Cybersicherheit für Unternehmen -

Cybersicherheit für Unternehmen (eBook)

Profi-Strategien zur Abwehr von Gefahren aus dem Netz

Larry Clinton (Herausgeber)

eBook Download: EPUB
2024 | 1. Auflage
300 Seiten
Plassen Verlag
978-3-86470-950-0 (ISBN)
Systemvoraussetzungen
30,99 inkl. MwSt
  • Download sofort lieferbar
  • Zahlungsarten anzeigen
Weltweit sind Unternehmen in zunehmendem Maße Cyberattacken ausgesetzt. Sind Sie dagegen gewappnet? Oder ist auch Ihr Unternehmen bereits Opfer von Cyber-angriffen geworden und Sie wollen es in Zukunft davor schützen? Dieses Buch liefert Ihnen das notwendige Know-how. Die darin enthaltenen Strategien wurden gemeinsam mit international führenden Vertretern aus Regierungen, Technologie und Vorstandsetagen entwickelt. Die Autoren stellen die Gefahren, mit denen Unternehmen heute konfrontiert sind, systematisch zusammen und bieten zeitlose praxisorientierte Lösungen für den Umgang mit Cyberbedrohungen. 

Larry Clinton ist Präsident der Internet Security Alliance und international gefragter Cyberpolitik-Experte mit hoher Medien-­präsenz. Clinton hat unter anderem die NATO, die Organisation Amerikanischer Staaten, die G-20 und den US-Kongress in Cybersicherheitsfragen beraten. Er wurde zweimal in die Liste 'Directorship 100' der einflussreichsten Personen in der Corporate Governance aufgenommen.

KAPITEL 1


CYBERSICHERHEIT IST (NICHT) EIN IT-PROBLEM


VON LARRY CLINTON, PRÄSIDENT UND GESCHÄFTSFÜHRER DER INTERNET SECURITY ALLIANCE, UND CARTER ZHENG, FORSCHUNGSMITARBEITER DER ISA

Fünf wichtige Erkenntnisse, die Sie aus diesem Kapitel mitnehmen können


  1. 1 Die Unternehmen haben bei der Bewältigung von Cyberrisiken nur geringe Fortschritte gemacht, weil sie das Thema zu sehr als eine rein technische/operative Angelegenheit betrachtet haben.
  2. 2 Um in der modernen Wirtschaft wettbewerbsfähig zu sein, müssen Unternehmen die digitale Transformation in Angriff nehmen.
  3. 3 Die digitale Transformation kann das Wachstum und die Rentabilität erheblich steigern, aber auch die Risiken erheblich erhöhen.
  4. 4 Grundlegende technische Sicherheitsmaßnahmen sind notwendig, reichen aber allein nicht aus, um Cyberbedrohungen zu bekämpfen. Cybersicherheit muss ein Thema des unternehmensweiten Risikomanagements sein.
  5. 5 Unternehmen können sich nicht vollständig absichern, aber sie können ihr Cyberrisiko mit einem angemessenen Verständnis, einer geeigneten Struktur sowie entsprechenden Investitionen und Risikomanagement-Methoden steuern.

Einleitung


Eine der unumstößlichsten Tatsachen im Bereich der Cybersicherheit ist, dass die Angreifer den Kampf um den Cyberspace gewinnen – und zwar mit großem und wachsendem Vorsprung.

Im Februar 2020 sprach der geschäftsführende Direktor des Cybersecurity-Centers des Weltwirtschaftsforums, Troels Oerting, vor der G-20-Arbeitsgruppe für digitale Wirtschaft in Riad, Saudi-Arabien, und berichtete, dass Cyberkriminalität die Weltwirtschaft im vergangenen Jahr zwei Billionen Dollar gekostet habe. Das WEF schätzt, dass die Verluste in drei Jahren auf sechs Billionen Dollar ansteigen werden.1 Die G20 ist eine Gruppe der größten Volkswirtschaften der Welt. Obwohl man dem Gemeinwesen der Cyberkriminalität kein eigenes BIP zumessen kann, entspricht der Schaden durch Cyberkriminalität insgesamt dem BIP der zehn größten G-20-Länder – knapp vor dem Vereinigten Königreich.2

Es gibt eine Reihe von Gründen, warum Cyberkriminalität ein so großes und wachsendes Problem ist, aber keiner ist wesentlicher als die Tatsache, dass das Thema Cybersicherheit völlig missverstanden wird. Die meisten Regierungen, Unternehmen und Privatpersonen betrachten die Cybersicherheit als ein technisches oder ein IT-Problem. Das ist ein Irrglaube. Cybersicherheit ist ein unternehmensweites Problem des Risikomanagements. Natürlich ist die Technologie ein wichtiger Teil dieses Problems, aber sie ist nicht der einzige Teil des Problems – vielleicht nicht einmal der wichtigste Teil.

In dem von der NACD veröffentlichten Cyber Risk Oversight Handbook ist dazu zu lesen:

In der Vergangenheit stuften viele Unternehmen und Organisationen die Informationssicherheit als technisches oder betriebliches Problem ein, das von der IT-Abteilung zu behandeln ist. Dieses Missverständnis wurde durch isolierte Betriebsstrukturen genährt, die dazu führten, dass sich Funktionen und Geschäftsbereiche innerhalb des Unternehmens von der Verantwortung für die Sicherheit ihrer eigenen Daten abgekoppelt fühlten. Stattdessen wurde diese kritische Verantwortung an die IT-Abteilung abgegeben, eine Abteilung, die in den meisten Unternehmen über zu wenig Ressourcen und Budget verfügt. Darüber hinaus verhinderte die Verlagerung der Verantwortung auf die IT-Abteilung eine kritische Analyse von Sicherheitsproblemen und die Kommunikation darüber und behinderte die Einführung effektiver, unternehmensweiter Sicherheitsstrategien.3

Folglich ist die überwiegende Mehrheit der Initiativen zur Behebung von Cybersicherheitsproblemen technischer und operativer Natur, und die Personen, die mit der Bewältigung des Problems betraut werden, sind fast immer IT-Spezialisten.

Das Ergebnis dieses historischen Musters wurde in einer aktuellen Studie von EY, einer der Big-4-Wirtschaftsprüfungsgesellschaften, aufgezeigt:

77 Prozent der Unternehmen arbeiten immer noch mit nur begrenzter Cybersicherheit und Widerstandsfähigkeit [gegen Cyberbedrohungen], während 87 Prozent der Unternehmen darauf hinweisen, dass sie noch nicht über ausreichende Mittel verfügen, um das gewünschte Maß an Cybersicherheit und Widerstandsfähigkeit zu gewährleisten.4

Warum wir bei der Sicherung des Cyberspace keine Fortschritte machen


Dieser traditionelle, weitgehend taktische Ansatz in puncto Cybersicherheit muss zwar Teil eines umfassenden Programms für das Management von Cyberrisiken sein, reicht aber nicht aus, um ein widerstandsfähiges Unternehmen zu schaffen. Die Realität zeigt, dass Cybersicherheit nicht nur ein IT-Thema ist. Sie muss als strategisches, unternehmensweites Risiko verstanden werden, nicht nur als IT-Risiko.

Es gibt viele verschiedene Arten von Risiken, die eine mangelhafte Cybersicherheit mit sich bringen kann: Datenverlust, Datenverfälschung, Erpressung, Schädigung des Rufs des Unternehmens sowie rechtliche und Compliance-Risiken. Die Verantwortung für das Management dieser Cyberrisiken erstreckt sich auf das gesamte Unternehmen. Viele Studien haben beispielsweise gezeigt, dass die Hälfte oder mehr der Cyberverstöße durch menschliches Versagen – also durch die Personalabteilung – und nicht durch technische Pannen verursacht werden. Das charakteristische Merkmal des Internets ist die umfassende Vernetzung zwischen Anbietern, Partnern, Kunden und anderen Personen. Diese Beziehungen werden in der Regel durch Verträge oder Dienstleistungsvereinbarungen bestimmt, was bedeutet, dass die Rechtsabteilung – vielleicht in Verbindung mit einem separaten Lieferantenmanagement-Team – der Knotenpunkt des Cybersicherheitsproblems sein kann. Immer dann, wenn (nicht falls) es zu Cyberverletzungen kommt, sind die meisten Unternehmen zu Recht besorgt über die Auswirkungen der Verletzung auf ihren Ruf. Die Verwaltung des Cybersicherheitsrisikos in dieser Phase ist also weitgehend Aufgabe der Kommunikations-/PR-Abteilung.

Leider sind die Beziehungen zwischen dem Bereich Cybersicherheit und anderen kritischen Unternehmensbereichen oft von Missverständnissen und Misstrauen geprägt. Eine Umfrage von EY aus dem Jahr 2020 ergab, dass in den meisten Unternehmen die Kommunikation zwischen dem Bereich Cybersicherheit und den Geschäftsbereichen systematisch gestört ist. So stellte EY beispielsweise fest, dass in 74 Prozent der Unternehmen die Beziehung zwischen dem Cybersicherheitsbereich und der Marketingabteilung als bestenfalls neutral bis misstrauisch oder nicht existent bezeichnet wurde. Fast die Hälfte der Personalabteilungen schilderte ihre Beziehung zum Cybersicherheitsbereich auf die gleiche Weise, ebenso wie die Forschungs- und Entwicklungsabteilungen und die Finanzabteilungen.5

Kurz gesagt, die Cybersicherheit liegt in der Verantwortung aller. Aber wie das alte Sprichwort sagt: Wer als Werkzeug nur einen Hammer hat, sieht in jedem Problem einen Nagel. Wenn ein Unternehmen Cybersicherheit im Wesentlichen als technisches Problem betrachtet und das Management von Cyberrisiken ausschließlich den IT-Abteilungen überlässt, wird es in erster Linie IT-Lösungen erhalten, die wahrscheinlich nicht ausreichen, um das gesamte Cyberrisiko zu bewältigen.

Wie ein anderes altes Sprichwort sagt: Wer die falschen Fragen stellt, bekommt die falschen Antworten. Um zu gewährleisten, dass ein Unternehmen die richtigen Fragen zur Cybersicherheit stellt, müssen die Führungskräfte des Unternehmens verstehen, dass Cybersicherheit nicht von den IT-Mitarbeitern erledigt werden kann. Die Cybersicherheit muss als integraler Bestandteil der Geschäftstätigkeit und des Auftrags des Unternehmens verstanden und umfassend verwaltet werden.

ESI ThoughtLab hat Anfang 2020 eine Studie mit mehr als 1.000 Unternehmen durchgeführt und ist zu dem Schluss gekommen, dass Chief Information Security Officers (CISOs) weit über die Einhaltung von technischen Rahmenbedingungen hinausgehen müssen, um die Risikowahrscheinlichkeit zu reduzieren.6 Cybersicherheits-Führungskräfte müssen diese technischen Rahmenbedingungen in ihre Geschäftsziele, Strategien und individuellen Risikoprofile integrieren.

Die digitale Transformation macht Cybersicherheit zu einem Businessthema


Eine der wichtigsten Fragen, mit denen sich Unternehmen im 21. Jahrhundert konfrontiert sehen, ist, wie sie die wirtschaftliche Notwendigkeit der digitalen Transformation mit den erheblichen Cybersicherheitsrisiken in Einklang bringen können, die mit einer solchen Transformation einhergehen. Melissa Hathaway, die leitende Beraterin für Cybersicherheit sowohl für Präsident George W. Bush als auch für Präsident Obama, stellte fest:

Unternehmen haben sich die Informations- und Kommunikationstechnologie zu eigen gemacht, sie übernommen und in ihre Netzwerkumgebungen und...

Erscheint lt. Verlag 14.3.2024
Sprache deutsch
Themenwelt Sozialwissenschaften Politik / Verwaltung
ISBN-10 3-86470-950-4 / 3864709504
ISBN-13 978-3-86470-950-0 / 9783864709500
Haben Sie eine Frage zum Produkt?
EPUBEPUB (Wasserzeichen)
Größe: 2,8 MB

DRM: Digitales Wasserzeichen
Dieses eBook enthält ein digitales Wasser­zeichen und ist damit für Sie persona­lisiert. Bei einer missbräuch­lichen Weiter­gabe des eBooks an Dritte ist eine Rück­ver­folgung an die Quelle möglich.

Dateiformat: EPUB (Electronic Publication)
EPUB ist ein offener Standard für eBooks und eignet sich besonders zur Darstellung von Belle­tristik und Sach­büchern. Der Fließ­text wird dynamisch an die Display- und Schrift­größe ange­passt. Auch für mobile Lese­geräte ist EPUB daher gut geeignet.

Systemvoraussetzungen:
PC/Mac: Mit einem PC oder Mac können Sie dieses eBook lesen. Sie benötigen dafür die kostenlose Software Adobe Digital Editions.
eReader: Dieses eBook kann mit (fast) allen eBook-Readern gelesen werden. Mit dem amazon-Kindle ist es aber nicht kompatibel.
Smartphone/Tablet: Egal ob Apple oder Android, dieses eBook können Sie lesen. Sie benötigen dafür eine kostenlose App.
Geräteliste und zusätzliche Hinweise

Buying eBooks from abroad
For tax law reasons we can sell eBooks just within Germany and Switzerland. Regrettably we cannot fulfill eBook-orders from other countries.

Print-Ausgabe
Buch | Softcover
34,90 €
Mehr entdecken
aus dem Bereich
Erinnerungen - Wolfgang Schäuble
Erinnerungen
Mein Leben in der Politik

von Wolfgang Schäuble

eBook Download (2024)
Klett-Cotta (Verlag)
29,99
Grünes Wachstum - Hans-Jörg Naumer
Grünes Wachstum
Mit „Green Growth“ gegen den Klimawandel und für die …

von Hans-Jörg Naumer

eBook Download (2023)
Springer Fachmedien Wiesbaden (Verlag)
9,99
auf Facebook teilen
bei Twitter
Link zu dieser Seite kopieren