Warum CxOs besser über Cyber-Security informiert werden müssen

Führungskräfte auf C-Level müssen sich selbst mit IT-Sicherheit auseinandersetzen und aber auch besser dazu informiert werden, wie IT-Sicherheit in Netzwerken und auf Geräten eingesetzt werden sollte und welchen Einfluss eine lückenlose Sicherheit für ihr Unternehmen hat - und welchen Einfluss das auch auf den Wert eines Unternehmens hat – und das nicht nur an der Börse!

Warum? Wenn die IT-Sicherheit schon bei den C-Level-Führungskräften nicht die richtige Aufmerksamkeit hat, kümmert sich ansonsten auch fast keiner wirklich darum!

Die Nutzung von IT ist heute ein wesentlicher Bestandteil des täglichen Geschäftsbetriebs. Wir können nicht einfach so weitermachen wie bisher. Sicherheit ist (und das nicht erst seit heute!) extrem wichtig.

Eine kritischer Sicherheits-Vorfall kann jederzeit und überall eintreten

Dies liegt daran, dass ein Datenverstoß zu jeder Zeit, an jedem Ort und aus Quellen heraus passieren kann, von denen die C-Level-Führungskräfte bislang nichts wissen. Tatsächlich werden täglich neue Methoden zur Infiltration von Systemen auf der Suche nach finanziellen, persönlichen und geschäftlichen Informationen geschaffen - welche dann weiterverkauft oder genutzt werden können, um auf kriminellem Wege riesige finanzielle Gewinne zu erzielen.

Ein aktuelles Beispiel dazu ist Equifax, monatelang bedienten sich hier Kriminelle an den Daten der größten Wirtschaftsauskunftei der USA (betroffen sind auch Kanada, Großbritannien und Nordirland). Mehr als 143 Millionen Verbraucher sind betroffen, mindestens Name, Sozialversicherungsnummer, Geburtsdaten, Adresse und teilweise auch Führerscheindaten sind nun in den Händen von Kriminellen und können zum Identitätsdiebstahl verwendet werden.

Das ist sicherlich kein gewöhnliches Ereignis, aber ein Angriff wie dieser kann jedem Unternehmen passieren.

Equifax verlor umgehend nach Bekanntwerden ca. 25% des Börsen-Wertes. Die weiteren Kosten zur Schadensabwehr von den Verbrauchern werden exorbitant sein, mögliche Schadensersatzanforderungen der Verbraucher kündigen sich bereits an.

Zeigen Sie dies Ihrem Chef oder CFO, wenn Sie das nächste Mal zu einer “günstigeren“ Option gezwungen werden oder gar versucht wird, eine dringend notwendige Sicherheitsinvestition hinauszuzögern oder gar abzusagen.

Es ist oftmals unmöglich, den Wert von Sicherheitslösungen zu belegen, erst der Schadensfall wird offenbaren, welche verheerenden Folgen dem Unternehmen erspart geblieben wären.

Es überrascht, dass es bislang keine Regelungen speziell für CxOs gibt, der Schutz der Verbraucher muss auch hier stärker im Unternehmensrecht verankert werden. Und es ist definitiv keine Lösung, hier eine Versicherung für den Vorstand abzuschließen.

Die Führungsebene muss sich der effektiven Cyber-Verteidigung ihres Unternehmens sicher sein und ebenso verstehen, welche Sicherheitsmaßnahmen erforderlich sind.

Jedes Unternehmen wird angegriffen – täglich unzählige Male. Es ist nur eine Frage der Zeit, wann einer dieser Angriffe erfolgreich sein wird. Ziel muss es sein, die Kronjuwelen eines Unternehmens so zu schützen, dass ein unberechtigter Datenzugriff unterbunden wird und der Angreifer bestenfalls auf unwichtigere Daten Zugriff erhält.

Die meisten Unternehmen wissen aber nicht, wenn es zu einem Datenverstoß gekommen ist, wann ihre Mitarbeiter und Kunden gefährdet sind und darüber hinaus herrscht oftmals Unklarheit, wie weitere Schäden zu verhindern sind.

Es sollte also keinen CEO, CFO, Vorstandsvorsitzenden etc. mehr geben, der sich nicht intensiv mit der Materie beschäftigt – zum Schutz des Unternehmens. Die Aufgabe eines Unternehmens besteht nicht nur darin, seinen Kunden Produkte und Dienstleistungen anzubieten, sondern auch sicherzustellen, dass Geschäftsvorgänge auf eine saubere, effiziente und absolut sichere Weise durchgeführt werden, damit eben keine geschäftlichen oder persönlichen Informationen gefährdet werden. Eine Datenverstoß mit geschäftlichen bzw. persönlichen Informationen hat unmittelbare Auswirkungen auf den Wert eines Unternehmens - Investoren und Aktionäre mögen solche Schlagzeilen gar nicht.

Leider spielt das Thema im Mittelstand eine noch unbedeutendere Rolle. Hier ist oftmals Ahnungslosigkeit und das Gefühl 'Es wird schon gut gehen' vorherrschend. Oft endet der Schutz bei Firewall und Viren-Scanner und ist damit ziemlich lausig. Experten machen dafür auch mangelndes Bewusstsein in der kompletten Führungsetage aus. Viele dieser Entscheidungsträger betrachten das Thema IT-Sicherheit ausschlieslich als technischen Aspekt und keinesfalls als ganzheitliche Managementaufgabe. Eine erfolgreiche Sicherheitsstrategie benötigt jedoch immer die Unterstützung der Geschäftsführung und muss alle Mitarbeiter einbeziehen.

Und das, obwohl mit Basel II auch die Sicherheit der Informationstechnik für die Unternehmensbewertung insgesamt wichtiger geworden ist. Denn vor einer Kreditvergabe beispielsweise müssen Banken auch das Unernehmensrisiko bewerten. Dazu gehört die Ausfallsicherheit der EDV-Systeme und der generelle Schutz vor Informationsverlust. Die meisten Mittelstands-Unternehmen haben bestenfalls ein wenig in technische IT-Sicherheit investiert, aber viel zu wenig in IT-Prozessmanagement. Zur Bewertung der operationellen Risiken nach Basel II werden aber Faktoren wie exakte Dokumentation, Notfallpläne, Security-Policy und IT-Verfügbarkeit geprüft.

Seit 25. Mai 2018 drohen zusätzlich zum eigentlichen Schaden hohe Bußgelder von bis zu vier Prozent des weltweiten Jahresumsatzes bei Verstößen gegen die EU-DSGVO.

Partner | Referenzen
  • 1_LOGO_SEMATICON.png
  • Tsystems.gif
  • VOESTALPINE.png
  • 1_LOGO_VARONIS.png
  • BAYER.png
  • VENTURETEC.png
  • Exponet Infrakon 4c.png
  • commerzbank.gif
  • Postbank.jpg
  • sbb.gif
  • 1_LOGO_VEEAM.png
  • gieseckedevrient.gif
  • deutschepost.gif
  • CLAAS.png
  • ASKLEPIOS.png
  • hvb.jpg
  • 1_LOGO_FARSITE.png
  • DEUTSCHE_BANK.png
  • netcologne.gif
  • 1_LOGO_Avalara.jpg