Eine Datenpanne kann verheerende Folgen haben, nicht nur für Ihr technisches Team, sondern für das gesamte Unternehmen - und sie kann langfristige Auswirkungen haben. Je nach Schwere des Vorfalls müssen Sie möglicherweise den Geschäftsbetrieb für eine gewisse Zeit komplett einstellen, was den Verlust von Kunden und Umsatzeinbußen bewirken kann.

Eine weitere nicht zu unterschätzende Folge ist der Reputationsschaden—65 % der Opfer von Datenpannen haben das Vertrauen in das Unternehmen verloren, in dem es zu einer Sicherheitsverletzung kam. Und Unternehmen, die versehentlich personenbezogene Daten herausgeben, müssen mit Sammelklagen und Schadenersatzansprüchen in Millionenhöhe rechnen. Was die finanziellen Folgen betrifft, so belaufen sich die durchschnittlichen Kosten einer Datenpanne in den Vereinigten Staaten auf fast 4 Millionen US-Dollar.

Die Einhaltung von Branchenvorschriften ist ein guter Ausgangspunkt, um Ihr Unternehmen zu schützen. Heute reicht es jedoch nicht mehr, sich allein auf die Einhaltung von Vorschriften zu verlassen. Es geht nicht darum, irgendwelche Kästchen anzukreuzen, sondern vielmehr darum, neue und aufkommende Risiken zu erkennen, bestehende Risiken zu managen und diesen Prozess effizient zu gestalten. Ein aktiver Ansatz zur Überwachung und Verwaltung Ihres Cyberrisikos ist daher unerlässlich.

Typisches Beispiel? Die COVID-19-Pandemie hat zu einer plötzlichen und weit verbreiteten Umstellung auf eine dezentrale Büroumgebung geführt. Es blieb jedoch nur wenig Zeit zur Vorbereitung und zur Einrichtung neuer Netzwerksicherheitsprotokolle. Das führte bei 20 % der befragten Unternehmen zu einer Sicherheitsverletzung. 

Das ist ein Paradebeispiel für ein Risiko, das frühzeitig hätte erkannt werden können. Vielleicht nicht als Risiko einer globalen Pandemie, sondern eher als Risiko für die Geschäftskontinuität: Sind die passenden Systeme, Tools und Prozesse vorhanden, um den Betrieb aufrechtzuerhalten, wenn der Arbeitsplatz aus welchem Grund auch immer nicht zugänglich ist? Welche Auswirkungen hat es auf das Unternehmen, wenn das nicht der Fall ist? Dies ist ein Beispiel für einen risikobasierten Ansatz an die Cybersicherheit.

Um zukünftigen Cybersicherheitsrisiken einen Schritt voraus zu sein, sollten Sie auf jeden Fall einen strategischen Ansatz an die Bewertung potenzieller Risiken für Ihr Unternehmen wählen (berücksichtigen Sie dabei u.a. interne, Third Party- und infrastrukturbasierte Szenarien sowie Szenarien höherer Gewalt). Durch die Identifizierung jedes einzelnen Risikos und die Erstellung von Plänen zur Minderung und Behebung dieser Risiken sind Sie gut vorbereitet und können sich in fast jedem Szenario wieder rasch erholen.

Ein risikobasierter Ansatz an die Cybersicherheit

Es folgen fünf Hinweise, wie Sie das Risikomanagement in Ihre Initiativen zur Cybersicherheit einbinden können:

1. Nutzen Sie die Risikoeinstufung und Analysen

   Inventarisieren Sie alle potenziellen Risiken und stufen Sie die Risiken als hohes, mittleres oder niedriges Risiko ein. Legen Sie dann fest, welches Risikoniveau Sie einzugehen und wie viel Sie zu investieren bereit sind, um die Risiken unterhalb dieses Niveaus zu halten. Verwenden Sie eine Softwareplattform mit Datenanalysefunktion, um die Risikoeinstufung durchzuführen und zu überwachen, und automatisieren Sie Benachrichtigungen, wenn sich Risiken in die falsche Richtung entwickeln. Dieser Artikel beschreibt die acht Schritte, die Sie bei der Planung Ihrer Cyberrisikobewertung unterstützen können.

2. Richten Sie einen Cybersicherheitsausschuss ein

   Identifizieren Sie im gesamten Unternehmen Risikoverantwortliche. Üblicherweise übernimmt der Chief Information Security Officer (CISO) eine Führungsfunktion für das Management von Cyberrisiken insgesamt, während verschiedene Teams und Funktionen die Überwachung und das Management spezifischer Risiken übernehmen. So kann beispielsweise die IT die Hauptverantwortung für die Verwaltung und Überwachung der Infrastruktur und Netzwerke übernehmen, während Ihr Sicherheitsteam eine führende Rolle bei der Festlegung von Kontrollen für den Zugriff auf Daten und die Überwachung von Bedrohungen gegen diese übernimmt. Bilden Sie eine Gruppe, die aus wichtigen Führungskräften aller relevanten Abteilungen besteht und gemeinsam in einem Cyberrisikoausschuss arbeiten, der an den Vorstand berichtet. Dieser Ausschuss sollte nicht nur aktive Risiken überwachen, sondern auch die Verantwortung für die Beurteilung des laufenden Bedarfs des Cybersicherheitsprogramms sowie für die Zuweisung von Ressourcen und die Aktualisierung von Richtlinien entsprechend den Zielen Ihres Unternehmens übernehmen.

3. Gehen Sie schrittweise vor

   Anstatt zu versuchen, mehrere große strategische Änderungen auf einmal zu implementieren, sollten Sie beim Risikomanagement schrittweise vorgehen und sich dabei am verfügbaren Budget und an den verfügbaren Ressourcen orientieren. Arbeiten Sie mit dem Risikomanagementausschuss zusammen, um einen Überblick über die Risikolandschaft zu gewinnen, und folgen Sie seiner Prioritätenliste, wenn Sie einen strategischen Fahrplan für die Bewältigung der Risiken erstellen. Das gilt auch für den Zeitrahmen, in dem eine Änderung umgesetzt werden soll. Diese Vorgehensweise wird Ihnen helfen, die Ressourcen (Mitarbeiter, Technologie, Prozess) zu definieren, die Sie benötigen, um Veränderungen im weiteren Verlauf zu implementieren.

4. Legen Sie den Fokus auf Ihre Initiativen zur Cybersicherheit

   Sobald Sie einen umfassenden Plan für das Management von Cybersicherheitsrisiken entwickelt haben, sollten Sie das gesamte Unternehmen über Ihre Initiativen informieren. Beginnen Sie mit der Aktualisierung Ihrer Richtlinien, die die Änderungen an den Standardprotokollen widerspiegeln, und führen Sie abteilungsspzifische Schulungen durch, damit jedes Team auf dem neuesten Stand ist und weiß, was man von ihm erwartet. Sobald Sie Ihr Unternehmen ins Boot geholt haben, können Sie Ihren Kunden und Partnern Ihre Initiativen zur Cybersicherheit, und damit einen Wettbewerbsvorteil, präsentieren. Ihre Reporting-Analysen unterstützen Sie in folgenden Bereichen: Wenn Sie sich auf Datenpunkte wie das Tempo der Risikominderung konzentrieren, können Sie sowohl Ihrem Vorstand als auch externen Partnern und Kunden zeigen, dass Ihre Anstrengungen im Bereich des Managements des Cybersicherheitsrisikos einen wesentlichen Einfluss auf das Unternehmen haben.

5. Ermitteln Sie die richtigen Automatisierungstools, die Sie beim Risikomanagement unterstützen

   Das Management von Cyberrisiken profitiert natürlich von menschlicher Expertise. Um jedoch ein robustes Programm aufzubauen, das Ihr Risikoniveau in Echtzeit nachverfolgt, müssen Sie auf Automatisierungs- und Datenanalysetools vertrauen. Bei der Auswahl einer Lösung sollten Sie sich primär für ein Tool entscheiden, das für Benutzer ohne spezielle Schulung intuitiv zu bedienen ist, damit Sie es bereichsübergreifend einsetzen können. Das Tool sollte für die Analyse neuer Bedrohungen Echtzeit-Datenfeeds nutzen, und Informationen anonymisiert weitergeben, sobald Vorfälle und Bedrohungen auftreten. Es sollte die Höhe der Investitionen mit Angaben über die Auswirkungen vergleichen, damit Sie Klarheit über den ROI für jede Minderungsstrategie erhalten.

Sie legen den Fokus nicht ausschließlich auf die Compliance und erstellen einen Cybersicherheitsplan, in dessen Mittelpunkt das besondere Risikopotenzial Ihres Unternehmens steht. Wenn Sie so vorgehen, sind Sie in gut positioniert, um Bedrohungen sofort und effizient zu erkennen und auf sie zu reagieren, sobald sie auftreten und nicht erst Monate später.

Das hilft Ihrem Unternehmen, operative Probleme und Reputationsschäden zu vermeiden, die durch schwerwiegende Verletzungen verursacht werden, und langfristig in Ihrer Branche wettbewerbsfähig zu bleiben. Durch den Einsatz von Technologien, die Sie nicht nur bei der Bewertung von Risiken unterstützen, sondern auch bei der Analyse der mit der Minderung dieser Risiken verbundenen Kosten, können Sie ein kosteneffektives Risikomanagementprogramm einführen, das gute Ergebnisse bringt.