Wie man eine Cybersicherheitsstrategie umsetzt

Cybersicherheit hat für Unternehmen weltweit höchste Priorität, aber das war nicht immer so.

Mitratech Präparate
Cybersicherheit hat für Unternehmen weltweit höchste Priorität, aber das war nicht immer so.

Noch vor wenigen Jahren waren viele Unternehmen nicht auf größere Cyber-Bedrohungen vorbereitet. Einer der bemerkenswertesten Vorfälle ereignete sich 2017 mit dem WannaCry-Ransomware-Angriff, der sich schnell über den Globus verbreitete, Sicherheitslücken ausnutzte und Daten als Geiseln nahm. Der Angriff betraf über 200 000 Systeme in verschiedenen Branchen und nutzte Exploits, die ursprünglich von der Nationalen Sicherheitsagentur der USA (NSA) entwickelt worden waren.

Nicht lange danach schlug der NotPetya-Angriff zu, der Daten von Rechnern löschte und viele Unternehmen trotz des jüngsten Weckrufs unvorbereitet zurückließ.

Drei Methoden zum Schutz von Technologie und Daten

Cyberangriffe, einschließlich Phishing, Malware und Ransomware, werden 2024 weiter zunehmen. Laut einer aktuellen Studie von Keeper Security geben 92 % der IT-Führungskräfte an, dass Cyberangriffe heute häufiger vorkommen als im Jahr 2023. Dieser Anstieg unterstreicht die wachsende Bedrohungslandschaft und die dringende Notwendigkeit für Unternehmen, ihre Cybersicherheitsabwehr zu stärken.

1. Quantifizierung des Cyber-RisikosQuantifizierung des Cyber-Risikos

Die Übersetzung von Risiken in finanzielle Begriffe kann den Führungskräften helfen, die potenziellen Auswirkungen zu verstehen. Wie wir gesehen haben, nehmen Cyber-Bedrohungen immer weiter zu. Ein IBM-Bericht aus dem Jahr 2024 schätzt, dass die durchschnittlichen Kosten einer Datenschutzverletzung inzwischen auf 4,88 Millionen Dollar gestiegen sind.

Unternehmen können es sich nicht mehr leisten, bei der Cybersicherheit nur reaktiv vorzugehen. Die Berechnung potenzieller Verluste verschafft Klarheit darüber, wie stark sich eine Sicherheitsverletzung auf Ihr Endergebnis auswirken könnte, und motiviert zu Investitionen in stärkere Schutzmaßnahmen.

2. Cyberrisiken mit der Unternehmensstrategie abstimmen

Eine Strategie für das Management von Cyberrisiken sollte in den allgemeinen Risikorahmen Ihres Unternehmens integriert werden. Das Institute of Risk Management definiert Risikobereitschaft als "die Höhe und Art des Risikos, das ein Unternehmen bereit ist einzugehen, um seine strategischen Ziele zu erreichen". Die Festlegung der Risikobereitschaft Ihres Unternehmens stellt sicher, dass Ihre Verteidigungsmaßnahmen mit den strategischen Zielen übereinstimmen.

Die Aufsichtsbehörden drängen die Unternehmen nun dazu, eine formelle Cyber-Risikostrategie zu entwickeln, mit deren Hilfe die Geschäftsleitung beurteilen kann, ob sie angemessen vor den sich entwickelnden Cyber-Bedrohungen geschützt ist.

Wenn man das Cyber-Risikomanagement auf diese Weise angeht, kann man es in den allgemeinen Risikorahmen des Unternehmens einbeziehen und so feststellen, ob das Risiko tragbar oder akzeptabel ist.

3. Regelmäßige Bewertung der Cyberabwehr und der Risiken von Anbietern

Cyber-Risikobewertungen müssen ein kontinuierlicher Prozess in allen Abteilungen sein, auch bei Drittanbietern. Dazu gehören das Testen der Netzwerksicherheit, das Scannen nach Schwachstellen und die Bewertung der Wirksamkeit von Sicherheitskontrollen. Die Risiken von Drittanbietern sollten genau überwacht werden, da Angriffe auf die Lieferkette immer häufiger werden. Häufige interne und externe Audits, gepaart mit Tabletop-Übungen, helfen Ihrem Team, schnell und effektiv zu reagieren, wenn ein Vorfall eintritt.

Wie in einemLeitfaden zur Umsetzung einer Cyber-Risikostrategiebeschrieben,liegt es im Interesse der Unternehmen, ihre Cyber-Risiken abteilungsübergreifend sorgfältig zu überwachen. 

Cyber-Kontrolltests

Quelle: Oliver Wyman

Zunächst sollten die Risiken durch eine Cyber-Risikobewertung und eine allgemeine Sicherheitsbewertung ermittelt werden. Zweitens sollten Überprüfungen durch Dritte durchgeführt werden; die Funktionalität der Sicherheitskontrollen sollte anhand der Sicherheitsanforderungen bewertet werden, und die Auswirkungen auf die Sicherheit innerhalb und außerhalb des Unternehmens sollten beurteilt werden. Schließlich sollten Sie die Gesamtwirksamkeit Ihres BCDR-Plans bewerten und prüfen, wie weit Ihre Strategie ausgearbeitet ist, falls Abhilfemaßnahmen erforderlich werden.

4. Kontinuierliche Tests der Reaktion auf Cyber-Vorfälle

Ihr Notfallplan muss umfassend sein und häufig getestet werden, um wirklich belastbar zu sein. Dazu gehört es, verschiedene Angriffsszenarien zu simulieren, die Rollen der Abteilungen klar zu definieren und die Protokolle für die Krisenkommunikation regelmäßig zu üben. Tabletop-Übungen helfen den Beteiligten, die Nuancen des Cyberrisikos zu verstehen und ihre Bereitschaft zu verbessern. Da sich die Cyber-Bedrohungen jedoch weiterentwickeln, muss Ihr Plan regelmäßig aktualisiert und verbessert werden, um seine Wirksamkeit zu gewährleisten.

Heutzutage sind Cyberangriffe nicht nur ein IT-Problem, sondern auch ein Geschäftsproblem. Durch die Quantifizierung von Risiken, die Abstimmung der Cybersicherheit mit der Strategie und das rigorose Testen von Reaktionsplänen können sich Unternehmen besser gegen potenzielle Störungen schützen und die schwerwiegenden Folgen eines Angriffs abmildern.


Anmerkung der Redaktion: Dieser Beitrag wurde ursprünglich auf Preparis Business Continuity Software veröffentlicht. Im Oktober 2024 übernahm Mitratech Preparis, einen führenden Anbieter von Lösungen für die Geschäftskontinuitätsplanung und Notfallmaßnahmen. Der Inhalt wurde aktualisiert, um dem erweiterten Produktangebot von Mitratech, den Fortschritten in der Branche und den rechtlichen Entwicklungen Rechnung zu tragen.