Irrtum 1: «100 Prozent Sicherheit»

Die Entwicklung eines Bewusstseins, dass es 100 Prozent Schutz vor Cyber-Kriminalität gibt. Dies ist weder machbar noch ein geeignetes Ziel. Es ist aber ein wichtiger Schritt auf dem Weg zu einer effektiven Sicherheitspolitik, die es dem Unternehmen erlaubt, Entscheidungen über sein Abwehrdispositiv zu treffen. Wirksame Abwehrmassnahmen setzen beim Verständnis der Bedrohung (der Täter und ihrer Tathandlungen) an. Diese enthalten Massnahmen in Bezug auf organisatorische Schwachstellen (Prävention), die Implementierung von Mechanismen, um drohende oder tatsächliche Vorfälle (Erkennung) zu erfassen, sowie die Fähigkeit, auf Vorfälle (Reaktion) sofort zu reagieren, um Verluste zu minimieren.

Partner-Inhalte
 
 
 
 
 
 

Irrtum 2: «Wir investieren in die Sicherheit, indem wir die besten erhältlichen Sicherheits-Tools implementieren»

Das Thema Cyber-Security wird auf dem Markt durch spezialisierte Anbieter von technischen Sicherheitsprodukten geprägt. Diese Werkzeuge sind für die Basissicherheit unerlässlich und müssen in die IT-Architektur integriert werden. Sie sind aber nur ein Teil und nicht die Grundlage einer ganzheitlichen und robusten Cyber-Security-Politik. Die Investition in technische Hilfsmittel sollte eine Massnahme und nicht der Treiber der Cyber-Security-Strategie sein. Es ist wichtig, dass Führungskräfte Verantwortung für den Umgang mit dieser Herausforderung übernehmen. Die Technologie allein kann in dieser Hinsicht nicht helfen. Sie müssen auch bereit sein, Mitarbeiter zu schulen, um das Bewusstsein für die Bedrohung durch Cyber-Angriffe zu fördern.

Irrtum 3: «Unsere Abwehrmassnahmen reichen gegen Angriffe der Hacker aus»

Die Bekämpfung von Cyber-Kriminalität ist ein markantes Beispiel für einen nicht zu gewinnenden Wettlauf. Die Angreifer sind bei der Entwicklung neuer Methoden und Technologien gegenüber den Verteidigern immer einen Schritt voraus. Aber ist es wirklich sinnvoll, in Abwehrmassnahmen zu investieren, um mit den immer raffinierter werdenden Werkzeugen der Angreifer Schritt zu halten?

Ja, es ist wichtig, den präventiven Ansatz und die damit verbundenen Abwehrmassnahmen auf dem neuesten Stand zu halten, um so einen Einblick in die Absichten der Angreifer und deren Methoden zu erhalten. Das Management muss den Wert der Informationen im Unternehmen und die Implikation auf das Kerngeschäft bei einem Verlust dieser Informationen verstehen. Die Cyber-Security-Strategie und -Politik braucht es, um Investitionen in diesem Bereich zu priorisieren, anstatt zu versuchen, alle Risiken abzudecken. Kurz gesagt sollte das Management sich der neuesten Techniken bewusst sein, sie aber risikobasiert und gezielt gegen ihre Bedrohungen einsetzen.

Irrtum 4: «Überwachung ist alles»

Nur Unternehmen, die in der Lage sind, externe Entwicklungen und Trends zu verstehen, und diese Erkenntnis nutzen, um die Sicherheitspolitik und -strategie anzupassen, sind auf lange Sicht in der Prävention erfolgreich. Die Praxis zeigt, dass Cyber-Security stark von der Compliance getrieben wird. Dies ist verständlich, denn viele Unternehmen müssen eine Reihe von Gesetzen und Vorschriften erfüllen. Allerdings ist es kontraproduktiv, die Compliance alleine als das ultimative Ziel der Cyber-Security-Politik zu betrachten.

Irrtum 5: «Wir stellen die besten Experten an, um uns gegen Cyber-Kriminalität zu schützen»

Cyber-Sicherheit wird oft als Verantwortung einer Fachabteilung von Informationssicherheitsexperten gesehen. Diese Denkweise kann ein falsches Gefühl von Sicherheit hervorrufen. Die eigentliche Herausforderung ist, Cyber-Sicherheit zu einem Mainstream-Ansatz zu machen. Dies bedeutet, dass Cyber-Sicherheit zu einem Teil der organisationsweiten Vorgaben und Richtlinien wird.

Dies bedeutet aber auch, dass Cyber-Sicherheit als eine zentrale Funktion in die Entwicklung neuer IT-Systeme einbezogen wird und dass nicht – wie häufig – erst am Ende solcher Projekte um ihre Zustimmung angefragt wird.

* Roman Haltinner ist Director Cyber Security Services bei KPMG, Zürich