Cyberdefense

Essenzielles Sicherheitswissen für das C-Level

Von Christin Hohmeier · 2024

Für die IT-Sicherheit eines Unternehmens ist es entscheidend, dass das Management die Risiken einschätzen kann. Dazu gehört, dass die Führungsebene Wissen um Budgets und Ressourcen für notwendige Projekte hat und diese auch selbst initiiert.

CEO mit einem Tablet in den Händen, davor einige Symbole mit Schlössern
Foto: iStock/ismagilov

Die Angriffswucht und der durch eine Cyberattacke angerichtete Schaden wird umso vernichtender, je wichtiger die Systeme sind, die von Hackerbanden stillgelegt werden. Die Spanne reicht vom Aufbrechen einzelner Anwendungen in Fachabteilungen bis zum Zerstören lebenswichtiger Prozesse – beispielsweise der Lohnabrechnung. 

In der Vergangenheit mussten Unternehmen lernen, dass es den Angreifern mit Attacken auf die Personalabteilung nicht nur gelingt, persönliche Daten der Mitarbeitenden oder deren Verträge auszuspionieren. Die Kriminellen können die Abrechnung der Gehälter sabotieren, indem sie die Datenverarbeitung stoppen und die Auszahlung – womöglich um mehrere Tage – verzögern.

Cyberdefense: Prinzipien der Cybersicherheit lernen

Im krassen Gegensatz zu solchen Bedrohungsszenarien, so mahnen viele IT-Consultants, fehlen häufig das Interesse und das Hintergrundwissen des Topmanagements für die Sicherheit der digitalisierten Abläufe. Die aus Sicht der Unternehmensführung unangenehmen, teuren und komplizierten Entscheidungen werden nur allzu gern in die IT-Abteilungen oder an Beratungsfirmen delegiert. Dabei ist nach einem solch zerstörerischen Angriff die schnelle Unterstützung der Führungsebene essenziell für das Weiterbestehen der Organisation. Eine Herausforderung ist, praktisch über Nacht ein Budget zur Verfügung zu stellen, das ausreichend ist, um die Lohnabrechnung unmittelbar mit neuen Systemen, etwa bei einem Dienstleister, neu aufzusetzen.

Gefahren beurteilen

Eine zweite Erkenntnis ist – auch die gehört zur Disziplin Cyberdefense –, dass die Infrastruktur niemals „geheilt“ werden kann. In Absprache mit den Cyberspezialistinnen und -spezialisten wird das Topmanagement neue Netzwerke, Server und Software installieren. Diese Aufgabe kann sich über Wochen oder Monate hinziehen und endet häufig in einer komplett neu aufgestellten Organisation.

Selbstverständlich ist und bleibt die Leitungsebene auch nach dem Neuaufstellen der Infrastruktur für das Managen der Risiken letztverantwortlich. In enger Abstimmung mit Expertinnen und Experten müssen sie aus der Chefetage heraus alle Vorgänge und Projekte überwachen.

Quellen:
Universität St. Gallen: Cyber Security für Führungskräfte (CSF-HSG)
BSI: Social Engineering – der Mensch als Schwachstelle
Fraunhofer IEM: Software Security Training für Product Owner & Führungskräfte

Array
(
    [micrositeID] => 25
    [micro_portalID] => 25
    [micro_name] => IT-Sicherheit
    [micro_image] => 4600
    [micro_user] => 1
    [micro_created] => 1462280263
    [micro_last_edit_user] => 1
    [micro_last_edit_date] => 1567518648
    [micro_cID] => 823
    [micro_status] => 1
    [micro_cache] => 0
    [deleted] => 0
)