Die Arbeit mit Hilfe digitaler Technologie setzt sich in zunehmend und in fast allen Lebensbereichen durch. Entsprechend werden dringend Sicherheitslösungen erforderlich, die Netzwerke und Daten effektiv vor den damit einhergehenden Bedrohungen schützen. Im Bemühen um die Aufrüstung ihrer IT-Infrastrukturen sind nicht alle Unternehmen gleichermaßen erfolgreich. Folgenschwere Lücken in der Cybersicherheit werden immer wieder übersehen. Erst kürzlich kam es zu einer Flut von Ransomware-Angriffen auf Großkonzerne und Behörden, die bewies, dass es buchstäblich jeden treffen kann.
Solche Sicherheitslücken können die betroffenen Organisationen teuer zu stehen kommen. Allein 2020 erbeuteten Cyberkriminelle bei Ransomware-Angriffen Lösegelder in Höhe von durchschnittlich 4,4 Mio. USD (ca. 3,7 Mio. Euro). Die zusätzlichen Kosten, die durch die Ransomware-Infektion, zerstörerische Malware sowie gestohlene Anmeldedaten oder Identitäten entstehen, sind in dieser Zahl nicht berücksichtigt. Als direkte Folge der Zunahme von Cyberangriffen wird verstärkt in Cybersicherheit investiert. Von dem Boom, den die verzweifelte Suche der Unternehmen nach einem wirkungsvollen Schutz vor technisch versierten und taktisch raffinierten Hackern ausgelöst hat, profitieren Anbieter, die sich auf einschlägige Lösungen und Beratungsleistungen spezialisiert haben. Prognosen zufolge soll der globale Markt bis 2028 auf 418 Mrd. USD (ca. 353 Mrd. Euro) anwachsen. Immerhin wurde im vergangenen Jahr fast jedes zweite Unternehmen (43 %) Opfer eines Angriffs. Dabei steht sehr viel mehr auf dem Spiel als nur die Daten.
Wie hat sich das Risiko durch Cyber-Bedrohungen gegen Ihr Unternehmen Ihrer Ansicht nach entwickelt?
Deloitte-Umfrage zur Cybersicherheit (2020) – Diagramm
Cybersicherheit: Wo liegen die eigentlichen Risiken?
Die Bedrohung durch Datenbeschädigung und Datenschutzverletzungen nimmt stetig zu. Mit der wachsenden Abhängigkeit von Remote-Arbeit und hybriden Modellen hat sich auch das Schadenspotenzial von Sicherheitslücken in Cloud-Systemen und offenen Netzwerken weiter erhöht. Insbesondere Unternehmen, die 5G-Netzwerke implementieren oder das Internet der Dinge (IoT) nutzen, haben bei Cyberangriffen viel zu verlieren.
Auf gar keinen Fall dürfen Unternehmen sich aus Angst vor Cyberangriffen von technischen Innovationen abhalten lassen. In der Praxis passiert auch eher das Gegenteil: Fast 80 % der Unternehmen führen neue Technologien ein, ohne sie effektiv absichern zu können. Das ist umso bedenklicher angesichts der potenziell verheerenden Folgen eines erfolgreichen Angriffs: Unterbrechungen der Betriebsabläufe, Verlust oder Diebstahl wertvoller Daten, und so weiter... die Liste ist lang. Darunter leiden nicht nur die Geschäftsergebnisse, sondern auch der Ruf des Unternehmens und das Vertrauen seiner Kunden, Geschäftspartner und sonstigen Stakeholder.
Wer trägt im Ernstfall die Verantwortung?
Die Zeiten sind vorbei, in denen sich die Verantwortung für technische Probleme auf die IT-Teams abwälzen ließ. Technologie als Rückgrat der wirtschaftlichen Tätigkeit ist aus heutigen Unternehmen nicht mehr wegzudenken. Diese Abhängigkeit wird in absehbarer Zukunft nur weiter zunehmen.
Selbstverständlich sind zur Implementierung, Überwachung und Wartung dieser Systeme qualifizierte IT-Fachkräfte erforderlich. Die Verantwortung für ihre Anschaffung und Wirksamkeit liegt hingegen vorrangig bei der Geschäftsleitung. Börsennotierte Unternehmen, die der Überwachung durch einen Aufsichtsrat unterliegen, bilden hier keine Ausnahme.
Tatsächlich wurde etwa bei den Angriffen auf Target und Equifax die Unternehmensleitung für die Datenschutzverletzungen und deren Folgen zur Verantwortung gezogen. Nach dem Diebstahl von 40 Millionen Kredit- und Bankkartennummern von Kunden wurde die Sammelklage mehrerer US-Banken gegen die Einzelhandelskette Target 2015 durch einen Vergleich beigelegt. Dieser sah neben der Zahlung einer Entschädigung in Höhe von 39,4 Mio. USD auch die Implementierung eines umfassenden Sicherheitsprogramms, unabhängige Sicherheitsbewertungen und eine Rechenschaftspflicht der Geschäftsleitung für die zukünftige Gewährleistung der Cybersicherheit vor.
Gemäß der Business Judgement Rule, die seit 1997 infolge eines BGH-Urteils auch in Deutschland geltendes Recht ist, haften Geschäftsführer und Vorstände nicht für negative Folgen unternehmerischer Entscheidungen, wenn die Entscheidung auf Grundlage angemessener Informationen, ohne Berücksichtigung sachfremder Interessen, zum Wohl der Gesellschaft und in gutem Glauben gefällt wurde. In den USA haben die zuständigen Gerichte zuletzt in mehreren Fällen eine teilweise Rücknahme dieser Haftungsfreistellung in Form einer persönlichen Haftung für die häufig als vermeidbar betrachteten Folgen unsachgemäßer Sicherheitsmaßnahmen in Betracht gezogen.
Dabei geht es um beträchtliche Summen. Neben dem Datenverlust und den wirtschaftlichen Nachteilen für das Unternehmen können auch Rechtsstreitigkeiten und Änderungsmanagement kostspielig und zeitaufwändig sein. Die zuständigen Aufsichtsbehörden (in den USA das Office of the Comptroller of the Currency) verhängen bei Verstößen ebenfalls hohe Geldstrafen.
Unternehmerische Verantwortung für Cybersicherheit: Wie gelingt das in der Praxis?
Ein effektives Risikomanagement setzt voraus, dass alle Zuständigen – von der Geschäftsführung bis zu den Mitarbeitern, die die Sicherheitslösungen implementieren – sich über aktuelle Entwicklungen informieren und proaktiv handeln. Dies wirft jedoch die Frage auf, wie Unternehmensvorstände, die in aller Regel nicht aus Cybersicherheits-Experten bestehen, die Risikominderung aus Führungsperspektive angehen können. In einer entsprechenden Umfrage gaben nur 35 % der Befragten an, Sicherheitsfragen mindestens einmal im Monat zu überprüfen.
Wie oft befassen sich Unternehmensvorstände mit dem Thema Cybersicherheit?
Deloitte-Umfrage zur Cybersicherheit (2020) – Diagramm
Durch proaktive Erfüllung der Sorgfaltspflicht ist bereits einiges gewonnen. Wissenslücken lassen sich schließen, indem man Experten zu Rate zieht. Zudem bietet sich auch hier eine technologische Lösung an. PwC empfiehlt, dass Unternehmensvorstände sich die Vorteile von NIST CSF zur Förderung einer effektiven Kommunikation und Zusammenarbeit zwischen allen Stakeholdern zunutze machen.
Im Folgenden soll eine Reihe konkreter Maßnahmen vorgestellt werden, die der Vorstand zur effektiveren Überwachung der Cybersicherheit im Unternehmen ergreifen kann. Dabei wird ausdrücklich nicht davon ausgegangen, dass Vorstandsmitglieder auf sämtlichen Fachgebieten als Vordenker fungieren müssen. Einer bisherigen Untätigkeit bzw. einem Desinteresse an oder mangelndem Engagement für das Thema Cybersicherheit lässt sich durch entsprechende Aufklärung, Information und Wissensvermittlung entgegenwirken.
Das Gesamtbild im Blick behalten
Man kann nie wissen, was man nicht weiß. Deswegen empfiehlt es sich, zunächst die Reports der IT-Führungskräfte und zuständigen Stakeholder im Unternehmen zu prüfen. Im nächsten Schritt können dann Experten hinzugezogen werden, um eine umfassende Bewertung sämtlicher bekannten Lücken und laufenden bzw. bevorstehenden Änderungen im Technologie-Stack zu erstellen.
Möglicherweise müssen zusätzliche Reports bestellt oder implementiert werden, um sicherzugehen, dass alle Entscheidungen auf der Kenntnis sämtlicher Daten und Fakten beruhen. Auf dieser Grundlage ergibt sich ein präziseres Gesamtbild der Herausforderungen, bereits erzielten Erfolge und empfohlenen Maßnahmen für eine effektivere Überwachung der Cybersicherheit.
Zuständigkeit festlegen
Die Zuständigkeit für die Überwachung der Cybersicherheit sollte entweder einem einzelnen Mitglied oder einem Gremium innerhalb des Vorstands übertragen werden. Diese Person(en) sollte bzw. sollten sich möglichst detailliert in die Anforderungen sowie den aktuellen Stand in puncto Cybersicherheit einarbeiten. Im weiteren Verlauf ist/sind sie dafür verantwortlich, regelmäßig über aktuelle Entwicklungen zu berichten und Fragen von größerer Tragweite zur Bewertung und Abstimmung an den Vorstand heranzutragen.
Die Mitglieder des Gremiums brauchen keine Experten zu sein, können aber durchaus zu Spezialisten werden. Dabei können sie sich auf Unterstützung durch interne Fachkräfte, externe Berater, Anbieter und entsprechende Technologielösungen verlassen.
Externe Experten hinzuziehen
Risikobewertung ist ein kontinuierlicher Prozess, da ständig neue Schwachstellen auftreten. Externe Experten, die etwa durch Penetrationstests Lücken in der Cybersicherheit aufdecken, können hier wertvolle Unterstützung leisten. Sicherheitsberater und unterstützende Softwareanwendungen geben ebenfalls aufschlussreiche Einblicke in die potenziellen Risiken für das Unternehmensnetzwerk.
Umstieg auf Zero-Trust-Ansatz erwägen
Das Zero-Trust-Modell beruht auf der Annahme, dass jede Netzwerkaktivität prinzipiell verdächtig ist und daher von einem Kontrollsystem überprüft werden muss, bevor sie zugelassen werden kann. Dies hat sich als wirksame Methode bewährt, im Dickicht aus lokal installierten und Cloud-basierten Lösungen, eigen- und fremdentwickelten Anwendungen, geschlossenen Netzwerken und gemeinsamem Zugriff auf Unternehmensressourcen die Kontrolle zu behalten.
Neuerdings muss auch noch der zunehmende Trend zur Remote-Arbeit sowie eine schier unüberschaubare Vielfalt an Geräten berücksichtigt werden. Das Prinzip, nichts und niemandem zu vertrauen, drängt sich immer mehr als einzig überzeugende Lösung auf. Mit diesem Ansatz wird es Unternehmen möglich, bestehende Sicherheitslücken in ihrer IT-Infrastruktur zu schließen und eine langfristige Risikominderung zu erreichen. Für Vorstände ist die ernsthafte Beschäftigung mit Zero Trust als Sicherheitsoption auf jeden Fall lohnenswert.
Eine Kultur der Transparenz schaffen
Selbstverständlich sollte kein Unternehmen Einzelheiten zu offenen Lücken oder Schwachstellen in seinen Cybersicherheitsprotokollen öffentlich machen. In anderer Hinsicht kann Transparenz sich jedoch durchaus als vorteilhafte Strategie erweisen. Im Falle eines erfolgreichen Angriffs sollten alle erforderlichen Informationen gegenüber Geschäftspartnern und Kunden offengelegt werden. Das schafft Vertrauen, dass der Vorstand alles in seiner Macht Stehende tut, um Probleme zu beheben, Daten zu schützen und die Verantwortung für Fehler oder Versäumnisse zu übernehmen.
Die Entwicklung steht nicht still
Vor allem müssen Vorstände sich die Erkenntnis zu eigen machen, dass Cybersicherheit eine dynamische Disziplin ist, die ständige Überwachung und Innovation erfordert. So wichtig es ist, die Grundlagen für eine Risikominderung zu schaffen, muss man sich doch darüber im Klaren sein, dass sich das Risiko niemals komplett eliminieren lässt.
Unternehmen sollten auch ihre vorhandenen Versicherungspolicen daraufhin überprüfen, ob die Schäden, die durch einen Cyberangriff entstehen können, in ausreichender Höhe gedeckt sind. Unter Umständen kann eine spezielle Cyberversicherung zur weiteren Minderung des Risikos in Betracht gezogen werden. Unabhängig von der Höhe der Versicherungsdeckung sollte die Geschäftsführung jedoch im Bewusstsein ihrer unternehmerischen Verantwortung durch Erwerb entsprechender Kenntnisse und Kompetenzen und Erarbeitung von Richtlinien und Verfahren für den Ernstfall einen aktiven Beitrag zur Gewährleistung der Cybersicherheit leisten.
Haftungsausschluss: Dieser Beitrag wurde von Zscaler ausschließlich zu Informationszwecken verfasst und darf nicht als Rechtsberatung aufgefasst werden. Zur Klärung der Frage, inwiefern die Aussagen dieses Beitrags auf Ihre spezielle Organisation zutreffen, einschließlich Ihrer Pflichten gemäß entsprechender Datenschutzverordnungen, empfehlen wir Ihnen, sich mit Ihrem eigenen Rechtsberater in Verbindung zu setzen. ZSCALER ÜBERNIMMT KEINERLEI AUSDRÜCKLICHE, STILLSCHWEIGENDE ODER GESETZLICHE GARANTIEN FÜR DIE INFORMATIONEN IN DIESEM DOKUMENT, DAS OHNE GEWÄHR ZUR VERFÜGUNG GESTELLT WIRD. Die in diesem Beitrag enthaltenen Informationen und Ansichten, einschließlich URL und anderer Verweise auf Websites, können ohne vorherige Ankündigung geändert werden.
