Transit: Italien brachte Klage gegen Österreich bei EuGH ein Bild: Transit: Italien brachte Klage gegen Österreich bei EuGH ein
EXPORT today online - 26/2024
Signa - Mietverträge für Oberpollinger und Alsterhaus stehen Bild: Signa - Mietverträge für Oberpollinger und Alsterhaus stehen
CrowdStrike: 97 Prozent der Computer laufen wieder Bild: CrowdStrike: 97 Prozent der Computer laufen wieder
Heimische Flughäfen im 1. Halbjahr mit 16,5 Mio. Passagieren Bild: Heimische Flughäfen im 1. Halbjahr mit 16,5 Mio. Passagieren
NEW BUSINESS Export - NB EXPORT 1/2024
EZB - Banken nicht ausreichend für Cyberangriffe gewappnet Bild: EZB - Banken nicht ausreichend für Cyberangriffe gewappnet
ChatGPT-Macher testen Suchmaschine Bild: ChatGPT-Macher testen Suchmaschine
Schwache Lage und viele Forderungen der Austro-Industrie Bild: Schwache Lage und viele Forderungen der Austro-Industrie
NEW BUSINESS Guides - AUTOMATION GUIDE 2024
Meta droht Milliarden-Strafe der EU Bild: Meta droht Milliarden-Strafe der EU
Gewerkschaft will Wohnen wieder "leistbar" machen Bild: Gewerkschaft will Wohnen wieder
Sie befinden sich hier:  Home  |  Sprechen wir über Cybersicherheit!

Sprechen wir über Cybersicherheit!

26. Juli 2024
Cyberrisikomanagement wird mit der neuen NIS2-Richtlinie für viele Unternehmen zur Pflicht. © Freepik

Häufig scheitert Cybersicherheit an der internen Kommunikation zwischen Geschäftsführung und IT.

Cyberrisikomanagement wird mit der neuen NIS2-Richtlinie für viele Unternehmen zur Pflicht. Doch häufig scheitert Cybersicherheit an der internen Kommunikation zwischen Geschäftsführung und IT. Wie lässt sich diese Lücke schließen?

„Sagt der CISO zum CEO: Wir stehen vor dem Abgrund. Antwortet der CEO: Dann gib mir Bescheid, wenn wir einen Schritt weiter sind.“ Dieser Witz verdeutlicht ein Grundproblem in der Kommunikation zwischen Cybersecurity-Verantwortlichen und der Geschäftsführung.

Oftmals ist nicht klar: Wie kritisch ist die Lage wirklich? Wie sicher ist das Unternehmen? Welche Schutzmaßnahmen sind sinnvoll und notwendig?

Wenn die Kommunikation misslingt, stehen Verantwortliche vor einem Dilemma. Nicht nur steht die Sicherheit des Unternehmens auf dem Spiel, was angesichts der aktuellen Situation sehr ernst zu nehmen ist. Denn die Bedrohungen im Cyberraum sind so groß wie nie zuvor. CISOs und Geschäftsführer sind auch mit der Frage konfrontiert, ob sie im Falle eines Cyberangriffs wegen einer Fehleinschätzung persönlich verantwortlich gemacht werden können. 

CISO oder CEO: Wer ist verantwortlich?
Die Frage rückt mit der neuen NIS2-Richtlinie der EU noch einmal in den Fokus. Diese schreibt Cyberrisikomanagement für zahlreiche „wesentliche“ und „wichtige“ Unternehmen vor. Grundsätzlich ist zunächst die Geschäftsleitung in der Pflicht, zu deren Aufgaben das unternehmerische Risikomanagement zählt. Darunter fällt mit NIS2 auch die Bewertung von Cyberrisiken. CEOs, die diesen Aufgaben nicht nachkommen, haften laut NIS2 persönlich für die entstandenen Schäden. Die Rolle des CISOs wiederum besteht darin, Cyberrisiken zu erkennen, zu beurteilen und an den CEO zu berichten, damit dieser die richtigen Entscheidungen treffen kann. 

 



©Trend Micro
  

„Fast die Hälfte der Security-Verantwortlichen in Österreich sagt, dass Cyberrisiken die größte Bedrohung für ihr Unternehmen darstellen. Es gelingt ihnen aber oft nicht, diese Risiken so zu kommunizieren, dass es die Geschäftsleitung versteht. Infolgedessen werden sie ignoriert, abgewiesen und der Nörgelei bezichtigt. Wenn sich die Kommunikation von IT und der Führungsebene nicht verbessert, wird die Cyberresilienz von Unternehmen leiden. Der erste Schritt zur Verbesserung sollte darin bestehen, eine ‚Single Source of Truth‘ für die gesamte IT-Umgebung des Unternehmens zu schaffen.“

Richard Werner, Security Advisor bei Trend Micro

 

Zwei Welten prallen aufeinander
CEO und CISO müssen beim Cyberrisikomanagement also eng zusammenarbeiten und miteinander kommunizieren. Beide Seiten stehen hier vor Herausforderungen. Für viele Geschäftsführer ist das Thema Cybersicherheit noch Neuland: Laut einer aktuellen Trend-Micro-Studie sagt jeder dritte IT-Verantwortliche in Österreich, dass seine Geschäftsführung Cybersecurity nicht als ihre Verantwortung sieht. Und nur 53 Prozent der Befragten sind der Ansicht, dass ihre Führungsebene die Cyberrisiken vollständig versteht, mit denen das Unternehmen konfrontiert ist. 

Umgekehrt fühlen sich 71 Prozent der österreichischen IT-Security-Verantwortlichen von ihrem CEO unter Druck gesetzt, Cyberrisiken herunterzuspielen. Wenn sie auf Bedrohungen hinweisen, werden sie der Nörgelei oder Schwarzmalerei bezichtigt. Offensichtlich gelingt es den CISOs nicht, den Zusammenhang zwischen Cybersicherheit und Business glaubhaft darzulegen – obwohl 45 Prozent der Befragten sagen, dass Cyberrisiken ihr größtes Geschäftsrisiko darstellen.

Wo liegt das Problem?
Einerseits ist die Kommunikation an sich schwierig, andererseits ist die Risikobewertung hochkomplex. CISOs müssen die Sprache der Geschäftsleitung sprechen und Eintrittswahrscheinlichkeit sowie die Auswirkung von Cyberbedrohungen besser darstellen. Welche Auswirkungen hat es auf das Unternehmen, wenn eine Schwachstelle angegriffen wird? Fallen Systeme aus, und wenn ja, wie viele? Wie lange steht die Arbeit still? Wie weit verbreitet ist das Risiko? All das sind Informationen, die die Geschäftsleitung braucht, um Entscheidungen zu treffen. Diese Fragen zu beantworten ist jedoch schwer. 

Wie gefährlich eine Schwachstelle für das Unternehmen ist, lässt sich nicht allein aufgrund des „offiziellen“ Kritikalitätswerts CVSS (Common Vulnerability Scoring System) beurteilen. Eine neue, als kritisch eingestufte Sicherheitslücke kann im Einzelfall weniger dringlich sein als eine ältere, vermeintlich harmlose, die jedoch von Hackergruppen häufig angegriffen wird. Um Risiken realistisch zu bewerten, müssen CISOs die Eintrittswahrscheinlichkeit und das mögliche Schadensausmaß individuell für ihr Unternehmen ermitteln. Dafür ist es nötig, sowohl interne Informationen zur eigenen Angriffsfläche als auch externe Bedrohungsinformationen im Zusammenhang zu betrachten. Da sich sowohl die interne IT-Umgebung als auch die Lage im Cyberraum dynamisch ändern, muss die Risikobewertung zudem kontinuierlich erfolgen.

 

Die wichtigsten Neuerungen von NIS2 auf einen Blick 
Die neue NIS2-Richtlinie der EU ist am 16. Jänner 2023 in Kraft getreten und von den Mitgliedstaaten bis zum 17. Oktober 2024 umzusetzen. Sie löst die bisherige NIS-Richtlinie von 2016 ab. In Österreich ist derzeit ein entsprechender Gesetzesentwurf zur neuen NIS2-Verordnung in Begutachtung. Das sind die wichtigsten Änderungen:
• Erheblich mehr Unternehmen sind betroffen: Die Zahl der Sektoren wächst auf insgesamt 18. Sieben neue Kategorien „wichtiger Einrichtungen“ kommen hinzu und Schwellenwerte werden gesenkt.
• Cyberrisikomanagement wird Pflicht.
• Unternehmen müssen auch das Risiko eines Cyberangriffs über ihre Lieferkette beurteilen können.
• Geschäftsführer haften persönlich für den Schaden, der durch Missachtung ihrer Pflicht zum Cyberrisikomanagement entsteht.
• Unternehmen müssen Mitarbeiterschulungen und Audits zur Cybersicherheit durchführen.
• Bei Verstößen drohen empfindliche Strafen.
• Es gelten strenge Meldepflichten für Cyberangriffe an die zuständigen nationalen Behörden.
• Die Mitgliedsstaaten richten nationale CSIRTs (Computer Security Incident Response Teams) ein. Diese arbeiten EU-weit zusammen und berichten an die übergreifende, koordinierende Cybersecurity-Behörde ENISA (European Union Agency for Cybersecurity).

 

Risiken priorisieren, mindern und monitoren
Risikomanagement bedeutet nicht, alle Risiken zu beseitigen. Das wird in der Praxis nie möglich sein und wäre unwirtschaftlich. Vielmehr geht es darum, angemessen im Verhältnis zum Risiko zu agieren. Wenn eine Security-Maßnahme mehrere Millionen kostet, das Schadenspotenzial aber nur wenige Tausend Euro beträgt, wäre das, wie mit Kanonen auf Spatzen zu schießen. Die Geschäftsleitung muss daher entscheiden, bis zu welchem Grad das Unternehmen mit welchen Risiken leben kann. Auch wenn man eine Sicherheitslücke nicht schließen will oder kann, darf man die Bedrohung aber nicht ignorieren, sondern muss sie zumindest monitoren. Nur so ist das Unternehmen in der Lage, einen Cyberangriff frühzeitig zu erkennen und zu stoppen, bevor größerer Schaden entsteht. Cyberrisikomanagement und Angriffserkennung spielen hier eng zusammen. Nicht umsonst schreibt die NIS2-Richtlinie beides verpflichtend vor.

Ein Plattform-Ansatz ist gefragt
Der Übergang zwischen Cyberrisikomanagement und der Erkennung von Cyberangriffen ist fließend. Beides muss ineinandergreifen und beeinflusst sich gegenseitig. Daher ist eine Plattform-Lösung empfehlenswert, die Attack Surface Risk Management (ASRM) und Extended Detection & Response (XDR) verzahnt und unter einer zentralen Konsole vereint. Beide Security-Technologien arbeiten KI-gestützt und hochautomatisiert. Sie werten interne und externe Security-Informationen aus, analysieren und korrelieren sie. So errechnet das System kontinuierlich den aktuellen Risiko-Score des Unternehmens, während es alle Ebenen der IT-Umgebung (also PCs, Laptops, Server, E-Mails, Netzwerk, Cloud etc.) überwacht. Wenn die Security-Plattform ein Risiko identifiziert, kann sie das Problem genauer untersuchen. Umgekehrt wird der Risikostatus angepasst, sobald die Software Anzeichen für einen Cyberangriff erkennt.

Eine solche Plattform-Lösung schafft Transparenz über die gesamte Angriffsoberfläche. Security-Verantwortliche haben dort alle wichtigen Informationen im Blick – und zwar managementtauglich aufbereitet. So können sie die Kommunikationslücke überwinden und schaffen die Basis, um die NIS2-Anforderungen zum Cyberrisikomanagement zu erfüllen. (PR/red.)

www.trendmicro.com