Cybersicherheit bleibt ein heißes Thema: Ransomware-Attacken und andere Angriffe auf IT-Infrastrukturen sind weiter auf dem Vormarsch. Die Unsicherheit in Unternehmen wird eher größer. Die folgende Checkliste für Geschäftsleitung bzw. Vorstand soll helfen, welche konkreten Schritte die Geschäftsführung unternehmen muss, um einen zuverlässigen Griff an das Cyberthema zu bekommen:
Machen Sie Cybersicherheit zu Ihrem Thema!
Die Geschäftsführung muss sich selbst davon überzeugen, dass ausreichende Maßnahmen zur Cybersicherheit implementiert sind. Das darf nicht einfach delegiert werden.
Immer häufiger stellt sich im Anschluss an Cyberangriffe die Frage der Haftung leitender Angestellter für nachlässigen Umgang mit dem Thema IT-Sicherheit.
Machen Sie sich mit dem Cyber-Risikoprofil Ihrer Organisation vertraut
Die Geschäftsführung muss sich über die wesentlichen internen und externen Cybersicherheitsrisiken bewusst sein. Hierzu bedarf es klarer Briefings durch Abteilungen, welche Risiken für welche unternehmerischen Assets bestehen. Es ist sinnvoll, zwischen sektor- und businessspezifischen Risiken einerseits und rechtlichen und geopolitischen Risiken andererseits zu unterscheiden.
Dies betrifft nicht nur eigene Risiken, sondern auch Gefahren innerhalb einer etwaigen Lieferkette und sonstiger wesentlicher Dienstleister. Es kann sinnvoll sein, eine dauerhaft anzupassende Übersicht über die bestehenden Cyber-Risiken zu führen. Dabei sollte jeweils vermerkt werden, welche Kontrollen zur Bekämpfung der einzelnen Risiken vorhanden oder geplant sind.
Zu entscheiden ist, ob diese Risiken regelmäßig extern evaluiert und überwacht werden sollten.
Definieren Sie, was die wichtigsten zu schützenden Daten und Informationen sind
Die Geschäftsführung muss die wichtigsten Systeme und Daten des Unternehmens kennen, um die Risiken einschätzen zu können. Für die Risikobewertung ist bedeutend, wo die Systeme und Informationen liegen und wer darauf Zugriff hat. Dementsprechend ist eine Neubewertung vorzunehmen, wenn einzelne Systeme erneuert, outgesourct oder neu intern betrieben werden.
Daraus sollte ein Data Governance Rahmen entwickelt und umgesetzt werden.
Legen Sie ein Risikobewertungssystem fest
Nicht alle Cyberrisiken sind gleich. Eng mit einem Data Governance Rahmen verbunden ist die Bewertung der unterschiedlichen Risiken. Nicht jedem Risiko muss mit dem gleichen Grad an Vorsicht oder nach dem immer gleichen Schema F begegnet werden.
Häufig bewirkt ein Angriff auch keinen unmittelbaren wirtschaftlichen Schaden, sondern führt eher zu einer Rufschädigung. Diesen Gefahren ist anders zu begegnen, als dem Verlust personenbezogener Daten oder der Verbreitung von umsatzrelevanten Informationen.
Der Data Governance Rahmen sollte Maßnahmen vorsehen, die auf die möglichen Gefahrenkategorien zugeschnitten sind.
Ermitteln Sie die wichtigsten rechtlichen Rahmenbedingungen für Ihr Unternehmen
In der EU hat Cybersicherheit einen rechtlichen Rahmen bekommen. Ab 2025 gelten die NIS2-Richtlinie und die sog. DORA-Verordnung. Die Geschäftsführung muss sich mit dem europäischen Recht und dem Umsetzungsrecht vertraut machen und prüfen, welche Pflichten für das Unternehmen relevant werden. Daneben gibt es gerade in Deutschland auch Sicherheitsrichtlinien des BSI und die international geltenden Sicherheitsstandards der ISO/IEC. Diese sind zwar nicht unmittelbar verbindlich, sollten aber bei der rechtlichen Bewertung nicht vernachlässigt werden.
Gekoppelt mit weiteren relevanten Gesetzen ergibt sich so ein dichtes Netz an Rechtsakten im Bereich der Cybersicherheit, mit denen sich ein Unternehmen und deren Management-Ebene auseinandersetzen muss.
Stellen Sie ein Team zusammen, dass sich sowohl rechtlich als auch technisch mit den Rahmenbedingungen für Cybersicherheit auskennt und diese regelmäßig neu bewertet. Fehlt das interne Knowhow, kann diese Tätigkeit jedenfalls vorübergehend auch outgesourced werden.
Ermitteln Sie sämtliche möglichen Risiken
Der Data Governance Rahmen und die eingesetzten Sicherheitsstandards sind häufig komplex und undurchsichtig. Nichtsdestotrotz ist wichtig, dass die Geschäftsleitung als zentrale Stelle einen Überblick über die möglichen Risiken und entsprechende Maßnahmen hat.
Lassen Sie sich regelmäßig über den aktuellen Stand des Sicherheitskonzepts berichten.
Bewerten Sie die möglichen Risiken regelmäßig
Eng mit der Ermittlung der Risiken verbunden ist die regelmäßig Reevaluation. Gerade im Bereich der Cybersicherheit wandeln sich die möglichen Risiken mit fortschreitender Technologie regelmäßig. Deshalb ist eine ständige Neubewertung der einschlägigen Risiken für das Unternehmen und die tatsächlich durchführbaren Gegenmaßnahmen unabdingbar.
Jährliche Risk Assessments sollten durch ein spezialisiertes Team durchgeführt werden.
Legen Sie klare Verantwortungsbereiche für Cybersicherheit fest
Viele Unternehmen haben bereits auf Ebene der Geschäftsleitung einen Chief Technology Officer oder eine ähnliche Position. Wenn ein klarer Verantwortungsbereich festgelegt ist, kann dort auch Wissen gesammelt und so die einschlägige Expertise aufgebaut werden. So ist es für die übrige Geschäftsleitung nicht mehr notwendig, einen vollständigen Überblick über das Thema Cybersicherheit zu haben.
Klare Verantwortungsbereiche sollten aber nicht nur auf Ebene des Top Managements festgelegt werden. Ein nachgeordnetes Team muss auch entsprechende Rechts- und IT-Kenntnisse mitbringen. Dieses Team sollte eine direkte Verbindung zum höchsten Management haben, damit das Unternehmen aktiv und effektiv auf neue Begebenheiten reagieren kann.
Sehen Sie eine Position für Cybersicherheitsthemen vor, die mit den notwendigen Entscheidungsbefugnissen, Mitteln ausgestattet ist und bestenfalls an den Sitzungen der Geschäftsleitung teilnimmt.
Halten Sie einen finanziellen Rahmen vor
Nicht nur mit der Besetzung neuer Stellen kommt eine finanzielle Last auf Unternehmen zu, auch mit der Beschaffung der notwendigen Mittel, Infrastruktur und gegebenenfalls auch Workshops und Lehrgänge für andere Mitarbeiter kann Kosten verursachen.
Allerdings kann Cybersicherheit nicht ohne die notwendigen finanziellen Mittel funktionieren. Hier kann man sich an branchenüblichen Ausgaben und Maßnahmen orientieren, aber auch an möglichen Ratschlägen privater oder staatlicher Träger.
Das Budget sollte einen festen und angepassten Posten für die Bekämpfung von Cyberrisiken vorsehen.
Führen Sie Lehrgänge und Workshops durch
Wissen wird am einfachsten durch Fachpersonal vermittelt. Das ist nicht nur relevant für Mitarbeiter. Auch die Geschäftsführung sollte sich mit dem aktuellsten Stand der Technik und den derzeitigen Risiken für ihr Unternehmen auskennen.
Führen Sie regelmäßige Lehrgänge und Workshops für Mitarbeiter und Geschäftsleitung durch.
Befassen Sie sich mit dem Fall der Fälle
Trotz der besten Maßnahmen für Cybersicherheit, können diese auch scheitern. Die Schäden können weitreichend und vielfältig sein. Häufig wird auch eine Kommunikation mit staatlichen Behörden notwendig sein. Viele Schritte werden notwendig, wenn ein Cyberangriff erfolgreich war.
Auf einen Cybervorfall kann nur effektiv reagiert werden, wenn klare Rollen verteilt sind und diesen auch bewusst ist, was genau zu tun ist. Das beinhaltet nicht nur die entsprechenden Abteilungen des Unternehmens, sondern ganz besonders auch die Geschäftsleitung als zentraler Knotenpunkt für alle relevanten Entscheidungen.
Nicht auf jeden Vorfall müssen alle Management Ebenen zwingend reagieren. Bei kleineren Vorfällen kann es ausreichen, wenn die entsprechenden Abteilungen tätig wird und die notwendigen Gegenmaßnahmen einleitet.
Es muss ein Incidence Response Plan bereitgehalten werden, um eintretende Schäden möglichst gering zu halten.
Prävention und Postvention gehen Hand in Hand
Eine gute Cyberstrategie befasst sich mit allen Aspekten der Cybersicherheit. Das beinhaltet die Festlegung von Verantwortungsbereichen, die Verhinderung von Cyberangriffen, aber auch die richtige Reaktion auf einen erfolgreichen oder stattfindenden Cyberangriff. Diese drei Maßnahmen können und sollten aufeinander aufbauen, um ein vollumfängliches Sicherheitskonzept vorzuweisen.
Es ist für Unternehmen nicht nur wirtschaftlich relevant, sich mit Cybersicherheit zu befassen. Es kann auch weitere rechtliche und tatsächliche Konsequenzen haben, wenn die Geschäftsleitung sich dieser Notwendigkeit verschließt.
Zu den Aufgaben der Geschäftsleitung gehört eben nicht nur Produktion und Vertrieb, sondern auch IT-Sicherheit.
Eine ausführliches Paper zum Thema hat die Presidential Task Force der International Bar Association on Cyber Security zusammengestellt, das hier abgerufen werden kann.