Wie managet man am besten die Cyber-Risiken in Unternehmen?

11.01.2023

Cyber-Risiken stellen eine ernsthafte Bedrohung für Unternehmen dar. Sie können dazu führen, dass Unternehmen wichtige Daten verlieren, ihre Systeme ausfallen oder von Cyberkriminellen gehackt werden. Dies kann zu erheblichen finanziellen Verlusten und Schäden an der Reputation führen. Deshalb ist es wichtig, dass Unternehmen Maßnahmen ergreifen, um sich vor Cyber-Risiken zu schützen, wie zum Beispiel das regelmäßige Installieren von Sicherheitsupdates und das Verwenden von starken Passwörtern. Es ist auch sinnvoll, eine Cyberversicherung abzuschließen, um sich im Falle eines Angriffs finanziell abzusichern.

Wir haben die fünf wichtigsten Maßnahmen zusammengestellt, die Unternehmen ergreifen können, um Cyber-Risiken zu verwalten und zu minimieren. Hier sind einige mögliche Ansätze:

1. Sicherheitsrichtlinien und -verfahren: Eine wichtige Maßnahme ist es, sicherheitsbezogene Richtlinien und Verfahren festzulegen, die alle Mitarbeiter befolgen müssen. Dazu gehören beispielsweise Verfahren zum Schutz von Passwörtern, zur Verwendung von Antivirus-Software und zur Einhaltung von Sicherheitsstandards bei der Verarbeitung von sensiblen Daten.
   
2. Schulung und Awareness: Es ist wichtig, dass alle Mitarbeiter über die wichtigsten Aspekte von Cybersicherheit informiert sind und wissen, wie sie sich schützen können. Dazu gehört auch das Bewusstsein dafür, wie sie sich vor Phishing-Angriffen und anderen Bedrohungen schützen können.
   
3. Technische Schutzmaßnahmen: Unternehmen können auch technische Schutzmaßnahmen ergreifen, um ihre Netzwerke und Systeme zu schützen. Dazu gehören beispielsweise Firewalls, Intrusion Detection Systems (IDS) und Virtual Private Networks (VPNs).
   
4. Risikomanagement: Ein wichtiger Bestandteil der Verwaltung von Cyber-Risiken ist das regelmäßige Überwachen und Bewerten von Risiken und das Ergreifen von Maßnahmen, um diese Risiken zu minimieren. Dazu gehört auch das regelmäßige Testen von Sicherheitsmaßnahmen, um sicherzustellen, dass sie wirksam sind.
   
5. Krisenmanagement: Es ist wichtig, einen Plan zu haben, um im Falle eines Cyberangriffs oder eines anderen Notfalls schnell und effektiv reagieren zu können. Dazu gehört auch das Vorhaben von regelmäßigen Übungen und Tests, um das Krisenmanagement-Team auf mögliche Notfälle vorzubereiten.

Auch die Allianz für Cybersicherheit hat ein Handbuch für die Unternehmensleitung zum Management von Cyber-Risiken herausgegeben. Wichtiger Tenor: Cyber-Sicherheit ist Chefsache! Sichere Digitalisierung gelingt nur, wenn die Unternehmensleitung ein Grundverständnis für die Risiken im Bereich Informationssicherheit entwickelt. Nur so kann der Vorstand von Cyber-Vorfällen informiert werden und über die Validität von IT-Sicherheitsstrategien entscheiden.

Das Handbuch richtet sich an die Unternehmensleitung. Es bietet einen Überblick sowie Handlungsempfehlungen zum Umgang und der Bewertung von Cyber-Risiken. Es basiert auf dem „Cyber Risk Oversight Handbook“, das von der US-amerikanischen Internet Security Alliance (ISA) im Auftrag der National Association of Corporate Directors (NACD) entwickelt wurde. In Workshops und in enger Zusammenarbeit von Expertinnen und Experten aus der Wirtschaft, IT-Sicherheitsforschung und Staat wurde das Handbuch in der vorliegenden, aktualisierten Version ins Deutsche übertragen und an deutsche bzw. europäische Rahmenbedingungen angepasst.

Darin werden sechs grundlegende Prinzipien formuliert, die Vorstände sowie Aufsichtsrätinnen und Aufsichtsräte bei der Betrachtung von Cyber-Risiken unterstützen:

1. Prinzip
   Cyber-Sicherheit nicht nur als IT-Thema, sondern als Baustein des unternehmensweiten Risikomanagements verstehen.
   
2. Prinzip
   Rechtliche Auswirkungen von Cyber-Risiken verstehen und genau untersuchen.
   
3. Prinzip
   Zugang zu Cyber-Sicherheitsexpertise sowie regelmäßigen Austausch sicherstellen.
   
4. Prinzip
   Umsetzung geeigneter Rahmenbedingungen sowie Ressourcen für das Cyber-Risikomanagement sicherstellen.
   
5. Prinzip
   Risikoanalyse erstellen sowie Definition von Risikobereitschaft in Abhängigkeit von Geschäftszielen und -strategien formulieren.

Unter dieser Seite können passende Erklärvideos angeschaut werden. Einen Onepager, mit allen Infos kompakt auf einer Seite, steht hier zum Download bereit.