Cybersicherheit auf Geschäftsführungsebene
Herzlich Willkommen zu unserem Newsletter!
Am Anfang jeden Monats geben wir hier einen Überblick über geplante Aktivitäten und beleuchten einen Aspekt sicherer Digitalisierung.
Interessante Aktivitäten im November:
LinkedIn-Livestream am Dienstag, den 15.11.2022, 12:00h: „Budget secured?! – Sichere Digitalisierung effektiv budgetieren“ – mit Alpha Barry, CEO secida AG. Melden Sie sich hier an.
Sichere Digitalisierung im November: Was tun, wenn das Thema Cybersicherheit keine Unterstützung auf Geschäftsführungsebene erhält?
Sie bevorzugen ein Video zum Thema? Unseren 30-Minuten-Talk zum Thema finden Sie hier. Es wird nicht nur diese Frage sondern weitere spannende Fragen aus dem Mittelstand beantwortet.
Die Unterstützung der Geschäftsführung ist für die nachhaltige Umsetzung von Cybersicherheitsmaßnahmen unumgänglich, in manchen Fällen ist sie jedoch nicht gegeben. Dann macht es Sinn, sich folgende Fragen zu stellen:
Handelt es sich um eine kurzfristige Situation?
Kurzfristig ist es vor dem Hintergrund von Themen wie z.B. Ukrainekrieg und drohender Rezession nachvollziehbar, dass die Geschäftsführung ihren Fokus anderweitig setzt und keine freien Kapazitäten in das Thema Cybersicherheit investieren kann. In diesem Fall macht es Sinn abzuwarten, bis wieder Kapazitäten zur Verfügung stehen.
Haben Sie die wirtschaftlichen Risiken verständlich dargestellt?
Sollte das Problem schon seit einiger Zeit existieren, ist die erste Frage, die Sie sich als Cyberverantwortlicher stellen sollten: Habe ich gegenüber der Geschäftsführung plausibel dargestellt, dass es sich bei bestehenden Cybersicherheitsrisiken um ein wirtschaftliches Problem handelt?
Ist der Geschäftsführung bewusst, dass eine effektiv ausgeführte Cyberattacke dazu führen kann, dass wochenlang nicht produziert wird? Hier ist es hilfreich, einen ungefähren Zeitraum abzuschätzen (z.B. 4-6 Wochen) in dem die Produktion nach einem Angriff still stehen könnte. So wird es möglich, die potentiellen Kosten eines solchen Angriffs einzuschätzen und der Geschäftsführung darzustellen. Auf diese Weise können Sie effektiv deutlich machen, dass es wichtig ist, sich auf Entscheidungsebene mit Cybersicherheits-Maßnahmen auseinander zu setzen.
Was, wenn auch die Präsentation der wirtschaftlichen Risiken nicht zu einer Verhaltensänderung der Geschäftsführung führt?
Erneut gilt es abzuwägen: Wenn es nicht möglich ist, im Topmanagement mit dem Thema durchzudringen, kann man eventuell auf IT-Ebene gemeinsam mit dem CIO die Cybersicherheitsagenda weitertreiben. Wenn im IT-Budget Geld für Investitionen in Cybersicherheit eingeplant ist, können Maßnahmen, wie z.B. die Härtung der Systeme, die Einführung eines Identitäts- und Zugriffsmanagements oder eines Privileged Access Managements zum Schutz von Accounts mit weitreichenderen Zugriffsberechtigungen und administrativen Accounts oder zur weiteren Segmentierung der Informationssysteme ergriffen werden. Allerdings bleiben auf dieser Ebene Lücken: Denn Mitarbeitersensibilisierung, die effektiv Angriffe im Keim ersticken kann, ist nur mit Unterstützung des Topmanagements möglich.
Was ist zu tun, wenn es kein Interesse auf Geschäftsführungsebene gibt und parallel auch innerhalb der IT keine Budgets für Investitionen in die IT-Sicherheit gibt?
Wenn Sie als Verantwortlicher für die Cybersicherheit keinerlei Gestaltungsrahmen und auch keine Unterstützung seitens der Geschäftsführung haben, sollten Sie sich fragen, ob es Zeit wird, sich eine berufliche Alternative zu suchen. Denn: Ein Cybersicherheitsverantwortlicher ohne Budgets, Unterstützung und Gestaltungsrahmen ist vor allem eins: Der Sündenbock, falls es zu einem Vorfall kommt.
