Rawpixel.com - stock.adobe.com
Die Führungsebene in Firmen muss IT-Sicherheit aktiv leben
Cybersicherheit wird oft als rein technisches Thema betrachtet. Aber es ist wichtig, dass Security fest in die Unternehmenskultur integriert wird, gerade von der Führungsebene.
Ein weiterer Tag, ein weiterer Cyberangriff. So fühlt es sich derzeit zumindest an. Der deutschen Wirtschaft entsteht durch Datendiebstahl, Spionage und Sabotage ein jährlicher Schaden von 203 Milliarden Euro. Und rund 30 Prozent der deutschen Unternehmen geben an, dass sie in den letzten drei Jahren einen Schaden von mehr als einer Million US-Dollar durch den jeweils gravierendsten Fall von Datendiebstahl erlitten hätten. Angriffe und Datenlecks sind so alltäglich geworden, dass Organisationen bereits unter einer Art Cyberermüdung leiden – man kalkuliert quasi schon mit Angriffen und akzeptiert sie als „Teil des Geschäfts“.
Zwar wächst durch die Häufigkeit das Bewusstsein für die Gefahr im Netz, doch das führt leider nicht zwangsläufig zu einer besseren Vorbereitung, um sich vor den Angreifern zu schützen. Mehr als zwei Drittel der hiesigen IT-Security-Teams hat einen Anstieg der IT-Sicherheitsvorfälle registriert Und die Mitarbeitenden in der IT-Security sehen ihr Unternehmen zeitgleich weniger gut auf entsprechende Vorfälle vorbereitet als in der Vergangenheit.
Die Angriffe nehmen zu, die Verantwortungslücke wächst
Ist es mangelndes Engagement? Oder schlicht und ergreifend Kapitulation? Fakt ist: In vielen Unternehmen herrscht eine Verantwortungslücke auf höchster Ebene, die notwendige Veränderungen und eine umfassende Cyberresilienz verhindert. Bloße Behauptungen, dass Cybersicherheit eine Priorität sei, reichen längst nicht mehr aus, und nur wenige setzen wirklich um, was sie in ihren Chefetage-Meetings be- und versprechen.
Im Jahr 2022 gab es eine Reihe verheerender Cyberangriffe auf große Marken und Cloud-Dienstanbieter – von Uber und LastPass bis hin zu Cloudfare, Twilio und Reddit. Interessant ist, dass bei diesen Angriffen oftmals eine Kombination aus Social Engineering und anderen Hacking-Techniken verwendet wurde, um Multifaktor-Authentifizierungssysteme (MFA) zu umgehen. Das Umgehen der MFA ist an sich nichts Neues, und MFA-Systeme schützen gegen mehr Angriffsklassen als Ein-Faktor-Authentifizierungen (SFA). Was jedoch neu ist: Die Angriffe nehmen sowohl in Umfang als auch in Raffinesse zu – und die finanziellen sowie Reputationsrisiken sind so hoch wie nie zuvor.
Lektionen aus der Vergangenheit
Die Vergangenheit hat gezeigt, dass es durchaus möglich ist, Phishing von Zugangsdaten und MFA-Umgehungsangriffe zu verhindern. So hat beispielsweise Cloudfare letztes Jahr seine Erfahrungen mit dem 0ktapus-Angriff öffentlich gemacht. Wie Cloudfare berichtete, erhielten dabei 76 Personen der Belegschaft zeitgleich eine Textnachricht von einer angeblichen IT-Abteilung, die auf einer verlinkten Website eine Passwortänderung verlangte. Die Überwachungssysteme von Cloudflare stuften diese Seite nicht als betrügerisch ein, da sie der hauseigenen IT-Plattform zum Verwechseln ähnlich war. Einige Angestellte gaben ihre Zugangsdaten deshalb bedenkenlos an die Kriminellen weiter. Durch die Verwendung zusätzlicher Hardware Security Keys konnten weitreichende Folgen jedoch verhindert werden.
Das Bewusstsein ist da, die Möglichkeiten auch. Woran liegt es also, dass immer noch tagtäglich so viele Cyberangriffe erfolgreich durchgeführt werden können? Vor allem zwei Szenarien spielen sich häufig in Unternehmen ab und bremsen den dringend notwendigen Fortschritt bezüglich Cybersicherheit aus:
- Die betreffenden CISOs oder CSOs sind sich der Herausforderungen und des Handlungsbedarfs zwar bewusst, sind jedoch überlastet und verfügen nur über begrenzte Ressourcen, Finanzmittel und/oder Unterstützung auf Unternehmensseite, um effektive Veränderungen umzusetzen.
- IT-Teams arbeiten häufig isoliert und ohne ausreichende Unterstützung der Geschäftsführung, was dazu führt, dass potenziell erfolgreiche Strategien und Maßnahmen schon vor der Implementierung scheitern. Das ist vor allem in kleineren Organisationen oft ein großes Problem.
Sicherheit im digitalen Zeitalter erfordert Proaktivität
In der heutigen Zeit wird deutlich, dass es einen eklatanten Mangel an Kommunikation und Austausch zwischen den Entscheidern in Unternehmen und den Verantwortlichen für die Cybersicherheit gibt (siehe auch CISO-Leitfaden: Überzeugungsarbeit beim Vorstand leisten). Es ist von großer Bedeutung, dass Cybersicherheit nicht länger als nachträglicher Gedanke behandelt wird. Ein Umdenken ist erforderlich, das eine proaktive Herangehensweise und eine klare Verantwortung auf höchster Ebene beinhaltet, um die notwendigen Veränderungen umzusetzen und eine sichere Unternehmensumgebung zu gewährleisten.
„In der heutigen digitalen Welt ist es von entscheidender Bedeutung, dass Führungskräfte ihre Verantwortung beim Thema Cybersicherheit wahrnehmen und proaktiv handeln, anstatt nur auf reaktive Maßnahmen zu setzen.“
Andrew Shikiar, FIDO Alliance
Die Art und Weise, wie derzeit mit dem Thema Cybersicherheit umgegangen wird, erinnert an die Einstellung gegenüber ESG (Environmental, Social, and Governance also Umweltaspekte, Soziales und verantwortungsvolle Unternehmensführung) vor etwa einem Jahrzehnt. Ähnlich wie bei ESG muss Cybersicherheit ernsthaft betrachtet und als messbares, berichtenswertes Geschäftsziel angesehen werden. Ein Begriff, der im Zusammenhang mit ESG geprägt wurde, ist „Purpose Washing“. Dieser Begriff bezieht sich auf Organisationen, die verbale Zusagen machen und sich als „ESG-freundlich“ darstellen, jedoch keine substanziellen Maßnahmen ergreifen. Aus Angst vor Rufschädigung oder zur Glaubwürdigkeitsbildung nur vorzugeben, die nötigen Maßnahmen zu ergreifen, ist kontraproduktiv. Denn ein Cyberangriff verursacht weitreichende finanzielle und Reputationsschäden und lässt sich im Nachhinein nur schwer beheben.
Führungskräfte müssen bei der Cybersicherheit Verantwortung übernehmen
In der heutigen digitalen Welt ist es von entscheidender Bedeutung, dass Führungskräfte ihre Verantwortung beim Thema Cybersicherheit wahrnehmen und proaktiv handeln, anstatt nur auf reaktive Maßnahmen zu setzen. Durch diese proaktive Herangehensweise können sie langfristig sicherstellen, dass MFA-Umgehungs- und Phishing-Angriffe verhindert werden und die Sicherheit des Unternehmens gewährleistet ist. Cybersicherheit sollte nicht länger allein als Aufgabe der IT-Abteilung angesehen werden, die nur dann Beachtung findet, wenn es bereits zu spät ist. Ähnlich wie bei Nachhaltigkeits- und Gleichstellungsstandards sollte auch die Cybersicherheit durch klare Vorschriften kommuniziert und aktiv von der Führungsebene gefördert werden.
Leider wird Cybersicherheit oft noch als rein technisches Thema betrachtet und in den Meetings der Chefetage schnell beiseitegeschoben. Es ist jedoch unerlässlich, dass Cybersicherheit fest in die Unternehmenskultur integriert wird und auch in nicht-technischen Meetings Raum findet. Führungskräfte sollten sich aktiv beteiligen, Fragen stellen, persönliche Erfahrungen teilen und diejenigen loben, die positive Veränderungen in Bezug auf Cybersicherheit vorantreiben. Es ist von großer Bedeutung, dass die Angstkultur in Bezug auf Cybersicherheit auf der Chefetage abnimmt und das Thema angemessen diskutiert und priorisiert wird. Hierbei ist eine enge Zusammenarbeit mit den Entscheidern in den Unternehmen ausschlaggebend. Cybersicherheit sollte auf Vorstands- und Geschäftsführungsebene als ebenso wichtige Funktion betrachtet werden wie andere Bereiche wie Vertrieb, Personalwesen und Marketing.
Um diese Veränderung herbeizuführen, müssen Führungskräfte Cybersicherheit als strategische Priorität verstehen. Es geht darum, sicherzustellen, dass Cybersicherheit nicht mehr als Nebenthema betrachtet wird, sondern fest in die Unternehmenskultur integriert wird. Dazu gehört auch die Schaffung von Raum für Cybersicherheit in allen Unternehmensbereichen, um sicherzustellen, dass das Thema nicht nur in technischen Meetings, sondern in allen relevanten Zusammenkünften diskutiert wird. Führungskräfte spielen eine entscheidende Rolle als Treiber des Wandels. Sie sollten sich aktiv in die Thematik einbringen, Fragen stellen und ihr Engagement zeigen. Indem sie persönliche Erfahrungen teilen und diejenigen loben, die positive Veränderungen in Bezug auf Cybersicherheit vorantreiben, setzen sie ein starkes Signal an die gesamte Belegschaft. Es ist an der Zeit, eine neue Perspektive auf Cybersicherheit einzunehmen.
Über den Autor:
Andrew Shikiar ist Executive Director und CMO der FIDO Alliance.
Die Autoren sind für den Inhalt und die Richtigkeit ihrer Beiträge selbst verantwortlich. Die dargelegten Meinungen geben die Ansichten der Autoren wieder.