Ist das C-Level auf den Umgang mit Cybersicherheit gut vorbereitet?

Sowohl in Unternehmen als auch in Regierungen müssen Führungskräfte Cyberrisiken verstehen und in ihren strategischen Entscheidungen berücksichtigen. Wir leben in einer unbeständigen Umgebung, einer datengesteuerten Gesellschaft, die Manager erfordert, die darauf vorbereitet sind, auf durch Technologien verursachte Probleme zu reagieren.

Es ist notwendig, Geschäftsmodelle zu transformieren, Chancen und Bedrohungen zu identifizieren und Internationalisierungsstrategien auf dem globalen Markt zu entwickeln. All das zählt zu den täglichen Aufgaben des Managements.

Ein Beispiel: Wäre Cyberkriminalität eine Nation, wäre sie die drittgrößte Volkswirtschaft nach den USA und China und würde den gesamten globalen Drogenhandel übertreffen. Im Jahr 2021 wird sie uns mehr als sechs Billionen Dollar kosten, mit einem voraussichtlichen Wachstum von 15 % pro Jahr, so Chase Lee, Gründer und CEO von Trustpage.

Es ist an der Zeit, Vertrauen nicht als Kostenstelle, sondern als Vermögenswert zu betrachten und entsprechend zu handeln. Aber wie lässt sich das umsetzen? Damit befasst sich der ausführliche Bericht „Principles for Board Governance of Cyber ​​Risk“, der kürzlich vom Weltwirtschaftsforum in Zusammenarbeit mit PwC veröffentlicht wurde.

Es gibt nur wenige praktische Tipps dafür, was Unternehmensvorstände hinsichtlich der Governance tun können, wenn es um Cybersicherheit geht. Viele Berater erkennen, dass Cybersicherheit ein Risiko ist, das besondere Aufmerksamkeit verdient. Die meisten Vorstände jedoch bemühen sich um einen umfassenden Ansatz für die Cybersecurity, der das Risiko tatsächlich steuert und nicht nur „Standard“-Kontrollmechanismen implementiert, in der Hoffnung, dass diese ausreichen.

Der neue Bericht stellt dar, wie Führungskräfte ihr Verständnis von Cyberrisiken verbessern können, um die Cybersicherheits-Planung schnell in die Gesamtstrategie ihrer Unternehmen einzubinden.

Der erste Schritt besteht darin, Prinzipien festzulegen, die das Verhalten und die Entscheidungen der Berater leiten. Wenn führende Unternehmen gemeinsame Prinzipien in Praktiken umsetzen, können diese Praktiken wiederum zu weitreichend akzeptierten Standards werden, die von der Geschäftswelt erwartet werden. Dieser Effekt kann zu einer wahren Transformation führen.

Der Bericht skizziert sechs Prinzipien:

1. Cybersicherheit ist ein strategischer Business Enabler;

2. Verständnis der wirtschaftlichen Treiber und der Auswirkungen von Cyberrisiken;

3. Die Anpassung des Cyberrisiko-Managements an die Geschäftsanforderungen;

4. Sicherstellung, dass der organisatorische Aufbau Cybersicherheit unterstützt;

5. Einbindung von Cybersicherheits-Expertise in die Unternehmensführung; und

6. Förderung der systemischen Resilienz und Zusammenarbeit.

Diese sechs Prinzipien beruhen auf der Gewissheit, dass Cybersicherheit mehr als nur ein IT-Problem ist. Um zielführende Geschäftsentscheidungen zu treffen, müssen organisatorische Risikobewertungen die Kosten der Cybersicherheit gegen strategische Ziele, regulatorische und gesetzliche Anforderungen, Ergebnisse und die mit der Verwaltung verbundenen Kosten abwägen. Mehr als die Hälfte (55 %) der 3249 für die PwC-Studie „Global Digital Trust Insights 2021“ befragten Business- und Technologie/Sicherheits-Experten gaben an, dass sie nicht davon überzeugt sind, dass die Ausgaben für Cybersicherheit mit den größten Risiken im Einklang stehen.

Drei wesentliche Punkte müssen von den Entscheidern berücksichtigt werden:

1. Gibt es in Ihrem Unternehmen ein einheitliches Rahmenkonzept zur Berechnung der wirtschaftlichen Auswirkungen und der Wahrscheinlichkeit von Cybersicherheits-Ereignissen?
2. Werden bei Geschäftsentscheidungen die Kosten einer mangelnden Cybersicherheit berücksichtigt?
3. Hat Ihre Organisation die Anforderungen an Cyberrisiken hinsichtlich realistischer Schwachstellen und der strategischen Unternehmensziele definiert?

Indem Unternehmen sich darauf konzentrieren, wie Cyberrisiken angegangen werden können (akzeptieren, übertragen, vermeiden oder abmildern), können sie ein Sicherheitsprofil erstellen, dass die Geschäftsanforderungen und die Risikobereitschaft in Einklang bringt. Für alle Facetten der Entscheidungsfindung muss eine kleine Ausrichtung zwischen dem Cyberrisiko-Management und den Unternehmenszielen geschaffen werden, einschließlich Fusionen und Übernahmen, Unternehmenstransformation, Innovation, Digitalisierung, Produktentwicklung, Marktexpansion und weiteren Aspekten.

An dieser Stelle müssen drei weitere Fragen beantwortet werden:

1. Wer trägt in Ihrem Unternehmen das Cyberrisiko? Das Geschäft oder das Sicherheitsteam?
2. Sollten alle Geschäftseinheiten über die wichtigsten Cyberrisiken berichten?
3. Wird das Cyberrisiko bei allen wichtigen Unternehmensentscheidungen berücksichtigt, etwa bei der Einführung eines neuen Produktes oder bei der Veröffentlichung einer Anwendung?

Zu berücksichtigen ist, dass die Gestaltung einer internen Governance, die sich mit Cybersicherheit befasst, auch die Zuweisung von Rollen, Verantwortung und KPIs für jeden im Unternehmen erfordert. Die Entwicklung einer 360-Grad-Sicht auf die Organisation ist unerlässlich. Insbesondere, weil Cyberrisiken von überall ausgehen können, einschließlich des unternehmenseigenen Netzwerkes an Partnern oder Lieferanten. Auch wenn sie nicht häufig vorkommen, können Angriffe auf die Lieferkette zunehmend vernetzte Unternehmen zerstören und erhebliche Schäden anrichten.

Ein virtuelles Dorf ist erforderlich, um gegen Cyberkriminalität anzukämpfen. Die jüngste Ereignisse haben uns gezeigt, dass selbst die besten Unternehmen, die ihren Fokus auf Cybersicherheit legen, von einem cleveren Akteur angegriffen werden können.

Im Jahr 2017 breitete sich der NotPetya-Angriff von einem mit Malware infizierten System in der Ukraine aus und legte den globalen Verkehr lahm. Er verursachte einen Schaden in Höhe von rund 10 Milliarden US-Dollar und betraf zahlreiche Branchen, von der Pharmaindustrie über die Baubranche bis hin zur Körperpflege- und Lebensmittelindustrie.

Im Jahr 2020 wurde Malware auf einen Großteil der US-Regierungsserver geladen, einschließlich des Verteidigungsministeriums, 425 Fortune-500-Unternehmen und weiteren Unternehmen weltweit. Dabei wurde ein Update von SolarWinds kompromittiert, einem in den USA ansässigen Anbieter von Technologie-Infrastruktur. Das Ausmaß des Schadens, der noch aussteht, sowie der ursprüngliche Zweck des Angriffs bleiben unbekannt.

Daher müssen Unternehmen eine interne Struktur erschaffen, die Cybersicherheit im gesamten Unternehmen adressiert. Eine klare Definition der Verantwortlichkeiten für kritische Aktionen und die Entwicklung von Cybersicherheitspraktiken, die bestimmen, wie das Unternehmen agiert und Entscheidungen trifft, sind ein Muss. Ebenso müssen die folgenden Fragen geklärt werden:

1. Wann hat das Unternehmen zuletzt seine Organisationsstruktur überprüft, um sicherzustellen, dass Cybersicherheit in allen Abteilungen angemessen vertreten ist?
2. Wer hat die Befugnis und trägt die Verantwortung zur Koordination von Cyberrisikostrategien im gesamten Unternehmen?
3. Verfügt der Vorstand über die notwendigen Beziehung innerhalb und außerhalb der Organisation, um sein Sicherheitswissen auszubauen?
4. Besteht eine Zusammenarbeit zwischen Kollegen, einschließlich Vorstandsmitgliedern, um die Cybersicherheit in der gesamten Industrie zu verbessern?
5. Interagiert das Unternehmen mit Kollegen aus dem öffentlichen Sektor, um die Resilienz-Probleme in der Branche zu verstehen?

Ausgestattet mit der richtigen Strategie, die die zentrale Bedeutung von Cyberrisiken für Unternehmen im 21. Jahrhundert abdeckt, werden Vorstände und ihre jeweiligen Unternehmen zukünftig effektiver in ihrer leitenden Rolle voranschreiten.