Erfahrungen & Bewertungen zu 8S IT-Sicherheit e.K.
Geschätzte Lesedauer: 5 Minuten

Die SolarWinds-Attacke: Sieben Lektionen für CEOs, Aufsichtsräte und Investoren

Die SolarWinds Supply-Chain-Attacke hat die Notwendigkeit für ein tieferes Verständnis von Cybersicherheit unterstrichen, welches Vorstände und die Leitungsebene benötigen. In einer Welt permanenter Bedrohungen, die in den meisten Unternehmensnetzwerken lauern und für Überwachungstools meist unsichtbar sind, möchte ich Ihnen die wichtigsten Schlussfolgerungen aufzeigen, um Ihren Ruf und Ihren Unternehmenswert angesichts dieser unbekannten Bedrohungen zu schützen.

Die Notwendigkeit für Cybersicherheit

Die SolarWinds-Attacke zeigt enorme Möglichkeiten auf für fortschrittliche Unternehmen, um sich selbst, Ihre Kunden und Ihre eigene Reputation zu verstehen, zu überwachen und zu schützen. Es beginnt damit, zu verstehen, dass Sie damit nicht alleine sind. Angreifer, oft gegnerische Staaten, zielen mit denselben Werkzeugen auf Unternehmen wie Ihres ab. Die Frage ist doch, ob Sie besser vorbereitet und in der Lage sind, sich zu verteidigen oder nach solchen Angriffen effizient zu kontern. Noch wichtiger ist die Frage, können Sie als Führungskraft, Berater oder Investor zum richtigen Zeitpunkt auf die richtigen Ressourcen zurückgreifen? Können Sie Bedrohungen erkennen und beseitigen, bevor sie den Ruf Ihres Unternehmens schädigen?

Gut informierte Führungskräfte stellen nun die Frage: Hat das Unternehmen ausreichende Cybersicherheit erreicht? Und die Antwort in der Besprechung muss ein klares „Ja!“ sein.

Dieser Beitrag bietet Führungskräften, Beratern und Investoren sieben Lektionen zur Festlegung von Best Practices für die Cybersicherheit, um ähnliche Herausforderungen in Zukunft angehen zu können. Diese Empfehlungen basieren auf jahrzehntelanger Erfahrung in der Unternehmensentwicklung im Cybersicherheits-, Cloud- und Infrastrukturumfeld.

Lektion 1: Eignen Sie sich eine „Security First“ und „Compliance First“ Denkweise an, von Oben nach Unten

Eine positive Einstellung zur IT-Sicherheit impliziert, dass das Führungsteam und der Vorstand die Risiken verstehen, die für das jeweilige Unternehmen bestehen. Sie impliziert auch, dass das Unternehmen die Risiken versteht, die es für seine Kunden und Partner schafft. Eine Compliance-Denkweise ist dagegen ein Wettlauf um das, was notwendig ist, um eine rechtliche Hürde gerade so zu schaffen. Eine „Compliance First“ Denkweise ist insofern regressiv, als dass sie die Baseline bestimmt und Ihnen die Sicherheit für eine gewisse, begrenzte Zeit in der Zukunft bietet. Leider schlägt diese Strategie für die IT-Sicherheit fehl, da sich Bedrohungen ständig weiterentwickeln und die Gegner immer raffinierter werden. Das Führungsteam und der Vorstand müssen vierteljährlich feststellen, wie die Bedrohungslage für ihr Unternehmen ist – sowohl für das Unternehmen selbst als auch für die Kunden und Partner.

Lektion 2: Chief Information Security Officer (CISOs) müssen Teil des Vorstandes sein und dürfen nicht an den Leiter der IT berichten

Gute CISOs sind darin geschult, über laufende Bedrohungen und sich entwickelnde Angriffsflächen für Ihr gesamtes Unternehmen nachzudenken. Dies umfasst versehentliche Datenlecks in den Reihen Ihrer Kunden, Risiken für Kunden durch die Verwendung Ihrer Produkte und die Risiken Ihres Unternehmens bei der Bereitstellung von Technologien für den eigenen Gebrauch. Infolgedessen muss der CISO alle Facetten des Geschäftes kennen und als leitender Mitarbeiter den Einfluss haben, Dinge auf atomarer Ebene zu verändern. Der CISO ist rechenschaftspflichtig, wenn es darum geht, dass seine Empfehlungen in das Unternehmen einwirken und der fortlaufende Schutz und das Risiko jederzeit messbar sind. Dies klingt belastend und kann unternehmenspolitische Auswirkungen haben, aber der Schaden, den Sie aufgrund eines Angriffs erleiden, der Sie blindlings getroffen hat und dem Sie sich nicht widersetzen können, kann vorübergehend auf den Kapitalmärkten und dauerhaft vom Standpunkt der eigenen Reputation verheerend sein.

Lektion 3: KPIs für den CISO müssen fortlaufenden Schutz und Korrekturen umfassen

Es scheint oft gängige Praxis zu sein, einen CISO zu feuern, sobald ein neues Sicherheitsproblem in einem Netzwerk entdeckt wird. Aber diese Denkweise ist archaisch und wenig effektiv. Stattdessen muss das Gespräch gesucht werden mit dem CISO. Über die Verantwortlichkeiten des CISO im Falle einer Bedrohung, die sich ändern muss, auf die das Unternehmen sich anpassen muss. Gestehen Sie dem CISO ein Budget zu, das der Sicherheitslücke des Unternehmens entspricht. Messen Sie den Erfolg nicht nur an der Verfügbarkeit der Geschäftsprozesse in einem bestimmten Zeitraum, sondern auch an dem Bewusstsein, welches der CISO im Laufe der Zeit in jedem Teil des Geschäftes erzeugt hat. Fügen Sie diesem Mix KPIs hinzu, wie das Unternehmen auf eine Bedrohung reagiert, die außerhalb des eigenen Bereiches entsteht, wie im Falle von SolarWinds. Modellieren Sie dieses Verhalten und seine Auswirkungen auf Ihre Kunden sowie Ihren Ruf und anschließend Ihren Aktienkurs/Ihre Unternehmensbewertung. Geben Sie dem CISO den Spielraum, Ihre Wiederherstellungsstrategien zu beeinflussen, bevor Sie einen neuen Kopf für den Schleudersitz suchen. Der Austausch CISOs ohne KPI für umgesetzte Verbesserungen führt ausnahmslos zu sinkenden Renditen.

Lektion 4: Ein vertrauenswürdiger Lösungsanbieter/Partner ist kein sicherer Partner

Der Angriff auf die SolarWinds-Lieferkette hat bewiesen, dass Bedrohungen oft außerhalb der Kontrolle Ihrer eigenen, bewährten Sicherheitsmaßnahmen liegen könnte. Im Wesentlichen ist kein Partner ein sicherer Partner, egal wie groß das Unternehmen ist und wie seriös seine Sicherheitspraxis ist. Durch die Schaffung einer eigenen Netzwerkzone, in der neue Produkte implementiert werden, verringert die Bedrohungen, die durch vertrauenswürdige Partnerlösungen geschaffen werden. Dies knüpft an den zuvor genannten Punkt in Bezug auf die KPIs für CISOs an, zum kontinuierlichen Schutz aller Lösungen, ob selbst entwickelt oder extern beschafft.

Lektion 5: Mangelnde Sicherheit ist der falsche Hebel zur Steigerung der Rentabilität

Es kann davon ausgegangen werden, dass eine wichtige Bewertungsmatrix für Unternehmen darin besteht, dass die Bewertung der der Sicherheitslage ein bestimmtes Sicherheitslevel aufweist. Der Grad der Cybersicherheit wird dabei an den Technologie- und Schulungsmaßnahmen für laufende Schutzmaßnahmen für die eigenen Vermögenswerte sowie an den Risiken für die Kunden und Partner Ihres Unternehmens gemessen. Ein Schlüsselfaktor für diesen Grad der Cybersicherheit werden auch die Bemühungen sein, die das Unternehmen angesichts früherer Bedrohungen bereits unternommen hat, um Schäden zu beseitigen, und die Zeit, die für die Reaktion benötigt wird (gewichtet nach der Schwere der Bedrohung). Je höher der Grad an Cybersicherheit, desto höher die Bewertung dieses Unternehmens. Private-Equity-Unternehmen, die sich auf Cybersicherheitsunternehmen spezialisiert haben, sollten den Cyber-Qualitäten ihrer Portfolio-Unternehmen mehr Beachtung schenken und sie nicht kurzfristig aus Gründen der Rentabilität aufgeben. Meine Empfehlung an Unternehmen: Stellen Sie Ihr kontinuierliches Engagement für Cybersicherheit und Ihr Engagement auf der Entscheiderebene positiv dar, um eine gute Bewertung zu erzielen. In Ermangelung eines branchenweiten Standards ist es einfacher, grundlegende Richtlinien zu definieren, die die Führungsebene und der Aufsichtsrat oder Vorstand festlegen können. Machen Sie Ihr Unternehmen zum Schaufenster das Sie als „Security-First“-Unternehmen darstellt.

Lektion 6: Die Cyberversicherung muss auf Vorstandsebene genauer betrachtet werden

Die meisten Cyber-Versicherungspolicen decken finanzielle Verluste ab, die aus einer Datenverletzung oder einem unbefugten Zugriff oder der Offenlegung persönlicher oder geschützter Informationen resultieren. Einige Versicherer bieten zusätzliche Merkmale oder spezifische Versicherungsbedingungen und Deckung für Verluste, die durch verschiedene Angriffe verursacht werden, wie z.B. Social Engineering, Kreditkartenverluste, Denial-of-Service-Angriffe oder Ransomware u.v.m. Ein solcher Supply-Chain-Angriff verändert jedoch das Spielfeld und die Regeln. Dies kann nicht einfach als höhere Gewalt angesehen werden, da es echte Täter gibt, die einem Unternehmen Schäden zufügen, die außerhalb der Reichweite eingesetzter Schutzmechanismen liegen. Der CISO muss den Vorstand damit beauftragen, neue Cyber-Versicherungspolicen abzuschließen, die eine Exposition von Informationen gegenüber böswilligen staatlichen Akteuren und Angriffen auf die Supply Chain umfassen. Diese Policen müssen einen größeren Zeitraum abdecken, da sich nachfolgende, weit verbreitete Schäden durch diese Bedrohungen auf viele Monate und Jahre nach einem erfolgreichen Angriff erstrecken können.

Lektion 7: Kontinuierlicher Schutz der Reputation

Trotz aller Bemühungen kann ein Angriff Ihr Unternehmen jederzeit treffen und sich spürbar auswirken, unabhängig davon, ob Sie ein Zufallsopfer oder ein Ziel sind. Die offensichtlichen Fragen hier sind:

  • Übernimmt SolarWinds in diesem Fall die Verantwortung?
  • Kann SolarWinds seinen verlorenen Ruf zurückgewinnen?

Die Antwort liegt in den Maßnahmen, die die Leitungsebene und der Vorstand getroffen haben, um zu zeigen, dass Cybersicherheit ein wesentliches Unterscheidungsmerkmal für die Unternehmenssicherheit ist. Dass Sie aus ihren eigenen Fehlern und den Fehlern anderer gelernt haben, die Bedrohungslage des Unternehmens ständig im Blick zu behalten und die aktuelle Situation stets anzupassen, um die Angriffsfläche für sich selbst und ihre Kunden zu minimieren. Dies beinhaltet auch einen verbesserten Cyber-Versicherungsschutz und bessere Wiederherstellungsmaßnahmen. Hervorzuheben ist, dass das Unternehmen weiterhin investiert und seine Kunden sehr gut informiert. Wenn SolarWinds (und letztlich auch Ihr Unternehmen) es schaffen, ihr Cybersicherheitsniveau zu verbessern und an ihre Kunden weiterzugeben, wird es wesentlich besser in der Lage sein, seinen Ruf langfristig zu schützen.

Fazit

Die SolarWinds-Attacke zeigt:

Als CEO, Berater oder Investor können Sie mit der Cyber-Sicherheit Ihres Unternehmens einen echten Mehrwert für Ihre Reputation erzielen. Cyber-Sicherheit und Cyber-Versicherungsschutz werden in der Zukunft zu einem echten Differenzierungsmerkmal heranwachsen.

Stellen Sie die IT-Sicherheit in Ihrem Unternehmen auf eine sichere Basis und vor allem legen Sie Wert auf Cybersicherheit!

Recommended Posts

Leave a Comment

Schreiben Sie uns!

Senden Sie uns einfach eine Mail. Wir antworten Ihnen schnellstmöglich!