Ein Leitfaden für den Umgang mit den Risiken der Cyber-Sicherheit in der Zukunft

Digitaler Wandel und Risikomanagement

Im Zeitalter der digitalen Wandels setzen Unternehmen und Organisationen auf der ganzen Welt und in allen Branchen neue Technologien ein, um die Effizienz zu verbessern, Mehrwert zu schaffen und Innovationen voranzutreiben. Während der COVID-19-Pandemie fanden Unternehmen auf der ganzen Welt kreative Möglichkeiten, ihre digitalen Dienste für Kunden, Bürger und Mitarbeiter zu erweitern.

Doch dieser rasante Wandel hat die Wahrscheinlichkeit von Cyber-Vorfällen erhöht und das digitale Risiko für Unternehmen und Einzelpersonen vergrößert. Es hat auch zu regulatorische Änderungen geführt. Aufgrund der Geschwindigkeit, mit der sich die digitale Technologie durchsetzte, waren viele Unternehmen nicht darauf vorbereitet, ihre wichtigsten Vermögenswerte zu schützen.

Mit einer so großen Menge an sensiblen Daten bringt die digitale Transformation neue Arten von Bedrohungen mit sich, mit denen sich Unternehmen - unabhängig von ihrer Größe und Komplexität - auseinandersetzen müssen. Diese sind:

• Datenschutzverletzung
• Nicht verfügbare Systeme
• Integrität der Informationen gefährdet

In Fällen, in denen es um Betrug oder Diebstahl geht, kann ein Cybersicherheitsvorfall zu schweren finanziellen Verlusten, langere Störungen, oder noch schlimmer führen. Berichten zufolge gehen 60% der kleinen Unternehmen innerhalb von sechs Monaten nach einem Cyberangriff oder einer Datenschutzverletzung in Konkurs.

Schlüsselfragen im Zusammenhang mit Cyber Security Management

Da sich Unternehmen in ihren Geschäftsabläufen zunehmend auf Informationstechnologien verlassen, ist der Schutz digitaler Vermögenswerte und der darin enthaltenen Informationen wichtiger denn je. Doch trotz zahlreicher internationaler Standards und Rahmenwerke fällt es den meisten Unternehmen schwer, ihre Cyber-Risiken effektiv zu managen. Warum ist das so?

• Die Definition von Cyberrisiko ist inkonsistent, wird missverstanden und verwendet vage qualitative Maßenahmen
• Das Management von Cyber-Risiken ist isoliert und für die Stakeholder, die in diesen Governance-Prozess einbezogen werden sollten, nicht zugänglich
• Unternehmen verlieren aus den Augen, warum sie überhaupt Cyber-Risiken managen

Um ihre wichtigsten digitalen Vermögenswerte zu schützen, müssen Unternehmen, Organisationen und Behörden zunächst diese Vermögenswerte identifizieren, verstehen, wie sie die Geschäftstätigkeit unterstützen, und festlegen, wie sie geschützt werden können, indem sie die Bedrohungen und Auswirkungen eines Cyber-Vorfalls ermitteln. Das mag einfach klingen, aber in der Umsetzung stellt sich für Unternehmen das genau formulieren davon, was genau und warum sie es schützen wollen, schwierig dar.

Zusätzlich hat die digitale Wandlung die Risikolandschaft verändert. In einer global vernetzten Wirtschaft umfasst die Lieferkette nun auch Drittanbieter von Software und Dienstleistungen. Wir sind davon überzeugt, dass ein erfolgreiches Cyber-Risikomanagementprogramm, das sich mit diesen Themen befasst, Folgendes leisten sollte:

• IT-Risiken wissenschaftlich und in für Entscheidungsträger leicht verständlichen Begriffen erfassen.
• Priorisierung von Schutzmaßnahmen oder Kontrollen zur Verbesserung der Widerstandsfähigkeit, der Wiederherstellung und der Minderung finanzieller Verluste durch Cybervorfälle, anstatt sich nur auf technische Kontrollen zur Vermeidung von Vorfällen zu konzentrieren.
• Kontinuierliche Managementtätigkeit, die die Führung aller Funktionen, einschließlich des Vorstands, einschließt.

Die Führungsrolle im Bereich Cybersicherheit

Obwohl die digitale Transformation fast über Nacht stattgefunden hat, haben die Governance-Modelle nur langsam darauf reagiert. Wir sind der Ansicht, dass das Versäumnis, eine angemessene Cyberrisiko-Governance einzuführen, eine Fahrlässigkeit des Vorstands und der Geschäftsleitung darstellt. Weltweit kommen viele Aufsichtsbehörden allmählich zu derselben Schlussfolgerung. Schon bald werden die meisten Unternehmen zu einer effektiven und nachweisbaren Steuerung des Cyberrisikomanagements verpflichtet sein.

Die Lösung eines Unternehmensproblems dieser Größenordnung erfordert die Unterstützung der Geschäftsführung. Hierzu müssen zunächst der Vorstand und andere Führungspersönlichkeiten an der Spitze den Ton angeben. Das Management von Cyber-Risiken kann nicht Aufgabe von CISOs und CIOs allein sein. Es handelt sich um ein unternehmensweites Problem, bei dem sich jede Abteilung der mit ihren Aktivitäten verbundenen Cyber- und Technologierisiken und der verfügbaren Optionen zum Schutz ihrer digitalen Vermögenswerte bewusst sein muss.

Um dieses Ziel zu erreichen, wird für das Cyberrisikomanagement eine universelle Sprache benötigt, damit jeder leicht versteht, worum es geht. Diese universelle Sprache ist Finanzkennzahlen. Die Quantifizierung von Risiken in finanzieller Hinsicht wird einen massiven Wandel in der Verwaltung der Informationssicherheit ermöglichen. Die Interessenvertreter müssen Vertrauen in die vorgelegten Finanzdaten haben, Damit dies geschehen kann, muss die Quantifizierung des Cyberrisikos in finanzieller Hinsicht auf einer transparenten und auf Standards beruhenden Methode erfolgen. In einem späteren Abschnitt werden wir uns mit offenen Standards und der Risikoquantifizierung befassen.

‍