Warum Cyberrisiken im Zuge der zunehmenden Digitalisierung und Automatisierung die gesamte Organisation betreffen und was ein ganzheitliches Cyberrisk-Management für sie leisten muss.
Von unserem Partner, taskforce INTERIM EXECUTIVE Dr. Marcus Kind
Der US-amerikanische Cybersecurity-Anbieter CrowdStrike hat überdeutlich gezeigt, welche Auswirkungen bereits ein fehlerhaftes Update in einem Sicherheitsprodukt haben kann. Weltweit kam der IT-Betrieb in unzähligen Unternehmen zum Erliegen. Die wirtschaftlichen Schäden sind bis heute nicht bezifferbar. Und dabei handelte es sich „lediglich“ um einen operativen Fehler und keinen Cyberangriff. Mit zunehmender digitaler Vernetzung und der Integration neuer Technologien – KI/Cognitive Computing, Internet of Agents, Cloud, Data Analytics, 5G/6G, Blockchain –, steigt die Abhängigkeit von funktionierenden IT-Systemen. Zugleich steigt das Risiko für nahezu sämtliche Unternehmensbereiche und Funktionen, Ziel von Angriffen aller Art aus dem Cyberraum zu werden. Der richtige Umgang mit Cyberrisiken stellt für Unternehmen eine enorme Herausforderung dar. Zwischen dem allgemeinen Risikobewusstsein und dem aktiven Vorantreiben von konkreten Schutzmaßnahmen zeigen sich in der Praxis jedoch oft erhebliche Lücken. Die Munich Re beziffert in ihrem Report “Cyber Insurance, Risks and Trends 2024“ die Lage wie folgt:
Unschwer zu erkennen – die Schadwirkungen können beträchtlich sein. Insbesondere kleine und mittelständische Unternehmen sind häufig nur unzureichend geschützt und deshalb ein leichtes Ziel von Angriffen. In der Regel fehlt es an der Priorität für Cybersecurity, den finanziellen und technischen Ressourcen sowie dediziertem Personal.
Cybersecurity – wachstumsfördernde Unternehmensfunktion und Motor für die Geschäftstransformation
Das Erreichen wichtiger Unternehmensziele wie die Gewährleistung vertrauensvoller und unterbrechungsfreier Lieferketten (z.B. Absicherung technischer Schnittstellen durch Cyber-Supply Chain Risk Management, C-SCRM), Stabilität der Fertigungssysteme und Prozessanlagen, oder die Umsetzung zukunftsfähiger Geschäftsmodelle (z.B. vernetzte Systeme wie IoT-Geräte) sind ohne einen hohen Grad an Sicherheit der auf Datenebene vernetzten IT-Systeme nicht mehr denkbar. Cybersecurity ist ein Asset, das auf die Markenpositionierung, das Kundenvertrauen, den Umsatz, die betriebliche Stabilität, die Kreditwürdigkeit, die Anwerbung und Bindung von Talenten und die langfristige Nachhaltigkeit einzahlt. Cybersecurity sollte daher als Werttreiber und nicht allein als Kostenfaktor begriffen werden. Allein durch die Vermeidung negativer Folgen einer Sicherheitsverletzung, hat Cybersecurity einen positiven Einfluss auf das Geschäftsergebnis, der sich konkret beziffern lässt.
Entwicklungen in der Regulatorik, Gesetzgebung und bei Standards
Mit zunehmender Abhängigkeit der Wertschöpfungs- und Lieferkettenketten von digitalen Ressourcen und Prozessen wachsen auch die regulatorisch-gesetzlichen Anforderungen zu Datenschutz und Informationssicherheit. Dies setzt viele Unternehmen zusätzlich unter Zugzwang. Neben dem CRA (Cyber Resilience Act: EU-Verordnung 2024/2847), dem CSA (Cybersecurity Act: EU-Verordnung 2019/881), dem DORA (Digital Operational Resilience Act: EU-Verordnung 2022/2554) und der NIS-2 (Network and Information Security Directive 2: EU-Richtlinie 2022/2555) gibt es eine Vielzahl von Richtlinien und Verordnungen zur Stärkung von Cybersecurity, die bereits in Kraft getreten sind, oder kurz davorstehen.
Mit dem NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG), dessen Verabschiedung in diesem Jahr erfolgen soll, wird die Geschäftsführung betroffener Unternehmen stärker als bisher verpflichtet, ein entsprechendes Risikomanagement in den Lieferketten zu implementieren. Zum Nachweis eines NIS-2-konformen Risikomanagements müssen zahlreiche Unternehmen künftig umfassendere Netzüberwachungs- und Sicherheitsmaßnahmen sicherstellen. Dies beinhaltet auch, dass die Compliance-Verantwortung nicht mehr uneingeschränkt delegiert werden kann. Unternehmen drohen hier hohe Strafen bis hin zur persönlichen Haftung der Geschäftsführung.
- Ziel des CRA ist, Cybersicherheitsanforderungen für Produkte mit digitalen Elementen (z.B. IoT) einzuführen, die die Hersteller während des gesamten Produktlebenszyklus zur Berücksichtigung der Sicherheit (z.B. durch unverzügliche Bereitstellung von Sicherheitsupdates) verpflichten.
- Mit dem CSA wird ein einheitlicher Zertifizierungsrahmen für IKT-Produkte geschaffen und die Agentur der Europäischen Union für Cybersicherheit (ENISA) gestärkt.
- DORA soll die Resilienz im Finanzsektor erhöhen, indem an Finanzunternehmen und ihre IKT-Dienstleister erhöhte Sicherheitsanforderungen gestellt werden.
Angesichts der zahlreichen Regeln und Standards fehlt vielen Unternehmen der Überblick. Nicht jedes Framework eignet sich für jedes Unternehmen. So ist beispielsweise für Behörden oder im öffentlichen Sektor tätige Unternehmen die IT-Grundschutz-Methodik des BSI sinnvoll. Global tätige, produzierende Konzerne könnten zur Einhaltung gesetzlicher Bestimmungen auf die flexiblere und breitere ISO 27001 zurückgreifen. Für Unternehmen mit Schwerpunkt auf dem US-Markt kann das NIST Cybersecurity Framework relevant sein.
Neben den „großen“ Standards wie der ISO/IEC 270xx-Familie gibt es auch „kleine“ Standards, wie der VDS 10000, die eher auf KMUs zielen und branchenspezifische Standards wie beispielsweise der auf Zulieferer und Dienstleister in der Automobilindustrie ausgerichtete TISAX (Trusted Information Security Assessment Exchange).
Digitale Verantwortung – nicht mehr allein Aufgabe der „IT“
Die Bedeutung von Cybersecurity und Cyberriskmanagement nimmt rapide zu. Neue Informationstechnologien haben immer auch eine Compliance-Dimension, die es zu identifizieren und zu analysieren gilt. Cybersecurity ist deshalb heute keine reine IT-Aufgabe mehr, sondern Bestandteil von Corporate Governance für deren Einhaltung die Geschäftsführung verantwortlich zeichnet und haftet. Zu den wesentlichen Elementen eines Corporate-Governance-Systems gehört das Risiko-Management-System (RMS), das Interne-Kontrollsystem (IKS), das Compliance-Management-System (CMS) sowie die Interne Revision. Die Systeme sind sowohl individuell als auch in ihrem Zusammenwirken zu betrachten, da sie teils große Schnittmengen bei unterschiedlicher Schwerpunktsetzung aufweisen. Die konkrete Ausgestaltung der Grundsätze, Verfahren und Maßnahmen der einzelnen Systeme ist abhängig von der jeweiligen Risikosituation, d.h. von der Branche, der Unternehmensgröße, der Internationalität, dem Leistungsportfolio und der Komplexität der Geschäftsmodelle/-prozesse. Es ist offensichtlich, dass der richtige Umgang mit Cyber-Bedrohungen in vielen Fällen nicht mehr allein von der IT, einem CDO oder etwa einem CTO gewährleistet werden kann.
Die konkrete aufbauorganisatorische Gestaltung der Cyberabwehr und die Struktur entsprechender Cybersicherheitsteams hängt, wie oben beschrieben, stark von der Risikosituation ab. Vor allem für kleine und mittlere Unternehmen kann es eine Alternative sein, Sicherheitsaufgaben an spezialisierte externe Sicherheitsexperten und Sicherheitsdienstleister zu verlagern.
In zahlreichen Unternehmen entwickelt sich „Cyber“ mit einem CISO (Chief Information Security Officer) an der Spitze zu einem eigenständigen Funktionsbereich, der seine traditionellen IT-Wurzeln hinter sich lässt. Dieser ist für die Erstellung der Cybersecurity-Strategy verantwortlich und steuert die Informationssicherheitsprozesse. Der CISO erstellt das Sicherheits- und Notfallvorsorgekonzept, ist in die Krisenkommunikation eingebunden und koordiniert die Definition von Cybersecurity-Richtlinien. Zudem sollte er von Anfang an in die Planung strategischer Technologie-, Digitalisierungs- und Infrastrukturinvestitionen eingebunden werden.
Richtlinien, Standards und Tools sind wichtig. Gleichzeitig berücksichtigen sie ein Element aber meist nur bedingt: den Faktor Mensch. Zum Kompetenzbereich des CISO gehört deshalb auch die Sensibilisierung und Schulung der Belegschaft zu aktuellen Sicherheitsthemen und Angriffsmethoden sowie die Beratung der Geschäftsführung zu Sicherheitsstandards und regulatorischen Anforderungen. In jedem Fall sollte der CISO ein direktes Vorspracherecht bei der Geschäftsführung haben. Aus meiner persönlichen Erfahrung ist vor allem ein Aspekt von zentraler Bedeutung: Zur Erreichung der Schutzziele müssen in der Organisationsstruktur begründete Interessenkonflikte ausgeschlossen werden und die Gewährleistung eines hohen Grades an wechselseitiger Kontrolle sichergestellt sein.
Is your business Cyber Smart?
Oberstes Unternehmensziel muss sein, auch im Krisenfall handlungsfähig zu bleiben, ohne gleichzeitig die Chancen und den Nutzen des Cyberraums für das Unternehmenswachstum zu beeinträchtigen. Mithilfe von Cyber-Sicherheits-Checks können Sie Ihr aktuelles Sicherheitsniveau bestimmen. Dabei muss nicht nur Transparenz über den Sicherheitsstand der technischen Infrastruktur und Systeme hergestellt werden, sondern müssen auch organisatorische, personenbezogene sowie rechtlich-regulatorische Aspekte berücksichtigt werden.
Wir unterstützen Sie gerne bei der Ermittlung der wachstumsfördernden Potenziale von Cybersecurity, der Geschäftstransformation sowie dem Aufbau robuster Corporate-Governance-Systeme.
Dr. Marcus Kind verfügt aufgrund seiner Tätigkeit für internationale Anbieter von Sicherheitstechnologien für Regierungen, Behörden und Unternehmen über umfangreiche Erfahrungen im Schutz und der Verwaltung vertraulicher Systeme, Netzwerke, Daten und Identitäten in physischen, digitalen und mobilen Umgebungen.
