Risiko und Compliance

Vier Maßnahmen, um nicht das nächste Opfer von Hackern zu werden

Cybersecurity ist für jedes Unternehmen ein hochbrisantes Thema. Vermutlich haben Sie noch gut in Erinnerung, wie die amerikanische Einzelhandelskette Target Opfer eines Hacker-Angriffs wurde, der dem Unternehmen Schäden in Höhe von 236 Millionen USD bescherte1 und seine Reputation schwer in Mitleidenschaft zog: Ein alarmierendes Warnsignal für alle Unternehmen. CEO und CIO von Target verloren in der Folge ihre Jobs; die US-Aktionärsberatung Institutional Shareholder Services empfahl den Investoren, gegen die Entlastung von sieben Vorstandsmitgliedern zu stimmen, da sie beim Schutz des Unternehmens versagt hätten.

Es ist jedoch nicht immer einfach, Probleme bereits vor ihrem Entstehen auszumachen. Denn die Angreifer wechseln ihre Taktik häufig schneller, als Unternehmen neue Schutzmaßnahmen einführen können.

Trotz der gewaltigen Risiken und Herausforderungen können Sie mit zielführenden Maßnahmen sicherstellen, dass sich Ihr Unternehmen angemessen selbst schützt. Auf der Grundlage der Erfahrungen, die Diligent im Rahmen seiner Unterstützung von Führungsgremien auf der ganzen Welt sammeln konnte, empfehlen wir eine Reihe von grundlegenden Vorgehensweisen, um Hacker von Ihren Systemen fernzuhalten:

Cybersecurity muss ganz oben auf der Tagesordnung stehen. Es reicht nicht, Cybersecurity einfach nur zum Thema für die Führungsgremien zu machen. Diesem Thema muss eine viel höhere Priorität beigemessen werden, als dies heute oft der Fall ist. Eine Studie der NYSE2 fand heraus, dass Cybersecurity bereits bei den meisten Führungsgremien auf der Tagesordnung steht; 80 % der Befragten gaben an, dass sie in jeder Sitzung oder zumindest bei den meisten Sitzungen über Cybersecurity diskutieren würden. Die gleiche Umfrage ergab jedoch auch, dass bei der Einführung neuer technologiegestützter Lösungen die daraus entstehenden möglichen Sicherheitsrisiken bei den Bedenken der Direktoren erst an vorletzter Stelle stehen, noch hinter Umsatzpotenzial, Wettbewerbsvorteilen oder Entwicklungskosten. Cybersecurity muss nicht bei jeder Sitzung ganz oben auf der Tagesordnung zu finden sein. Steht dieses Thema aber immer ganz unten in der Liste, erfährt es nicht die gebotene Aufmerksamkeit.

Konzentrieren Sie sich auf das Wesentliche. Steht Cybersecurity auf die Tagesordnung, bedeutet das nicht, dass Sie sich als Mitglied des Führungsgremiums in technischen Details verlieren sollen. Lassen Sie sich stattdessen ein- oder zweimal im Jahr vom CIO und/oder CISO über die größten Bedrohungen für das Unternehmen, die zur Erkennung und Abwehr implementierten Prozesse sowie die Notfallpläne für die Krisenbewältigung informieren. Fordern Sie das Team für Informationssicherheit auf, eine Simulationsanalyse vorzunehmen, um zu beurteilen, was geschähe, wenn ein Angriff, der einer anderen Firma zugestoßen ist, Ihr Unternehmen treffen würde. Stellen Sie zudem sicher, dass dabei alle Personen und alle technologischen Bereiche, von den Lieferanten bis hin zu den eingesetzten Anwendungen, gründlich auf Schwachstellen geprüft werden, durch die Angreifer in Ihr Unternehmen eindringen können. Fordern Sie auch Führungskräfte anderer Zuständigkeitsbereiche dazu auf, Sie über mögliche Bedrohungen der Datensicherheit in den jeweiligen Abteilungen zu informieren – und natürlich auch darüber, wie diese Daten geschützt sind und wie die Verantwortlichen im Falle eines Angriffs reagieren würden.

Bauen Sie auf dem natürlichen Verhalten des Menschen auf. Behalten Sie stets im Hinterkopf: Der Mensch ist Ihr größter Risikofaktor. Es liegt einfach in der Natur des Menschen, beim Umgang mit Dokumenten und Daten eher zu einfachen Lösungen zu tendieren. Wenn beispielsweise ein Mitarbeiter zu Hause an seinem Computer an einem Arbeitsblatt arbeiten möchte, schickt er das Dokument möglicherweise an eine ungesicherte E-Mail-Adresse, wenn dies für ihn die einfachste Möglichkeit darstellt. Um das natürliche Verhalten der Menschen daher optimal für Ihre Zwecke zu nutzen, sollten Sie es Ihren Mitarbeitern so einfach und bequem wie möglich machen, genau das Richtige zu tun. Das bedeutet, Prozesse und Technologien zu implementieren, die nicht nur sicher, sondern auch von den Mitarbeitern leicht zu anzuwenden sind.

Gehen Sie mit gutem Beispiel voran. Wenn Sie hochsichere Verfahrensweisen selbst anwenden und vorleben, können Sie dadurch erreichen, dass jeder im Unternehmen am gleichen Strang und auch in die gleiche Richtung zieht. Eine einfache Möglichkeit, wie Mitglieder von Führungsgremien mit gutem Beispiel vorangehen können, ist, dass sie ihre Sitzungsunterlagen sicher schützen. Wenn Sie sich selbst streng an die Regeln halten, befinden Sie sich in einer deutlich besseren Position, um neue Schutzmaßnahmen und Governance-Praktiken einzufordern! Einen Rahmen zur Bewertung der Sicherheit von Führungsgremien finden Sie in der Broschüre „Cybersecurity und der Rollenwandel in den Führungsgremien: Von der Aufsicht zum Vorbild“.

Als Mitglied eines Führungsgremiums müssen Sie Gedanken über Cybersecurity machen. Das gilt allerdings nicht nur für Sie alleine. Die hier erläuterten Schritten bringen Sie bereits ein gutes Stück auf dem richtigen Weg voran. Sie müssen jedoch in Zusammenarbeit mit Ihrem CIO/CISO und dem Management-Team dafür sorgen, dass im gesamten Unternehmen eine Kultur der erhöhten Wachsamkeit hinsichtlich Cybersecurity entsteht.

1. Quelle: „How much has Target’s data breach cost the retailer?“, Internet Retailer, 5. August 2014. 2. Quelle: „Cybersecurity in the Boardroom“, NYSE Governance Services and Veracode, 2015.

Board Portal Buyer’s Guide

With the right Board Portal software, a board can improve corporate governance and efficiency while collaborating in a secure environment. With lots of board portal vendors to choose from, the whitepaper contains the most important questions to ask during your search, divided into five essential categories.

VORGESTELLTE BLOGS

17. Mai 2023

Die zehn größten Fehler von Compliance-Beauftragten beim Management von Drittparteien (und was man dagegen tun kann)

Seien wir ehrlich: Die Verwaltung von Drittparteien kann eine Herausforderung sein. Jeden Tag beklagen die Compliance-Beauftragten das Versagen ihrer Drittpartei-Prüfungen. Man hört Kommentare wie: „Es funktioniert einfach nicht. Das Unternehmen hasst das Verfahren und versucht, es zu umgehen. Es gibt Zahlungen an Drittparteien, die überhaupt nicht überprüft worden sind. Die…

14. April 2023

Gute Unternehmensführung: Neun Grundsätze, die Ihre Organisation zum Erfolg führen

Unter Governance oder Unternehmensführung versteht man den Prozess, mit dem Unternehmen ihre Regeln und Strategien festlegen und diese umsetzen und überwachen. „Good Governance“, also „gute Unternehmensführung“ hat einige wesentliche Merkmale, kann aber für verschiedene Menschen unterschiedliche Bedeutungen haben. Gruppen und Einzelpersonen, die Machtpositionen innehaben, müssen einen Sinn für Verantwortlichkeit besitzen…

24. März 2023

Robustes Präventionsmanagement von Drittparteirisiken

Unternehmen verlassen sich heute aus einer Vielzahl von Gründen auf Drittparteien (Lieferanten, Dienstleister, Berater) um die Effizienz ihres Unternehmens zu steigern, um neue Fähigkeiten oder Technologien einzubringen oder um ein Produkt zu verbessern, um nur einige zu nennen. Diese Abhängigkeiten sind mit der Zunahme von Remote-, Hybrid- und Büroarbeitsplätzen noch…