Kommentar zu WannaCry

WannaCry: 5 Hinweise für Geschäftsführungen

, München, (ISC)2 | Autor: Adrian Davis

WannaCry: 5 Hinweise für Geschäftsführungen

Das Risiko-Verständnis der Geschäftsführung muss vertieft werden

Kommentar von Adrian Davis, Managing Director EMEA bei (ISC)2, CISSP

WannaCry hat uns ein paar sehr wichtige Fakten über unsere Abhängigkeit vom Internet und von den IT-Systemen vor Augen geführt. Die Ransomware hat deutlich gemacht, das Cyberattacken nicht in der Verantwortung des CISO, sondern in der Verantwortung des Unternehmens und seiner Geschäftsführung liegen. Die Geschäftsführung muss endlich aktiv ihre Abhängigkeit von IT eingestehen und in Methoden zur Risikovermeidung investieren, die am besten zu ihrem Geschäftsfeld passen. Verantwortliche müssen nun die kurzfristigen Auswirkungen auf Gewinn und Umsatz analysieren, die ihnen nun bei der Behandlung der Risiken und der Resilienz fehlen werden. Denn bei beidem handelt es sich um wichtige Investments für die allgemeine Langlebigkeit und die Widerstandsfähigkeit des Unternehmens.

Adrian Davis, Managing Director EMEA bei (ISC)2, CISSP

Es gibt einen fehlgeleiteten Blick auf das Informationsrisiko. Es wird oft als technologisches Problem behandelt, dass von Informationssicherheit- und IT-Verantwortlichen gelöst werden muss. Sicherlich gibt es viele sehr talentierte Leute und Experten, die an vorderster Frontlinie der Cyber- und Informationssicherheit stehen und permanent ihr Bestes dafür geben, dass ihr Unternehmen geschützt wird. Und das nicht nur bei der alltäglichen Arbeit, sondern auch in Krisenzeiten. Ihre Bemühungen sollten belohnt und anerkannt werden. Die Herausforderung Organisationen und die Gesellschaft abzusichern, gehen über die Ressourcen dieser Experten, der Regierungen und der Experten, die diese Gefahren analysieren hinaus. Alle müssen sich dieser wachsenden Gefahr stellen.

Die rücksichtslose Natur der WannaCry-Attacke demonstriert, dass jeder zum Ziel werden kann, egal aus welcher Branche oder Organisation. Gut dokumentierte Datenschutzverletzungen von Online-Shopping-, E-Mail- und anderen Anbietern haben Cyberkriminellen gezeigt, wie einfach es ist, aktuelle E-Mail-Adressen zu kapern, die allzu oft das Einfallstor für solche Attacken wie WannaCry sind. Darüber hinaus ist die schiere Anzahl und Menge der verschiedenen Systeme, die in jedem Unternehmen eingesetzt werden, bereits die Grundvoraussetzung, dass eine Attacke auf eine gewisse Weise erfolgreich sein wird.

Es ist nicht genug sich gegen Angriffe zu schützen. Cyberrisiken müssen besser verstanden und gemanagt werden.

Nicht mehr unterstützte Anwendungen, Betriebssysteme und andere Software, oft immer noch im Einsatz, weil es keine Alternativen gibt oder diese zu teuer sind, verstärken das Angriffspotential und den Erfolg nur noch mehr. Digitaler Schutz, Cyber Awareness – Nennen Sie es wie Sie wollen, ist ein gesellschaftliches und grundsätzliches Erfordernis und sollte so vielen Personen wie möglich beigebracht werden.

Geschäftsführungen und Vorstände, die sich damit schwertun Informationssicherheit und Cyberrisiken zu verstehen, müssen erkennen, dass ihre Unternehmen resillienter sein müssen. Damit ist gemeint, dass in beides investiert werden muss, in Fähigkeiten um Angriffe zu stoppen und in die notwendigen Prozesse, um weiter arbeiten zu können. Alle Unternehmen, ihre Kunden und ihre Mitarbeiter sind abhängig von Informationen, Systemen und Software, die Grundlage für Produkte, Services und Prozesse sind, die unsere Wirtschaft antreiben. Informationsrisiken müssen als das anerkannt werden, was sie sind, nämlich Hindernisse, die Prozesse stoppen können.

In der aktuellen Situation müssen Unternehmen davon ausgehen, dass Cyberattacken ihre Prozesse zum Stillstand bringen. Deshalb müssen sie Fähigkeiten entwickeln, die dafür sorgen, dass die Prozesse nicht gestört werden. Kunden müssen weiterhin bedient und wichtige Tätigkeiten müssen auch im Falle eines Sicherheitsvorfalls weitergehen. Und es muss egal sein, ob es sich im Hintergrund um eine bösartige Absicht, einen Unfall oder aber eine Naturkatastrophe handelt.

Die folgenden fünf Schritte können hier erste Abhilfe schaffen:

  1. Arbeiten Sie mit ihren Informationssicherheits-Experten zusammen, die die Informationsrisiken im Kontext ihres Unternehmens analysieren und die weiteren Auswirkungen auf Kundenservices, PR und Reputation abwägen können; Sie sehen, es geht hier nicht um eine technische Sache.
  2. Kommunizieren sie die identifizierten Informationsrisiken aus der Sicht der Geschäftsführung – nicht unbedingt aus finanzieller Sicht – wichtig ist, dass klar wird, welche Bedrohung für ihr Unternehmen besteht. Die Maßnahmen zur Behebung, die aufgrund der eigenen Ressourcen vorhanden sind und die aufgrund der Bedrohung des Unternehmens unternommen werden können, müssen klar kommuniziert und aktualisiert werden.
  3. Drittens, etablieren Sie einen Dialog, begründet auf einer Terminologie, die die Geschäftsführung, die IT und die Informationssicherheit verstehen. Die Geschäftsführung sollte regelmäßig und aktiv die Verantwortlichen in IT und Informationssicherheit mit Informationsrisiken und deren Auswirkungen auf das Unternehmen konfrontieren und nicht einfach nur akzeptieren, dass die Technologie schon die Gefahr behebt. Diese Gespräche sind keine Einbahnstraße, sondern müssen als Dialoge betrachtet werden. Allerdings benötigen diese Zeit, Verständnis und die Risiken müssen diskutiert werden.
  4. Das Risiko-Verständnis der Geschäftsführung muss vertieft werden. Sie müssen verstehen, wie Technologie das Geschäftsmodell verändert, wie stark dieses von Technologie abhängt und wie die Veränderungen der Digitalisierung das Unternehmen verwundbar machen. Es geht also darum zu verstehen, dass es hier nicht um eine Verantwortung geht, die in Abteilungen ausgelagert werden kann, sondern von der Geschäftsführung selbst gemanagt werden muss.
  5. Stellen Sie sicher, dass Cyber- und Informationssicherheit in allen Design- und Entwicklungsprozessen im Unternehmen von vorn herein bedacht wird. Anforderungen aufgrund der Sicherheit sollten von Anfang an in die Entwicklung einfließen also vor dem Design, der Entwicklung, des Testphase und der Produktion. Dieser Prozess ist am Ende günstiger, als wenn bei einem fertigen Produkt oder Service im Nachgang die Sicherheit implementiert werden muss. Ganz zu schweigen davon, wenn ein Produkt oder Service mit unbekannten Schwachstellen auf den Markt kommt und diese Schwachstellen dann ausgenutzt werden.