Viele Unternehmen setzen sich seit Jahren mit dem Thema Cyber Security auseinander und spätestens durch die großen Ransomware-Wellen 2017 ist das Thema auch auf Vorstandsebene angekommen. In vielen Fällen fragt inzwischen auch der Aufsichtsrat nach, ob eine Firma ausreichend gegen Cyber-Risiken geschützt ist.
Ein angemessener Schutz lässt sich prinzipiell auf Basis vorhandener Standards (z.B. ISO 27000 Familie, NIST-Standards, BSI Grundschutz, CSI Standards) implementieren. Die Verantwortlichen (i.d.R. der Chief Information Security Officer, CISO) stehen aber häufig vor der Herausforderung, dass eine vollständige Implementierung und Aufrechterhaltung mit erheblichem Ressourcenaufwand verbunden sind und in Konkurrenz zu anderen Unternehmensinitiativen stehen. Bei der Aufgabe, diesen Aufwand gegenüber der Geschäftsleitung zu begründen und zu einer angemessenen Priorisierung zu kommen, hilft die Erstellung und Pflege eines Enterprise Risiko Portfolios.
Enterprise Risiken beschreiben Risiken aus Geschäftssicht, indem die Auswirkungen im Falle der Materialisierung eines Risikos und die Eintrittswahrscheinlichkeit abgeschätzt werden. Insbesondere bei der Auswirkungsanalyse ist die Diskussion und Abstimmung mit den entsprechenden Fachbereichen essentiell. Die Eintrittswahrscheinlichkeit bei Cyber-Risiken erfordert fundierte Kenntnisse der IT-Landschaft und der implementierten Schutz- und Abwehrmaßnahmen.
Die Ersterstellung eines solchen Portfolios ist i.d.R. mit etlichen, nicht selten auch kontroversen Abstimmdiskussionen verbunden, denn hier werden ganz unterschiedliche Risiken miteinander verglichen. So muss beispielsweise das Risiko, dass der Innovationsprozess eines Unternehmens durch Ressourcenmangel leidet, mit dem Risiko einer Ransomware-Infektion, die die Produktions- und Vertriebsprozesse lahmlegt, miteinander in Beziehung gesetzt werden. Genau diese Diskussionen sind wichtig, um im Unternehmen entsprechende Sensibilität auch für die Cyber-Risiken zu erzeugen. Es wird so auch einfacher, mit den betroffenen Fachbereichen über Mitigationsmaßnahmen zu sprechen. Nicht jedes Risiko, das beispielsweise aus einem Stillstand der IT resultiert, muss auch durch IT-Maßnahmen mitigiert werden (z.B. die Erhöhung des Safety-Stocks gegen den Stillstand der Produktions-IT).
Häufig haben Cyber-Security-Schutzmaßnahmen Auswirkungen auf Endanwender oder Fachbereiche. Ein Beispiel hierfür ist der Einsatz einer Data Leakage Prevention Lösung, die zunächst eine Klassifizierung der relevanten Informationen durch die Fachbereiche erfordert und im praktischen Einsatz auch operative Aktivitäten der Fachbereiche nach sich zieht. Hat es im Vorfeld der Einführung eine Diskussion des entsprechenden Enterprise Risikos (IP Verlust durch unautorisierten Datenabfluss) mit dem Fachbereich gegeben, wird die Einführung i.d.R. konstruktiver unterstützt und erfolgreicher sein.
Der CISO (Chief Information Security Officer) kann aus dem erstellten Enterprise Risiko Portfolio seine Agenda ableiten. Zunächst müssen dazu die detaillierten Cyber-Risiken den Enterprise Risiken zugeordnet werden und Mitigationsmaßnahmen abgeleitet werden. Daraus lässt sich ein Cyber-Security-Programm zusammenstellen und nach dem Enterprise Risiko Profil priorisieren. Ein solches Programm mit dem Bezug zum Enterprise Risiko Profil ist die Kommunikationsgrundlage gegenüber Fachbereichen und Geschäftsleitung.
Selbstverständlich muss die Geschäftsleitung die Ressourcen für das vorgeschlagene Programm nicht zur Verfügung stellen, sondern sie kann das Risiko (oder Teile davon) auch akzeptieren. Dann ist aber über die Verbindung des Programms zu den Enterprise Risiken sichergestellt, dass die Konsequenzen dieser Entscheidung allen Beteiligten transparent sind.
Durch den gesamten beschriebenen Prozess rückt der CISO mit seiner Organisation näher ans Geschäft. Dies ist im Hinblick auf die fortschreitende Digitalisierung und die weiter zunehmenden Cyber-Risiken für seine Effektivität essentiell. Trotzdem bleibt ein fundamentales Verständnis von IT und Cyber-Security eine wichtige Grundlage für einen erfolgreichen CISO.
Fragen, Feedback und Kommentare zu diesem Beitrag senden Sie bitte an h.leucker@acent.de
Hermann Leucker | 06.09.2019