So wie sich unser Immunsystem alle Jahre wieder gegen die Grippeviren zur Wehr setzt, so müssen auch Unternehmen in der Lage sein, sich mittels Cyber Resilience kontinuierlich der Herausforderung drohender Cyberattacken zu stellen. Dazu braucht es aber ein Umdenken im Unternehmen. Cyber Resilience kann nämlich nicht bedeuten, Risiken für das Unternehmen gänzlich auszuschliessen. Das ist ganz und gar unmöglich (auch Sie können nur schwer verhindern, dass Sie keine Grippeviren einfangen, aber Sie können das Ausmass der Grippeerkrankung eindämmen). Somit ist der Aufbau und Ausbau zielgerichteter Massnahmen zur Stärkung der Widerstandskraft gegen Cyberattacken unabdingbar.
Es geht deshalb darum, Bedrohungsszenarien zu verstehen, einzuschätzen und zu akzeptieren, dass Angriffe grundsätzlich stattfinden und partiell auch erfolgreich sein werden. Die Hauptaufgabe liegt darin, Möglichkeiten zu finden, mit der Kompromittierung umzugehen und die Auswirkungen möglichst klein zu halten. Die Voraussetzung für ein „widerstandskräftiges Unternehmen“ in Bezug auf Cyberattacken ist zunächst einmal, dass die Geschäftsführung das Thema ernst nimmt. Nur so kann eine ausreichende Priorisierung der Thematik im gesamten Unternehmen erreicht werden. Zudem müssen sich alle Mitarbeitenden der bestehenden Risiken bewusst sein und ein entsprechendes Verhalten verinnerlichen.
Damit Sie schnell auf Angriffe reagieren können, sollten Sie die Schwerpunkte auf die proaktiven Massnahmen legen und auf Massnahmen, welche der Erkennung von Cyberattacken dienen. Zuletzt müssen die organisatorischen und technischen Möglichkeiten für die Wiederherstellung der Geschäftstätigkeit aufgebaut und bereitgehalten werden. So minimieren Sie die Folgen eines erfolgreichen Cyberangriffs schnell und effizient. Die IT-Architektur und Cyber Security muss einerseits Business Continuity gewährleisten, also dafür sorgen, dass das Geschäft trotz punktueller Ausfälle von Komponenten weiterlaufen kann. Andererseits soll sie gewährleisten, dass Systeme nicht vollständig ausfallen oder der Angreifer nicht umfassenden Zugriff erhält.
Und noch etwas muss sich verändern: Viele Unternehmen werden stark aus den Compliance-Anforderungen getrieben, wenn es um das Risk- und Security-Management geht. Aus unserer Sicht sollte sich Informationssicherheit und Risikomanagement aber als Partner des Geschäfts verstehen, dann kommt die Compliance von ganz allein. Dieser Paradigmenwechsel beginnt im Kopf: wenn Ihre Geschäftsbereiche neue, digitale kundenorientierte Anwendungen aufbauen, dann darf die Antwort Ihres Security Officers nicht per se ein «NEIN» sein. Sicherheit muss hier ganz klar als interner Dienstleister auftreten, der aktiv und frühzeitig an der Lösung mitarbeitet. Es geht darum, mit konkreten Massnahmen zur Risikoreduktion beratend zur Seite zu stehen und den notwendigen Pragmatismus zu entwickeln. Verbote führen hier oftmals nicht zum Ziel.
Das Thema Cyber Security wird weiter an Bedeutung gewinnen und auch auf der Agenda der Schweizer Aufsichtsbehörden stehen. Alle Beteiligten, der Verwaltungsrat, die Aktionäre und die Kunden erwarten, dass Sie als Unternehmer dieser Herausforderung genügend Aufmerksamkeit schenken. Nur so lässt sich die Widerstandsfähigkeit gegen Cyberattacken erhöhen.
Sind Sie und ihr Unternehmen fit genug eine Cyberattacke zu überstehen?
Wir zeigen es Ihnen gerne mit einer simulierten Cyber Attacke auf.