Das Thema Cyber Security schwebt wie ein Damoklesschwert über Unternehmen. Egal ob via Cloud-Infrastruktur, mobilen Endgeräten, veralteten Systemen, einem fehlenden Zugriffsmanagement oder jüngst dem KI-Einsatz: Überall lauern Gefahren. Um persönliche und unternehmerische Risiken zu vermeiden, sollten CEOs regelmäßig die Sicherheitslage hinterfragen.
In einer zunehmend digitalisierten Welt, in der Cyber-Kriminelle immer häufiger und raffinierter zuschlagen, stellt die Unternehmenssicherheit ein zentrales Gut dar – und gleichzeitig eine große Herausforderung. Wo liegen die größten Sicherheitsgefahren? Welche Cyber-Risiken sind vorerst noch zu vertreten? Fragen, die sich nicht immer leicht beantworten lassen. Dazu kommt: Geschäftsführer, deren persönliche Expertise sich meist in einem anderen Bereich erstreckt, müssen sich diesen Aspekten stellen.
Kommen sie ihrer Pflicht nicht nach, bittet künftig die Netzwerk- und Informationssicherheitsrichtlinie (NIS2) Geschäftsführer – von Unternehmen ab 50 Beschäftigten und einem Jahresumsatz ab zehn Millionen Euro – persönlich zur Kasse. Kosten, die schnell ins Siebenstellige abbiegen. Doch kein Grund zur Verzweiflung. In ihren CISOs finden CEOs verlässliche Sparringpartner für Themen rund um Informations- und Datensicherheit. Fünf Fragen sollten bei keinem Austausch fehlen.
Frage 1: Wie steht es um unsere Sicherheitslage?
Erhoffte Antwort: Die Sicherheit beurteilen wir auf Grundlage von messbaren Werten zu jedem Zeitpunkt – aktuell ohne sonderbare Vorkommnisse hinsichtlich unserer kritischen Assets.
Realistische Antwort: Ein Virenscanner ist aktuell und auf allen Systemen installiert. Eine Vielzahl kritischer Schwachstellen lässt sich damit erkennen. Mit dem Patchen kommen wir jedoch nicht hinterher.
Meist klafft eine große Kluft zwischen Wunsch und Realität auf. Deshalb zielt diese Frage auf ein tieferes Verständnis ab. Ein Blick auf die Konkurrenz und ihre Schutzmaßnahmen, Investitionsentscheidungen und IT-Budgets kann helfen, um aktuelle Bedrohungen aufzudecken. Ein Tipp: Mit Benchmark-Tests betrachten Verantwortliche relevante Daten und Systeme im Vergleich zu ihren Mitbewerbern. Mikrosegmentierung, als feiner justierte Alternative zur Netzwerksegmentierung, kann zudem Vorteile bringen.
Weitergedacht: Auch fortschrittliche Technologien wie KI-gestützte Analysen unterstützen bei der Verhaltensanalyse und der Erkennung von Anomalien. So kontern Unternehmen Angriffen frühzeitig mit entsprechenden Gegenmaßnahmen.
Frage 2: Wie lässt sich der Sicherheitsstandard erhöhen und das kostenoptimiert?
Erhoffte Antwort: Durch die durchgeführte Analyse zur Kritikalität der Daten und Systeme konnten wir gezielt neue Schutzmaßnahmen einführen, die das Risiko eindeutig reduzieren.
Realistische Antwort: Ein Sicherheitskonzept liegt vor. Dieses weist jedoch Auffrischungspotenzial auf. Altlösungen müssen ergänzt beziehungsweise konsolidiert werden.
Das Zauberwort: Analysen. Sie schaffen Transparenz hinsichtlich des Istzustands und ermöglichen Rückschlüsse auf den Sollzustand. Erst über diesen Weg erhalten Verantwortliche genaue Aussagen darüber, welche Maßnahmen und Tools für die maximale Sicherheit nötig sind. Automatisierung und Standardisierung sind dabei Schlüsselbegriffe für einen minimal Aufwand bezüglich Implementierung und Verwaltung von Security-Lösungen.
Übrigens: Damit schlagen Verantwortliche zwei Fliegen mit einer Klappe. Denn durch die Konsolidierung von Sicherheitslösungen senken Organisationen ihre Ausgaben– ohne Kompromisse bei der Sicherheit einzugehen.
Frage 3: Wo sind wir lediglich unzureichend geschützt?
Erhoffte Antwort: Der Schutz der kritischen Daten und Systeme ist basierend auf den Analysen gut. Auch die Penetrationstests zeigen keine außergewöhnlichen Schwächen auf. Mitarbeiterschulungen stärken stetig das Bewusstsein für Sicherheitsgefahren.
Realistische Antwort: Es fehlt an Bewusstsein. Mitarbeiter klicken unüberlegt auf Anhänge und Links in Mails. Unser E-Mail-Gateway ist nicht optimal konfiguriert, um Anhänge zu blockieren.
Herausforderungen – technischer wie auch organisatorischer Natur – lauern im Unternehmen viele. Insbesondere das E-Mail-Gateway müssen Verantwortliche in den Mittelpunkt rücken. Denn sein Fehlen oder aber seine unzureichende Konfiguration kann schädlichen Anhängen ungehindert Eintritt ins Unternehmensnetzwerk gewähren. Deshalb sollten CISOs ein Augenmerk auf die Implementierung von Filtern und Policys legen, um verdächtigte Inhalte zu blockieren. Daneben sind Mitarbeiterschulungen für die Sensibilisierung essenziell.
Frage 4: Wie geht unser Unternehmen mit persönlichen Daten um?
Erhoffte Antwort: Die Daten sind nach den definierten Anforderungen klassifiziert und es können keine vertraulichen oder internen Daten das Unternehmen verlassen.
Realistische Antwort: Die Daten werden zentral über einen File-Server geteilt. Zugriffsrechte für einzelne Mitarbeiter bestehen kaum.
Häufig sprechen Verantwortliche in der Praxis von Back-ups auf Fileservern, über die Mitarbeitende ohne separate Kontrolle auf unzählige Daten zugreifen können. Hier sollten die Alarmglocken läuten. Verschlüsselungen sind essenziell, um sensible Unternehmensdaten und schützenswerte personenbezogene Daten zu sichern. Hierzu kann eine File Integrity Monitoring Software beitragen, die über unerwartet Änderungen an Unternehmensdaten informiert.
Organisatorische Grundlage stellt ein Berechtigungskonzept dar. Schließlich sollten Mitarbeiter lediglich Zugriff auf die Daten erhalten, die sie auch benötigen.
Frage 5: Erkennen Sie Schwachstellen tagesaktuell und schließen diese?
Erhoffte Antwort: Absolut! Binnen weniger Stunden sind wir über neue Schwachstellen informiert und können entsprechende Gegenmaßnahmen einleiten.
Realistische Antwort: Wir lassen uns über News-Feeds oder E-Mails über aktuelle Schwachstellen informieren und prüfen diese individuell in unserer IT-Umgebung.
Eine Musterantwort, die jedes Cyber-Security-Herz höherschlagen lässt, steht einer realistischen gegenüber, bei der es ins Stocken gerät. Der Grund: Bei der manuellen, meist zeitfressenden Prüfung der IT-Umgebung kann von einer hohen Fehleranfälligkeit ausgegangen werden. Zudem fehlen häufig schlichtweg die Ressourcen. Im Ergebnis bleibt ein regelmäßiger Scan der Schwachstellen aus. Um diese Hürde schnellstmöglich zu überspringen, bieten sich ein Schwachstellen-Management-System und ein Managed Security Operations Center, kurz Managed SOC, das extern über die Sicherheit wacht, an.
Fazit
Angesichts der sich rasant evolvierenden Cyber-Bedrohungslage ist es wichtig, dass die Geschäftsleitung stets ein klares Bild zeichnen kann. Tragen CEO und CISO alle Cyber-Security-Puzzleteile zusammen, ergibt sich zügig ein großes Ganzes. Somit decken sie Sicherheitslücken zeitnah auf, legen relevante Schutzmaßnahmen fest und verfolgen die unternehmerischen Sicherheitsziele effizient.
Autor: Randy Rix, Cyber Security Services, q.beyond AG