Warum sollten Unternehmen Cyber Resilience in den Mittelpunkt ihrer Sicherheitsstrategie stellen?

31. Oktober 2019

Gastbeitrag von Tom Köhler, Gründer & Partner der Strategieberatung connecting trust und Advisory Board Mitglied der Command Control zum Leitthema der Command Control 2020 Cyber Resilience.

Mit der immer stärkeren globalen Vernetzung unserer Informations- und Kommunikationssysteme wird die digitale Landschaft immer komplexer und unübersichtlicher. Gleichzeitig wächst die Zahl hochentwickelter Angriffe im Cyberraum. Es ist heute deshalb eine Illusion, dass Unternehmen alle Risiken identifizieren und Krisen vorhersehen können. Cyberangriffe können deshalb unvorhergesehene Auswirkungen auf die Business Continuity, das Kundenvertrauen, die Reputation und damit die Wettbewerbsfähigkeit von Unternehmen haben. Welche Handlungsoptionen ergeben sich aus dieser Erkenntnis für die Unternehmensführung? Und warum sollten Unternehmen Cyber Resilience in den Mittelpunkt ihrer Sicherheitsstrategie stellen?

Digitale Transformation und blühende Risikolandschaften

Der aktuelle Innovationsdruck auf Unternehmen ist enorm. Die damit verbundenen Aufgaben bringen vor allem für die verantwortlichen Chief Information Officer (CIO) oder Chief Digital Officer (CDO) immense budgetäre, organisatorische und operative Herausforderungen mit sich. Einerseits müssen sie die gegenwärtigen IT-Infrastruktur permanent optimieren und auf aktuellen Stand halten. Andererseits müssen sie effizientere IT-Services einführen und eine hohe Agilität sicherstellen, um neue digitale Geschäftsmodelle des Unternehmens zeitnah umsetzen zu können. Der Einsatz von Cloud-Computing, Internet of Things (IoT), Machine Learning und Software as a Service (SaaS) hat sich zu einem techno-strategischen Erfolgsfaktor für Unternehmen entwickelt. Für CISOs, andere Sicherheitsverantwortliche und Risk-Manager bedeutet das jedoch häufig schlaflose Nächte. Warum? Mit zunehmender Vernetzungsdynamik stößt der bisher allgemein angewandte Risikoansatz immer mehr an seine Grenzen. Cyberrisiken lassen sich nicht mehr richtig antizipieren, denn die Digitalisierung vernetzt und multipliziert immer mehr Risiken auf verschiedenen Ebenen miteinander.

Das zeigen vor allem die nicht abreißenden Meldungen über erfolgreiche Cyberangriffe auf öffentliche Einrichtungen, Unternehmen und kritische Infrastrukturbetreiber. Zwar führen diese Meldungen inzwischen zu einem höheren Cyberrisiko-Bewusstsein auf der Top-Management-Ebene. Trotzdem gibt es in vielen Unternehmen und Organisationen durch falsche Priorisierungen, fehlende Budgets oder gar mangelndes Interesse Kapazitäts- und Kompetenzengpässe im Bereich Cybersicherheit und Risiko-Management. Diese Problematik ist vor allem in mittelständischen Unternehmen zu beobachten. Sie nehmen es oftmals leichtfertig in Kauf, mit eingeschränkter Risikovorsorge im digitalen Blindflug zu operieren. Gerade hier muss ein Umdenken stattfinden, da der zukünftige Erfolg eines Geschäftsmodells und nachhaltiges Cybersicherheits- und Risikomanagement untrennbar zusammengehören.

Cyber Resilience - Widerstandsfähig sein

Doch welche Handlungsoptionen gibt es? Zunächst ist die Erkenntnis entscheidend, dass heute wirklich jedes Unternehmen angegriffen wird - ganz gleich ob es davon (zunächst) etwas mitbekommt oder nicht. Aus diesem Grund sollten sich Unternehmen zwingend am Cyber Resilience-Ansatz orientieren. Denn bei Cyber Resilience steht nicht die Bewertung der einzelnen Cyberrisiken im Vordergrund, wie man es etwa von einem klassischen Enterprise Risiko Management (ERM) kennt. Stattdessen geht es um die Fähigkeit, im Falle eines erfolgreichen Cyberangriffs die negativen Folgen so gering wie möglich zu halten und besonders mögliche Betriebsunterbrechungen schnellstmöglich zu beheben, wieder in den Normalzustand zu bringen und die IT-Infrastruktur des Unternehmens robuster zu machen.

Um rasch und effizient auf Cyberattacken reagieren sowie Schäden minimieren zu können, benötigen Unternehmen daher eine starke Kombination aus Cybersicherheit und Resilienz. Diese reicht neben Krisenkommunikations- und Reputationsmaßnahmen sowie forensischen Analysen des Angriffs über die Beweissicherung und den schnellstmöglichen Wiederanlauf der IT-Systeme (Disaster Recovery) bis hin zum Business Continuity Management (BCM). Vor allem das BCM ist ein zentraler Bestandteil der Cyber Resilience - verbunden mit der Aufgabe, operativen Geschäftsunterbrechungen mit einer effizienten Wiederanlaufstrategie zu begegnen.

Cyber Resilience geht aber noch einen Schritt weiter: Ziel ist es, Wertschöpfungsprozesse ganzheitlich in Bezug auf kritische Punkte zu untersuchen und zu analysieren, um sie im Falle eines Cyberangriffs aufrecht erhalten zu können. Die Praxis zeigt aber, dass in vielen Unternehmen diese Prozesse nicht ausreichend transparent und nach ihrer Kritikalität erfasst sind. Vielen Unternehmenslenkern ist dies bei der Einführung der Europäischen Datenschutz-Grundverordnung (DSGVO) bewusst geworden. So führte das Fehlen einer robusten Data-Governance oder eines Vendor Risk Managements und die damit verbundene Mängelbehebung zu unerwartet hohen zusätzlichen Projektkosten. Lücken im Management hochvernetzter Prozesse bergen im Falle eines Cyberangriffes ein besonders hohes Risiko: Bei einer konzentrierten Attacke werden ad-hoc alle organisatorischen, technischen und menschlichen Schwachstellen sichtbar, die in Summe unweigerlich zu einer Krisensituation führen.

Klare Sicht auf Unternehmensprozesse notwendig

Eine erfolgreiche digitale Transformation und robuste Cyber Resilience erfordern daher eine klare Sicht auf die Unternehmensprozesse und ihre Wertschöpfung. Die Unternehmensführung benötigt zur Minimierung von Cyber- und damit verbundenen Geschäftsrisiken künftig eine verbesserte und ganzheitliche Kritikalitätsbetrachtung ihres Betriebes und seiner Systemkomponenten. Nur so kann sie ihrer Governance Aufgabe gerecht werden und gezielt in die Widerstandsfähigkeit ihres Unternehmens investieren. Eine Konzentration auf die wichtigsten Komponenten innerhalb der Kategorien Mensch, Technik und Organisation ist dabei entscheidend, um die Komplexität beim Aufbau der Cyber Resilience gering zu halten.

Hier setzt die Command Control an, die am 3. und 4. März 2020 in München zum zweiten Mal Entscheider und Experten aus Wirtschaft und Politik für ein Umdenken im Umgang mit Cyberbedrohungen zusammenbringt. Auf dem Cybersecurity Summit stehen diesmal unter anderem Fragen im Vordergrund, wie die Zusammenarbeit zwischen den Fachbereichen Cybersicherheit, Risiko-Management und Digitalisierung sowie Innovation zukünftig gestaltet werden kann, um eine bessere Cyber Resilience zu gewährleisten. „Die digitale Transformation verändert nicht nur unsere Gesellschaft und das Geschäftsleben. Um in einer vernetzen Welt wettbewerbsfähig zu bleiben, müssen wir auch beim Umgang mit Cyber Risiken umdenken und innovative Wege finden, die uns resilienter gegen Cyberangriffe machen“, erklärt Katharina Keupp, Projektleiterin der Command Control. Die innovative Plattform bietet exklusives Anwendungs- und Expertenwissen und ermöglicht interdisziplinäres Matchmaking für Entscheider, um die digitale Transformation ihres Unternehmens sicher zu managen.

Besucher
Ein Ticket – volle (Command) Control

Sichern Sie sich jetzt Ihr reduziertes Online-Ticke und werden Sie Teil der Command Control 2020! 6 Meet-ups. 2 Summit-Tage. 8...

Tickets & Preise
Besucher
Lernen Sie Ihre Ansprechpartner kennen

Das Team der Command Control unterstützt Sie mit professioneller Beratung rund um Ihre Teilnahme.

Beratung & Kontakt
Programm
Internationale Sprecher

Hochkarätige Referenten aus Wirtschaft, Politik und Wissenschaft teilen neueste Erkenntnisse und zeigen Zukunftsperspektiven auf.

Sprecher