Aus der IT-Abteilung in den Vorstand:
Cyber-Security unternehmensweit denken!
Das Weltwirtschaftforum hat mit PwC und weiteren Branchenexperten einen Bericht zur Cyber-Bedrohungslage weltweit und daraus einen Leitfaden für Unternehmen erstellt. Führungskräfte müssten demnach Cyber-Risiken verstehen und bei ihren strategischen Entscheidungen berücksichtigen.
Der neue WEF-Bericht »Principles for Board Governance of Cyber Risk« zeigt auf, dass Vorstände beim Schutz ihrer Unternehmen vor Cyberrisiken eine aktivere Rolle spielen müssten und stellt eine Lösung dafür vor. Der Bericht wurde vom WEF, der National Association of Corporate Directors, der Internet Security Alliance und PwC erstellt und ist das Ergebnis einer jahrelangen Zusammenarbeit bei der Suche nach einem einheitlichen, globalen und grenzüberschreitenden Ansatz zur Minimierung von Cyberrisiken.
Unternehmen auf der ganzen Welt sehen sich mit einer enormen Zunahme bei Cyberrisiken konfrontiert. Untersuchungen von Acronis, Anbieter von Cyber-Protection-Lösungen, zeigen, dass 31 Prozent der Unternehmen inzwischen mindestens einmal pro Tag einen Cyber-Angriff verzeichnen. Es wird damit gerechnet, dass dieser Trend noch weiter zunehmen wird, wenn Cyberkriminelle die Raffinesse und Effektivität ihrer Angriffe mithilfe von KI und Automatisierung steigern. Acronis hat außerdem Hinweise dafür gefunden, dass im Jahr 2020 bei weltweit mehr als 1.000 Unternehmen nach einem Ransomware-Angriff Daten kompromittiert wurden. Dieser Trend wird sich beschleunigen, wenn Cyberkriminelle als Angriffstaktik von Verschlüsselung zu Datenexfiltration wechseln. Den Trend zur doppelten Erpressung zeigte bereits der »Unit 42 Ransomware Threat Report«. (ICT CHANNEL berichtete.) Der neue Bericht Principles for Board Governance of Cyber Risk zeigt auf, wie Vorstände ihr Verständnis für Cyberrisiken verbessern und dadurch Cyberrisikopläne in die allgemeine Unternehmensstrategie integrieren können.
Sechs Grundsätze für Vorstände und Managementteams
»Ohne Grundsätze für das Verständnis und den sicheren Umgang mit Cyberrisiken auf Vorstandsebene erfolgen die Reaktionen auf Risiken lediglich punktuell, sodass Sicherheitslücken entstehen«, erklärt Daniel Dobrygowski, Head of Governance and Trust des Centre for Cybersecurity beim Weltwirtschaftsforum. »Diese Grundsätze liefern die dringend benötigte Grundlage, auf der Unternehmensführungen in allen Branchen und Regionen aufbauen können. Cyber Security ist nicht nur eine technische Herausforderung, sondern stellt auch ein wirtschaftliches und strategisches Problem dar und muss von Vorständen passend für die jeweilige Umgebung umgesetzt werden«, so Dobrygowski.
Basierend auf den Erkenntnissen von Acronis und anderen Experten für digitale Risiken und Cyber Security identifizierte das Expertenteam sechs Grundsätze für Vorstände und Managementteams:
- Cyber Security als strategischer Business Enabler: Cyber-Security-Strategien sollten laut dem Bericht auf der Tagesordnung jeder einzlenen Vorstandssitzung stehen und Führunskräfte in diese Strategien mit einbezogen werden. In einer von PwC im 4. Quartal 2020 durchgeführten Umfrage unter mehr als 400 globalen Unternehmen gaben 52 Prozent der befragten Vorstände an, dass sie in den letzten drei Jahren durch verstärkte Cybersicherheits-Praktiken erhebliche Fortschritte bei der Verbesserung des Kundenvertrauens erzielt haben.
- Verständnis der wirtschaftlichen Faktoren und der Auswirkungen von Cyberrisiken: Damit Unternehmen effektive Geschäftsentscheidungen treffen können, sollten sich Risikobestimmungen auf die finanziellen Auswirkungen für das Unternehmen konzentrieren, einschließlich der Abwägung zwischen digitaler Transformation und Cyber-Risiko. 37 Prozent der Unternehmen stimmen voll und ganz zu, dass die Quantifizierung von Risiken zu einem besseren Management von Cyber-Risiken im Vergleich zu den Ausgaben führt; Chief Executive Officers stimmen eher voll und ganz zu. 17 Prozent der Unternehmen geben jedoch an, dass sie die Vorteile einer besseren Quantifizierung von Cyber-Risiken auch tatsächlich wahrnehmen.
- Abstimmung der Cyberrisikoverwaltung mit Geschäftsanforderungen: Vorstände sollten verstehen und bewerten, wie Cyber-Risiken bei der Verfolgung von Geschäftszielen effektiv gehandhabt werden können
- Gewährleistung, dass Organisationsdesign die Cyber Security unterstützt: Die Organisationsstruktur sollte Sicherheit und strategische Ziele integrieren und unterstützen.
- Einbindung von Cyber Security-Know-how in Kontrollen des Vorstands: Vorstände brauchen vielfältige Quellen für Cybersecurity-Expertise.
- Unterstützung systemischer Resilienz und Zusammenarbeit: Zu einer effektiven Cyber-Risikostrategie gehört die Verbesserung der Cyber-Resilienz von Branchen und Sektoren. Vorstände sollten das Management zur Teilnahme an Branchengruppen und Plattformen zum Wissens- und Informationsaustausch ermutigen.
Angriffe auf Lieferketten nehmen zu
Cyber-Risiken können aus dem Netzwerk von Partnern, Lieferanten und Anbietern eines Unternehmens entstehen. Auch wenn es nicht häufig vorkommt, können Angriffe in der Lieferkette zunehmend vernetzte Unternehmen durchdringen, von Lieferant zu Partner weitergegeben werden und in Branchen und Volkswirtschaften verheerenden Schaden anrichten, wie der Angriff auf Solawinds Plattform Orion zeigte oder die aktuellen Angriffe auf Microsoft Exchange. Über das Ausmaß des wahrscheinlichen Schadens oder gar den Zweck dieser Angriffe kann bisher nur spekuliert werden.
Lesen Sie mehr zum Thema
