Bessere Geschäftskommunikation – gute Sicherheitspraxis

Originalbeitrag von Bharat Mistry

Die Beziehung zwischen IT und Unternehmen war schon immer von Spannungen geprägt. Besonders akut sind die Konflikte im Bereich Cybersicherheit zu spüren, denn den Security-Profis wird seit langem mit Misstrauen begegnet, und sie gelten als Innovations- und Produktivitätshindernis. Doch selten war der Graben zwischen beiden Seiten so tief. Auch waren die potenziellen Auswirkungen von Fehlkommunikation und Misstrauen noch nie so verhängnisvoll. Eine neue Studie von Trend Micro legt das Ausmaß des Problems offen und gibt einige Empfehlungen für mögliche Annäherungen und Konfliktlösungen.

Um die für moderne Unternehmen notwendige „Security-by-Design“-Kultur zu schaffen, muss die Sicherheit formalisiert und in jeden Geschäftsprozess eingebettet werden.

Spannungen schaden Firmen

Heutzutage halten unsere Gegner die meisten Trümpfe in der Hand. Laut Gartner geben Unternehmen weltweit in diesem Jahr insgesamt über 150 Milliarden Dollar für Sicherheitstechnologie aus. Und dennoch ergab der Trend Micro Cyber Risk Index, dass 28 Prozent der deutschen Unternehmen eine bis sechs Diebstähle von Kundendaten erlitten hätten, 10 Prozent hatten sogar mehr als sechs Angriffe, die auf ihre Kundendaten zielten, zu verzeichnen. Trend Micro blockierte fast 63 Milliarden Bedrohungen im Jahr 2020 und 41 Milliarden in der ersten Hälfte des Jahres 2021. Und die Pandemie bedingte Zunahme von digitaler Infrastruktur und Services hat die Angriffsfläche in vielen Unternehmen noch vergrößert und bietet Bedrohungsakteuren mehr Möglichkeiten, ihr Unwesen zu treiben.

Vor diesem Hintergrund haben wir kürzlich eine Umfrage bei über 5.300 IT- und Geschäftsentscheider aus globalen Unternehmen durchgeführt, um besser zu verstehen, wie sehr die Spannungen zwischen den beiden Seiten den Unternehmen schaden.

Die Ergebnisse waren erstaunlicherweise unmissverständlich: Die IT-Führungskräfte haben den Eindruck, dass die Führungsetage Sicherheitsrisiken gleichgültig und passiv gegenübersteht. Es geht sogar so weit, dass IT-Chefs dazu gezwungen sind, sich vor ihren Vorständen zurückzunehmen, aus Angst, zu negativ oder zu penetrant zu erscheinen. Hier einige der wichtigsten Ergebnisse:

  • 92 % der IT-Entscheidungsträger in Deutschland geben an, ihr Unternehmen gehe zugunsten der digitalen Transformation, der Produktivität oder anderer Business-Ziele Kompromisse bei der Cybersicherheit ein.
  • Nur 50 % der IT-Führungskräfte und 29 Prozent der Business-Entscheider (weltweit 38 Prozent) glauben, dass der  Unternehmensvorstand ausreichendes Wissen im Bereich Cyber Security hat.
  • 29 Prozent der deutschen Studienteilnehmer (weltweit 26 Prozent) sind darüber hinaus der Ansicht, dass der Vorstand sich nicht genug Mühe gibt, das Thema zu verstehen oder es mitunter gar nicht verstehen will. Von Letzterem gehen in Deutschland und weltweit ganze 20 Prozent aus.
  • 80 % der deutschen IT-Entscheidungsträger fühlen sich unter Druck gesetzt, die Schwere von Cyberrisiken gegenüber ihrem Vorstand herunterzuspielen. Für fast ein Viertel von ihnen stellt dies einen konstanten Druck dar.
  • Mit 51 Prozent gibt mehr als die Hälfte der Befragten aus Deutschland (weltweit 49 Prozent) an, dass Cyberrisiken immer noch als Sache der IT und nicht als Geschäftsrisiko angesehen werden.

Cyber Security, was nun?

Der Weg zur Verbesserung der Beziehungen zwischen IT-Abteilung und Vorstandsebene zeichnet sich daher ziemlich klar ab: Die Führungsebene muss Cyberrisiken als ein wichtiges Geschäftsrisiko anerkennen. Leider glauben die meisten Befragten, dass die Managementebene erst dann aufmerksam werden, wenn es zu einem Sicherheitsverstoß kommt oder wenn die Kunden dies verlangen. Die Unternehmen müssen proaktiver handeln, wenn sie einen größeren Vorfall vermeiden wollen.

Der Schlüssel dazu liegt in „Security-by-Design“, einem Best-Practice-Grundsatz, der vorschreibt, dass das Thema Cybersicherheit in alle Aktivitäten eines Unternehmens integriert wird – von der Mitarbeiterschulung bis zur Entwicklung neuer Produkte und Dienstleistungen. In abgewandelter Form ist der „Datenschutz durch Design“ auch ein Grundprinzip der Europäischen Datenschutz-Grundverordnung. Dahinter steht der Gedanke, dass ein Unternehmen durch die Änderung des Nutzerbewusstseins und -verhaltens und die Anpassung von Geschäftsprozessen eine sicherheitsorientierte Kultur fördern kann, die sich selbst verstärkt: Best Practice erzeugt Best Practice.

Der Weg dahin: Es bedarf der Zustimmung von ganz oben, was bedeutet, dass sich die Dinge auf der IT- und Geschäftsseite ändern müssen. Hier sind ein paar Tipps aus dem Bericht:

  • Formalisieren Sie die Cybersicherheit über Dokumentation, KPIs und etablierte Messgrößen, um eine Diskussion über Cyberrisiken im Unternehmen voranzutreiben.
  • Erwägen Sie die neue Rolle des Business Information Security Officers (BISO), der dafür sorgen kann, die Sicherheit in die Geschäftsprozesse einzubetten und die Cybersicherheit mit den Produktivitätsanforderungen des Unternehmens in Einklang zu bringen.
  • Umstrukturierung der Reportingstrukturen, so dass der CISO direkt dem CEO unterstellt ist – dadurch wird dieser für die Cybersicherheit sensibilisiert und kann den Sicherheitsverantwortlichen mehr geschäftlichen Input liefern.
  • Setzen Sie eine XDR-Plattform ein, die Bedrohungsdaten aus der gesamten IT-Umgebung (Endpunkte, Server, Cloud-Workloads, Netzwerke und E-Mail) korreliert und analysiert, um einen maximalen Einblick in die Bedrohungs- und Risikostufen zu erhalten.

Ein kultureller Wandel dieser Art ist weder schnell noch einfach. Aber er ist in der heutigen Bedrohungs- und Risikolandschaft unerlässlich. Weitere Details liefert die ganze Studie.

 

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

*

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.