Share
Beitragsbild zu Warum Unternehmensleiter die IT-Sicherheitsstrategie in ihren Geschäftsplan integrieren müssen

Warum Unternehmensleiter die IT-Sicherheitsstrategie in ihren Geschäftsplan integrieren müssen

Die IT-Security ist nicht mehr bloß eine Aufgabe der IT. Sie ist ein existentieller Bestandteil der Unternehmensstrategie und eine Aufgabe von Geschäftsführern und Vorständen, da heute Unternehmen um die IT-Security herumgebaut werden müssen.

Die IT-Security-Situation in Deutschland ist ernst: Über 70 % der deutschen Unternehmen waren innerhalb der letzten 12 Monate Gegenstand eines erfolgreichen Hackerangriffs, bei 67 % der Unternehmen waren es Angriffe mittels Ransomware und 46% der Unternehmen haben Lösegeld gezahlt, um ihre Daten zurückzubekommen. Die durchschnittlichen Kosten eines Ransomware-Angriffs in Deutschland betrugen mehr als 1,73 Millionen Dollar, die einer Datenschutzverletzung 4,45 Millionen Dollar (Quelle: CyberEdge & Sophos State of Ransomware Report 2022). Laut BSI wurden zwischen Juni 2020 und Mai 2021 144 Millionen neue Malware-Varianten entdeckt, das sind 22 % mehr als im Vorjahr. Laut Statista wird der deutsche Cybersicherheitsmarkt im Jahr 2022 voraussichtlich einen Umsatz von 7,18 Mrd. USD erreichen.

Aktuell wenig hilfreich – die Politik

Zwar hat Deutschland inzwischen erkannt, dass dringend Handlungsbedarf besteht und 2021 die Cyber-Sicherheitsstrategie für Deutschland verabschiedet, deren strategische Leitlinien lauten:

  • Cybersicherheit als gemeinsame Aufgabe von Staat, Wirtschaft, Gesellschaft und Wissenschaft etablieren.
  • Stärkung der digitalen Souveränität von Staat, Wirtschaft, Wissenschaft und Gesellschaft.
  • Die sichere Entwicklung der Digitalisierung gewährleisten.
  • Ziele messbar und transparent machen.

Doch die IT-Compliance kann heute in Europa und Deutschland für viele Unternehmen überfordernd wirken. Ohne externe Beratung, die die Unternehmen durch die Compliance-Spezifikationen führt, geht es kaum noch. Denn was gibt es nicht alles für Regelungen und Verordnungen:

  • die allgemeinen gesetzlichen Vorschriften (zum Beispiel BSIG, EU DS-GVO, BDSG),
  • die branchenspezifischen gesetzliche Vorschriften (beispielsweise für Banken, Versicherungen, Industrie, IuK, Logistik, öffentliche Verwaltung),
  • die technischen Normen und Standards, unternehmensinterne Vorgaben, vertragliche Bestimmungen und Selbstverpflichtungen (Geheimhaltungsverpflichtung, Vertraulichkeitsvereinbarung)
  • und schließlich “Soft Law” (Deutscher Corporate Governance-Kodex – DCGK, § 161 AktG).

Auf EU-Recht gibt es das primäre und sekundäre Gemeinschaftsrecht (insb. VO und RL). Zu dem gehören:

  • EU NIS-RL (2016), EU DS-GVO (2016, 2018, auch Vorgaben zur Datensicherheit u.a. gem. Art. 5, 24, 32, soweit personenbezogene Daten betroffen),
  • die EU Cybersecurity Verordnung/Act (2019), zu der eine ganzheitliche Betrachtung von Cybersecurity, die Einbindung von Transparenz, IoT und Verbraucherschutz sowie ein einheitlicher europäischer Zertifizierungsrahmen fällt,
  • nicht zu verschweigen die EU-Verordnung für ein Kompetenzzentrum zur Cybersicherheit (seit 2021 im Aufbau in Bukarest/Rumänien)
  • als auch EU NIS 2-RL (Entwurf, erwartet für 2022/2023).

Parallel dazu existiert auch noch das Bundesrecht (GG, Bundesgesetze, Rechtsverordnungen, Satzungen) als auch das Landesrecht (LV, Landesgesetze, Rechtsverordnungen, Satzungen), die alle beachtet werden wollen.

EU-, Bundes- und Landesrecht und die Verordnungen sollten dringend vereinheitlicht werden. Klarheit und Einheitlichkeit der Verordnungen und Gesetze sind eine Grundbedingung für die konsequente Entwicklung und Umsetzung der Sicherheitsstrategie von Unternehmen und für die bewusste und korrekte Einhaltung der IT-Compliance.

IT-Strategie als Bestandteil der Unternehmensstrategie

Eine zielgerichtete Security-Strategie ist nur dann wirklich wirkungsvoll, wenn sie in die Gesamtstrategie des Unternehmens eingebettet ist. Um den Zustand, den „Reifegrad“ des Unternehmens zu überprüfen, eignen sich eine GRC-Analyse (Governance, Risk & Compliance). Es bewertet den generellen Zustand des Unternehmens, also die Unternehmensführung wie auch die Festlegung von Unternehmenszielen, die darauf angewandte Methodik zur Umsetzung und die Planung der notwendigen Ressourcen (Governance). Zu den Unternehmenszielen sollte auch die Entwicklung und Umsetzung einer geeigneten Sicherheitsstrategie gehören. Mittels eines Risikomanagement (Risk) werden bekannte, aber auch unbekannte Risiken analysiert und bewertet. Hier zählen besonders das frühzeitige Auseinandersetzen mit Risiken, Strategien zur Risikominimierung und Schadensfallmanagement bei Risikoeintritt. Das Einhalten interner wie externer Normen (Compliance) für die Bereitstellung und die Verarbeitung von Informationen (Reglementierungen, gesetzliche Bestimmungen) ist Bestandteil des gesamten moralischen und ethischen Wertekanon eines Unternehmens.

Die Entwicklung dieser Strategie beginnt mit der Quantifizierung von Risiken und Priorisierung von Schwachstellen. Mit einem Real Time Value Risk Score wird eine Statistik erstellt, die das Ausmaß möglicher finanzieller Verluste innerhalb eines Unternehmens, eines Portfolios oder einer Position, durch das kompromittierende Agieren von Menschen, Technologien und sogar Prozessen innerhalb eines bestimmten Zeitraums quantifiziert und bewertet wird. Das Ziel ist es hier, das Unternehmensgold, nämlich die Daten des Unternehmens, so abzusichern, dass weder ein Diebstahl noch ein Manipulieren oder gar ein Verschlüsseln zwecks Unternehmenserpressung möglich ist

Basismaßnahmen für die konkrete Absicherung aller Zugänge

Auf dieser Analysebasis geht es dann um die Absicherung der Operationen. Wie geht das Unternehmen mit externen und internen Sicherheitswarnungen um? Welche Handlungsabläufe vor allem im Bedrohungsfall sind vordefiniert? Setzt das Unternehmen Multi-Cloud-Lösungen ein, was heute immer mehr Standard wird, dann sollten diese mit SIEM (Security Information and Event Management) und SOAR (Security Orchestration, Automation and Response) kontinuierlich auf verdächtige Aktivitäten hin überprüfen. Dabei lohnt es sich, die dafür notwendigen Prozesse zu automatisieren und künstliche Intelligenz (KI) einzusetzen. Auch die angeschlossenen Geräte sollten abgesichert und kontinuierlich überwacht werden, vor allem wenn es OT-(Operational Technologie)-, IoT-(Internet of Things)- und IIoT-(Industrial Internet of Things)-Geräte sind. Sie sind mit dem Internet verbunden und kommunizieren untereinander, so dass ein Angriff meist gravierende Konsequenzen bis hin zum Produktionsstillstand hat.

Die Zugriffsverwaltung sollte Zero Trust und Least Privilege zum Prinzip haben. Zero Trust schreibt vor, dass alle Benutzer und Arbeitsgeräte (PCs, Laptops, Smartphones etc.) ob innerhalb oder außerhalb des Unternehmensnetzwerks, authentifiziert, autorisiert und fortlaufend auf Sicherheitskonfiguration und -zustand überprüft werden müssen, bevor sie Zugang zu Anwendungen und Daten erhalten oder behalten. Dies wird am besten mit dem Least Privilege-Konzept kombiniert, bei dem die Zugriffsrechte der Benutzer und Arbeitsgeräte auf die Anwendungen und Ressourcen beschränkt sind, die für seine Arbeit unabdingbar sind und für die er autorisiert ist. Alle anderen Anwendungen und Ressourcen sind für ihn wie auch für das jeweilige Arbeitsgerät nicht sichtbar. Denn was nicht gesehen wird, kann auch nicht angegriffen werden.

Vor allem Least Privilege ist nicht einfach eine Lösung, die mal schnell von der IT umgesetzt werden kann. Es ist ein grundlegender Eingriff in die Unternehmensstruktur und -organisation, an dem neben der IT unter anderem die Personalabteilung sowie die Fach- und Geschäftsleitungen involviert sind. Denn nur gemeinsam können sie festlegen, auf welche Anwendungen und Ressourcen ein Mitarbeiter zugreifen muss, um seinen Job erfolgreich umzusetzen. Darunter fallen Software, Apps, Dokumente, Kollaborationslösungen, Datenbanken und vieles mehr.

Deswegen gehört IT-Security zur Unternehmensstrategie. Sie wird immer mehr zum eigentlichen Kern, um den das Unternehmen herumgebaut werden muss. Ohne passende IT-Security kann ein Unternehmen jederzeit zerstört werden und die Arbeitsplätz vernichtet. Sie gehört damit zur Verantwortung der Geschäftsführung oder des Vorstands, sie ist existentiell und sollte umgehend zukunftssicher aufgebaut werden – jetzt.

Autor: Kunal Purohit, Chief Digital Services Officer, Tech Mahindra

Kunal Purohit ist seit Oktober 2021 Chief Digital Services Officer bei Tech Mahindra und verantwortet in seiner Rolle die globalen Einheiten für Lösungen im Bereich Digital & Analytics. Seine Abteilungen entwickeln dabei unter anderem innovative, neue Lösungen für die digitale Transformation von Unternehmen und beraten zusätzlich bei der Einrichtung von Betriebsmodellen, die Agilität, Künstliche Intelligenz und Cyber Security in den Mittelpunkt stellen.