Cybersicherheit: Beteiligung der Unternehmensleitung ist unerlässlich

Kürzlich führte Trend Micro eine Umfrage zur Cybersicherheit in Unternehmen durch. Das Ergebnis: Ein anhaltend geringes Engagement der IT-Führungskräfte und des oberen Managements (C-Level) kann Investitionen gefährden und Unternehmen schwerwiegenderen Cyberrisiken aussetzen. Dazu zeigte sich, dass trotz der weit verbreiteten Besorgnis über die zunehmenden Bedrohungen nur 50 % der IT-Führungskräfte glauben, die Geschäftsleitung würde die Cyber-Risiken vollständig verstehen. Zusätzlich gehen die Befragten davon aus, dass nur etwas mehr als die Hälfte (57 %) der IT-Teams das Thema Cybersicherheit mindestens einmal wöchentlich mit dem Vorstand bespricht.

„Früher dauerte es Monate oder sogar Jahre, bis eine Schwachstelle ausgenutzt wurde. Jetzt braucht es nur noch Stunden oder weniger. Immer mehr Führungskräfte verstehen, dass sie informiert werden müssen. Sie fühlen sich aber oft überfordert, weil sich die Cybersicherheitslandschaft so schnell weiterentwickelt. IT-Kräfte in leitenden Positionen müssen mit der Geschäftsleitung kommunizieren, damit sie die Risiken verstehen und besser steuern kann“, sagt Eva Chen, CEO von Trend Micro.

Die gute Nachricht: Die aktuellen Investitionen in Cyber-Initiativen stehen nicht auf einem kritisch niedrigen Level. 42 % der Befragten gaben an, dass sie mehr in „Cyber-Angriffe“ investieren als in andere Bereiche, um die Risiken für das Unternehmen zu verringern. Die niedrige Beteiligung der Geschäftsleitung an Entscheidungen deutet jedoch darauf hin, dass tendenziell „einfach nur Geld bereitgestellt wird“, um das Problem zu lösen. Stattdessen müssten aber ein Verständnis für die Herausforderungen im Bereich der Cybersicherheit entwickelt und entsprechende Investitionen getätigt werden. Dieser Ansatz kann die Anwendung effektiverer Strategien behindern und das Risiko finanzieller Verluste erhöhen. Weniger als die Hälfte (46 %) der Befragten meinten, dass Begriffe wie „Cyberrisiken“ und „Cyberrisikomanagement“ in ihrem Unternehmen allgemein bekannt sind.

Viele erwähnten in der Umfrage zur Cybersicherheit in Unternehmen folgende Punkte: Führungskräfte geben sich nicht genug Mühe (26 %), scheuen sich vor der Auseinandersetzung (20 %) oder sie betrachten die Thematik nur als technisches Problem. Die Komplexität des Themas (34 %) und der ständige Wandel (34 %) waren die Hauptgründe, die für mangelndes Verständnis genannt wurden.

Schlimmer noch: 82 % der IT-Entscheidungsträger fühlten sich unter Druck gesetzt, das Ausmaß der Cyber-Risiken vor dem Vorstand herunterzuspielen. Fast ein Drittel gibt an, dass dieser Zwang ständig besteht.

Ein großer Teil der Befragten (77 %) würde es begrüßen, wenn mehr Personen im Unternehmen für die Verwaltung und Minderung dieser Risiken verantwortlich wären. Dies könnte eine Kultur der „Sicherheit durch Design“ im gesamten Unternehmen fördern. Die größte Gruppe der befragten Personen (38 %) spricht sich dafür aus, die CEOs zur Verantwortung zu ziehen. Als weitere Verantwortungsträger außerhalb der IT wurden CFOs (28 %) und CMOs (22 %) benannt.

Best Practices für die Kommunikation

Es ist nicht neu, dass es in der Beziehung zwischen der IT und den Geschäftsbereichen zu Spannungen kommt. Das Problem ist besonders ausgeprägt, wenn es um Cybersicherheit geht, da sie als Hindernis für Innovation und Produktivität angesehen wird. Die Studie von Trend Micro zeigt das Ausmaß der Problematik auf und gibt einige Empfehlungen, wie diese Barrieren überwunden werden können. So soll eine eine „Security by Design“-Kultur entstehen, die in moderne Unternehmen integriert werden kann, um formalisierte Cybersicherheitsmaßnahmen in Geschäftsprozesse einzubinden.

Ziel der Befragung von mehr als 5.300 Geschäfts- und IT-Entscheidungsträgern weltweit war es, herauszufinden, inwiefern die Reibung zwischen diesen beiden Seiten Unternehmen Schaden zufügen kann. Als Ergebnis wurde deutlich, dass die IT-Leiter die Risiken im Bereich der Cybersicherheit in der Unwissenheit und Teilnahmslosigkeit auf Seiten der Geschäftsleitung begründet sehen. Es gibt eine Dynamik, die IT-Führungskräfte sogar dazu zwingt, sich vor der Geschäftsleitung selbst zu zensieren – aus Angst, zu negativ oder repetitiv zu erscheinen.

Laut Trend Micro liegt der Weg zu besseren Beziehungen darin, dass die Geschäftsleitung Cyberrisiken auch als eine große Geschäftsbedrohung betrachten müsse. Leider ist die Mehrheit der Befragten der Meinung, die Führungskräfte würden nur dann etwas über die Risiken des Cyberspace erfahren, wenn sie mit einem größeren Vorfall konfrontiert werden oder wenn die Kunden anfangen, proaktives Verhalten in diesem Bereich zu fordern.

Die Studie unterstreicht die Bedeutung von „Cybersicherheit durch Design“ als Schlüsselelement – einem Prinzip, das auf Best Practices beruht. Der Cyberspace sollte hierbei in alle Unternehmensaktivitäten einbezogen werden, von der Mitarbeiterschulung bis hin zur Produkt- und Serviceentwicklung. Der Gedanke dahinter ist, eine Kultur zu entwickeln, in der die Cybersicherheit an erster Stelle steht und die sich selbst verstärkt. Notwendig dafür sind eine Änderung der Wahrnehmung und des Verhaltens der Nutzer sowie die Anpassung der Geschäftsprozesse.

Wie lässt sich dies in die Praxis umsetzen? Trend Micro gibt einige Tipps: 1) Formalisieren Sie die Cybersicherheit durch Dokumentation, KPIs und etablierte Metriken, die dabei helfen, Unternehmen im Hinblick auf Cybersicherheit zu beraten.

2) Schaffen Sie die Stelle eines Business Information Security Officers (BISO). Dieser kann dabei helfen, die Cybersicherheit in die Geschäftsprozesse einzubetten und sie mit den wirtschaftlichen Anforderungen abzustimmen.

3) Legen Sie die Hierarchie so an, dass der CISO direkt an den CEO berichtet. Dies trägt dazu bei, den CEO näher an die Cybersicherheitsfunktionen heranzuführen. Umgekehrt sorgt es dafür, dass die Verantwortlichen für Cybersicherheit mehr Geschäftsinformationen erhalten.

4) Verwenden Sie eine XDR-Plattform (Extended Detection and Response), die Bedrohungsdaten in der gesamten IT-Umgebung (Endpunkte, Server, Cloud-Workloads, Netzwerke und E-Mail-Dienste) korreliert und analysiert. Dies gewährleistet ein Höchstmaß an Transparenz in Bezug auf Bedrohungsstufen und Risiken.