Fünf Schritte, um die Cybersecurity-Lücke zwischen IT und Führungsgremium zu schließen

Stellen Sie sich vor, eine Bande von Plünderern steht Tag und Nacht vor Ihrer Unternehmenszentrale, wirft mit Steinen, schießt um sich und versucht auch sonst so ziemlich alles, um in Ihrem Unternehmen so viel Chaos wie möglich anzurichten. Würde ein Führungsgremium tatenlos zusehen? Die Fakten zeigen, dass Plünderer Ihr Unternehmen höchstwahrscheinlich rund um die Uhr ins Visier nehmen – und das von Ihnen völlig unbemerkt. Sofern noch nicht geschehen, werden sie eines Tages den Schutzwall durchbrechen: Genau das ist die Bedrohung, die von Hackern ausgeht. Dennoch gehen viele Führungsgremien auch in der heutigen Zeit noch erschreckend nonchalant mit diesem Phänomen um.

Wie Umfragen zeigen, verfügt nur die Hälfte aller US-amerikanischen Unternehmen über umfassende Strategien und Prozesse im Bereich der Cybersecurity. Außerhalb der USA ist der Prozentsatz sogar noch geringer. In den übrigen Unternehmen ist es einzig und allein der CIO, der für den Schutz des Unternehmens sorgen soll. Und das ist ein völlig falscher Ansatz.

Cybersecurity ist kein rein technisches – und damit lösbares – Problem. Zu viel steht auf dem Spiel. Ihre Website vermittelt Ihren Kunden wichtige Marken- und Werbebotschaften und bietet wahrscheinlich auch die Möglichkeit, Ihr Produkt zu kaufen. Innerbetrieblich bildet Technologie die Infrastruktur, die Ihrem Unternehmen effiziente Geschäfts- und Kommunikationsprozesse ermöglicht. Transaktionssysteme sorgen auf Kundenseite für eine zuverlässige Zahlungsabwicklung und im Back-End Ihres Unternehmens für eine ordnungsgemäße Übertragung der Vorgänge an die Buchhaltung. Wenn ein Angreifer an einer dieser Funktionen Schäden verursacht oder IP-Daten oder, noch schlimmer, Kundeninformationen oder Geldbeträge entwendet, werden Sie schnell verstehen, dass der schlechte Schutz von Computersystemen auch außerhalb der Technik drastische Folgen hat.

Mitglieder von Führungsgremien müssen keine technischen Experten sein. Das kann man weiterhin den IT-Fachkräften überlassen. Sie müssen allerdings Risiken steuern und Ressourcen zuweisen. Richtlinien, Verfahren und Protokolle für Cybersecurity müssen auf Führungsebene beschlossen und mit unternehmensweiter Priorität über alle Ebenen der Organisationsstruktur hinweg implementiert und umgesetzt werden.

Mit den nachfolgenden fünf Ansätzen können Mitglieder von Führungsgremien den Ball ins Rollen bringen:

1. Machen Sie IT-Sicherheit zum Top-Thema auf Führungsebene. Beginnen Sie intern mit einer IT- oder CIO-Präsentation, die umreißt, welche Sicherheitsmaßnahmen bereits existieren und welche Richtlinien und Verfahren damit verbunden sind. Diese Präsentation sollte auch Beispiele für tatsächlich stattgefundene Angriffe auf Ihre Systeme beinhalten. (Die schwersten Angriffe sind Ihnen vermutlich bereits bekannt. Aber die konstant hohen Zahlen sowie die zunehmende Komplexität der Angriffsversuche könnten Sie vielleicht doch überraschen.) Ein externer Berater sollte die Überprüfung der Cybersecurity-Strategie unterstützend begleiten; entsprechend ist es notwendig, dass er an den Besprechungen auf Führungsebene teilnimmt.

2. Ändern Sie Ihr Sicherheitsdenken. Die Frage ist nicht, ob ein Angriff erfolgreich sein wird, sondern wann. Reaktion ist genauso wichtig wie Prävention. Häufig wird Cybersecurity mit einem Burggraben verglichen: Wenn die Angreifer diesen Graben überwinden, gilt die Schlacht als verloren. Heute trifft das glücklicherweise eigentlich nicht mehr zu: Unternehmen sind digitalen Eindringlingen nicht mehr schutzlos ausgeliefert, sofern entsprechende Kontrollmechanismen Sicherheitsverstöße erkennen und die Auswirkungen begrenzen. Wenn Sie bei einem Sicherheitsverstoß vermelden können, dass keine Kundendaten betroffen waren und der Schaden durch sorgfältige Schutzmaßnahmen im Vorfeld begrenzt ausfiel, stärkt das die Reputation Ihres Unternehmens: Sie haben offen und ehrlich das Geschehene kommuniziert; gleichzeitig zeigen Sie, dass Ihr Unternehmen solide vorbereitet war und deshalb den Schaden so niedrig wie möglich halten konnte.

3. Planen Sie geordnetes Vorgehen für die Schritte nach einem Angriff. Zu den oben genannten vorbereitenden Maßnahmen zählt auch, die Reaktion im Voraus zu planen: Wer spricht mit den Medien? Mit den Interessengruppen? Mit den Aktionären? Was soll gesagt werden? Dabei handelt es sich Entscheidungen auf Führungsebene, die getroffen, kommuniziert und eingeübt werden müssen, damit jeder weiß, was im Notfall zu tun ist.

4. Sicherheit beginnt im Unternehmen. Die meisten erfolgreichen Angriffe beginnen intern: Ein Executive Vice President vergisst sein Smartphone im Restaurant. Ein Administrator verliert einen USB-Stick mit Kreditkartennummern oder identifizierbaren Kundenkontoinformationen. Ein Werkstattleiter öffnet eine E-Mail mit Schadsoftware. Das Führungsgremium muss in dieser Hinsicht einen kulturellen Wandel vorantreiben sowie Prozesse und Verfahren entwickeln, die die hohe Priorität von Cybersecurity betonen. Haben Sie schon einmal darüber nachgedacht, bei sich selbst zu beginnen? Gehen Führungsgremium und Führungsteam mit gutem Beispiel voran?

5. Stellen Sie ausreichende Ressourcen zur Verfügung. Die heutigen IT-Budgets reichen häufig nicht aus, um die notwendigen Verbesserungen bei Personal, Strategie, in der Planung taktischer Maßnahmen sowie beim Einsatz von Geräten vorzunehmen. Das Führungsgremium muss nicht nur die Sicherheit zu einer Top-Priorität des Unternehmens machen, sondern auch ausreichend Ressourcen bereitstellen.

Letztendlich ist Cybersecurity nicht nur ein brisantes Thema für das Risikomanagement und das operative Geschäft; sie ist in erster Linie eine Frage der Führung. Die gute Nachricht ist, dass immer mehr Unternehmen die wachsende Bedrohung erkennen. Die schlechte Nachricht: Viel zu viele von ihnen ergreifen trotzdem nicht die notwendigen Schutzmaßnahmen. Das gilt insbesondere für Führungsgremien.