[datensicherheit.de, 26.07.2018] Angesichts der steigenden Verbreitung sensibler Daten, Vernetzung sowie Automatisierung müssen Geschäftsführer und IT-Entscheider künftig neue Wege gehen, um ihre Unternehmen wirksam vor Cyber-Angriffen zu schützen. Im Bereich der Cybersicherheit gilt es, eine signifikante Lücke zwischen tatsächlichem Schutz und erkanntem Risiko zu schließen. Dafür muss die Verantwortung für Cybersicherheit stärker auf das gesamte Unternehmen verteilt und weniger beim CISO zentralisiert werden. Dies ist das Ergebnis einer aktuellen Studie des Beratungsunternehmens Accenture.

Cybersecurity in den meisten Unternehmen zentral organisiert

In der Studie „Securing the Future Enterprise Today – 2018“ sind 73 Prozent der rund 1.400 weltweit befragten Führungskräfte der Meinung, dass Cybersecurity-Mitarbeiter in allen Unternehmensbereichen präsent und Schutzprogramme großflächig ausgeführt werden müssen. Gleichzeitig zeigen die Ergebnisse allerdings, dass Cybersecurity in 74 Prozent der Unternehmen nach wie vor zentral organisiert ist. Es gibt bisher kaum Anzeichen für eine stärkere Verlagerung der Verantwortung auf die Geschäftseinheiten. So sind derzeit lediglich
25 Prozent der „Nicht-CISO-Führungskräfte“ für Cybersicherheit verantwortlich. Ein Viertel der Befragten ist allerdings der Meinung, dass die Geschäftsbereichsleiter in Zukunft zuständig sein sollten.

„Zweifellos wird das Thema Cybersicherheit heute von Unternehmen ernster genommen. Doch es bleibt noch viel zu tun. Die Cybersecurity-Strategie muss vom Vorstand geleitet, von den Führungskräften ausgeführt und in allen Ebenen der Organisation gelebt werden. Darüber hinaus muss sie in alle Prozesse und Systeme eines Unternehmens einfließen und auch in den Arbeitsalltag der Mitarbeiter integriert werden“, erläutert Marius von Spreti, Managing Director und Leiter IT-Security bei Accenture.

Bessere Abstimmung von Strategie und Sicherheitsmaßnahmen

Die Studie zeigt, dass es eine signifikante Lücke gibt zwischen neu entstehenden Risiken, die Führungskräfte erkennen und dem tatsächlichen Schutz durch umgesetzte Strategien für Cybersicherheit. „Damit Unternehmen sicher wachsen können, müssen sie die Lücke zwischen wahrgenommenem Risiko und gelebtem Schutz schließen“, rät von Spreti. „Dafür braucht es einen kontinuierlichen Fokus auf Cybersicherheit in allen Unternehmensbereichen. Jeder Mitarbeiter muss hier Verantwortung übernehmen.“ 

Zum Beispiel leisten Unternehmen immer noch zu wenig, um ihre Mitarbeiter in puncto Sicherheit zu schulen. Lediglich die Hälfte der Befragten erklärte, dass alle Mitarbeiter beim Eintritt in das Unternehmen eine Cybersicherheitsschulung absolvieren und während des Beschäftigungsverhältnisses regelmäßig weitergebildet werden. Darüber hinaus haben nur sehr wenige CISOs überhaupt die Befugnis, Geschäftseinheiten in ihren Unternehmen zu beeinflussen. Lediglich 40 Prozent der CISOs gaben an, dass sie sich immer mit den Führungskräften der Geschäftseinheiten beraten, bevor sie eine Sicherheitsstrategie vorschlagen. Knapp die Hälfte der CISOs sind außerdem der Ansicht, dass ihre Sicherheitsverantwortung im Unternehmen schneller wächst als ihre Möglichkeiten, Sicherheitsprobleme zu lösen.

Die größten Cyber-Risiken: Neue Technologien und Datenaustausch

Die befragten Führungskräfte sehen vor allem in einigen neuen Technologien und Werkzeugen ein erhöhtes Cyber-Risiko für ihr Unternehmen und befürchten potenzielle Gefahren beim Datenaustausch mit Dritten.

• Die Internet of Things (IoT) -Technologie, also das Internet der Dinge, führt die Liste der Cyber-Risiken an: 77 Prozent denken, dass die IoT-Technologie das Cyber-Risiko geringfügig bis signifikant anheben wird, geschützt sind in diesem Bereich lediglich knapp 60 Prozent.
• 74 Prozent geben an, dass Cloud-Services das Cyber-Risiko erhöhen werden. Doch zugleich erklärten nur 44 Prozent, dass Cloud-Technologie durch ihre Cyber-Sicherheitsstrategie geschützt ist.
• Mehr als 70 Prozent erwarten, dass der Austausch von Daten mit strategischen Partnern und Dritten das Risiko erhöhen wird. Lediglich 39 Prozent gaben an, dass der Datentransfer durch ihre Cybersecurity-Strategie ausreichend geschützt ist.

Widerstandsfähigkeit gegen Cyber-Risiken in der gesamten Organisation verankern

Um die Widerstandsfähigkeit von Unternehmen gegen Cybergefahren zu stärken und die Lücke zwischen Schutz und Risiko schließen zu können, empfiehlt die Accenture-Studie die folgenden fünf Maßnahmen:

1. Die Führungsebene muss sich der Cybersicherheit verpflichten und das Thema bei Entscheidungen über Strategie und Risikomanagement mitdenken.
2. Die Rolle des CISO sollte die eines zuverlässigen Wegbereiters für die Geschäftsaktivitäten sein. Um eine durchgängige Robustheit gegen Cyber-Risiken sicherzustellen, bedarf es im Unternehmen neuer Sicherheits-Expertise.
3. Die Mitarbeiter sind Teil der Lösung, wenn es um Cybersicherheit geht. Jeder Mitarbeiter ist für die Gefahrenabwehr verantwortlich.
4. Beim Thema Datenschutz sollten Unternehmen über die eigenen Compliance-Richtlinien hinausgehen und als Fürsprecher ihrer Kunden auftreten.
5. Der Schutz einer Organisation lässt sich nur innerhalb ihres Ökosystems realisieren. Unternehmen sollten hier mit ihren Partnern zusammenarbeiten, um Risiken zu minimieren.

Weitere Informationen zum Thema:

Accenture
Studie „Securing the Future Enterprise Today – 2018“

datensicherheit.de, 04.07.2018
Cybersicherheit: Führungskräften in Europa müssen sensibilisiert werden

datensicherheit.de, 08.01.2018
Cybersicherheit im Jahr 2018 – Unternehmen müssen Datenintegrität besser verstehen

datensicherheit.de, 08.11.2017
Studie: Cybersicherheit im Kontext von IoT und Operational Technology

[datensicherheit.de, 25.01.2011] Die hohe und zuverlässige Verfügbarkeit des Datennetzwerks ist für die Wirtschaft und Gesellschaft unabkömmlich. Dennoch können sowohl ungewöhnlicher, wenn auch legitimer Nutzen, böswillige Angriffe, Unfälle, menschliche Irrtümer und auch technische Fehler auf niedriger Ebene den Netzzugang behindern. Das hat für die Informationsgesellschaft schwerwiegende Folgen, da Netzwerke buchstäblich überall mitwirken – sie liegen unserer Energie- und Wasserversorgung zugrunde; E-Commerce und die gesamte Infrastruktur kritischer Informationen wären ohne sie nicht denkbar. Die enisa, die Europäische Agentur für Netz- und Informationssicherheit, stellt jetzt in ihrem neuen Bericht die Systemdesign-Prinzipien für „End-to-End-Belastbarkeit“ auf erweiterter Ebene, die sogenannte „e2e Resilience“, vor und zeigt insbesondere, wie Netzwerke Konnektivität ermöglichen, wobei besonderer Wert auf Qualität gelegt wird:
Dieser „e2e“-Ansatz gehe über die reine Technologie hinaus und berücksichtige auch Standardisierungsbehörden und involvierte Politiker. Widerstandsfähigkeit und Zuverlässigkeit seien besonders erforderlich, wenn die Betreiber die Kontrolle über den normalen Ablauf der Dinge verlieren, insbesondere wenn Vorfälle auftreten, auf die die vorgesehenen Störungsmaßnahmen nicht reagieren können und die das Management destabilisieren. Dann müsse das Resilience-Management und das entsprechende Systemprinzipien alle relevanten Faktoren berücksichtigen – den Endnutzer, den Kontext, in dem sie das System benutzen, die Struktur der Organisation und die Fähigkeit der Organisation, Belastbarkeit zu gewährleisten, und letztendlich die Zuverlässigkeit der Gesellschaft, in der das System operiert, so die enisa.
Der neue umfangreiche Bericht identifiziert die entscheidenden Kriterien für „e2e Resilience“. Er liefert Informationen für Standardisierungs- und Regulierungsbehörden zur Aktivierung und Handhabung der End-to-End-Belastbarkeit. Das Konzept der „e2e Resilience“ beschränkt sich in diesem Bericht nicht nur auf die Netzwerkebene, sondern geht von einem anderen ganzheitlichen Ansatz aus. Dieser erweiterte Ansatz wird durch eine Kombination von Prävention, Schutz, Reaktion und Reaktionsprozeduren erreicht, unabhängig davon, ob die einzelnen Faktoren technischer, organisatorischer oder sozialer Natur sind. Dieser Bericht stelle Prinzipien vor, mit deren Hilfe zuverlässige Netzwerke für End-to-End-Datenverkehr entwickelt werden könnten, was für die nationalen Regulierungsbehörden von großem Nutzen sei, so der Geschäftsführende enisa-Direktor, Prof. Udo Helmbrecht.

Weitere Informationen zum Thema:

enisa
End-to-end resilience / Architectural design principles for networks allowing end-to-end resilience