Der Markt bietet eine Fülle von Technologien und Tools zur Absicherung und Stärkung der Widerstandsfähigkeit. Doch trotz all dieser Ressourcen sind viele Unternehmen unsicher, wie sie am besten vorgehen sollen.
Es stellt sich die Gretchenfrage, was kann ich machen, um mein Unternehmen gegen Cyber-Angriffe besser abzusichern?
Nachhaltige Cyber-Resilienz
Bei der Cybersicherheit gibt es keine lineare Entwicklung. Dies ist der Leitgedanke von „The Cyber Loop“, einem Cyber-Risikomanagementmodell für nachhaltige Cyber-Resilienz, das den Unternehmensverantwortlichen eine Grundlage bietet, um bessere Entscheidungen über Cyber-Risiken treffen zu können. Wir von Aon begleiten unsere Kunden aktiv, von der Analyse und Bewertung über die Mitigation und Verlagerung bis hin zur Krisenreaktion (Incident Response), durch den gesamten Cyber-Loop.
Jede Organisation, ob groß oder klein, kann kompromittiert werden, und nur eine starke proaktive Haltung und eine angemessene Investition in eine Cyber Resilienz Strategie kann helfen, sich davor zu schützen.
Einen starken Partner für Cyber-Krisen finden
Einen starken Partner für den Notfall an der Seite zu haben ist das A und O. Durch einen Incident Response Retainer können Kunden im Falle einer Datenschutzverletzung oder einem Cyber-Vorfall 24/7 mit Experten versorgt werden um wieder alles zum Laufen zu bringen. Auf diese Weise mann man für den schlimmsten Fall vorsorgen und sicherstellen, dass qualifizierte Experten zur Untersuchung und Behebung zur Verfügung stehen.
Im Falle eines Falles sollten Unternehmen einen Notfallplan zur Hand haben: Tiefgreifende Angriffsanalysen durchführen (am besten durch ein Forensiklabor), das Krisenmanagement für einen bestimmten Zeitraum muss gesichert sein und es muss einen Fahrplan geben, wie der Geschäftsbetrieb nach einer Cyberattacke wiederherzustellen ist.
Eine Cyber-Kultur aufbauen
Die Implementierung einer positiven, auf Sicherheit ausgerichteten Cyber-Kultur ist für die Gewährleistung einer nachhaltigen Cyber-Resilienz entscheidend. Dabei sollten zumindest die folgenden Punkte berücksichtigt werden:
- Erkennen Sie das Thema Cyber-Sicherheit als ein Geschäftsthema und nicht nur als ein IT-Anliegen
- Richten Sie einen "Kulturverantwortlichen" ein (Verantwortlich für die Maßnahmen, die notwendig sind, um das Verhalten in der Organisation zu ändern und Werte, Einstellungen und Überzeugungen zu fördern)
- Der CISO sollte Teil des Vorstandes sein
- Verwenden sie eine leichte und verständliche Sprache, die jeder versteht
- Machen Sie die Cybersicherheit zum Bestandteil der formellen Mitarbeiterbewertung (Maßnahmen/Bewertungen, OKR, Belohnungen usw.)
Dabei muss klar sein: Die beste verbriefte Kultur nutzt nichts, wenn sie nicht gelebt wird, der Faktor Mensch bleibt (mit)entscheidend.
Dr.-Ing. Gunnar Siebert ist Head of M&A Cyber DACH, M&A and Transaction Solutions und Mag. Kerstin Keltner ist Director Cyber Solutions AT bei Aon Austria. Wie herausfordernd die Umsetzung und das „Gelebt-werden“ einer effizienten Cyber-Kultur ist, diskutieren sie im Rahmen der PriSec am 11.10. 2022 mit Thomas Stadlmann, Head of IT Governance der KTM AG.