2021 war ein schwieriges Jahr für die Cybersicherheit. Wir sahen zusammenhängende Bedrohungen, die die Schwachstellen in einer vernetzten Welt ausnutzen. Mit der Beschleunigung des digitalen Wandels vervielfachten sich auch die Bedrohungsvektoren – und es entstand eine größere Anzahl unbekannter Schwachstellen als je zuvor. So hat der Bericht von Check Point beispielsweise einen kometenhaften Anstieg der Angriffe im vergangenen Jahr festgestellt, von denen nur 16 % auf neue Risiken zurückzuführen waren. Diese Herausforderung wird auch in nächster Zeit nicht verschwinden. Die Unternehmen haben eine neue Art des Wirtschaftens entdeckt, die auf völlig neuen Betriebsmodellen mit der Digitalisierung als Kernstück beruht. Ein gewisses Maß an Cyber-Risiken ist daher unvermeidlich.
Wie kann man also den derzeitigen digitalen Weg fortsetzen und gleichzeitig die Cyber-Risiken auf ein logisches Minimum beschränken? Schließlich können (oder sollten zumindest) Sicherheitsgründe Modernisierung, Effizienz und Wachstum nicht aufhalten. An dieser Stelle muss das Richtlinienmanagement eine Rolle spielen. Ein robustes Richtlinienmanagement mit einer ordnungsgemäßen Verfahrensdokumentation hilft dabei, die Verantwortung für die Sicherheit zwischen der IT-Abteilung und dem Rest des Unternehmens aufzuteilen.
Was bedeutet es, Sicherheit und Richtlinienmanagement miteinander zu verbinden?
Cybersicherheitsrichtlinien und -verfahren destillieren die technischen Maßnahmen, die die IT zur Bekämpfung von Cyber-Risiken ergreift, in Erkenntnisse und Aktionspunkte, die ein Geschäftsanwender verstehen kann. Richtlinien existieren in einem Unternehmen in irgendeiner Form, aber meistens bestimmen sie nur technische Konfigurationen und nicht geschäftliche oder menschliche Entscheidungen.
Ein solides Richtlinien- und Verfahrensdokument erkennt an, dass die Cybersicherheit nicht allein die Aufgabe der IT-Abteilung ist. Jede Abteilung, Funktion und Region des Unternehmens ist miteinander verbunden; eine kleine Schwachstelle kann sich schnell zu einer großen Bedrohung entwickeln. Die IT-Abteilung (und nur sie) für die Sicherheit verantwortlich zu machen, schränkt die Möglichkeiten der Cybersicherheit nur ein und drängt die erste Verteidigungslinie zu weit in das Unternehmen hinein.
Stattdessen sollten Unternehmen die Verwaltung von Sicherheitsrichtlinien aus demselben Blickwinkel betrachten wie andere Governance-Funktionen. Das beinhaltet:
Dokumentation und Wissenskonsolidierung
Richtlinien können nicht als Stammeswissen oder technische Datenblätter existieren. Neue Mitarbeiter, Teamleiter und Entscheidungsträger müssen auf eine breitere Nutzung vorbereitet werden. Darüber hinaus muss es eine regelmäßige Methode zur Konsolidierung und Aktualisierung des Sicherheitswissens geben, um mit den Markttrends Schritt zu halten.
Schulung zur Sensibilisierung der Benutzer
Die Verbreitung von Richtlinien ist ein wichtiger Bestandteil des Richtlinienmanagements bis zur letzten Meile. Die Mitarbeiter müssen sich der Pläne, Richtlinien und Verfahren bewusst sein und die Kontrollmechanismen kennen, die sich auf ihre täglichen Aufgaben auswirken. Während die Dokumentation eine passive Tätigkeit im Hintergrund ist, muss die Schulung proaktiv sein.
Funktionsübergreifende Zusammenarbeit
Ein Dokument zur Cybersicherheitspolitik liegt nicht in der Verantwortung der IT, des Chief Information Security Officer (CISO) oder der Technik allein. Stattdessen muss es die Beiträge verschiedener Teams berücksichtigen, die alle ein Interesse an der Unternehmensführung haben. Dazu gehören beispielsweise die Rechtsabteilung, die Personalabteilung, das Beschaffungswesen, das Risikomanagement, externe Aufsichtsbehörden, Wirtschaftsprüfer und bei Bedarf auch Berater.
Auswirkungen auf die Entscheidungsfindung
Der Zweck der Verknüpfung von Cybersicherheit und Richtlinienmanagement besteht letztlich darin, die Entscheidungsfindung auf allen Ebenen zu beeinflussen. Vom einfachen Mitarbeiter, der über die Installation einer SaaS-Anwendung nachdenkt, bis hin zum Beschaffungsteam, das eine Entscheidung über die Lieferkette trifft – die Cybersicherheit muss ein entscheidender Faktor für die Wahl sein.
3 Gründe, warum Sicherheitsrichtlinien und -verfahren im Jahr 2022 erfolgskritisch sind
In einer Welt vor der Pandemie hätte es vielleicht ausgereicht, ein eigenständiges, mit der IT verbundenes Security Operations Center (SOC) zu haben, das die Umsetzung der Cybersicherheit im gesamten Unternehmen überwacht. Aber jetzt, wo jedes Team, jeder Mitarbeiter, jeder Prozess und jedes Heimbüro zu einem potenziellen Bedrohungsvektor wird, sind Sicherheitsrichtlinien und -verfahren geschäftskritisch. Im Bericht Global Cybersecurity Outlook 2022 des Weltwirtschaftsforums werden drei besorgniserregende Trends genannt, die eine bessere Dokumentation erforderlich machen:
1. Führungskräfte und Sicherheitsverantwortliche sind nicht auf derselben Seite
Zumindest besteht ein Konsens über die Notwendigkeit einer größeren Cyber-Resilienz. 87 % der Führungskräfte planen, ihre Cyber-Resilienz zu verbessern, indem sie ihre Richtlinien bis 2022 verstärken. Während jedoch 92 % der Führungskräfte der Meinung sind, dass Cyber-Resilienz und Risikomanagement im Unternehmen bereits ausreichend integriert sind, sind nur 55 % der Sicherheitsverantwortlichen dieser Meinung. Es besteht eine offensichtliche Diskrepanz und ein chronischer Bedarf an robusteren Strategien.
2. In 32 % der Fälle ist die Cyber-Resilienz immer noch nicht Teil des allgemeinen Risikomanagements
Noch besorgniserregender ist die Tatsache, dass nur 68 % der Unternehmen der Meinung sind, dass die Cyber-Resilienz ein wesentlicher Bestandteil ihrer allgemeinen Risikomanagementstrategie ist. Das bedeutet, dass mehr als 3 von 10 Unternehmen einer wachsenden Zahl von Risiken ausgesetzt sind, da sie die Rolle der Cybersicherheit nicht ernst nehmen. Die Geschäftsleitung berät sich bei ihren Entscheidungen nicht mit der IT oder dem SOC, und die von den IT-Teams formulierten Richtlinien dringen nicht bis zur Basis durch.
3. Fehlende Dokumentation der Richtlinien führt zu einer unzureichenden Einstellung von Sicherheitskräften
Ohne eine konsolidierte Sammlung von Richtlinien, Dokumentationen und Governance-Leitlinien gibt es weniger Druck, die Sicherheitsfunktion zu stärken. Letztendlich werden die Unternehmen weniger Personal einstellen und mehr Vertragsarbeiter oder Gigworker beschäftigen, da sie die Sicherheit nicht als geschäftskritisch ansehen. Es überrascht daher nicht, dass 59 % der Unternehmen es als schwierig empfinden würden, auf einen Cybersecurity-Vorfall zu reagieren, weil es ihrem Team an Fähigkeiten mangelt.
Der Weg in die Zukunft
Die Sicherheitsereignisse des Jahres 2021 zeigen, dass es dringend notwendig ist, ein robusteres Richtlinienmanagement in der Unternehmenszentrale aufzubauen. Die Richtlinien müssen das Verhalten in Bezug auf Cybersicherheit und die Verhinderung von Datenlecks bis an die Basis weitergeben. Die Technologien sind verfügbar und einsatzbereit. Fortgeschrittene Cybersecurity-Tools, die KI und ML nutzen, sind als SaaS-Modelle verfügbar, und es gibt einen echten Anstoß, eine neue Generation von Cybersecurity-Talenten auszubilden. Das Herzstück dieses Wandels ist jedoch die Verbindung zwischen Cybersicherheit und Richtlinienmanagement. Unternehmen müssen erkennen, dass die Cybersicherheit im Jahr 2022 eine zentrale Rolle spielt, und bestehende Lücken dringend schließen.
Haben Sie in letzter Zeit eine Bestandsaufnahme Ihrer Cybersicherheitspolitik und -verwaltung gemacht?
