels im Bereich IT-Sicherheit, der vermutlich noch einige Zeit andauern wird, müssen Sicherheitstechnologien laut der Information Systems Security Association (ISSA) und der Enterprise Strategy Group (ESG) benutzerfreundlicher werden.

Mit einfacheren Tools könnten CISOs nicht nur mehr Mitarbeiter für grundlegende Sicherheitsfunktionen einstellen, sondern ihre Belegschaft auch für Mitarbeiter aus verschiedenen fachlichen Richtungen und mit unterschiedlichen technischen Kenntnissen öffnen. Techniker müssen außerdem mehr Zeit darin investieren, leicht verständliche Dashboards bereitzustellen, an denen Führungskräfte und andere weniger technisch versierte Mitarbeiter das aktuelle Risiko ablesen können.

Mein Unternehmen Elastic bietet einen kostenlosen und offenen Technologiestack an, um Beiträge aus einer möglichst vielfältigen Community zu ermöglichen und zu fördern. Wir sind auch davon überzeugt, dass unsere Produkte sicherer werden, wenn wir sie für ein breiteres Publikum von Entwicklern öffnen.

Die Sicherheit von Unternehmen darf nicht als separate Aufgabe einer kleinen Gruppe von Spezialisten anvertraut werden. Sie muss in den Alltag aller Mitarbeiter integriert werden. Auf diese Weise können Unternehmen nicht nur im Nachhinein auf Probleme reagieren, sondern eine neue Ära einläuten, in der Cybersicherheit so effizient wie alle anderen Risiken behandelt wird.

Nate Fick arbeitet als General Manager for Security bei Elastic.