Ein effektiver Schutz vor Cyberbedrohungen ist ohne Unterstützung durch die wichtigsten Stakeholder im Unternehmen nicht möglich. Für IT-Sicherheitsverantwortliche bedeutet dies, dass sie die entsprechenden Themen an die richtigen Stellen tragen, vermitteln und erklären müssen.
Die vermehrte Berichterstattung in den Medien über Cyberangriffe ist ein zweischneidiges Schwert. Einerseits schärft sie an vielen Stellen das Bewusstsein für solche Angriffe, die Schäden, die diese anrichten können, und die Bedeutung von Cybersicherheit. Andererseits lassen die entsprechenden Schlagzeilen auch den Anschein entstehen, dass lediglich große, hochkarätige Unternehmen Opfer solcher Angriffe werden. So entsteht bei kleinen und mittelständischen Unternehmen (KMU) oftmals ein falsches Gefühl der Sicherheit. Denn warum sollten Cyberkriminelle die Zeit und Mühe aufwenden, gerade sie anzugreifen?
Die Wahrheit ist jedoch, dass jedes Unternehmen Opfer eines Cyberangriffs werden kann, entweder als tatsächliches Ziel, als Teil eines Massenangriffs nach dem Gießkannenprinzip oder schlicht durch das Pech zur falschen Zeit am falschen Ort zu sein. Zum Beispiel trafen die Spear-Phishing-E-Mails, die dem "Olympic Destroyer"-Angriff auf die Olympischen Winterspiele 2018 in Pyeongchang vorausgingen, mehrere völlig von den Spielen unabhängige Unternehmen, nur weil ihre Domain-Namen denen der eigentlichen Ziele ähnelten, darunter auch ein Immobilienmaklerbüro in Deutschland.
Ein mangelndes Bewusstsein für Cyberrisiken ist in vielen Fällen ein Problem auf Management-Ebene. Wie eine aktuelle, von Barracuda durchgeführte Studie zeigt, befürchten mehr als ein Drittel (35 Prozent) der IT-Sicherheitsexperten in KMU, dass ihre Führungskräfte Cyberangriffe nicht als signifikantes Risiko ansehen. Dies ist nicht überraschend und auch nicht als Versagen der Führungskräfte zu verstehen, denn es ist schlicht schwer den Einfluss von etwas korrekt abzuschätzen, das man nicht umfassend versteht.
Schäden sind oft nur schwer zu beheben
Dementsprechend müssen IT-Sicherheitsverantwortliche wie Chief Information Security Officer (CISO) in der Lage sein, Führungskräfte im Unternehmen von der Wichtigkeit dieser Themen zu überzeugen. Eines der besten Argumente ist dabei Cybersicherheit als Garant für Geschäftserfolg und -kontinuität. Eine Cybersicherheitsverletzung zieht in vielen Fällen finanzielle, rechtliche und Reputationsschäden nach sich. Gerade letztere sind oftmals nur schwer wieder zu beheben – Kunden, Partner, Zulieferer, Investoren und andere Stakeholder müssen sich darauf verlassen können, dass ihre Daten sicher sind. Sind sie das nicht, werden diese sich über kurz oder lang anderweitig umsehen.
Wenn man nur die Zahlen betrachtet, wird es sogar noch eindeutiger, wie wichtig Cybersicherheit gerade für kleine und mittelständische Unternehmen ist. Untersuchungen haben ergeben, dass beispielsweise Unternehmen in Deutschland pro Jahr rund 5,6 Millionen Euro für die Reaktion auf Cybersicherheitsvorfälle ausgeben – 3,5 Millionen Euro für den Diebstahl von IT-Vermögenswerten, Schäden an der Infrastruktur, die Untersuchung von Vorfällen und entsprechende Maßnahmen zur Behebung der Schäden sowie weitere 2,1 Millionen Euro für die Kosten von Ausfallzeiten sowie die daraus resultierenden Produktivitätsverluste und Unterbrechungen der Geschäftskontinuität. Hinzu kommen potenziell Kosten für rechtliche und Compliance-Strafen.
Auch mittel- bis langfristig wirkt sich ein Cybersicherheitsvorfall negativ auf die Unternehmenszahlen aus. Laut einer Untersuchung durch Harvard Business Review fällt der Börsenwert von börsennotierten Unternehmen nach einer Datenschutzverletzung im Durchschnitt um 7,5 Prozent. Durchschnittlich benötigt dieser Wert dann rund 46 Tage, um sich wieder zu erholen – falls er sich überhaupt erholt. Darüber hinaus steigen im Jahr nach einem Vorfall üblicherweise die Kosten und Gebühren für Darlehen, Versicherungsprämien und Audits.
Cyberangriffe werden immer ausgefeilter
IT-Sicherheitsverantwortliche müssen in der Lage sein, den Führungskräften in ihrem Unternehmen zu erklären, dass diese Risiken existieren und wie Cybersicherheit sie minimieren kann. Dies ist auch keine einmalige Aufgabe, denn Cyberbedrohungen und Cybersicherheit ebenso wie die damit verbundenen Risiken und Folgen entwickeln sich kontinuierlich weiter. Die meisten der in der anfangs erwähnten Studie befragten Teilnehmer gaben an, dass Cyberangriffe im vergangenen Jahr technisch ausgefeilter und gleichzeitig schwerwiegender geworden sind, während die Reaktion auf sie und die Beseitigung ihrer Folgen immer länger dauert.
Konkret bedeutet dies: CISOs und andere Sicherheitsexperten sollten regelmäßige Meetings mit den wichtigsten Stakeholdern in kritischen Risikobereichen im Unternehmen wie Produktentwicklung, Finanzen und der Rechtsabteilung planen. Inhalt dieser Meetings sollte die Entwicklung der Bedrohungs- und Sicherheitslage sein und was diese Entwicklung für die Geschäftsstrategie, das allgemeine Unternehmensrisiko und andere unternehmensrelevante Aspekte bedeutet. Wichtig bei diesen Meetings ist es, die Stakeholder abzuholen und Informationen für sie verständlich aufzubereiten und ansprechend zu präsentieren. Dies ist keine einfache Aufgabe und sie bedeutet auch, dass Soft Skills für den Chief Information Security Officer der Zukunft noch wichtiger werden. Aber dieser Aufwand lohnt sich, denn eine im Bereich "Cybersicherheit" geschulte und engagierte Führungsebene ist eine der effektivsten und zuverlässigsten Schutzmaßnahmen in jedem Unternehmen.