Unternehmensvorstände müssen Cybersicherheit zur Chefsache erklären

Was können Führungskräfte tun, um Unternehmen vor Cyberattacken zu schützen?

LinkedIn-Nutzer müssen heutzutage sehr aufpassen. Sie sind angeblich das beliebteste Ziel von Phishing-Angriffen überhaupt. Das hat zumindest eine Untersuchung von Atlas VPN aus dem Frühjahr 2022 gezeigt. Kriminelle wenden sich per Mail oder Sofortnachricht an LinkedIn-Nutzer, um an sensible Daten zu kommen. Die Leidtragenden dieser Angriffe sind häufig Unternehmen, die am Ende vor einem Millionenschaden stehen.

Alleine in Deutschland lag der unternehmerische Schaden im vergangenen Jahr bei unglaublichen 206 Milliarden Euro, das zeigen Schätzungen des Branchenverbands Bitkom vom vergangenen Jahr. Und noch eine schwer zu fassende Zahl: Das BSI hat ebenfalls im Jahr 2023 insgesamt 15 Millionen Cyberattacken im Land gezählt. Die Zielunternehmen sind völlig beliebig und nicht auf besondere Branchen oder Unternehmensgrößen abgestellt. Für Unternehmen geht es also nicht mehr um die Frage, OB sie angegriffen werden, sondern nur noch WANN dies geschieht. Organisationen müssen darauf vorbereitet sein, dass Kriminelle versuchen, Schwachstellen in ihrer IT auszunutzen.

Es geht nicht mehr um die Frage, ob Unternehmen angegriffen werden, sondern wann dies geschieht.

Nach einem Cyberangriff ist es an den Führungskräften eines Unternehmens, die technischen Probleme zu lösen und die Verantwortlichen zu identifizieren. Die Unternehmensleitung ist für Cyberangriffe persönlich haftbar, sie kann sich dem auch nicht durch Weitergabe der Verantwortung oder externe Beauftragung entziehen. Die persönliche Haftung ist nicht automatisch über die D&O-Versicherung abgedeckt.

Was also tun? Die Lösung klingt einfach, auch wenn sie nicht leicht ist: Führungskräfte und Vorstandsmitglieder müssen die Cybersicherheit priorisieren, zur Chefsache erklären und dabei einige Punkte berücksichtigen.

So kann die Cybersicherheit erhöht werden

Zunächst muss innerhalb des Unternehmens eine Kultur gefördert werden, die alle Beschäftigten für Cybersicherheit sensibilisiert. Denn Mitarbeiterfehler machen 85% der Datenverletzungsverstöße aus. Deshalb müssen alle Mitarbeiter die potenziellen Auswirkungen eines Cyberangriffes verstehen. Natürlich nervt es, wenn gewohnte Programme und Anwendungen verboten werden. Natürlich ist es unbequem, wenn komplizierte Passwörter verwendet werden müssen. Ungeheuerlich, wenn sich diese auch noch ständig verändern müssen! Und gerade deshalb müssen solche Maßnahmen im Unternehmen erklärt und begründet werden. Es braucht eine cybersicherheitsbewusste Kultur, die Mitarbeiter über Awareness-Schulungen für Sicherheitsrisiken sensibilisiert und die ermöglicht, dass sich Mitarbeiter zu Sicherheitsexperten weiterbilden können. Auch das Üben von Cyberangriffen und deren Abwehrmechanismen gehört dazu. Die klassische „Wer macht was mit wem und wann-Simulation“ im Falle einer Cyberattacke kann hilfreiche Erkenntnisse liefern und entscheidende Abläufe einüben, so wie man es auch von Brandübungen kennt. Dabei sollte die Simulation so wirklichkeitsnah wie möglich erfolgen, inklusive der Einbeziehung interner und externer Beteiligter, wie zum Beispiel auch der Polizei in einem solchen Fall.

Investitionen in Sicherheitstechnologie und Implementierung präventiver Maßnahmen

Gleichzeitig sollten Ressourcen bereitgestellt werden, um robuste Cyber Security Technologien implementieren und aufrechterhalten zu können. Schließlich bleiben viele Cyberangriffe deshalb lange unerkannt, weil Unternehmen über keine zeitgemäßen Technologien verfügen. Bekämpfen Sie die Bedrohungen aus dem digitalen Raum mit fortschrittlichen Sicherheitstechnologien. Es braucht nicht nur klassische Firewalls, sondern auch Intrusionserkennungs- und Präventionsysteme (IDS/IPS), Verschlüsselungstools, Zwei-Faktor-Authentifizierung (2FA), Antimalware-Lösungen und Endpunktschutzsoftware. Obwohl die anfängliche finanzielle Investition in Cyber Security Technologie „einschüchtern“ kann, haben Unternehmen mit vollständig implementierter Sicherheits-Software Erfahrungen gemacht, die um mehrere Millionen günstiger waren, als diejenigen ohne vergleichbare Einrichtungen. Das ergab der „Cost of a Data Breach Report 2023“ von IBM.

Die Geschäftsleitung muss dafür sorgen, dass die Cyber Security Architektur des Unternehmens auf die Prävention von Cyberangriffen ausgerichtet ist. Knapp ein Drittel der Organisationen, die einen Angriff erleiden mussten, werden nämlich innerhalb von drei Jahren erneut Opfer krimineller Eindringlinge. Eine wirkungsvolle Präventionsstrategie ist von Nöten. Hierfür sind laufende Risikobewertungen und Penetrationstests unerlässlich. Cyber-Sicherheit ist ein fortlaufender Prozess, der ständige Anpassungen erfordert, um mit den sich entwickelnden Bedrohungen Schritt zu halten. Es ist unerlässlich, diese Systeme zu implementieren und gleichzeitig auf dem neuesten Stand zu bleiben.

Knapp ein Drittel der angegriffenen Organisationen werden innerhalb von drei Jahren erneut Opfer krimineller Eindringlinge.

Doch wer soll all diese Maßnahmen kompetent implementieren und nachhaltig betreiben? Keine Frage: Heute braucht es in der Unternehmensspitze Personen mit umfangreicher Erfahrung in der Cybersicherheit und Fähigkeiten zur Eindämmung von Cyberbedrohungen. Also stellen Sie Cybersicherheitsexperten ein! Ja, die Konkurrenz um IT-Fachkräfte ist riesig. Laut Bitkom waren 2023 in Deutschland 149.000 IT-Stellen unbesetzt. Dementsprechend schwierig ist es, Cybersicherheitsspezialisten zu finden, einzustellen oder extern zu beauftragen. Noch herausfordernder wird es, wenn es um die Besetzungen auf der Führungsebene geht. Doch wenn man bedenkt, dass ein Unternehmen bis zu acht Monate benötigt, um sich von einem Cyberangriff zu erholen, dann sind die Investitionen in gutes, fachlich versiertes Personal sinnvoll und notwendig. Es ist daher ratsam, Chief Information Security Officers (CISOs) oder Chief Security Officers (CSOs) in die Firmenleitung zu berufen.

Exekutive Search-Berater unterstützen die Unternehmensleitung bei der Suche nach Cybersicherheitsexperten für ihr Führungsteam

Genau hier bekommt ein globales Executive Search Unternehmen mit Erfahrung bei der Besetzung von Cybersicherheitsexperten besondere Bedeutung. Wir unterstützen Sie dabei, die richtigen Führungskräfte zu finden, die für die Cyber-Sicherheit in Ihrer Organisation sorgen. Sie wollen mehr darüber wissen? Dann schreiben Sie mir gerne! Aber bitte nur, wenn es keine Phishing-Nachricht ist…