IT-Sicherheitskultur in Unternehmen
Relevanz der Cyber-Resilienz
Digitalisiertes Wirtschaften wälzt die Unternehmenskultur um. Denn der Zugriff auf in Echtzeit verfügbaren Informationen ermöglicht eine neue Geschwindigkeit sowie höhere Produktivität und unterstützt immer mehr Stakeholder im Unternehmen mit effizienter Unterstützung der Geschäftsabläufe durch die IT. Die Kehrseite ist die Anfälligkeit der Abläufe für Nichtverfügbarkeit von Daten oder Cyberangriffe. So betrifft Digitalisierung nicht nur produktive Anwendungen, sondern auch die Datensicherheit und Datensicherung gleichermaßen. Aufgrund ihrer Rolle, die Verfügbarkeit von Informationen, Applikationen und IT-Infrastrukturen im Ernstfall wiederherzustellen, werden diese Bereiche zur Chefsache. Gleichzeitig steigt der Stellenwert der dafür zuständigen Akteure.
IT-Sache = Chefsache?
Das ist kein geflügeltes Wort, sondern eine Realität. Denn die IT ist längst nicht mehr nur ein digitaler Schreibtisch oder die erweiterte Werkbank. Informationen und die Verfügbarkeit digitalisierter Prozesse sind Grundlage für Unternehmenserfolg und damit zentrale strategische Komponenten im Unternehmenskontext. Zugleich ist in Zeiten zunehmender Unsicherheit und cyberkrimineller Aktivitäten eine funktionsfähige IT keine Selbstverständlichkeit mehr – eher schon der früher oder später erfolgende Hack. Dabei muss ein Sicherheitsvorfall, wie etwa eine Ransomware-Attacke auf das Backup, nur einmal stattfinden, um ein Unternehmen in seiner Existenz zu gefährden. Für den Geschäftsführer sind IT-Sicherheit und Datensicherung mittlerweile ebenso wichtig für den Geschäftserfolg wie Geschäftsideen, geistiges Eigentum und dessen Schutz, Finanzen, HR, Marketing oder eine optimierte Produktion.
Silo-übergreifende Teamaufgabe
Wenngleich IT-Sicherheit letztlich immer eine Top-Down-Initiative sein muss, kann wirklicher Schutz nur aus gleichzeitiger Teamarbeit entstehen. Der bei diesem komplexen Themenbereich einfach überforderte CEO benötigt Mitstreiter. Zum einen sind das die individuellen Spezialisten der Geschäftsbereiche, die ermitteln, welche ihrer digitalen Assets unternehmenskritisch sind, welche Prozesse sie benötigen und die vermeiden sollten, dass Schatten-IT und damit verbundene Gefahrenpotenziale entstehen. Zum anderen ist es die IT. Doch hier gibt es nicht nur einen Ansprechpartner: Operative IT und Cybersicherheit haben unterschiedliche Kenntnisse und Kompetenzen, können jedoch nur gemeinsam den Sicherheitsstatus beurteilen.
Jedes Unternehmen, deren IT in Silos operiert, ist in Prävention und Abwehr ernsthaft eingeschränkt. Unternehmen müssen ihre Abwehrmaßnahmen über das gesamte NIST-Framework hinweg betrachten. Dazu zählen die Identifikation von Risiken, die Reaktion auf Angriffe und die gegebenenfalls erforderliche Wiederherstellung von Daten und Infrastrukturen. Dies erfordert eine enge Zusammenarbeit vor allem zwischen operativer IT und IT-Sicherheit. Denn nur mit Kenntnis der vorhandenen Infrastruktur und ihrer Relevanz für die Geschäftsziele können interne oder externe IT-Sicherheitsexperten ihr Wissen wirksam einbringen und an den Geschäftszielen orientieren. SecOps und ITOps müssen daher in Zukunft intensiver zusammenarbeiten.
Alle Entscheider im Unternehmen müssen bei einer erfolgreichen Cyberattacke wissen, wie sie die Angriffe eindämmen und was sie im schlimmsten Fall mit welcher Priorität wiederherstellen. Die Prävention wird zur Chef- und Teamsache: Einem wirksamen und getesteten Desaster- oder Cyber-Recovery-Plan sowie einer umfassenden Cybersicherheit kommt ein hoher Stellenwert in der Unternehmenskultur zu und gestaltet sie neu.