Cybersicherheit steht in fast allen Unternehmen ganz oben auf der Tagesordnung. Dennoch bleiben viele Unternehmen verwundbar, weil die Informationssicherheit nicht immer tief in den Geschäftsabläufen verankert ist. Oft werden Maßnahmen erst im Nachhinein ergriffen, zum Beispiel bei Zwischenfällen oder unter dem Druck neuer Gesetze und Vorschriften. Gleichzeitig stellen wir fest, dass Unternehmen, die einen proaktiven, ganzheitlichen Ansatz verfolgen, seltener mit ernsthaften Problemen konfrontiert werden. In diesem Artikel zeigen wir, warum eine ganzheitliche Betrachtung der Cybersicherheit so wichtig ist, wo in der Praxis oft etwas schief läuft und wie Unternehmen ihr Sicherheitsniveau nachhaltig erhöhen können.

Ein anschauliches Beispiel für die Risiken der Ad-hoc-Sicherheit ist die Datenschutzverletzung bei Equifax im Jahr 2017. Diese US-amerikanische Kreditauskunftei verlor die personenbezogenen Daten von Millionen von Kunden, weil eine bekannte Software-Schwachstelle nicht rechtzeitig behoben wurde. Obwohl technische Maßnahmen vorhanden waren (Firewalls, Intrusion-Detection-Systeme), Die Untersuchungen ergaben, dass das Patch-Management und die Risikoanalyse nur unzureichend in die Geschäftsprozesse integriert waren. Das Unternehmen wusste nicht genau, wo anfällige Systeme liefen und wer für sie verantwortlich war.

Der Vorfall hat gezeigt, dass ein paar lose technische Lösungen keine Garantien bieten, wenn es keine integrierte Strategie gibt. Die fehlende Eigenverantwortung, die schlechte Kommunikation zwischen den Abteilungen und der unzureichende Einblick in kritische Daten trugen alle zu den Auswirkungen dieser Datenpanne bei. Die Kosten für Equifax gingen in die Hunderte von Millionen Dollar und der Schaden für den Ruf war enorm.

Ganzheitliches Sicherheitsdenken

Eine Lehre aus solchen Vorfällen ist, dass Sicherheit mehr erfordert als technische “Lösungen” wie Antivirensoftware, Firewalls oder einen einmaligen Penetrationstest. Natürlich sind diese Technologien nützlich, aber sie müssen in ein System eingebettet sein, in dem Menschen, Verfahren und Politik sind nahtlos aufeinander abgestimmt.

  • Menschlicher Faktor Viele Vorfälle sind auf menschliches Versagen zurückzuführen: ein unachtsamer Klick auf einen Phishing-Link, eine Fehlkonfiguration in der Cloud oder ein unbefugter Zugriff auf Konten. Sensibilisierung und kontinuierliche Schulung sind daher unerlässlich. Dies geht über ein einmaliges Sensibilisierungsprogramm hinaus; es erfordert eine Kultur, in der sich die Mitarbeiter trauen, Zwischenfälle und Beinahe-Zwischenfälle ohne Angst vor Sanktionen zu melden.
  • Prozessbasierte Sicherheit Sicherheit sollte ein immer wiederkehrender Tagesordnungspunkt sein: von der Produktentwicklung über die Lieferantenauswahl bis hin zur täglichen Nutzung der Systeme. Integrieren Sie zum Beispiel das Risikomanagement in Veränderungsprozessen, damit es nicht etwas ist, das “im Nachhinein” geregelt werden muss.
  • Verwaltung und Eigenverantwortung. Ohne klare Verantwortlichkeiten und eine eindeutige Aufgabenteilung bleibt die Cybersicherheit oft in guten Vorsätzen stecken. Ernennen Sie daher einen CISO oder Sicherheitsbeauftragten mit einem klaren Mandat und einer klaren Berichtsstruktur. Auf diese Weise erhalten Risiken und Vorfälle die Aufmerksamkeit auf Vorstandsebene. Wenn all dies in einem Rahmen zusammengeführt wird, ist die Sicherheit kein abschließender Punkt, sondern ein integraler Bestandteil der Strategie und des Betriebs.

Die Rolle der Gesetzgebung

In Europa rückt die digitale Sicherheit immer mehr in den Mittelpunkt des rechtlichen Interesses. Einige wichtige Entwicklungen:

  • Mit dieser Verordnung wurde ein europäischer Rahmen für die Zertifizierung von IKT-Produkten und -Dienstleistungen eingeführt. Unternehmen können ihre Lösungen auf Sicherheit prüfen lassen und so einen transparenteren Markt schaffen.
  • Mit diesem Gesetz wird der Grundsatz “Sicherheit durch Technik” während des gesamten Lebenszyklus von Hard- und Software festgeschrieben. Hersteller und Verkäufer bleiben verpflichtet, Schwachstellen zu beheben und die Nutzer entsprechend zu informieren.
  • Die verschärfte NIS-Richtlinie dehnt den Anwendungsbereich auf weitere Sektoren aus (u. a. Energie, Gesundheitswesen, Verkehr und kritische digitale Dienste) und stellt u. a. höhere Anforderungen an die Meldung von Vorfällen und die Rechenschaftspflicht von Führungskräften.

Diese Verordnungen geben den Organisationen nicht nur zusätzliche Pflichten, sondern auch mehr Orientierung. Diejenigen, die sich darauf beschränken, die gesetzlichen Anforderungen “abzuhaken”, werden jedoch feststellen, dass die Messlatte immer höher gelegt wird. Ein Unternehmen, das in eine integrierte Sicherheitsstrategie investiert, wird sich leichter an neue Anforderungen anpassen können und das Vertrauen von Kunden, Lieferanten und Aufsichtsbehörden genießen.

Künstliche Intelligenz (KI) und groß angelegte Datenanalysen bringen neue Chancen, aber auch neue Bedrohungen und ethische Dilemmata mit sich.

  1. Voreingenommenheit in der KI. KI-Modelle sind nur so gut wie die Daten, auf denen sie trainiert werden. Wenn Datensätze für die Gesichtserkennung hauptsächlich aus Bildern bestimmter Bevölkerungsgruppen bestehen, kann dies zu einem Modell führen, das andere Gruppen kaum gut erkennt. Dies ist nicht nur für die betroffenen Personen nachteilig, sondern kann auch zu Rufschädigung und rechtlichen Konsequenzen für die Organisation führen, die die KI einsetzt.
  2. Deefakes. Hochentwickelte KI-Modelle können realistische Videos, Audios oder Bilder erzeugen, die Personen scheinbar Dinge sagen oder tun lassen, die nie stattgefunden haben. Dieses Phänomen kann für Betrug, Erpressung oder politisch motivierte Desinformation genutzt werden. Unternehmen tun gut daran, in Erkennungstools und die Sensibilisierung ihrer Mitarbeiter zu investieren, damit sie Deepfake-Inhalte frühzeitig erkennen können.
  3. Böswillige Angriffe. Böswillige Akteure können KI-Modelle manipulieren, indem sie sie mit subtil manipulierten Daten füttern. So können beispielsweise selbstfahrende Autos “verwirrt” werden, wenn ein Stoppschild mit kleinen Aufklebern als ein anderes Schild erkannt wird. Solche Angriffe erfordern zusätzliche Kontrollen der Eingabedaten und eine regelmäßige Validierung des Modells.
  4. Datenschutz und Datenschutzverletzungen. KI stützt sich häufig auf große Mengen an (personenbezogenen) Daten. Wenn diese unzureichend anonymisiert oder falsch gespeichert werden, kann ein Hack oder eine Fehlkonfiguration zu schwerwiegenden Datenschutzverletzungen führen. Der Schwerpunkt liegt daher auf Datenklassifizierung, strenger Zugangskontrolle und Verschlüsselung. Eine solide Data-Governance-Struktur ist daher unerlässlich: Definieren Sie, welche Daten Sie sammeln, wo sie gespeichert werden, wer Zugang zu ihnen hat und welche Sicherheitsmaßnahmen benötigt. Unternehmen, die KI einsetzen wollen, ohne ihr Sicherheitsmodell anzupassen, riskieren neue Formen von Angriffen. Rechtsvorschriften wie das (kommende) KI-Gesetz verlangen auch zu Transparenz, Erklärbarkeit und Dokumentation von KI-Systemen. Eine ganzheitliche Betrachtung der Sicherheit ist dann kein Luxus, sondern eine dringende Notwendigkeit.

Lernen von stark regulierten Sektoren

In Branchen, in denen es bei der Sicherheit buchstäblich um Leben und Tod geht - wie in der Luftfahrt und der Pharmazie - ist ein integrierter Ansatz seit Jahrzehnten von zentraler Bedeutung.

  • Luft- und Raumfahrt Von den Checklisten für die Flugvorbereitung bis zur Meldung von Zwischenfällen wird jeder Schritt verfahrenstechnisch erfasst. Checklisten sind hier nicht nur formale Abhaklisten, sondern Werkzeuge, mit denen entscheidende Schritt- und Stifte werden sichtbar und kontrollierbar gemacht. Fehler werden schnell erkannt und können systematisch behoben werden.
  • Pharma Der pharmazeutische Sektor hat strenge Validierungsanforderungen für Geräte und Prozesse (“Quality by Design”). Jedes Glied der Kette (von der Forschung bis zur Produktion) wird dokumentiert und überwacht. Auf diese Weise entsteht eine Kultur, in der kontinuierliche Verbesserungen und gründliche Risikoanalysen eine Selbstverständlichkeit sind.

Diese Branchen zeigen, dass streng geregelte Vorschriften und Checklisten nicht unbedingt hinderlich sind. Im Gegenteil: Richtig angewendet, helfen sie, Risiken und Fehler frühzeitig zu minimieren erkennen. Der Schlüssel liegt darin, in der Praxis wirklich damit zu arbeiten und daraus zu lernen, anstatt sich nur “offiziell” an die Regeln zu halten. Dieser Grundsatz - Verankerung der Sicherheit auf allen Ebenen der Organisation - gilt auch für die IT- und Informationssicherheit.

Von der Konformität zur Eigenständigkeit Sicherheit Wie schafft man nun den Übergang von “minimal Einhaltung” einer Eigensicherheit Kultur? Ein paar Punkte von Interesse:

  1. Engagement der Geschäftsleitung Wenn die Geschäftsleitung die Sicherheit in erster Linie als Kostenfaktor oder Vorbedingung betrachtet, werden die Mitarbeiter dies auch so sehen. Nur wenn die Geschäftsleitung deutlich macht, dass Sicherheit eine strategische Priorität ist, und Ressourcen (Budget, Personal, Zeit) für diesen Zweck bereitstellt, hat die Organisation die Möglichkeit, echte Fortschritte zu machen.
  2. Risikobasiertes Arbeiten. Beginnen Sie mit der Frage: “Wo sind unsere wahren Kronjuwelen? Konzentrieren Sie die Sicherheit auf die Daten, Prozesse und Systeme, die bei Verlust oder Missbrauch den größten Schaden verursachen. Auf diese Weise vermeiden Sie, wahllos in “zufällige” Maßnahmen zu investieren. Lösungen.
  3. **Normen wie ISO 27001 und Rahmenwerke wie NIST CSF bieten eine gründliche Struktur und helfen Ihnen, nichts Wichtiges zu übersehen. Der springende Punkt ist, dass Sie zu verstehen, warum Sie bestimmte Punkte abhaken und wie dies Ihre Organisation sicherer macht. Betrachten Sie Checklisten als ein Werkzeug, nicht als Selbstzweck. In Branchen, in denen es bei der Sicherheit buchstäblich um Leben und Tod geht - wie etwa in der Luftfahrt - ist ein integriertes ist seit Jahrzehnten ein zentraler Ansatz. Von den Checklisten vor dem Flug bis zur Meldung von Zwischenfällen ist jeder Schritt verfahrensmäßig festgelegt. Dabei sind Checklisten nicht nur formale Abhaklisten, sondern Werkzeuge, die entscheidende Schritte sichtbar und überprüfbar machen. Fehler werden schnell erkannt und können systematisch behoben werden.
  4. Durchbrechen Sie die Insellage Bei der Cybersicherheit geht es nicht nur um IT. Rechtliche Aspekte (Verträge, Einhaltung von Vorschriften), Personal (Einstellungsverfahren, Schulungen), Einrichtungen (physische Sicherheit) und Beschaffung (Lieferantenmanagement) spielen alle eine Rolle. Richten Sie eine multidisziplinäre Arbeitsgruppe oder einen Lenkungsausschuss ein, die/der für den integrierten Ansatz verantwortlich ist.
  5. Kontinuierliche Verbesserung Cybersicherheit ist nie “fertig”. Schaffen Sie einen regelmäßigen Zyklus aus Überwachung, Bewertung, Berichterstattung und Anpassung. Führen Sie Ereignis- und Trendanalysen durch, um Muster zu erkennen. Ein solcher Plan-Do-Check-Act-Zyklus ist mit Qualitätssicherungsmethoden verknüpft und stellt sicher, dass Sie nicht von neuen Bedrohungen oder sich ändernden Vorschriften überrascht werden.

Der Weg nach vorn

Viele Unternehmen haben die Absicht, ihre Sicherheit zu verbessern, tun sich aber schwer, dies in der täglichen Praxis umzusetzen. Bei Vorfällen - wie der Datenschutzverletzung bei Equifax oder unzähligen Ransomware-Angriffen - sehen sie Jedes Mal stellten wir fest, dass eine oder mehrere entscheidende Aspekte fehlten: Eigenverantwortung, Einblick in die wertvollen Daten, Prozessdisziplin oder Bewusstsein der Mitarbeiter.

Gleichzeitig wächst der Druck durch Gesetze und Vorschriften, aber auch durch Kunden und Kooperationspartner, die verlangen, dass Vertraulichkeit und Kontinuität gewährleistet sind. Doch es gibt auch eine positive Kehrseite: Wer einen integrierten Ansatz verfolgt und in Menschen, Prozesse und Technologie investiert, wird feststellen, dass die Compliance-Anforderungen leichter zu erfüllen sind. Außerdem profitieren Sie von einer höheren Zuverlässigkeit und einem besseren Image.

Ganzheitliche Cybersicherheit” kann als ein kontinuierlicher Verbesserungsprozess betrachtet werden, bei dem man ständig aus Fehlern, neuen Bedrohungen und branchenweiten Erkenntnissen lernt. Indem Sie sich zum Beispiel mit den Lehren aus der Luftfahrt und der Pharmazie oder den zusätzlichen Risiken durch KI befassen, können Sie das Rückgrat Ihrer eigenen Organisation stärken. Auf diese Weise vermeiden Sie, dass Sicherheit etwas ist, das Sie nur “im Nachhinein” oder “auf dem Papier” verwalten, und machen sie zu einem echten Erfolgsfaktor.

Dieser Artikel erschien zuvor in Quality in Business (pdf)