Sichere Digitalisierung im November: Cybersicherheit in der Supply Chain
Herzlich Willkommen zu unserem Newsletter!
Hier geben wir hier einen Überblick über geplante Aktivitäten und beleuchten einen Aspekt sicherer Digitalisierung.
Interessante Aktivitäten im November:
14.-16.11.2023, Cyberevolution in Frankfurt – unser CEO Alpha Barry ist vor Ort. Melden Sie sich gerne für einen Termin.
20./21.11.2023, Forum SolarPlus in Berlin – “Cybersicherheit – wie sicher sind Daten und Netze” mit Sonna Barry, VP Business Development & Strategy secida AG, am 20.11. um 16:00h. Melden Sie sich gerne für einen Termin.
Ausblick Dezember: LinkedIn-Livestream am Dienstag, den 05.12.2023, 12:00h: „2023 – Unsere Highlights und Learnings“ – mit Alpha Barry, CEO secida AG. Melden Sie sich hier an.
Sichere Digitalisierung im August: Cybersicherheit in der Supply Chain
Sie bevorzugen ein Video zum Thema? Unseren 30-Minuten-Talk zum Thema finden Siehier.
Sie möchten die vollständige Studie lesen? Hier kommen Sie zum Download als PDF.
Im Oktober hat die secida AG gemeinsam mit der Bundesvereinigung Logistik (BVL), dem Software-Hersteller OneIdentity, wissenschaftlicher Unterstützung von Dr. Gabi Dreo Rodosek, Inhaberin des Lehrstuhls „Kommunikationssysteme und Netzsicherheit“ des Instituts für Technische Informatik der Universität der Bundeswehr und dem Lehrstuhl “Lehrstuhl Produktionssysteme und -automatisierung” der Otto-von-Guericke-Universität Magdeburg, sowie der Schunck Gruppe eine Studie zum Thema “Cybersicherheit in Supply Chains” veröffentlicht. Für diese Studie wurden Mitglieder der BVL, die Manager in ihren Unternehmen sind, befragt, wie sie den aktuellen Status Quo der Cybersicherheit aus verschiedenen Perspektiven einschätzen. Basierend auf den Ergebnissen haben wir 5 Thesen entwickelt, die in unseren Augen nicht nur für die Supply Chain gelten:
1. Dem Management fehlt Cybersicherheits-Fachwissen
Cybersicherheit ist Chefsache. Aktuell fehlt im Management das notwendige Fachwissen, um notwendige Entscheidungen zeitnah und effektiv zu treffen. Das Thema Cybersicherheit wird häufig an die IT delegiert. Es wird davon ausgegangen, dass das IT-Team in der Lage ist sämtliche notwendigen Maßnahmen und Entscheidungen allein zu treffen. Dies ist allerdings unmöglich: Zentrale Aspekte der Cybersicherheit sind Risiko- und Business-Continuity-Management. Der IT fehlt es an notwendigen Fachwissen und Überblick über das Gesamtgeschäft und Strategie. Das IT-Team ist allein nicht in der Lage, geschäftskritische Prozesse und Informationen zu identifizieren und kann nicht die notwendigen Maßnahmen treffen sie effektiv zu schützen.
Das Management muss dringend in Dialog mit den IT-Verantwortlichen treten. Nur im gemeinsamen Austausch ist es möglich, notwendige Entscheidungen für den bestmöglichen Schutz des Geschäfts und schnellstmögliche Wiederherstellung des Betriebs nach einem erfolgreichen Angriff zu treffen. Gemeinsam kann relativ kurzfristig eine passende Cybersicherheits-Strategie und ein Notfallplan erarbeitet und umgesetzt werden. Ein für die Belange der Cybersicherheit nicht sensibilisiertes Management ist ein großes Cybersicherheits-Risiko.
2. Größere Unternehmen haben besseren Zugang zu Cybersicherheits-Fachwissen
Es ist wenig überraschend, dass das Management größerer Unternehmen besseren Zugang zu Fachwissen hat: Größere Unternehmen sind in der Lage mehr in Ausstattung und Personal ihrer IT-Abteilung zu investieren. Mehr Kapazität ermöglicht eine effektivere Kommunikation zwischen IT und Geschäftsführung. Parallel ist erfahreneres Personal besser in der Lage, mit dem Management zu kommunizieren und verständliche Entscheidungsvorlagen zu entwickeln. Höhere Anforderungen durch Compliance und Gesetzgebung fordern außerdem seitens des Managements eine tiefergehende Auseinandersetzung mit der Materie.
3. „Magische IT“ – Das Management delegiert Verantwortung für Cybersicherheit zu umfänglich an die IT
Gerade in KMUs sehen wir die Tendenz, die Verantwortung für das Thema Cybersicherheit vollständig an die IT zu delegieren. Über 40% der befragten Manager konnten nicht beantworten, ob das Unternehmen eine Cyberversicherungs-Police hat. Ein knappes Viertel konnte keine Aussage treffen, ob das eigene Unternehmen Teil der kritischen Infrastruktur ist. Diese Wissenslücke zeigt einen besorgniserregenden Wissensmangel innerhalb des Managements. Wie schon erwähnt, ist dies ein herausfordernder Ansatz, da das Wissen über geschäftskritische Prozesse und Informationen genauso wie die Verantwortung für das Mitigieren eventueller Risiken bei der Geschäftsführung liegen. Ohne diese zentralen Informationen und Entscheidungen ist die Entwicklung und Umsetzung einer wirksame Cybersicherheits-Strategie nicht möglich.
4. Zu geringe Absicherung gegen Cyberattacken innerhalb der Lieferkette
Aktuell werden sich unternehmensweit zu wenige Gedanken über die lieferkettenübergreifende Absicherung gegen Cyberattacken gemacht. Knapp 40% aller Befragten gaben an, dass das eigene Unternehmen die eigenen geschäftskritischen Prozesse und Informationen identifiziert und bestmöglich gegen Angriffe geschützt hat. Bei geschäftskritischen Informationen und Prozessen der Kunden waren es ähnlich viele positive Antworten, auf der Lieferantenseite waren es schon nur noch ein knappes Drittel der Befragten. Wenn man im Gegenzug die negativen Auswirkungen eines Angriffs für alle Beteiligten innerhalb der Lieferkette bedenkt, bzw. die Möglichkeiten, die sich für Cyberkriminelle bei diesen Attacken potenziell ergeben, analysiert, gibt dieses geringe Bewusstseinsniveau Grund zur Besorgnis. Die Absicherung der Lieferkette sollte im Dialog zwischen IT und Management unbedingt Thema sein – vor allem, da mit der Umsetzung der NIS2-Gesetzesvorlage der EU, das Management unter anderem für die effektive Risikomitigierung bei diesem Thema haftbar wird.
5. Unternehmen, die sich fokussierter der Cybersicherheit widmen, sind wirtschaftlich erfolgreich, seltener Opfer von Attacken und nach einer Attacke deutlich schneller erneut arbeitsfähig
In unserer Analyse konnten wir einen Cluster von Unternehmen aller Größen identifizieren, die sich, bei ähnlichem wirtschaftlichen Erfolg, deutlich vom Durchschnitt der Befragten absetzen konnten: Diese Unternehmen haben deutlich mehr der angefragten Maßnahmen zur Steigerung der Cybersicherheit umgesetzt. Diese Unternehmen wurden tatsächlich seltener als der Durchschnitt der Befragten Opfer einer Cyberattacke. Parallel waren sie – sollten sie schon Opfer einer Cyberattacke gewesen sein – deutlich schneller als der Durchschnitt wieder in der Lage den Geschäftsbetrieb aufzunehmen.
Höhere Investitionen in die Cybersicherheit haben somit keine negativen Auswirkungen auf den wirtschaftlichen Unternehmenserfolg. Außerdem helfen Sie nachgewiesenermaßen erfolgreiche Angriffe auf die Unternehmens-IT zu verhindern. Sollte dennoch ein Angriff passieren, gelingt es einem Unternehmen mit einem guten Cybersicherheits-Standard, innerhalb weniger Stunden oder Tage den Geschäftsbetrieb wieder aufzunehmen.
Auch wenn unsere Studie die Logistikbranche adressiert: Die obengenannten Aussagen sind – basierend auf unserer Erfahrung – ohne signifikante Abstriche auch auf andere Branchen übertragbar.
Cybersicherheit ist Chefsache: Wenn Sie sich als Manager noch nicht mit dieser Thematik auseinandergesetzt haben, empfehlen wir Ihnen, schnellstmöglich damit zu beginnen. Hierbei kann eine Analyse des Cybersicherheits-Status Quo, die in verständlicher Sprache präsentiert ist, hilfreich sein. Denn nur wer weiß, wo genau er steht, kann entscheiden, welcher Weg bestmöglich zum Ziel führt. secida hat mit CyberEval360 eine kostengünstige Analyse des Cybersicherheits-Status Quo mit Management-Report inklusive Heatmap und nach Kritikalität gestaffelten Handlungsempfehlungen entwickelt. Klingt interessant? Sprechen Sie uns gerne an!
Quelle: LinkedIn