Immer mehr Unternehmen siedeln das Thema Cybersicherheit weit oben in der Hierarchie an und ein großer Teil hat es bereits zur Chefsache erklärt. Warum es sinnvoll ist, IT-Sicherheit in Vorstandssitzungen zu besprechen und nicht allein in Teammeetings der IT-Abteilungen zu belassen, zeigt dieser Beitrag.
Penetrationstest zeigt vielfache Schwachstellen auf
Es ist kein großes Geheimnis, dass das Internet und die Digitalisierung Segen und Fluch zugleich sind. Denn die globale Vernetzung über das Internet und die verstärkte Anwendung digitaler Tools für Geschäftsprozesse in den Bereichen Technologie, Qualität, Daten sowie Organisation öffnet mannigfach Türen, durch die nicht nur Kunden und Geschäftspartner eintreten können, sondern auch Cyberkriminelle. Technik, und sei sie auch noch so fortschrittlich, birgt das Risiko von Schwachstellen. Aktuelles Beispiel sind etwa Phishing- und Fake-Mails, in denen in Verbindung mit Corona und zu Spenden aufgerufen wird.
Um diese zu finden, ist ein Penetration Test ein hilfreiches Mittel. Kompetente IT-Sicherheitsexperten versuchen dabei, auf Basis von Hackerwissen, in die IT-Infrastruktur eines Unternehmens einzudringen und nutzen dafür vorhandenen Schwachstellen, wie etwa Fehlkonfigurationen, fehlerhafte Programmierungen, mangelhafte Verschlüsselungen oder zu schwache Passwörter. Auch nach Exploits wird Ausschau gehalten, worunter man Befehlsfolgen bzw. kleine Schadprogramme, welche Fehlfunktionen von Anwendungs- oder Hilfssoftware ausnutzen, um Manipulationen zu ermöglichen. Diese Expoits lassen sich in verschiedene Gruppen unterteilen, etwa lokale Exploits, Remote Exploits oder DoS-, Command-Execution-, SQL-Injection- sowie Zero-Day-Exploits. EternalBlue gilt hier als der effektivste und gefährlichste Exploit.
Weil das Thema Cybersicherheit in der Vergangenheit von den Unternehmensleitungen eher nebenbei behandelt wurde, war es für Hacker leicht möglich, sich Zugriff auf die internen IT-Systeme zu verschaffen, Daten zu stehlen, Schadprogramme zu platzieren und das Unternehmen dann zu erpressen oder technische Sabotage zu betreiben. Aus diesen Gründen muss es im ureigendsten Interesse der Unternehmen liegen, die Cybersicherheit zur Chefsache zu erklären und im Bereich der Cybersicherheit Standards einzuführen, z. B. Konzepte und Richtlinien gemäß der Cybersicherheitsnorm IEC62443 oder des SABSA Security Framework.
Cybersicherheit kann hohe finanzielle Schäden verursachen
Wie gut die Sicherheit eines Unternehmens gewährleistet werden kann, zeigt sich heute vor allem beim Thema Cybersicherheit. Unternehmenseigene IT-Strukturen und die darin enthaltenen Informationen und Daten beispielsweise mithilfe von VPN (Virtual Privat Network), mehrstufigen Firewalls, tätigkeitsabhängigen Zugangsberechtigungen und sicheren Authentifizierungsprozessen zu schützen, ist für ein Unternehmen existenziell. Denn durch den Verlust von wichtigen, meist sensiblen Daten (Kundendaten, Bankdaten, Entwicklungs- bzw. Forschungsdaten zu Technologien) oder durch den Ausfall von Computersystemen können einem Unternehmen kaum abschätzbare, finanzielle Verluste entstehen. Zudem sorgt das Bekanntwerden von erfolgreichen Hacker-Attacken immer auch für den Verlust von Reputation.
Dies alles hat dazu geführt, dass das Berufsbild des CSO (Chief Security Officer) bzw. CISO (Chief Information Security Officer) als Verantwortlicher in Sachen Cyber-Security entstanden ist. Der CSO weiß um die Bedrohungen, mit denen ein Unternehmen konfrontiert ist und widmet sich daher ausschließlich der Aufrechterhaltung und Optimierung der Cybersicherheit. Beauftragte Penetrationstests liegen normalerweise in seiner Verantwortung. Er klärt im Vorfeld die Bedingungen, also den Umfang und Zeitrahmen des Tests, gibt vor, welche Bereiche auf welche Weise getestet werden sollen und ob es sich um einen externen oder internen bzw. angekündigten oder unangekündigten Pentest handeln soll. Die Arbeit eines CSO oder CISO ermöglicht eine effiziente Abwehr von Hackerangriffen, verhindert finanzielle Verluste trägt das Thema Cybersicherheit als Mitglied des Vorstandes direkt in die oberste Entscheidungsebene.
Schnellere Reaktion auf Hacker-Attacken
Auch beim Thema Cybersicherheit ist es, wie bei allen anderen Themen in einem Unternehmen: Je weiter oben in der Unternehmenshierarchie es präsent ist, desto schneller können Entscheidungen getroffen werden, wenn man sie braucht. Trotz noch so effizienter Frühwarnsysteme und Cyberschutz-Maßnahmen und trotz regelmäßig durchgeführter Penetrationstests werden die Hacker-Angriffe nicht aufhören. Im Gegenteil, sie werden immer komplexer und raffinierter. Das Bundesamt für Sicherheit in der Informationstechnik hat in einer Handreichung auf seiner Website 10 Tipps zu Cybersicherheit für Unternehmen veröffentlicht.
Ist das Thema IT-Sicherheit in der Chefetage eines Unternehmens angesiedelt, müssen bei einem bemerkten Angriff nicht erst irgendwelche Dienstwege eingehalten werden, sondern das angegriffene Unternehmen kann sehr schnell reagieren. Dazu trägt auch bei, dass ein CSO ohne langwierige Abstimmungen einen sogenannten „Incident-Response-Plan“ entwickeln kann. Ein solcher kann dazu beitragen, dass eine Hacker-Attacke zwar ein unangenehmer Zwischenfall ist, aber nicht in einer Katastrophe endet.
Cyber-Sicherheit als strategische Aufgabe
So wichtig die Arbeit eines CSO oder CISO auch ist, so notwendig ist es, dass der CEO mit eingebunden ist und als oberster Entscheidungsträger die grundlegenden Fragen beantwortet, also beispielsweise, wie das Unternehmen als solches und als Teil eines größeren „Ökosystems“ mit den Herausforderungen einer bedrohten IT-Sicherheit umgeht. Der CEO ist es letztlich, der den Übergang zu einem digitalen Geschäftsmodell im Unternehmen initiieren und vorantreiben muss. Die Arbeit des CSO bzw. CISO besteht dann in der Umsetzung in Form von technischen und organisatorischen Maßnahmen.
Hier geht es letztlich auch immer um die Finanzierung. Cybersicherheit ist ein arbeitsintensives, technisch anspruchsvolles Betätigungsfeld, das mitunter hohe Investitionen erfordert. Diese Investitionen können nur von der Unternehmensleitung freigegeben werden, weshalb es ebenfalls ist, das Thema Cybersicherheit zur Chefsache zu machen.
Effiziente IT-Security als Argument für Partner
In einer globalisierten und vernetzten Welt darf ein Unternehmen bezüglich der Cybersicherheit nicht nur bis an seine eigenen Grenzen denken, sondern muss darüber hinaus auch die Gegebenheiten entlang der gesamten Wertschöpfungskette berücksichtigen. Das bedeutet, dass es einer Koordination mit Geschäftspartnern, Lieferanten und auch Kunden braucht, um sozusagen die gesamte „IT-Sicherheits-Frontlinie“ gegen Hackerangriffe zu sichern. Auch dies gelingt nur, wenn Unternehmensleitungen sich des Themas annehmen.
Kommentare lesen und schreiben, hier klicken
