Vor dem Hintergrund der weltweiten Ransomware-Angriffe wie WannaCry und Petya im vergangenen Jahr hat BT gemeinsam mit KPMG einen Report zur Cyber-Sicherheit veröffentlicht. Der Bericht gibt Ratschläge, wie Unternehmen ihre Cybersecurity organisieren können.
Der Report „The Cyber Security Journey – From Denial to Opportunity“ warnt außerdem vor verbreiteten Fehlern. Dazu haben die Autoren fünf Stufen herausgearbeitet, die Unternehmen typischerweise auf dem Weg zur bestmöglichen Sicherheits-Strategie durchlaufen.
Zu den häufigen Fehlern gehört, dass Firmen die Gefahr nicht ernstnehmen (Stufe 1: „Denial“) oder in einer Phase großer Sorge (Stufe 2: „Worry“) relativ planlos in Security-Produkte investieren. Gefährlich ist es auch, sich in falscher Gewissheit sicher zu fühlen (Stufe 3: „False Confidence“).
Für viele Unternehmen folgt auf diese Phase nach einer Zeit der bitteren Erfahrungen die Erkenntnis, dass man doch verwundbar ist (Stufe 4: „Hard Lessons“).
Laut Report gehören Investitionen in Technologien wie Firewalls und Virenschutz zur unverzichtbaren Basis eines Cybersecurity-Konzepts, aber Unternehmen sollten Kurzschlussreaktionen vermeiden und keine übereilten Investitionen in IT-Sicherheitslösungen tätigen.
Dies gilt insbesondere für Unternehmen, die von der „Denial“-Phase zur Phase der ständigen Sorge („Worry“) übergegangen sind und davon ausgehen, dass die neueste Technologie das Allheilmittel gegen Cyber-Attacken ist. Diese Annahme führt dazu, dass Unternehmen nicht nur für Cyber-Kriminelle, sondern auch für übereifrige IT-Vertriebsmitarbeiter ein lohnendes Ziel abgeben.
Um die höchste Stufe („True Leader“) zu erklimmen, sollten Unternehmen zunächst ihr derzeitiges Vorgehen mit branchenweit bewährten Methoden („Best Practices“) abgleichen, um Schwachstellen aufzudecken und die Bereiche zu identifizieren, in die investiert werden soll. Zu diesen Best Practices gehören beispielsweise die vom UK National Cyber Security Centre (NCSC) erstellten Leitlinien.
Damit ein hoher Standard in Sachen Cybersicherheit erreicht werden kann, muss jeder Mitarbeiter, angefangen von der Chef-Etage, Verantwortung übernehmen. Firmen sollten in Trainingsmaßnahmen investieren, um die Mitarbeiter für das Thema Sicherheit zu sensibilisieren. So können Mitarbeiter, die oftmals die größte Schwachstelle im Sicherheitskonzept bilden, zu den wichtigsten Mitstreitern im Kampf gegen Cybercrime und für den Schutz von Daten werden.
Um eine echte Führungsrolle im Bereich der Cybersicherheit zu übernehmen, fordert der Bericht Unternehmen auf, robuste Governance-Prozesse einzuführen und Technologien sauber zu integrieren. Darüber hinaus sollten Unternehmen bei den weniger geschäftskritischen Sicherheitsaspekten ein Outsourcing an einen vertrauenswürdigen Partner erwägen.
Unternehmen könnten außerdem das Thema Cybersecurity anders betrachten, wenn sie untereinander eigene Erkenntnisse, Best Practices und Erfahrungen in einem kollegialen Netzwerk austauschten. So wird Cybersicherheit nicht zur Gefahr, die zweimal im Jahr im Vorstand diskutiert wird, sondern unterstützt das Geschäft und bietet die Voraussetzung für die digitale Transformation.
Mark Hughes, CEO von BT Security, sagte: „Das globale Ausmaß der vergangenen Ransomware-Angriffe zeigt uns, mit welch erstaunlicher Geschwindigkeit sich selbst die einfachsten Angriffe auf der ganzen Welt ausbreiten können. Viele Unternehmen hätten diese Angriffe durch bessere Standards bei der Cybersicherheit und durch die Einhaltung der grundlegenden Regeln abwehren können.
Die globalen Vorfälle führen uns vor Augen, dass sich heute jedes Unternehmen mit der Sicherheit seiner IT, sowie mit seinen Mitarbeitern und Prozessen auseinandersetzen muss – ganz gleich, ob es sich um einen kleinen Händler, ein mittelständisches Unternehmen oder große multinationale Konzerne handelt. Der aktuelle Report soll zum Schutz digitaler Unternehmen beitragen, indem diesen ein Weg zu besserer Cybersicherheit aufgezeigt wird.“
David Ferbrache, Technical Director bei der KPMG Cyber Security Practice, sagte: „Durch die jüngste Welle von Cyberangriffen bleiben diese Risiken ganz oben auf der Tagesordnung der Firmen, und entsprechend werden Investitionen vorgenommen. Unternehmen müssen reflexartige Reaktionen vermeiden, denn der Weg zur Cybersicherheit ist lang; es gibt kein Universalrezept. Entscheidend ist es, Grundregeln einzuhalten, dazu gehören das regelmäßige Einspielen von Patches genauso wie die Notwendigkeit, Sicherheitskopien zu erstellen.“
„Cyberbedrohungen entwickeln sich weiter, und Firmen sehen sich skrupellosen Kriminellen gegenüber, die wie Unternehmer agieren. Technische Wunderwaffen sind jedoch nicht die Lösung; in einer Welt, in der sich die Grenzen zwischen Unternehmen sich auflösen, werden gemeinschaftliche Anstrengungen verlangt. Cyberkriminelle werden immer kreativer bei der Suche nach Schwachstellen. Daher ist die Aufgabe der CISOs von morgen, sich um das digitale Risiko zu kümmern, Unternehmen dabei zu helfen, Chancen zu nutzen und eine Widerstandsfähigkeit gegen Cyberattacken aufzubauen.“
Obwohl Herausforderungen im Bereich der Cybersicherheit heute zunehmend auf Vorstandsebene diskutiert werden, finden solche Gespräche laut dem Bericht zu selten statt und werden als separates Problem, unabhängig von der operativen Praxis, behandelt. Allzu häufig wird Cyber-Sicherheit nicht in die übergeordnete Unternehmensstrategie integriert.
Ferner wird im Bericht argumentiert, dass eine übermäßig komplexe IT-Architektur Sicherheitslücken noch vergrößern kann. Dies ist insbesondere dann der Fall, wenn die eingesetzte Technologie zu schwierig zu verwenden oder nicht ausreichend integriert ist.