Sicherheitsbewußtsein - Risikomanagement
C-Level Gap: Ist Ihr CEO eine Sicherheitsschwachstelle?
Fast 40% der globalen IT-Entscheider sagen "ja"
Sind diese 40% nun eine gute oder schlechte Nachricht? Man könnte argumentieren, dass dies eigentlich gute Nachrichten sind, da es auch bedeutet, dass 60% der CEOs keine Sicherheits-Schwachstelle sind – bis zu der kürzlich durchgeführten Mimecast-Umfrage bei IT-Entscheidungsträgern (Lagebericht zur E-Mail Sicherheit 2018) . Leider bedeutet hier 40% eine Steigerung von 10% im Vergleich zum Vorjahr. Das wiederum ist schlecht und bedeutet, dass die Problematik nicht verbessert wird.
4 Gründe, warum CEOs mehr Verständnis für Cyber Security brauchen
Warum könnten CEOs eine wichtige Sicherheitsschwachstelle sein? Matthew Gardner, Direktor Produktmarketing bei Mimecast, führt hier einige Gedanken aus seinen Erfahrungen auf.
- CEOs sind in der Regel mit überwiegend nicht-technischen Menschen beschäftigt. Ein großer Teil der Cyber Security wird ihnen als eine Technologie präsentiert (UTM, Netzwerküberwachung, MFA, SIEMs, Maschinelles Lernen …), die nicht immer die nötige Sicherheitseffizienz wiederspiegeln und daher oft zu internen Missverständnissen führen können.
- CEOs versuchen zudem, wie jeder andere auch, einfach ihre Arbeit zu erledigen und können nicht ständig jeder Kommunikation misstrauisch gegenüber stehen. Sie vertrauen auf die eingesetzten Technologien und gehen davon aus, dass die erhaltenen E-Mails sicher und korrekt sind. Dass aber Cyberkriminelle viel mehr Kontrolle haben könnten, als man denkt, wird dabei verdrängt.
- CEOs haben Zugang zu hoch-sensibleren Informationen, im Gegensatz zu ziemlich allen anderen im Unternehmen. Und nicht nur das, sie können die Freigabe von Geldmitteln oder anderen sensiblen Informationen mit nur einem Mausklick steuern (CEO-Fraud).
- Zudem sind CEOs in der Regel nach außen hin sehr gut sichtbar und stehen somit immer im Visier von Angreifern. Die Identity Change-Daten aus den Mimecast-Grids zeigen, dass der C-Level-Titel, der am meist gefälschte Titel in den Organisationen ist. Daher sollte man C-Level Positionen besonders stark schützen.
Sind sich die CEOs den Cybersicherheitsrisiken wirklich nicht bewusst? Ich denke, sie sind sich den Gefahren durchaus bewusst, allerdings verstehen sie nicht wirklich, wie man am besten das „Gute“ vom „Bösen“ unterscheiden kann und was dabei zu tun ist. Die allgemeinen Nachrichten sind meist zu populistisch aufgebaut und bringen zu wenig Details. Wichtiger wäre eine regelmäßige Berichterstattung über Cyberattacken, die auch für ein nicht-technisches Publikum leicht zu verstehen sind, damit sich mit der Zeit ein erhöhtes Sicherheitsbewusstsein bei den Mitarbeitern bilden kann – einschließlich den CEOs!
Wie könnten man den C-Level Cybersecurity Gap schließen?
Was kann man dagegen tun, um diese Verständnislücke zu schließen? Es obliegt den Senior Security- und IT-Experten, über ihr eingesetzten Sicherheitsprogramme, in Bezug auf das Risikomanagement und der Risikoreduzierung mit der Geschäftsführung regelmäßig zu berichten. Die Kunst dabei: die Berichterstattung sollte nicht zu technisch und allgemein verständlich sein, um im Vorfeld bereits Missverständnisse vermeiden zu können. Sicherheitstechnik ist schließlich nur ein Mittel zum Zweck, aber die entscheidende Voraussetzung dafür um potentielle Angriffe zu verhindern und folgenreiche Auswirkungen bei einem eingetretenen Sicherheitsvorfalls zu reduzieren.
Fazit
CEOs verstehen das Risikomanagement und auch die Risikoreduzierung. Das ist eigentlich auch ihr täglicher Job. Sie entscheiden regelmäßig über risikobehaftete Geschäftsentwicklungen und Investitionen. Wenn man nun ein entsprechendes Sicherheitsprogramm in Bezug auf Risiko, Risikoreduzierung, Risikomanagement und Risikoakzeptanz in der Cyber Security-Welt gestalten würde und dies den CEOs verständlich nahe bringt, würde dies auf jeden Fall dazu beitragen, dass die 40%-Schwachstelle reduziert werden könnte.