Drei Schritte
Wie sich Firmen auf Cyber-Angriffe vorbereiten können
2. Phase: Anpassen
Internetsicherheit ist ein Thema, das das gesamte Unternehmen angeht - von der Entwicklung neuer Prozesse über die Eröffnung von Betriebsstätten bis hin zur Einführung neuer Produkte. Ändern sich Geschäftsprozesse, sollte das Unternehmen diese sofort auf den Aspekt der Internetsicherheit hin analysieren und neue Anforderungen direkt in die Prozesse integrieren.
Auf diese Weise ist die Sicherheit kontinuierlich auf dem neuesten Stand. Die Internetsicherheit des Unternehmens ist in dieser zweiten Phase flexibel und wird ständig nachjustiert.
Fünf Schritte, wie ein Unternehmen von der ersten in die zweite Phase übergehen kann:
Entwickeln und implementieren Sie ein Transformationsprogramm.
Entscheiden Sie, welche Maßnahmen und Prozesse Sie intern umsetzen und welche Sie auslagern.
Definieren Sie eine RACI-Matrix (Methode zur Analyse und Darstellung von Verantwortlichkeiten) für die Internetsicherheit.
Definieren Sie, wer zu Ihrem Ökosystem - Geschäftspartner, Lieferanten und Anbieter - gehört. Berücksichtigen Sie immer, welchen Einfluss Sicherheitsverstöße von Dritten haben könnten, und verringern Sie potenzielle Sicherheitslücken durch den Austausch mit ihnen.
Führen Sie ein Trainingsprogramm für die Mitarbeiter ein, durch das sie für das Thema Internetsicherheit sensibilisiert werden.
Eine große Mehrheit der Befragten setzt ein MDM-System ein oder plant dies.
Weniger als ein Drittel der Unternehmen glaubt an einen ausreichenden Schutz durch einschlägige Sicherheitsmaßnahmen.
Neben der Sensibilisierung der Mitarbeiter sehen Unternehmen vor allem die IT-Anbieter in der Pflicht, für mehr Sicherheit zu sorgen.
3. Phase: Antizipieren
In der dritten Phase sind Unternehmen in der Lage, potenzielle Risiken zu beobachten, sie vorherzusehen und schnell zu reagieren. Die Voraussetzung dafür ist, dass die Führungsebene Internetgefahren und Risiken als wichtiges Business-Thema akzeptiert. Daneben wissen die Unternehmen, was für sie besonders schützenswert ist, und können das Wissen darum in die Geschäftsprozesse integrieren.
Seine Umwelt bewusst wahrzunehmen ist wichtig, um die Einflüsse der Umgebung auf das eigene Unternehmen einschätzen zu können. Zuletzt entscheidet ein auf Routinen basierender Umgang mit Internetsicherheit über das erfolgreiche Vorhersehen und Abwenden von Risiken. Dazu machen die Unternehmen Testläufe ihrer Reaktionsmaßnahmen auf die verschiedenen Angriffsszenarien.
Fünf Maßnahmen, wie Unternehmen die dritte Phase erreichen:
Entwickeln und implementieren Sie eine Cyber-Threat-Intelligence-Strategie.
Definieren und erkunden Sie das "Internetsicherheits-Ökosystem" Ihres Unternehmens. Erarbeiten Sie dabei mit den anderen Mitgliedern Ihres Ökosystems Richtlinien, und legen Sie Verantwortlichkeiten fest.
Gehen Sie bei Cyber-Themen wirtschaftlich vor. Legen Sie fest, was Ihr wertvollstes Gut ist und was dieses Angreifern wert sein könnte. Im Anschluss sollten Sie Ihre Investitionen in Cyber-Security neu bewerten.
Führen Sie forensische Datenanalysen durch, und ergreifen Sie geeignete Cyber-Threat-Intelligence-Maßnahmen.
Vergewissern Sie sich, dass jeder einzelne Mitarbeiter versteht und erkennt, welchen Beitrag er zur Internetsicherheit leisten kann. Dazu bedarf es einer Führung, die Vorbild ist und für diese Thematik sensibilisiert. Außerdem ist eine intensive Kommunikation mit den Mitarbeitern nötig, sodass sie von selbst mögliche Risiken wahrnehmen und bewusster mit dem Thema Internetsicherheit umgehen.
Mit Datenschutz und Datensicherheit kennen sich die Befragten laut eigenen Angaben aus. Doch es fehlt an spezifischen Kenntnissen zu mobilen Apps.
Funktionalität ist das entscheidende Auswahlkriterium bei der App-Auswahl.
Mehr als die Hälfte der befragten Unternehmen weist kein explizites Budget für IT-Security aus.
In den Sicherheitskonzepten der Unternehmen spielen mobile Aspekte häufig keine Rolle.
Fazit
Unternehmen müssen ihre Internetsicherheit kontinuierlich überprüfen und verbessern, um für neue Angriffsmethoden oder Gefahrentypen gewappnet zu sein. Dafür müssen sie über die neuesten Technologien verfügen. Nur so herrscht "Waffengleichheit" mit den potenziellen Angreifern. Die meisten Unternehmen beschäftigen sich jedoch aktuell noch zu stark mit der gegenwärtigen Situation, statt in die Zukunft zu blicken und ihre Internetsicherheit vorausschauend weiterzuentwickeln. Hier gilt es anzusetzen, um sich wirkungsvoll gegen Angriffe zu schützen und so dafür zu sorgen, dass das Business störungsfrei operieren und sich erfolgreich entwickeln kann.