Die Cybersicherheitsorganisationen in Unternehmen, also der Bereich des Chief Information Security Officer (Ciso), sind heute nicht mehr nur für die Erstellung und Überwachung von Regelwerken und technische Sicherheitsmaßnahmen erforderlich, sondern übernehmen eine wichtige Aufgabe im Bereich der Business Resilience, also der Widerstandsfähigkeit und Überlebensfähigkeit von Unternehmen bei Cyberangriffen und darüber hinaus.
Der Ciso ist heute regelmäßiger Teilnehmer bei Vorstands- und Aufsichtsratssitzungen und agiert als Mediator zwischen Vorstand und Aufsichtsrat, den Geschäftsbereichen und der IT, wenn es um Resilienz, den Schutzbedarf und die erforderlichen Maßnahmen geht. Das Wissen über mögliche Auswirkungen von Cyberattacken auf die Funktionsfähigkeit der Organisation, also die sogenannten Business Impact-Analysen (BIA) sind eine Kernaufgabe des CISOs, in enger Zusammenarbeit mit den verschiedenen Geschäftsbereichen.
Cyberrisiko Lieferkette
Besonders deutlich wird diese veränderte Rolle auch bei dem auf der Konferenz intensiv diskutierten Themenfeld der Risiken für Lieferketten und des „3rd Party Risk Managements“. Im vernetzten, digitalen Geschäft von heute können sich Cyberangriffe schnell über eine Organisation hinaus ausbreiten, beispielsweise durch die Verbreitung von Ransomware oder die Nutzung der IT von Zulieferern für Angriffe auf große Unternehmen. Angriffe können sich aber auch durch die Anfälligkeit von Lieferketten auswirken, wenn Zulieferer nach Angriffen nicht mehr lieferfähig sind und damit die ohnehin anfälligen Lieferketten betroffen werden.
Bei digitalen Produkten oder physischen Gütern, in denen Software enthalten ist, gibt es zudem noch das Risiko, dass zugelieferte Software zum Sicherheitsrisiko oder zur Hintertür für Angreifer wird. Deshalb sind durchdachte, umfassende Konzepte, aber auch standardisierte Vorgehensweisen für den Umgang mit digitalen Supply-Chain-Risiken heute eine Kernaufgabe der Verantwortlichen für Cybersicherheit in allen Organisationen.
Gefälschte Informationen – ein Geschäftsrisiko
Intensiv diskutiert wurde auch über den Themenbereich Malinformation, Disinformation, Misinformation (MDM), also über die Auswirkungen von bewusst fehlerhaften Informationen auf Unternehmen und die Frage, wie weit das auch eine Aufgabe der Cybersicherheit ist.
Schon die Tatsache, dass sich solche Informationen, ebenso wie die gezielte, illegale Weitergabe von Informationen aus Organisationen massiv schädlich auswirken können macht deutlich, dass es hier auch um Resilienz geht. Denn nicht zuletzt kann dabei auch die Reputation eines Unternehmens auf dem Spiel stehen.
Der Umgang mit MDM und die Gegenmaßnahmen sind nicht ausschließlich eine Aufgabe des Ciso. Der Ciso ist aber Teil des Teams, das sich damit auseinandersetzen muss, um die Risiken für MDM als Angriffsvektor zu reduzieren, Gegenmaßnahmen zu unterstützen und die Auswirkungen begrenzen zu können.
Technologie: Herausforderung und Chance
Für alle diese Herausforderungen, ebenso wie für die etablierten Herausforderungen der Cybersicherheit wie beispielsweise die Erkennung von Angriffen und den Umgang mit Ransomware-Angriffen braucht es Technologie.
Security-Automation, beispielsweise durch die Nutzung von SOAR-Lösungen (Security Orchestration, Automation, and Response) in SOCs (Security Operations Center), ist ein Beispiel für Technologie, die dabei hilft, bessere Lösungen umzusetzen ohne Personal aufzubauen.
Eine Herausforderung dabei ist, dass die technischen Lösungen immer auch die Bestands-IT, also ältere Systeme, mit unterstützen müssen. Viele der neuen Lösungen vereinfachen IT und damit die Cybersicherheit nicht, weil sie zu hybriden und damit komplexeren Umgebungen führen – und zudem auch für eine große Unübersichtlichkeit sorgen.
Die Basis: Gute Cyberhygiene
Bei den technischen Maßnahmen gilt es aber nicht nur, die Unterstützung der gesamten IT-Infrastruktur sicherzustellen, sondern auch, die Basismaßnahmen nicht zu vernachlässigen. Die grundlegende Cyberhygiene ist essentiell für eine hohe Widerstandsfähigkeit gegen Angriffe.
Das umfasst natürlich Security-Awareness-Trainings, aber auch Basismaßnahmen wie den Endgeräteschutz und insbesondere die Fähigkeit zu einer schnellen Wiederherstellung nach Angriffen, also konsequente Durchführung von Backups und erprobte Recovery-Prozeduren. Wichtig ist zudem: Hygiene ist kein abgeschlossener Zustand, sondern ein kontinuierlicher Prozess, der immer nachjustiert und neu überdacht werden muss.
So viel ist klar: Die Anforderungen im Bereich der Cybersicherheit werden nicht weniger werden – und haben sich in den vergangenen Monaten noch einmal verschärft. Ein Grund zum Resignieren ist das allerdings nicht, denn fokussiertes Handeln und gutes Management sind weiterhin die Grundlage für ein widerstandsfähiges Unternehmen und ein hohes Schutzniveau.
Martin Kuppinger ist Principal Analyst bei Kuppinger Cole Analysts