Volker Marschner

ist Security Consultant bei Cisco Security und kennt die aktuellen Sicherheitsrisiken.

Cybersecurity Management muss Chef-Sache sein

Ein geklauter USB-Stick, ein entlassener Mitarbeiter mit Groll gegen die Geschäftleitung? Selbst kleine und interne Sicherheitslücken können schnell zu einem großen Problem werden, weiß Cisco-Security-Experte Volker Marschner.

Stellen Sie sich folgendes Szenario vor: Ein Mitarbeiter wird mit sofortiger Wirkung entlassen. Bevor er aus dem Büro geht, nimmt er von seinem Schreibtisch einen USB-Stick mit. In kleinen und mittelständischen Unternehmen dürfte dies nicht weiter auffallen, da die Kollegen keinen bösen Verdacht schöpfen. In Konzernen sollten dies aber Sicherheitskräfte unterbinden. Schließlich steht in den vom Mitarbeiter bei Eintritt unterschriebenen Nutzungsvereinbarungen meist, dass alle im Unternehmen oder mit firmeneigenen Geräten erzeugten Daten dem Unternehmen gehören. Dies umfasst auch Speichermedien wie USB-Sticks oder Festplatten. Schließlich enthalten diese oft sensible Informationen, deren Diebstahl erhebliche finanzielle Risiken und Rufschädigung verursachen können.

Im heutigen Informationszeitalter ist es umso wichtiger, dass Unternehmen effektive und umfassende Management-Programme für die IT-Sicherheit entwickeln und ausführen. Sie sollten bedenken, dass ein Angreifer nur eine Schwachstelle finden muss, um in das Unternehmen einzudringen. Das Unternehmen muss dagegen hunderte oder sogar tausende von Sicherheitseinstellungen sowie Nutzer-Aktivitäten auf geeignete Weise verwalten und kontrollieren. Selbst wenn die technischen Maßnahmen perfekt sind, kann ein böswilliger Mitarbeiter meist immer noch sensible Informationen auslesen. Hier kann ein umfassendes Cybersecurity Management-Programm (CMP) helfen.

In der Praxis werden diese jedoch meist fehlerhaft oder unvollständig implementiert. Dies liegt meist daran, dass Sicherheitsansätze sich historisch entwickelt haben. In großen Unternehmen wurden sie meist erst in bestimmten Teilsystemen eingeführt und später auf den ganzen Konzern ausgerollt. Kleine Unternehmen haben meist in der Startup-Phase Lösungen für spezifische Herausforderungen implementiert. In der Regel wird dann der gleiche Ansatz verwendet, um größere und komplexere Umgebungen abzusichern. Da sie jedoch nicht unbedingt dafür geeignet sind, entstehen Sicherheitslücken,

Zudem ist Cybersecurity-Management heute nicht nur eine technische Lösung, sondern hat eine geschäftskritische Funktion und sollte daher eine Angelegenheit für die Chefetage sein. Entsprechend erfordert es eine enge Integration mit anderen Geschäftseinheiten und daher hohe Transparenz sowie umfassendes Performance-Reporting.

Unternehmen sollten den Aufwand für die Entwicklung und Implementierung eines effektiven Cybersecurity Management-Programms nicht unterschätzen. Es betrifft praktisch jeden Mitarbeiter sowie alle Abteilungen und muss sämtliche Bedürfnisse erfüllen. Folgende fünf Schritte können für die meisten Unternehmen eine Blaupause für die Einführung eines CMP sein:

  • Unterstützung und Engagement eines Mitglieds der Geschäftsführung für die Implementierung eines CMP gewinnen
  • Ein unternehmensweites Cybersecurity-Programm entwickeln, das praktisch als IT-Sicherheitsstrategie für das Unternehmen dient, und dieses der Geschäftsleitung sowie dem CEO vorstellen
  • Einen Arbeitsplan für ein CMP-Projekt erstellen, wobei die erste Aufgabe die Entwicklung der Cybersecurity-Richtlinien ist. In größeren Unternehmen sind dazu wahrscheinlich mehrere Projektmanager nötig
  • Einen Dokumentprüfprozess und ein Versionsmanagement-System etablieren, um das laufende Management der CMP-Dokumentation zu unterstützen
  • Finalisieren der strategischen Elemente des Cybersecurity Management Framework. Dabei werden wahrscheinlich verschiedene Elemente parallel entwickelt, insbesondere wenn es keine oder geringe Abhängigkeiten zwischen ihnen gibt.

Eine gelungene Umsetzung kann man unter anderem hier nachlesen. Die Entwicklung, Implementierung und Wartung eines Cybersecurity Management-Programms stellt ein größeres Projekt dar. Jedoch erhalten Unternehmen dadurch einen hohen Mehrwert. Dazu zählt die Reduzierung von erfolgreichen Cyberangriffen sowie ihrer Auswirkungen. Und dafür lohnt sich der Aufwand allemal.