IT-Sicherheit zur Miete mit Cloud Security-as-a-Service
Strategieberatung - damit auch die IT-Sicherheitsstrategie zur Unternehmensstrategie passt">IT-Strategieberatung - damit auch die IT-Sicherheitsstrategie zur Unternehmensstrategie passt
Die Gefahr von Cyberattacken wird von Unternehmen unterschätzt, wie eine Studie von A.T. Kearney zeigt. Global wird der Schaden durch Cyberattacken auf 400 Milliarden bis 2,2 Billionen US-Dollar geschätzt, plus Imageschäden und Vertrauensverluste. Künftig sollen die Zahl und das Ausmaß von Cyberattacken zunehmen. Zur Risikominimierung sollte die Informationssicherheit ganzheitlich in den fünf Dimensionen Strategie, Organisation, Prozesse, Technologie und Kultur angegangen werden.
Verantwortung für Informationssicherheitsrisiken liegt bei Geschäftsführung
Informationssicherheitsrisiken sind Geschäftsrisiken. Damit liegt die Verantwortung für diese Risiken nicht bei der IT-Abteilung oder dem CIO, sondern bei der Geschäftsführung. Das muss den Unternehmen klar sein.
Imageschäden und Vertrauensverluste lassen sich nicht beziffern
Die Methoden von Cyberattacken ändern sich ständig, das Risiko und die Folgekosten unzureichender Sicherheitsmaßnahmen steigen. Die Vorhersage der nächsten Cyberattacke ist so schwierig wie die des nächsten Erdbebens, aber es werden einige Trends deutlich. Pro Jahr kosten erfolgreiche Angriffe auf der ganzen Welt schätzungsweise zwischen 400 Milliarden und 2,2 Billionen US-Dollar, was dem Bruttoinlandsprodukt von Österreich nahe kommt. Langfristige Folgen wie Imageschäden und Vertrauensverlust lassen sich kaum angemessen beziffern.
Wachsende Digitalisierung führt zu mehr Cyberattacken
Die wachsende Digitalisierung und die damit verbundenen unvermeidlichen Sicherheitsverletzungen führen zu häufigeren und schwerwiegenderen Cyberattacken. Trends sind dabei vor allem globale Überwachung, gezielte Schwächung von Informationssicherheitstechnologie, Attack-as-a-Service-Angebote (AaaS), massive Angriffe auf Infrastrukturen und industrielle Steuerungssysteme. Dazu kommt Erpressung, bei der die Angreifer drohen, einen glaubhaft gemachten Schaden deutlich zu verschlimmern bis zur Zahlung des „Lösegelds“.
Entdeckung eines Angriffs dauert im Schnitt 243 Tage
Die Aktionen vieler Unternehmen sind zu langsam, um mit der Entwicklung der Angriffe auf Augenhöre zu bleiben. Sobald die Systeme eines Unternehmens einmal infiziert sind, kann die Wiedererlangung der Kontrolle Monate dauern. Bis zur Entdeckung eines Angriffs dauert es nach Schätzungen im Schnitt 243 Tage. Das gibt den Hackern viel Zeit, interessante Daten zu suchen und das ganze Unternehmen zu infiltrieren. Bei einem deutschen Stahlwerk führte ein Angriff zu großem physischen Schaden an einem Hochofen.
Informationssicherheit auch Frage der nationalen Sicherheit
Infrastrukturbetreiber aus den Bereichen Telekommunikation, Finanzen, Verkehr, Gesundheit oder Energieversorgung sind in ähnlicher Gefahr. Durch die Frage, was bei einem Vertrauensverlust der Bürger in diese Bereiche passiert, wird die Diskussion um Informationssicherheit eine Frage der nationalen Sicherheit und bezüglich des Schutzes persönlicher Daten vor Überwachung auch eine Frage der Demokratie. Daher befasst sich auch der Gesetzgeber mit diesen Fragestellungen. Trotzdem wird man sich derartige öffentlichkeitswirksame Angriffe und ihre angenehmen Folgen gewöhnen müssen.
Sicherheitsstrategie muss eng mit Unternehmensstrategie verbunden sein
Unternehmen, die in Sachen Informationssicherheit als Vorbild dienen, sprechen zur Risikominimierung immer wieder die Bereiche Strategie, Organisation, Prozesse, Technologie und Kultur an. Nur selten resultieren Sicherheitsprobleme aus Fehlern in nur einem dieser Bereiche, vielmehr nutzen Hacker eine Kombination verschiedener Schwachstellen. Für die Minimierung des Sicherheitsrisikos ist eine eng mit der Unternehmensstrategie verknüpfte Sicherheitsstrategie nötig, ausgewogene organisatorische Rahmenbedingungen für die Bewältigung schwieriger Entscheidungen, mit durchdachten und erprobten Prozessen zur Bewertung und Bearbeitung von Risiken, dem effizienten Einsatz von Technik und einer starken Unternehmenskultur, für die Informationssicherheit ein Wertbeitrag und eine gemeinsame Aufgabe der Gesamtorganisation ist.