Foto von Mason Kimbarovsky auf Unsplash
Cybersecurity 2023 muss Glaubenssätze überwinden und Perspektiven wechseln
„Cyber Security ist nur ein Kostenfaktor!“ – Diesen Satz hören wir leider allzu oft. 2023 wird es Zeit, diese Glaubenssätze zu überwinden und die Perspektive zu wechseln. Gemeinsam mit den besten CIOs und Cyber Security Experten wie Prof. Thomas Köhler – Bestseller Autor „Chefsache Cyber Security“, Roman Haltinner – Cyber Security Competence Leader bei EY Schweiz und Walter Hölblinger – CISO bei SIGNA Gruppe lässt Livin IT 3 veraltete Glaubenssätze verschwinden.
Glaubenssatz 1: Cyber Security ist ausschliesslich ein IT-Thema
Perspektivenwechsel 1: Cyber Security geht nur gemeinsam
Jeder, der sich mit dem Thema Security intensiver auseinandersetzt, erkennt sehr schnell, dass es nicht ausschliesslich ein IT-Thema ist.
Um eine Security-Strategie erfolgreich umzusetzen, müssen Geschäftsführung, Fachabteilung und die IT übergreifend zusammenarbeiten.
„In einem modernen Unternehmen hat Cyber Security nicht nur einen festen Stellenwert, sondern ist integraler Bestandteil aller Geschäfts- und Projektprozesse. Darüber hinaus wird Security nicht nur als Teildisziplin der IT verstanden, sondern aktiv von allen Mitarbeitenden gelebt.“
- Walter Hölblinger, CISO bei SIGNA Gruppe
Cyber Security betrifft jeden im Unternehmen und muss von der Unternehmensführung mit hoher Priorität behandelt werden.
Es besteht eine potenzielle Gefahr für den Erfolg und das Bestehen der Organisation, wenn dieses Thema zu sorglos behandelt wird.
„Cyber-Vorfälle sind heute ein wesentlicher Bestandteil der Geschäftsrisiken, der sich nicht alleine an die IT delegieren lässt. Es erfordert ein holistisches Verantwortungsbewusstsein für Gefahren, die man potenziell weder versteht noch kommen sieht: «Cyber Security ist Chefsache!»“
- Martin Schellenberg, CIO bei Schutz & Rettung Zürich
Bewusstseinsbildung über alle Abteilungen hinweg ist gefragt und eindeutig vom Top-Management zu initiieren, um die Dringlichkeit dieser Thematik zu unterstreichen.
„Cyber Security betrifft aber nicht nur den CIO, den CISO, die IT-Abteilung, sondern auch klar die Geschäftsführung bzw. den Vorstand. Somit muss die Awareness auch „ganz“ oben im Management für das Thema da sein und auch das Verständnis.“
- Herbert Lohninger, CIO Universität Salzburg
„Wenn man genauer hinsieht, stellt man fest, dass viele Unternehmen, auch solche die sonst gut aufgestellt sind, Cybersicherheit noch immer nicht den Stellenwert einräumen, der nötig wäre. Cyberattacken müssen als potenziell existenzbedrohende Risiken wahrgenommen werden und entsprechend behandelt werden. Das braucht es Fachexpertise im Unternehmen selbst aber auch 'Management Attention'.“
- Prof. Thomas Köhler, Bestseller Autor „Chefsache Cyber Security“
Glaubenssatz 2: Cyber Security ist nur ein Kostenfaktor
Perspektivenwechsel 2: Cyber Security ermöglicht mehr Umsatz und steigert den Unternehmenswert
Über alle Branchen hinweg stellt Sicherheit einen wesentlichen Erfolgsfaktor dar. Richtig implementiert, wertet sie Produkte und Dienstleistungen auf, stiftet damit einen konkreten Kundennutzen und versetzt das Unternehmen in die Lage, mehr Profit aus seinem Geschäftsmodell zu generieren.
Damit wird Cyber Security vom Kostenfaktor zum Enabler für Wachstum und Weiterentwicklung.
„Starke Sicherheit ermöglicht es, Kund*innen zu gewinnen und an sich zu binden. In verschiedenen Sektoren, vom Finanzwesen bis zur Pharmaindustrie, von der Personalbeschaffung bis zum Einzelhandel, ist eine vertrauenswürdige und nachweisbare Sicherheitslage eine wesentliche Voraussetzung dafür, neue Kund*innen zu gewinnen und die Kundenbindung zu verbessern. Einfach ausgedrückt: Bessere Sicherheit führt zu höheren Umsätzen und einer stärkeren Kundenbindung.“
- Roman Haltinner, Cyber Security Competence Leader bei EY Schweiz
Cyberattacken lassen sich nicht verhindern. Der Umgang damit kann allerdings vom Unternehmen gesteuert werden.
Passives Reagieren aus einer Schwäche heraus oder proaktives, kraftvolles Gestalten machen einen riesigen Unterschied.
„Eine Sicherheitsstrategie, die das Unternehmen in die Lage versetzt, neuen – und möglicherweise leistungsfähigeren – Bedrohungsakteuren zu widerstehen, verschiebt das Thema “Sicherheit” mittels geeigneter Konzepte (Security by Design) von “Schwäche und Bedrohung” zu “Stärke und Chance” und ermöglicht es dem Unternehmen, einige seiner fortschrittlicheren Entscheidungen weniger riskant zu gestalten.“
- Roman Haltinner, Cyber Security Competence Leader bei EY Schweiz
Glaubenssatz 3: Hohe Nutzerfreundlichkeit geht immer auf Kosten der Sicherheit
Perspektivenwechsel 3: Usability und Cyber Security stehen nicht im Widerspruch
Um Sicherheitsrisiken zu minimieren sind in Unternehmen vorbeugende Kontrollmassnahmen und Einschränkungen weit verbreitet. Das reduziert oft die Flexibilität und Nutzerfreundlichkeit beim Arbeiten und lässt innovative Mitarbeitende kreativ werden.
Interne Systeme werden gemieden und alternative Wege gesucht, was ein neuerliches Risiko darstellt. Moderne Sicherheitskonzepte gehen hier einen Schritt weiter. Sie ermöglichen agiles, produktives Arbeiten und gewährleisten gleichzeitig einen hohen Sicherheitsstandard.
„Erkennungs- und Reaktionsfähigkeit lockert restriktive Präventivkontrollen, erhöht die Produktivität und reduziert die Schatten-Informatik. Dieses exponentielle und blitzschnelle Wachstum in Komplexität und Volumen der Prozesse sowie unterstützender Technologien ist heutzutage zu einer Normalität geworden. Unternehmen beschäftigen intelligente Mitarbeitende, die zu schnellen Innovationen fähig sind, aber oft durch restriktive Kontrollen seitens der Sicherheitsverantwortlichen gebremst werden. Da der grösste Teil der Sicherheitsbudgets in der Vergangenheit für präventive Kontrollen aufgewendet wurde, ist es nachvollziehbar, dass dies zu einer Schatten-Informatik-Kultur geführt hat, in der innovative Mitarbeitende die Unternehmenssysteme einfach umgehen und die Dinge selbst in die Hand nehmen, was das Sicherheitsrisiko natürlich noch erhöht.“
- Roman Haltinner, Cyber Security Competence Leader bei EY Schweiz
Wie so oft im Leben ist ein Miteinander die beste Lösung, um erfolgreich zu sein. Cyber Security sollte daher gemeinsam mit Anwendungs- und Systementwicklung arbeiten und immer wieder die Perspektive der Nutzer einnehmen.
„Cyber Security ermöglicht die smarte und sichere Integration von ICT-Lösungen. Sie stellt gleichzeitig auch sicher, dass die Endbenutzer diese Lösungen gut nutzen können. Das ist für die Akzeptanz und die Wirksamkeit von Cyber Security Massnahmen essenziell. Durch Einhalten von Cyber Security Massnahmen sollen Anwendungen einfacher (und sicher) genutzt werden können. Das ist für mich kein Widerspruch, sondern konsequentes Umsetzen von smarten Architekturen und Engineeringwissen. Damit das gelingt, müssen das Cyber Security Team und die Verantwortlichen von Applikationen bzw. Systemen von Anfang an eng zusammenarbeiten und auch aus Sicht der Endbenutzer denken. Gleichzeitig ist Cyber Security aber auch eine wichtige Verteidigungslinie, sollte eine Schwachstelle auftauchen. Dann ist das Cyber-Team die gut trainierte Feuerwehrmannschaft, welche Brände unter Kontrolle hält, Optionen aufzeigt und zusammen mit den Applikationsverantwortlichen das Feuer löscht.“
- Konrad Zöschg, CIO bei Swissgrid AG
Schatten-IT stellt für IT-Abteilungen eine grosse Herausforderung und letztendlich ein erhebliches Sicherheitsrisiko dar. Oft implementiert, um schnell und unkompliziert agieren zu können, ist vielen Mitarbeitenden oder ganzen Abteilungen nicht bewusst, welche Sicherheitsgefahr die Benutzung mit sich bringen kann.
Durch die Auswertung von Sicherheitsdaten, die das ganze Unternehmen betreffen, ist das Sicherheitsteam in der Lage, Schatten-IT zu erkennen. Aus dieser Information lässt sich ableiten, welche Anforderungen es gibt, sodass die IT-Abteilung proaktiv integrierte Lösungen dazu anbieten und Innovation damit fördern kann.
Moderne Sicherheit ist auf grosse Datenmengen angewiesen, die das gesamte Unternehmen optimieren können. Dies führt dazu, dass die Sicherheit manchmal einen besseren Einblick in die Informatik hat als Informatikverantwortliche. Dieser Einblick kann für Optimierung genutzt werden, indem die Leistung der vorhandenen Informatik optimiert wird, aber auch, indem die Nutzung von Schatten-Informatik auf eine Weise erkannt wird, die die zentrale Informatikabteilung nicht erkennen kann. Die Sicherheitsabteilung kann dem Unternehmen eine Vorausschau auf die mittel- bis langfristigen Informatik-Anforderungen geben, die sich aus der Nutzung der Schatten-Informatik ergeben, die in der Regel auf innovative Mitarbeitende zurückzuführen ist, die innovative Dinge tun.
- Roman Haltinner, Cyber Security Competence Leader bei EY Schweiz
