Gastbeitrag
11.04.2019, 08:30 Uhr
Cyber Resilience ist Chefsache
Mit der Digitalisierung steigt das Risiko von Cyberattacken.
Cyberangriffe zählen zu den grössten unternehmerischen Risiken. Deshalb gehört es zu den Aufgaben der Geschäftsleitung, die Cyber Resilience der Firma zu stärken
(Quelle: InfoGuard)
Angreifer haben es auch auf Schweizer Unternehmen abgesehen und scheuen keinen Aufwand, gezielte Angriffe zu starten. Deshalb ist es wichtig, seine Cyber Resilience zu stärken und sich nicht nur auf immer höhere Sicherheitsmauern zu verlassen.
Digitalisierung und Sicherheit sind untrennbar miteinander verbunden. Ohne Cyber Security keine Industrie 4.0, Internet of Things (IoT), As-a-Service-Business-Modelle, nahtlose Partnerintegration, arbeitenden Kunden, Sharing Economy und weltweites Team-Working. Jeder Schritt in Richtung digitale Transformation löst automatisch Security-Fragen aus. Denn täglich gibt es neue Cyberattacken auf Unternehmen und die Qualität, Effizienz und Professionalität der Angriffe steigt. Ausserdem dauert es oft Wochen, Monate oder gar Jahre, bis ein erfolgreicher Angriff entdeckt wird. Vor diesem Hintergrund ist es unerlässlich, mehr in die Erkennung und Reaktion auf Cyberattacken zu investieren. Ein systematischer Sicherheitsansatz ist das A und O erfolgreicher Cybersecurity. Dabei müssen sowohl das Risikomanagement, der Schutz der Informationen, die Erkennung und Reaktion auf Sicherheitsvorkommnisse als auch die Wiederherstellung und Optimierung berücksichtigt werden.
Risikomanagement als Managementaufgabe
Betriebsausfälle und Cyberangriffe zählen für Unternehmen zu den grössten Business-Risiken. Vor allem Letztere haben stark an Bedeutung gewonnen. So hat auch die Finanzmarktaufsicht (FINMA) Cyberangriffe zum grössten operationellen Risiko ernannt. Die betreffen aber alle Firmen.
Obwohl das Risikomanagement nicht explizit als Aufgabe des Verwaltungsrats im Obligationenrecht genannt wird, ist dieser aufgrund der nicht delegierbaren gesetzlichen Aufgaben wie Rechnungslegung, Finanzkontrolle, Überwachung etc. verantwortlich. Seit der Aktienrechtsrevision trägt der Verwaltungsrat zudem die Verantwortung, dass ein internes Kontrollsystem existiert. Die Empfehlungen des Swiss Code gehen mit der weiter gefassten Definition des IKS noch stärker in Richtung umfassendes Risikomanagement. Es betrachtet sowohl finanzielle, operative (beispielsweise Cyberrisiken) sowie strategische und marktspezifische Risiken. Unternehmen sind also gut beraten, sich konsequent mit aktuellen und neuen Risiken auseinanderzusetzen und der Informationssicherheit das nötige Gewicht beizumessen. Die Cybersecurity-Strategie bildet dabei den bereichsübergreifenden, strategischen Rahmen. Internationale Standards wie ISO 27001 oder das Cyber Security Framework der internationalen Normierungsbehörde NIST bieten anerkannte Modelle für die Errichtung, Umsetzung, Überprüfung und kontinuierliche Verbesserung der eigenen Cyber Resilience.
Abwehrkraft gegen Cyberattacken stärken
Cyber Resilience bedeutet aber nicht, Risiken gänzlich auszuschliessen. Das ist heute unmöglich. Auch gesundheitlich kann man nur schwer verhindern, sich keine Grippeviren einzufangen, aber man kann das Ausmass der Grippe eindämmen. So ist auch der Auf- und Ausbau zielgerichteter Massnahmen zur Stärkung der Widerstandskraft gegen Cyberattacken (Cyber Resilience) unabdingbar.
Dabei reicht es aber nicht aus, sich allein auf die Abwehr zu konzentrieren. Entscheidend ist, die Widerstandsfähigkeit gesamthaft zu stärken, Angriffe schnell zu erkennen und noch schneller zu reagieren. Folgende Grundsätze gilt es deshalb, bei der Cyber Resilience zu beachten:
- Cyber Resilience muss auf oberster Unternehmensebene wahrgenommen werden.
- Die Verantwortlichkeiten und Zuständigkeiten müssen (schriftlich) geregelt sein.
- Die Kompetenz im Bereich Cyber Resilience muss im ganzen Unternehmen gezielt aufgebaut werden.
- Cyber Resilience muss in die unternehmensweite Risikobetrachtung miteinbezogen werden.
- Die Risikostrategie (Risikoappetit) muss für das Unternehmen verbindlich festgelegt werden.
- Die Bewertung der Risiken muss nachvollziehbar geregelt und dokumentiert werden.
- Geeignete Cyber-Resilience-Massnahmen müssen aufgebaut und deren Umsetzung kontrolliert werden.
- Auch Drittparteien müssen in die Risikobetrachtung einbezogen werden.
- Die eigene Cyber Resilience sollte regelmässig von unabhängiger Stelle überprüft und belegt werden.
Sicherheitsmauern reichen nicht aus
Cyber Resilience ist dabei weit mehr als eine hohe Sicherheitsmauer. Der Architektur des Unternehmensnetzwerks kommt dabei eine enorme Bedeutung zu. Einer der wichtigsten Aspekte neben der Systemredundanz stellt dabei die optimale Segmentierung der Netzwerke, Betriebsfunktionen, Einzelelemente und Überwachung der so geschaffenen Zonenübergänge dar, welche die Business-Prozesse optimal abdeckt und unterstützt.
Zudem geht die Entwicklung klar in Richtung einer intensiveren Überwachung von Sicherheitssystemen und der Erkennung von Vorfällen, wie es auch das Cyber Security Framework von NIST empfiehlt. Ein simulierter Cyberangriff kann Unternehmen hierfür wertvolle Erkenntnisse liefern. Es braucht aber auch neue Sicherheitsansätze, bei denen die Detektion im Vordergrund steht und die Reaktion auf Angriffe ein wesentlicher Bestandteil der IT-Prozesse ist. Und zwar mit einem anderen Ansatz als dem herkömmlichen, nämlich agieren statt reagieren.
Cyber Defence als 24/7-Aufgabe
Cyberattacken lassen sich nicht verhindern. Deshalb ist ihre Erkennung und Analyse sowie die Reaktion auf Cyberangriffe umso wichtiger – und dies rund um die Uhr. Ein professionelles Incident-Response-Team in einem Cyber Defence Center hilft Unternehmen, die Dauer eines Sicherheitsvorfalls und den dadurch verursachten Schaden zu minimieren sowie dessen Einfluss auf das Business drastisch zu reduzieren. Ein Cyber Defence Center sollte aber nicht nur auf Gefahren reagieren, sondern aktiv nach Bedrohungen und potenziellen Angriffen suchen. Deshalb basiert Cyber Defence nicht nur auf einer defensiven, sondern insbesondere auch auf einer offensiven Sicherheitsstrategie. Dazu braucht es auf der offensiven Seite Kompetenzen in den Bereichen der Cyber-Threat-Analyse und des Penetration Testings. Eine Aufgabe für das «Red Team» und auf der anderen Seite der Cyber-Security- und Cyber-Defence-Experten. Diese bilden das «Blue Team». Einfach ausgedrückt: Während das rote Team auf das Simulieren von Angriffen fokussiert, konzentriert sich das blaue auf die Abwehr eben solcher Attacken und Angriffe. Dabei sind die Lernkurven beider Gruppen sehr steil. Die «rivalisierenden» Mannschaften haben zwar ganz unterschiedliche Aufträge und Aufgaben, verfolgen am Ende dennoch ein gemeinsames Ziel: Die Cyber Security des Unternehmens zu optimieren.
Ein kontinuierlicher Prozess
Da sich die Risikosituation für Unternehmen und Organisationen stetig ändert, ist Cyber Resilience keine einmalige Angelegenheit. Unternehmen müssen die aktuelle Bedrohungslage beobachten und ihr Sicherheitsdispositiv optimieren und kontinuierlich verbessern. Wichtige Elemente einer Security Governance beinhalten deshalb beispielsweise Risk Assessments, organisatorische Audits, System Security Testing, Penetration Tests und Vulnerability Scans. Unternehmen sollten zudem jederzeit in der Lage sein, Sicherheitsvorkommnisse zu erkennen, schnell darauf zu reagieren und die Auswirkungen auf ein Minimum zu reduzieren. Dies hilft schliesslich, die Cyber Resilience zu stärken sowie den Schutz der Unternehmenswerte – auch im Zeitalter der zunehmenden Digitalisierung – zielgerichtet und nachhaltig zu verbessern.
Der Autor
Franco Cerminara ist Chief Consulting Officer bei InfoGuard. www.infoguard.ch