Hoffnung ist keine Strategie: Cyberrisiken ganzheitlich angehen
Cyberangriffe verursachten zwischen Frühjahr 2023 und Frühjahr 2024 allein in Deutschland Schäden von über 266 Milliarden Euro, was die Dringlichkeit einer umfassenden Strategie zur Bekämpfung von Cyberrisiken deutlich macht.
Organisierte Kriminalität als treibende Kraft
Das Ergebnis einer aktuellen Bitkom-Studie zum Wirtschaftsschutz 2024 ist alarmierend. Zwischen Frühjahr 2023 und Frühjahr 2024 waren 81 Prozent der befragten deutschen Unternehmen von schwerwiegenden Sicherheitsvorfällen betroffen. Bei 70 Prozent dieser Vorfälle wurden die Täter der organisierten Kriminalität zugeordnet.
Aber nicht nur die Gefahr durch externe Cyberangriffe ist deutlich gestiegen – auch die internen Schwachstellen bleiben ein erhebliches Risiko. Eine Umfrage unter 5.000 Beschäftigten in Deutschland zeigt: 41 Prozent der Mitarbeiter sehen sich als potenzielles Ziel für Cyberkriminalität, was die Anfälligkeit der Unternehmen erhöht. Und die Prognose verdeutlicht, dass das Risiko von Cyberangriffen und Datenklau in den kommenden Jahren weiter steigen wird.
Regularien und Cyberrisiken: Ein Rahmen für wirksamen Schutz
Angesichts der wachsenden Bedrohungen durch Cyberrisiken ist der Druck auf Regierungen und Aufsichtsbehörden, striktere Cybersicherheitsvorgaben zu schaffen, deutlich gestiegen. Regulierungen wie die Network and Information Security Directive (NIS2), der Digital Operational Resilience Act (DORA) oder der Cyber Resilience Act (CRA) sollen nicht nur die Wirtschaft und Organisationen schützen, sondern auch den Schutz von Gesellschaft und Individuen gewährleisten.
Ab Januar 2025 wird der Digital Operational Resilience Act (DORA) im Finanzsektor einen einheitlichen EU-weiten Rahmen für strenge Sicherheitsstandards im Umgang mit digitalen Bedrohungen schaffen. Um diesen Anforderungen gerecht zu werden, müssen Finanzinstitute umfassende Maßnahmen in verschiedenen Bereichen umsetzen. Diese reichen von einem Informations- und Kommunikationstechnologie-Risikomanagement über die Meldung von Vorfällen und der Überprüfung der digitalen Resilienz bis hin zu der Steuerung von Drittanbieterrisiken und der Förderung des Informationsaustausches.
Verankerung von DORA in der Informationssicherheits-Governance (ISG)
Umfragen zeigen, dass in vielen Unternehmen das Bewusstsein für IT-Sicherheit zwar vorhanden ist, aber das Engagement fehlt. Als Leitlinie unterstützt DORA die ISG, die organisatorischen und technischen Maßnahmen zu definieren, die notwendig sind, um die Vertraulichkeit, Integrität und Verfügbarkeit von Informationen sicherzustellen. Die ISG legt den Rahmen fest, um Risiken zu minimieren und die Sicherheitsstrategien entsprechend den geschäftlichen Anforderungen zu gestalten. Eine robuste ISG sorgt dafür, dass Unternehmensziele und Sicherheitsstrategien in Einklang stehen und ein einheitliches Schutzniveau gewährleistet wird.
“Eine ISG ist entscheidend, weil sie Cybersicherheit als strategisches Ziel in alle Unternehmensebenen integriert, klare Verantwortlichkeiten schafft und fundierte Risikobewertungen ermöglicht.”, erklärt Detlev Henze, Experte für Informations- und Cybersicherheit beim Itamis . “Durch diese strukturierte Herangehensweise wird die Reaktionsfähigkeit auf Bedrohungen verbessert, die langfristige Resilienz des Unternehmens gestärkt und die Einhaltung von Regularien wie DORA sichergestellt.”
Informationssicherheits-Governance (ISG): Struktur als Erfolgsfaktor
Eine solide ISG ist die Basis für die effektive Umsetzung von Informations- und Cybersicherheitsmaßnahmen sowie die Sicherstellung eines langfristig verlässlichen Sicherheitsniveaus bei Cyberrisiken. Als Rahmenwerk setzt die ISG klare Leitlinien für die strategische Ausrichtung und die operative Umsetzung von Cybersicherheitsmaßnahmen. Sie stellt sicher, dass alle Maßnahmen zur Informationssicherheit in Übereinstimmung mit den Unternehmenszielen und regulatorischen Vorgaben, wie beispielsweise DORA, erfolgen. Weiterhin gewährleistet sie eine koordinierte Zusammenarbeit aller Beteiligten, die Cybersicherheit als gemeinsames Ziel verfolgen, um die Widerstandsfähigkeit des Unternehmens gegenüber digitalen Bedrohungen nachhaltig zu stärken.
Die Grundlage hierfür bilden fünf relevante Bausteine:
- Verantwortung und Integration
- Wissen und Weiterbildung
- Reporting und Prüfung
- Kommunikation und Bewusstsein
- Notfall- und Krisenmanagement
Dreistufiges Vorgehensmodell zur Stärkung der ISG
Die Managementberatung Moonroc (Webseite) empfiehlt hier ein dreistufiges Vorgehensmodell, um das Top-Management der Unternehmen adäquat auf die neuen Anforderungen vorzubereiten:
- Der erste Schritt besteht aus einer Übersicht über die aktuelle ISG, die durch ein Quick Assessment des Informationssicherheits-Managements erreicht wird. Der Fokus liegt dabei auf dem Top-Management und dessen Verantwortungsübernahme bzw. den möglichen Konsequenzen im Falle eines Sicherheitsvorfalls. Operative Einheiten stehen nicht im Vordergrund, sondern strategische und strukturelle Themen auf Vorstandsebene.
- Im zweiten Schritt wird auf Basis dieser Analyse der Soll-Zustand der ISG definiert. Dabei werden spezifische Ziele und Maßnahmen entwickelt, die den Anforderungen der DORA-Vorgaben entsprechen.
- Der finale, dritte Schritt beinhaltet die Implementierungsplanung, bei der eine neue, effiziente ISG etabliert wird, die alle relevanten DORA-Anforderungen erfasst und steuert. Das Ergebnis ist eine robuste ISG, die nicht nur den aktuellen Anforderungen gerecht wird, sondern die Organisation langfristig auf zukünftige Herausforderungen vorbereitet.
Den vollständigen Moonroc Artikel “Hoffnung ist keine Strategie – Warum man Cyberrisiken ganzheitlich angehen muss!” ist zum Download verfügbar.
