Führungskräfte im Bereich Cybersicherheit müssen umdenken

Erschöpft, überfordert und „always-on“: Verantwortliche für Cybersicherheit müssen derzeit vieles leisten. Vor allem, seit sich die Welt mit dem Einmarsch Russlands in die Ukraine auf einen globalen Cyberkrieg eingestellt hat.

In den letzten Wochen wurde die Ukraine von mehreren Cyberangriffen auf die Regierung und das Bankensystem des Landes getroffen. Experten geben Russland die Schuld dafür. Die schiere Angriffsflut lässt dabei Befürchtungen aufkommen: Droht ein größerer digitaler Konflikt, bei dem auch westliche Regierungen mit Cyber-Bedrohungen aus Russland rechnen müssen?

Die Hackergruppe Anonymous hat den Cyberkrieg gegen Russland ausgerufen und bereits einen Angriff auf den staatlichen Fernsehsender „Russia Today“ für sich beansprucht. Währenddessen stehen Social-Media-Unternehmen zunehmend unter Druck und geben eilig Erklärungen darüber ab, wie sie mit Informationen über den Krieg umgehen.

Und nicht nur das: Angesichts der aktuellen Entwicklungen hat auch der Druck auf Fachleute für Cybersicherheit zugenommen. Der Grund: Die Erwartungen der Interessengruppen innerhalb ihrer Organisationen stimmen immer weniger überein. In der Folge hatte die Führung des Sicherheits- und Risikomanagements (SRM) bereits erheblich in die Bewertung und Beeinflussung der „Cybergesundheit“ Dritter investiert. Mitarbeiter treffen immer mehr Entscheidungen, die Auswirkungen auf das Risiko für Cyberangriffe haben. Zudem werden Führungsgremien eingerichtet, die nicht in den Zuständigkeitsbereich der Cybersicherheitsverantwortlichen fallen. Das erhöht die Belastung zusätzlich.

Eine neue Studie von Gartner zeigt, dass sich die Verantwortung für Cyberrisiken von der IT-Abteilung weg verlagert hat. Ein zunehmend ausdifferenzierteres Ökosystem führt zu einem Verlust der direkten Entscheidungskontrolle. Das Beratungsunternehmen prognostiziert deshalb, dass bis 2026 die Hälfte der Führungskräfte in ihren Arbeitsverträgen Leistungsanforderungen in Bezug auf Cybersicherheitsrisiken enthalten wird.

Dies wird sich unter anderem auf die Qualität von Entscheidungen zu Informationsrisiken auswirken. Denn immer mehr Interessengruppen außerhalb der IT- oder Sicherheitslinie werden diese fällen. Als Reaktion darauf erwartet Gartner eine unvermeidliche Verlagerung der Rechenschaftspflicht auf die Führungskräfte, die sich gegenüber ihrem CEO für die Erreichung strategischer Ziele wie Umsatz und Kundenzufriedenheit verantworten müssen.

Da sich somit auch die formale Verantwortung für Cyber-Risiken verlagert, empfehlen die Analysten von Gartner, die Rolle der Führungskräfte im Bereich Cybersicherheit neu zu gestalten. Nur können die Abwehrbemühungen von Unternehmen auch in Zukunft Erfolg haben.

„Die Rolle des CISO (Chief Information Security Officer) muss sich ändern: Von der Person, die tatsächlich für den Umgang mit Cyber-Risiken verantwortlich ist, zu derjenigen, die Führungskräften die Fähigkeiten und das Wissen vermittelt, um fundierte und qualitativ hochwertige Entscheidungen zum Thema Informationsrisiken zu treffen“, erklärt Sam Olyaei, Forschungsdirektor bei der Beratungsfirma.

Cybersicherheit wird in die ESG-Regularien aufgenommen

Das Interesse der Anleger, der öffentliche Druck, die Forderungen der Mitarbeiter und die staatlichen Vorschriften verstärken die Anreize für Unternehmen, Ziele und Metriken zur Cybersicherheit in den Bereichen Umwelt, Soziales und Unternehmensführung (ESG) zu verfolgen. Außerdem bedarf es vor allem im geschäftlichen Bereich einer konsequenten Berichterstattung.

Infolgedessen prognostiziert Gartner, dass 30 % der großen Unternehmen bis 2026 öffentlich zugängliche ESG-Regularien für ihre Cybersicherheit haben werden. 2021 hatten noch weniger als 2 % einen solchen Standard.

„Die Erwartungen hinsichtlich der transparenten Darstellung von Sicherheitsrisiken in Unternehmen sind gestiegen. Dies hat auch zu einer öffentlichen Forderung nach besserer Nachvollziehbarkeit in der ESG-Berichterstattung geführt“, sagt Claude Mandy, Forschungsdirektor bei Gartner. „Cybersicherheit ist nicht mehr nur ein Risiko für das Unternehmen, sondern auch eine gesellschaftliche Bedrohung.“

Eine große Herausforderung für Führungskräfte im Bereich Cybersicherheit wird eine verständliche Ausdrucksweise sein: Verantwortliche müssen Vorstand und Betriebsausschüssen deutlich machen, dass es nicht darum geht, das Geschäft von innen heraus zu sabotieren. Vielmehr ist es essenziell herauszustellen, dass Cybersecurity-Verantwortliche alles dafür tun, dem gestiegenen Vertrauen von Kunden, Investoren und Partnern gerecht zu werden. Kurzum: Sicherheit sollte ein Vorbild für gemeinsame Verantwortung sein – von allen für alle.

Es ist kein Zufall: An der Spitze der Cybersecurity-Trends von KPMG für das Jahr 2022 steht die Ausweitung strategischer Gespräche über alle Geschäftsbereiche hinweg. Ziel ist es, wirtschaftliche Interessen mit geltenden und hohen Sicherheitsanforderungen in Einklang zu bringen.

Das ist eine schwierige Aufgabe, die sich aber durchaus bewältigen lässt. Denn die Führungsebene hat endlich verstanden, dass das Management von Cyber-Risiken Wettbewerbsvorteile und langfristigen Erfolg bedeutet – und in der Vorstandsetage sowie bei der Geschäftsleitung beginnt. Die strategische Entscheidungsfindung, das Risikomanagement und vor allem die Gefahren im Zusammenhang mit der Digitalisierung können nicht weiterhin einfach ausgelagert werden. Moderne Sicherheitslösungen tragen nur dann effektiv zur Risikominderung bei, wenn Unternehmen vorab einen Sicherheitsrahmen definieren.

Durch die Pandemie sind digitale Veränderungen eingetreten, die erweiterte Cybersecurity-Maßnahmen erfordern, so beispielsweise Remote-Arbeitsumgebungen und digitales Engagement. Doch das ist nicht alles, denn die hypervernetzte Welt wird mit weiteren Cyberrisiken an mehreren globalen Fronten konfrontiert sein: Cyberkriminelle nutzen immer ausgefeiltere Tools und Technologien. Dies erhöht die Herausforderung, der sich Unternehmen stellen müssen, um eine personalisierte Cyberabwehr zu schützen und aufzubauen.

Führungskräfte aus dem Bereich Sicherheit und Risikomanagement werden sich zunehmend dafür einsetzen müssen, die gesellschaftlichen Probleme zu verringern, die sich aus Cybersicherheitsvorfällen ergeben können. Dazu gehören beispielsweise Datenschutzverletzungen bei persönlichen Kundendaten, potenzielle Sicherheitsbedenken bei der Verwendung von cyber-physischen Systemen, potenzieller Missbrauch ihrer Produkte und böswillige Cyberaktivitäten gegen kritische Infrastrukturen.

Der Cyber-Krieg erhöht den Druck

Das globale Geschäftsumfeld von heute ist von geopolitischen, ökologischen, sozialen und technologischen Unsicherheiten geprägt. Gleichzeitig gibt es immer mehr digital verarbeitete sensible Daten, die miteinander verbunden sind und sich in integrierten Netzwerken bewegen. Aus dieser Kombination entsteht eine wahre Cyber-Risikolandschaft.

Wie die vom European Council on Foreign Relations herausgegebene Aufsatzsammlung Connectivity Wars deutlich macht, ermöglicht es die Hyperkonnektivität des globalen Systems kriminellen Akteuren, erhebliche Schäden anzurichten. Das Perfide dabei: Alle Volkswirtschaften hängen mittlerweile so sehr vom Internet ab, dass diese Angriffe nicht einmal mehr eine offene Kriegsführung erfordern.

Die Cyber-Ebene der Konfrontation um die Ukraine sollte daher nicht unterschätzt werden.

Jüngst wurde in der Ukraine „Wiper“-Malware entdeckt, die Daten auf infizierten Computern dauerhaft löscht. Das hat Unternehmen dazu veranlasst, ihre Abwehrmaßnahmen schnell und massiv zu verstärken, um eine Ausbreitung in andere Länder zu verhindern.

Ein strategischer Faktor in der Cyberkriegsführung ist die Widerstandsfähigkeit lokaler Unternehmen gegenüber Cyberangriffen. Die Firmen müssen ihre Sicherheitsmaßnahmen intensivieren, um den Angriff auf einen Nationalstaat weniger attraktiv zu machen. Folgende Maßnahmen zur Gewährleistung der Cybersicherheit von Unternehmen können auch die nationale Sicherheit fördern:

• Schaffen Sie Hindernisse für das Eindringen in Ihr Netzwerk.
• Verwenden Sie Web Application Firewalls (WAF), um bösartigen Datenverkehr zu erkennen, zu untersuchen und schnell zu blockieren.
• Reagieren Sie schnell auf Sicherheitsverletzungen und stellen Sie den Geschäftsbetrieb schnell wieder her.
• Eine bessere Zusammenarbeit zwischen dem öffentlichen und dem privaten Sektor trägt dazu bei, weitreichende Sicherheitsmaßnahmen umzusetzen.

Wichtige Maßnahmen für 2022

1. Wenden Sie sich vom traditionellen Sicherheitsdenken ab, das sich auf die Vertraulichkeit und Verfügbarkeit von Daten konzentriert. Streben Sie nach Integrität und Widerstandsfähigkeit.
2. Binden Sie die wichtigsten Interessengruppen im Unternehmen in eine Sicherheitsstrategie ein, die Unternehmens- und Kundendaten schützt, Risiken verwaltet sowie auf kurz- und langfristige Geschäftsanforderungen eingeht.
3. Es ist ein Umdenken in der Führungsetage nötig, wenn es um Sicherheit geht. Ebenso spielt die Konzentration auf praktische Geschäftsrisiken statt auf Kosten und Geschwindigkeit eine wichtige Rolle.
4. Denken Sie weniger über betriebliche Leistungsindikatoren (KPIs) und Schlüsselindikatoren für Risiken (KRIs) nach, sondern konzentrieren Sie sich auf Themen und Trends in den zugrundeliegenden Daten: Arten von Vorfällen, interne und externe Programmlücken sowie datenbezogene Aktivitäten, die im Gange oder geplant sind bzw. zur Genehmigung anstehen.
5. Bauen Sie Beziehungen zu wichtigen Geschäftsbereichen auf und fördern Sie die Sensibilisierung für das Verhältnis zwischen einer schnellen Zielumsetzung und den möglichen Verlusten im Falle einer Sicherheitsverletzung.