Mittelständische Unternehmen sind Cyber-Angriffen immer häufiger ausgesetzt. Die Folgen: Datenmissbrauch, Reputationsverluste und Erpressungszahlungen in Millionenhöhe. Vor derartigen Attacken können CEOs ihre Organisationen jedoch schützen – mit modernen Cyber-Security-Strategien. Daneben reduzieren sie mit zielgerichteten Lösungsansätzen auch ihre persönlichen Haftungsrisiken. Der erste Schritt der Führungsebene zum Security Management: Sie kennt und versteht die Grundlagen moderner Abwehrstrategien.

Lange Zeit hielt sich eine weitverbreitete Ansicht in Unternehmenskreisen: Opfer von Cyber-Angriffen seien lediglich große Organisationen. Ein Gefühl der Sicherheit breitete sich unter Mittelständlern aus. Laut einer Deloitte-Studie haben sich die Angriffsziele der Kriminellen seit dem Jahr 2019 aber geändert. Immer komplexere und ausgefeiltere Cyber-Attacken treffen nun auch kleine und mittelständische Unternehmen.

Dabei schwächen zwei Aspekte ihre Abwehrkraft erheblich: Einerseits erschwert der Fachkräftemangel, qualifizierte IT-Sicherheitsexperten zu finden und sich gemeinsam mit einer starken IT-Abteilung den neuen Herausforderungen zu stellen. Andererseits bestehen häufig veraltete Systeme, die Angreifern durch verschiedene Schwachstellen leichtes Spiel bieten.

Ist die Digitalisierung im Unternehmen hingegen bereits vorangeschritten, erfordern die neuen Technologien gleichfalls ein waches Auge. Denn durch die Komplexität ist nicht nur eine Betrachtung der IT-Sicherheit, sondern auch der Operational Technology (OT) nötig.

Cyber Security bereits auf Kurs!?

Der erste Fehler, den die Führungsebene begeht: CEOs halten Cyber-Risiken zwar für eine der größten Unternehmensgefahren. Sehen die eigene IT-Sicherheit jedoch als gut aufgestellt an, so eine Umfrage der KPMG unter Hunderten Unternehmensentscheidern weltweit. Bleiben ganzheitliche Maßnahmen im Bereich Cyber Security aber unberücksichtigt, sind Angriffe nur noch eine Frage der Zeit – mit Folgen genauso vielseitig wie existenziell gefährdend. Denn in den meisten Fällen legen Cyber-Kriminelle den gesamten Betrieb lahm. Ihr Hauptziel: Daten.

Dabei verursacht der Verlust von vertraulichen Daten nicht nur hohe Kosten. Auch Reputationsschäden sind oftmals unvermeidbar. Daneben ziehen diese regulatorische Konsequenzen nach sich und führen im schlimmsten Fall zum Geschäftsausfall. Unumstößlich: Die Verantwortung für die IT-Sicherheit der digitalen Systeme und Daten einer Organisation tragen die obersten Führungskräfte. CEOs sollten demnach stets sicherstellen, dass geeignete Präventionsmaßnahmen und Strategien für mögliche Angriffe existieren. So schützen sie die Organisation und vermeiden persönliche Haftungsrisiken.

Cyber Security als Thema in der Führungsebene verankern

Dabei darf ihr Blick nicht nur auf technische Aspekte fallen. Auch unter den Mitarbeitenden müssen sie ein Bewusstsein für die potenziellen Gefahren schaffen und Schutzmaßnahmen in die tägliche Arbeit integrieren. Darüber hinaus zählen Prävention und Kontinuität. Um den Weg hin zu mehr Sicherheit zu ebenen, sollten CEOs diese und weitere Schlüsselelemente in ein ganzheitliches Cyber-Security-Konzept betten.

  • Risikoanalyse: Zu Beginn stellt sich vor allem eine Frage: Welche Systeme sind vorhanden? Lassen sich diese bereits als kritisch einstufen, sollten alle Beteiligten zuerst hierfür nach passenden Schutzmaßnahmen Ausschau halten. Um die Systeme immer wieder aufs Neue zu betrachten, ist eine kontinuierliche Risikobewertung sinnvoll.
  • Identitäts- und Zugriffsmanagement: Wer braucht welche Rechte? Empfehlenswert ist das Vorgehen nach dem Least-Privilege-Prinzip. Nutzer erhalten hier lediglich die Zugriffs- und Berechtigungsrechte, die für ihre Tätigkeit erforderlich sind.
  • Kontinuität: Ein gutes Cyber-Security-Konzept müssen CEOs selbst regelmäßig bewerten (lassen). Denn Täter entwickeln ihre Angriffe stetig weiter. Nur wenn das Thema immer wieder auf der Agenda steht, kann das Unternehmen den aktuellen Bedrohungen standhalten.
  • Datensicherung und Wiederherstellung: Auch hier sollte eine gewohnheitsmäßige Überwachung bzw. Testung an der Tagesordnung stehen. Denn die Sicherung und Wiederstellung trägt einen erheblichen Teil zur Datensicherheit bei.
  • Prävention durch Echtzeitüberwachung: Das Unternehmen vollständig vor Cyber-Attacken zu schützen, ist nahezu utopisch. Aus diesem Grund müssen CEOs ihren Blick auch auf die Früherkennung lenken. Ist ein Angriff identifiziert, müssen Strategien vorliegen, um diesen schnell im Keim zu ersticken.
  • Awareness: Heute gilt der Mensch als eine der größten Schwachstellen für die IT-Sicherheit. Das Schlagwort: Social Engineering, durch das sich Cyber-Kriminelle das Vertrauen der Mitarbeitenden erhaschen und so Wege ins Unternehmen finden. Deshalb sollten Schulungen und Sensibilisierungen fester Bestandteil sein, um Mitarbeitende auf potenzielle Bedrohungen aufmerksam zu machen.

Allerdings sollte die Cyber-Security-Strategie unbedingt den Unternehmenszielen angepasst sein und unterstützen. Das Ziel eines ganzheitlichen und vor allem gewinnbringenden Konzepts: Die IT-Sicherheitsstrategie bekräftigt ebenso die Unternehmensziele wie auch die IT selbst. Anforderungen der Security an die IT sind stets als Unterstützung für einen langfristigen Betrieb der IT gedacht und nicht als „Kostenfaktor“ oder „Bremse“ neuer Technologien oder Prozesse.

Strategische Entscheidungen treffen, Risiken bewerten, Mitarbeitende schulen und die Strategie regelmäßig auf den Prüfstand stellen – die Rolle von CEOs ist auch im Bereich IT-Sicherheit herausfordernd. Es ist jedoch unerlässlich, dass sie hier eine führende Rolle einnehmen. Dabei sollten sie das Cyber-Security-Konzept mehr als strategische als nur als technische Angelegenheit betrachten. Nur so bewahren sie Organisationen vor erheblichen Schäden, erfüllen Compliance Anforderungen und treffen Business-Entscheidungen, die mit der Cyber-Security-Strategie harmonieren.

Stefan Peter ist Head of Cyber Security bei der q.beyond AG.

q.beyond AG