Samir: Wie unterstützen Sie in diesem dynamischen, komplexen und wettbewerbsintensiven Umfeld CIOs und CISOs dabei, ihre strategische Rolle im Unternehmen wahrzunehmen?
Roman: Auf verschiedene Weise: von der Analyse und Verwaltung von ISMS bis zur Qualitätssicherung von Security-Kontrollen. Insbesondere mit unserem Top-down-Ansatz helfen wir Unternehmen, ein Cybersecurity-Handbuch zu erstellen, indem wir ihre Cyberrisiken quantifizieren. Dazu entwickeln wir ein virtuelles Dashboard, mit dem wir die Risiken gemäss ihrer Auswirkung auf das Geschäft überwachen. Wenn wir oben, d.h. bei den wichtigsten Risiken ansetzen, ist es einfacher, das Budget für die Risikominimierung zu verteilen. Ausserdem treffen Business- und IT-Verantwortliche so fundierte Entscheide, was die Cybersicherheit des Unternehmens verbessert.
Ein Beispiel: Das grösste Risiko einer Aktienbörse ist der Ausfall des Computersystems. Tritt dieser Fall ein, sollte man sich zuerst um Denial-of-Service-Attacken kümmern. Bezieht der CIO oder CISO Business-Vertreter von Beginn mit ein, kann er durch technische Hintergrundinformationen ein vermeintliches Problem in einen geschäftlichen Nutzen umwandeln. Wir unterstützen CIOs und CISOs dabei, alle Interessenvertreter auf einen Nenner zu bringen und so eine klare Vision von Sicherheit zu entwickeln, die auf unternehmensspezifischen Kriterien basiert. Vom Interessenvertreter bis zum Entwickler-Team wird jeder verstehen, warum die Multifaktor-Authentisierung zum Schutz heikler Kundendaten notwendig ist und welche Geschäftsprozesse sowie Business und Security Assets sie schützt.
Samir: CIOs sollen in einem von steigendem wirtschaftlichem Druck geprägten Umfeld auf Innovation setzen und zugleich die Zuverlässigkeit der neuen Technologien gewährleisten. Wie beurteilen Sie das Risiko-Nutzen-Verhältnis zwischen technologischer Innovation, Einhaltung der Sicherheitsvorschriften und Auswirkungen auf das Geschäft?
Roman: Technologische Innovation muss durch angemessene Sicherheitsmassnahmen abgestützt sein, damit man bei schnellen Entwicklungen keine offenen Türen hinterlässt. Isolierte Testumgebungen oder sogar Micro Segmentation von Testumgebungen, in denen ohne Auswirkung auf die Produktion neue Technologien erforscht werden, können Innovation beschleunigen und trotzdem die Sicherheit von Assets gewährleisten.
Beim Top-down Cyber Risk Assessment werden die Business-Vertreter von Anfang an mit einbezogen. So entsteht eine Liste mit priorisierten Risiken und auf die Firmen-Assets abgestimmten Massnahmen zur Risikobegrenzung. Dank der Liste ist es möglich, sich auf die Risikoszenarien mit den grössten Auswirkungen auf das Unternehmen zu konzentrieren und ein Gleichgewicht zwischen Risiko und Nutzen zu schaffen. Dies bedingt, dass die Auswirkungen sowohl des Risikos als auch des Nutzens auf das Unternehmen bekannt sind. Diesen Kompromiss sollten alle Entscheidungsträger verstehen.
Samir: Können Sie Beispiele nennen, bei denen der Fokus auf Innovation das Cyberrisiko erhöht, und erklären, was ein ausgewogener Ansatz für ein Unternehmen wäre?
Roman: Innovation ohne starkes Sicherheitskonzept erhöht die Cyberrisiken. Das Sicherheitskonzept muss auf einer strengen Risikobeurteilung basieren, die mögliche Schwachstellen aufdeckt und thematisiert. Beispielsweise kann der Zugriff auf sensible Informationen über einen unverschlüsselten Kanal zur Offenlegung von Daten führen, selbst innerhalb des Unternehmensperimeters. Oder: Wenn das neue Tool Kundendaten aus mehreren Ländern im selben Datenspeicher sammelt, kann dies zur Verletzung von Datenschutzgesetzen führen. Ein durchdachtes Sicherheitskonzept verhindert genau diese Art von Cyber-Zwischenfällen.
Was wäre nun ein ausgewogener Ansatz? Die einzige Möglichkeit, fundierte Entscheide zu treffen und ein Gleichgewicht zwischen Innovation, Markteinführungszeit und Sicherheit zu schaffen, besteht in einem Sicherheitskonzept, das die Risiken sämtlicher Innovationsprojekte einbezieht.
Samir: Durch die vermehrte Nutzung neuer Technologien bieten Organisationen potenziellen Hackern eine grosse Angriffsfläche. Welches sind die wichtigsten Überlegungen, die ein Unternehmen bei der Definition seiner Cyberrisiko-Management-Strategie anstellen sollte?
Roman: Beim Risikomanagement geht es nicht nur um die Technologie, sondern auch um Menschen und Prozesse. Es braucht eine Kultur des Bewusstseins fürs Cyberrisiken und gemeinsame Sicherheitsziele im gesamten Unternehmen.
Zentrale Überlegungen betreffen die Bedrohungslage, die angestrebte Unternehmensresilienz, kritische interne Prozesse, das Zero-Trust-Paradigma sowie das Sicherheitskonzept und die Risikoüberwachung. Eine Cyberrisiko-Management-Strategie zu entwickeln, ist sehr aufwendig. Unterstützung durch einen Experten kann daher hilfreich sein.
Samir: Bruce Schneier sagt: «Wenn Sie denken, Technologie löst Ihre Sicherheitsprobleme, dann verstehen Sie weder die Probleme noch die Technologie.» Inwieweit stimmen Sie dieser Aussage zu?
Roman: Die Aussage widerspiegelt das Prinzip unseres Top-down Cyber Risk Assessment. Der Ansatz orientiert sich an den Bedrohungen und Angriffsszenarien, d.h. zuerst werden die kritischen Geschäftsprozesse ermittelt, dann Massnahmen zur Minderung der grössten Risiken definiert. Erst wenn die Risiken erkannt sind, kommt die Technologie ins Spiel. Die Technologie ist damit das letzte Element der Methodik. Unser Ansatz ermöglicht eine ganzheitliche Sicht der digitalen Systeme und deren möglicher Schwachstellen – ohne blinde Flecken. Deshalb stimme ich der Aussage voll und ganz zu.
Samir: Die Einführung einer gesunden Cybersecurity-Kultur am Arbeitsplatz ist entscheidend für die Sicherheit eines Unternehmens. Was sind Ihre wichtigsten Empfehlungen diesbezüglich?
Roman: Eine gesunde und starke Cybersicherheits-Kultur entsteht nicht über Nacht. Sie muss konstant gefördert und gepflegt werden. Ein paar der wichtigsten Empfehlungen lauten: Beziehen Sie das Management mit ein, fördern Sie die Verantwortung, schärfen Sie das Bewusstsein, gewährleisten Sie eine einfache Kommunikation und testen Sie mit realen Szenarien.
Die meisten Probleme sind auf mangelndes Bewusstsein zurückzuführen, menschliche Fehler sind der Hauptgrund für Datenlecks. Das zeigt, dass herkömmliche Sensibilisierungstrainings nicht greifen. Auf Compliance basierende Bewusstseins-Kampagnen sind überholt. Unternehmen sollten in das ganzheitliche Verhalten der Mitarbeitenden investieren und einen Kulturwandel anstreben. Organisieren Sie Workshops, um Ihren Mitarbeitenden zu zeigen, wie leicht ein Phishing-Mail zu erstellen und wie gefährlich es ist, anstatt einfach auf die Gefahr von Phishing hinzuweisen. Es braucht ein intrinsisches Bewusstsein der Mitarbeitenden.
Samir: 7. Viele Unternehmen haben erkannt, dass es langfristig strategisch wichtig ist, Cybersicherheit als Kernwert zu betrachten. Wie lässt sich das in einen Wettbewerbsvorteil übersetzen?
Roman: Je nach Geschäftsmodell gibt es verschiedene Szenarien. Für B2B-Unternehmen ist Cybersicherheit eine Anforderung, mit der sie zeigen, dass sie gewisse Normen einhalten, etwa die ISO-27001-Zertifizierung. «Zertifiziert» ist indes nicht dasselbe wie «sicher». Ein SaaS-Unternehmen, das auf das Vertrauen der Nutzer in seine Infrastruktur angewiesen ist, kann seine Massnahmen betonen, die über Compliance hinausgehen: z.B. Speicher- und Backup-Governance oder Datenschutzmanagement. Solche Massnahmen senken je nach Segment das Risiko des Kunden, was einen Wettbewerbsvorteil bringt.
Ist ein Unternehmen «cybersicher», ist es robust. Wer Innovation mit angemessener Sicherheit kombiniert, entwickelt sich schneller, ohne dabei zusätzliche Risiken einzugehen. Das grösste Kapital von SaaS-Unternehmen, um wettbewerbsfähig und robust zu bleiben, ist das Kundenvertrauen. Cybersicherheit als Kernwert erlaubt es einem Dienstleister, dieses Vertrauen aufrechtzuerhalten und attraktiv zu bleiben.
---
Dieses Interview erschien zuerst auf der Website des Swiss Cyber Institute.
