Menschen & TechnologieSo können Sie das Thema Sicherheit und Risiken addressieren

Executive Summary

Sind Sie im Präsentieren genauso gut wie auf dem Gebiet der Sicherheit? So nutzen Sie die begrenzte Zeit, die Ihnen im Vorstand zur Verfügung steht, möglichst effektiv, um die Risiken und Anforderungen sowie die erforderlichen Maßnahmen zu erläutern.

Executive Summary

Sind Sie im Präsentieren genauso gut wie auf dem Gebiet der Sicherheit? So nutzen Sie die begrenzte Zeit, die Ihnen im Vorstand zur Verfügung steht, möglichst effektiv, um die Risiken und Anforderungen sowie die erforderlichen Maßnahmen zu erläutern.

Related

Neun Gründe, warum Kunden Ihren Apps untreu werden

Es ist soweit. Sie müssen Ihrem Vorstand über den Stand der Dinge in Sachen Unternehmenssicherheit berichten. Die Präsentation ist von entscheidender Bedeutung: Die Sicherheit Ihres Unternehmens, dessen Ruf und finanzielle Gesundheit hängen von Ihnen ab. Die Vorstandsmitglieder müssen verstehen, mit welchen geschäftlichen Risiken das Unternehmen konfrontiert ist und wie Sie planen, diese zu minimieren. Aber ihre Zeit – und Aufmerksamkeit – sind begrenzt. Fassen Sie sich also kurz und sorgen Sie dafür, dass Ihre Botschaft ankommt.

Mit diesen sechs Schritten erreichen Sie Ihre Ziele.

1. Cyber-Bedrohungen sind real – halten Sie sich an die Fakten

Ihr Publikum hat die Zahlen gelesen. Stolze 575 Milliarden US-Dollar (fast 540 Milliarden Euro) pro Jahr gehen durch Cyber-Verbrechen verloren. Datensicherheitsverletzungen können mehr als 400 Millionen US-Dollar (375 Millionen Euro) kosten. Solche Informationen treffen oft auf taube Ohren – die Vorstandsmitglieder sind schwer zu überzeugen. Sie müssen aber begreifen, welche allgemeinen Risiken für Online-Geschäfte bestehen und welche Gefahren Ihre Branche, und speziell Ihr Unternehmen, bedrohen. Wenn das größte Risiko für Ihre Organisation mit mangelhafter Kontrolle oder unzulänglichen Prozessen verbunden ist, muss der Vorstand das wissen. Noch wichtiger jedoch: Ihr Vorstand muss wissen, was Sie dagegen unternehmen. Wenden Sie sich nicht an den Vorstand mit Problemen, für die Sie noch keine Lösungen haben!

Falls Sie nicht die Unterstützung bekommen, die Sie zum Schutz vor existenziellen Bedrohungen benötigen, denken Sie an Ihren Ruf und Ihre Karriere.

Erzählen Sie anschaulich von einer Sicherheitspanne, am besten aus Ihrer Branche. Schildern Sie Beispiele aus Ihrem eigenen Unternehmen. Identifizieren Sie kritische Datenbestände — geistiges Eigentum, sensible Kundendaten — und zeigen Sie auf, was passieren und was es kosten würde, wenn diese Daten kompromittiert würden.

2. Liefern Sie überzeugende Kennzahlen

Falls es Lücken in der Sicherheitsüberwachung gibt, für die Sie bisher keine Ressourcen bekommen haben, präsentieren Sie Belege dafür. Weisen Sie nach, dass Sie ständig Angriffen ausgesetzt sind und dass ständig versucht wird, in Ihre Netzwerke einzudringen. Machen Sie klar, dass die Bösewichte früher oder später Erfolg haben werden. Klären Sie den Vorstand auf. Überraschen Sie ihn.

  • 73 Prozent der Unternehmen  erlitten im letzten Jahr mindestens eine Sicherheitsverletzung
  • AEtwa ein Drittel der Mitarbeiter, die Ziel von Phishing-Angriffen sind, öffnen betrügerische Emails
  • Mehr als einer von zehn schluckt den Köder – und einer reicht
  • Es dauert nicht einmal zwei Minuten, bis Ihre Systeme kompromittiert sind, nachdem ein Hacker auf Senden geklickt hat
  • Hacker tummeln sich im Schnitt mindestens vier Monate in den Systemen eines Unternehmens, bevor sie entdeckt werden
  • Webanwendungen sind der am häufigsten genutzte Zugangspunkt für Einbrüche

3. Es geht darum, eine Sicherheitskultur zu etablieren – sichern Sie sich dafür die Unterstützung des Vorstands

Menschliches Versagen ist für 58 Prozent aller Cyber-Sicherheitsverstöße verantwortlich. Ein sicheres Unternehmen ist ein Unternehmen, in dem jeder über die jeweiligen Bedrohungen Bescheid weiß und seinen Beitrag leistet, die Risiken zu senken. Die Grundlage dafür ist eine gründliche (und wiederholte) Schulung und möglicherweise auch die (Selbst-)Verpflichtung zu einem Standard wie ISO 27001.

4. Überzeugen Sie sie, dass sie in Sachen Incident Response Hilfe brauchen

Bringen Sie den Vorstand dazu, den Tatsachen ins Auge zu sehen: Alle Organisationen sehen sich heute der (sehr realen) Möglichkeit einer Sicherheitsverletzung ausgesetzt. Wie hoch der Schaden ausfällt, hängt davon ab, wie schnell und wirksam Sie reagieren – was spricht also dagegen, gut vorbereitet zu sein? Die meisten Unternehmen verfügen jedoch nicht über Fertigkeiten in Sachen effektiver Incident Response (IR). Hier ist technische, forensische und juristige Unterstützung sowie Support bei der Öffentlichkeitsarbeit erforderlich, um die traumatische Erfahrung durchzustehen. Die beste Wahl: ein spezialisierter Drittanbieter mit entsprechender Expertise. Ein guter IR-Spezialist hält Ihnen den Rücken frei.

5. Sprechen Sie über Cyber-Versicherungen

Eine Cyber-Versicherung ist ein zentraler Bestandteil Ihrer Sicherheitsstrategie. Aber nur 19 Prozent aller Firmen verfügen über eine Cyber-Versicherung. Und das Gros ist eklatant unterversichert: Meist deckt die Versicherung  nur 12 Prozent der Gesamtkosten einer typischen Sicherheitsverletzung ab. Cyber-Versicherungen stellen die weltweit am stärksten wachsende Versicherungsspezies dar, man schätzt, dass ihr Volumen von heute 2,5 Milliarden US-Dollar (2,3 Milliarden Euro) bis 2020 um 300 Prozent ansteigen wird. Legen Sie Ihrem Vorstand Zahlen vor. Berechnen Sie, wie hoch der Verlust durch eine Sicherheitsverletzung für Ihr Unternehmen maximal sein darf, um in keine finanzielle Katastrophe zu münden. Entscheiden Sie sich für ein Risikoniveau, mit dem Sie leben können, und versichern Sie alles, was darüber hinausgeht.

73%

73 Prozent der Unternehmen erlitten im letzten Jahr mindestens eine Sicherheitsverletzung

6. Bringen Sie sie dazu, für die Aufgaben einzustehen, für die Sie kein Budget genehmigt bekommen

Sie haben Ihre Hausaufgaben gemacht und sich schon ein Budget für einen Teil Ihrer Aufgaben gesichert. Falls es nicht zu vernachlässigende Risiken gibt, für die Sie aber kein Budget erhalten haben, müssen die Vorstandsmitglieder das wissen – und entweder das Risiko akzeptieren oder sich für eine Lösung einsetzen. Ein besseres Argument als die Aussage „der Vorstand will, dass das erledigt wird“ können Sie kaum finden.

Zum Schluss

Vergessen Sie nicht, an sich zu denken. Wenn Sie nicht die Unterstützung bekommen, die Sie brauchen, um das Unternehmen gegen existenzbedrohende Risiken zu schützen, denken Sie an Ihren Ruf und Ihre Karriere. Falls der Vorstand nicht begreift, worum es geht, ist es  möglicherweise an der Zeit, dass Sie Ihre Optionen prüfen.

So wichtig ist es.

Das könnte Ihnen auch gefallen

Wie Sie Ihr Sicherheitsbudget richtig ausgeben – und wie nicht

Vielleicht erinnern Sie sich daran, als man noch VHS-Videos ausgeliehen hat, Doc Martens trug und im Radio Grunge hörte? Die 90er-Jahre sind für viele nur noch eine blasse Erinnerung, in den Rechenzentren großer Unternehmen leben sie jedoch noch weiter. Überraschend viele IT-Organisationen führen nach wie vor Netzzugriffsprotokolle und lassen Logdateien parsen – wie im Jahr 1999.

Warum Ihr Sicherheitsbudget vielleicht falsch angelegt ist

„Geben Sie Ihre für die IT-Sicherheit gedachten Euro und Dollar an der richtigen Stelle aus?
Falls Sie den Großteil Ihres Sicherheitsbudgets für den Netzperimeter ausgeben – zu Lasten der Anwendungssicherheit und des Identitätsmanagements -, dann stimmen vielleicht die Proportionen nicht.“

Vier unerlässliche Dinge, auf die Sie in der Cloud achten sollten

So wie Sie beim Autofahren immer darauf achten sollten, was im toten Winkel passiert, sollten Sie sich auch einiger „blinder Flecken“ bewusst sein, wenn Sie Ihr Unternehmen in die Cloud verlagern. Geblendet von den Vorteilen, die die Cloud bietet – mehr Flexibilität, geringerer Investitionsaufwand, höhere Effizienz und Produktivitätsgewinn -, übersehen viele IT-Verantwortliche vier Gefahren, die im Verborgenen liegen.