Experten-Rundtischgespräch: "Cyber-Risiken für Unternehmen"

Dieser Artikel fasst die wichtigsten Erkenntnisse und Lernpunkte der Expertenrunde „Cyberrisiken für Unternehmen“ zusammen, die vom Swiss Cyber Institute am 30. November 2022 veranstaltet und per Live-Stream an die Swiss Cyber Institute Community übertragen wurde. Eine Aufzeichnung der Veranstaltung ist auch hier verfügbar.

Geschrieben von Yanya Viskovich Vorsitzender der Arbeitsgruppe Cyber Law Governance am Swiss Cyber Institute.

Der Vorstand und das Management eines Unternehmens haben die Pflicht, die wesentlichen Risiken für das Unternehmen zu verstehen und zu überwachen. Dazu gehört heute auch das Cyber-Risiko. Wie die letzten zwei Jahre gezeigt haben, nimmt dieses Risiko erheblich zu.

Die komplexe und dynamische Natur von Cyber-Risiken – die alle Bereiche eines Unternehmens betreffen – erfordert interdisziplinäre Ansätze, die Menschen aus allen Bereichen eines Unternehmens zusammenbringen. Um die Herausforderungen zu erörtern, mit denen Unternehmen im Bereich der Cyber-Governance konfrontiert sind, und um sich über bewährte Praktiken, Schlüsselprinzipien, Strategien und Instrumente zur Erhöhung der Cyber-Resilienz auszutauschen, haben die Experten an diesem Rundtischgespräch eine Vielzahl von Hintergründen vertreten. Die Diskussionsteilnehmer boten eine Reihe von konkreten Vorschlägen für Unternehmen, deren Management und Aufsichtsräte zur Verbesserung der Cyber-Resilienz. Wenn Sie nicht online an dieser hybriden Veranstaltung teilnehmen konnten, finden Sie im Folgenden einige konkrete Anregungen aus der Diskussion, die Sie vielleicht in Ihre verschiedenen Organisationen mitnehmen möchten.

Wer sass mit am Tisch?

Dr. Maya Bundt – eine erfahrene Führungspersönlichkeit und mehrfaches Vorstandsmitglied, u.a. Vorstandsmitglied und Vorsitzende des Kapitels Cyber Resilience bei der Swiss Risk Association. Sie ist Mitglied der Cyber Security Commission von digitalswitzerland, Mitglied des Global Future Council for Cybersecurity des WEF und Partnerin für Governance of Digital Risks am International Center for Corporate Governance. In fast 20 Jahren bei dem globalen Rückversicherer Swiss Re hatte Maya verschiedene Funktionen in den Bereichen IT, Strategie und Rückversicherung inne. Ab 2014 war sie für die Entwicklung der Cyber-Versicherungsstrategie von Swiss Re verantwortlich und baute erfolgreich die Funktion und das Team für Cyber- und digitale Lösungen auf und führte den Vorsitz des Swiss Re Cyber Council.

Zu Gast war auch Susanne Gnädinger, Chief Transformation Officer bei der MS Amlin AG, besser bekannt unter der Marke MS Reinsurance – wo Susanne die End-to-End-Transformation des Unternehmens ermöglicht. Susanne Gnädinger hat einen Master in Wirtschaftswissenschaften und Informatik von der Universität Zürich und begann ihre Karriere bei einem Softwareentwicklungsunternehmen, um das Handwerk des Programmierens zu erlernen. Anschliessend arbeitete sie in der Beratung, wo sie an mehreren Projekten in der Finanzbranche beteiligt war. Im Jahr 2005 kam Susanne zu PartnerRe, wo sie verschiedene Funktionen innehatte, von der Lebensrückversicherung über die Katastrophenversicherung bis hin zur Schadenrückversicherung. Später übernahm sie die Rolle des Chief Transformation Officer, als das Unternehmen begann, sich mit dem Einsatz neuer Technologien zu befassen.

Andreas Pankow, Chief Executive Officer von DGC Schweiz – einem umfassenden Anbieter von Cybersicherheit und Partner des Swiss Cyber Institute – nahm ebenfalls an der Diskussionsrunde teil. Andreas Pankow berichtete über seine mehr als 20-jährige Erfahrung in verschiedenen Führungspositionen bei internationalen Unternehmen, darunter UBS und Credit Suisse. Andreas arbeitet in Zürich, Schweiz, von wo aus DGC sein internationales Geschäft aufbaut. Andreas ist Experte für strategische Unternehmensplanung, die Führung junger Unternehmen in ihren Wachstumsambitionen sowie die Entwicklung und Umsetzung von Vertriebsstrategien. Andreas hat einen MBA in Finanzen von der EBS Universität, Deutschland, und Abschlüsse in Bankwesen und Finanzen von der École Supérieure de Commerce Et de Management (ESCEM) und der San Diego State University.

Moderiert wurde der Runde Tisch von Yanya Viskovich, einem Spezialisten für Cyber-Resilienz-Kultur und Vorsitzender der Arbeitsgruppe Cyber-Recht und Governance am Swiss Cyber Institute.

Trotz der Vielfalt am Tisch – die Podiumsteilnehmer haben sich aus verschiedenen Blickwinkeln mit Cyber-Risiken befasst, z.B. aus der Sicht der Aufsicht, der Unternehmensführung, des Managements, des Betriebs, der Technik, des Geschäfts, des Vertriebs, des Änderungsmanagements, der Strategie und der Rechtsabteilung usw. – herrschte weitgehende Einigkeit über die besten Praktiken für Unternehmen und ihre Vorstände sowie über die notwendigen Zutaten für die Schaffung einer Cyber-Resilienz-Kultur, die die Geschäftskontinuität gewährleistet.

Vor allem drei Themen zogen sich wie ein roter Faden durch die Diskussion, die wir im Folgenden unter diesen Themen zusammenfassen:

1.„Das Management von Cyber-Risiken gehört zu den Kosten der Geschäftstätigkeit“

Zu Beginn der Diskussion stellte Andreas Pankow fest, dass die jüngste weltweite Zunahme von Cyberangriffen nicht trotz , sondern wegen des digitalen Wandels zu verzeichnen ist. Dies ist vor allem darauf zurückzuführen, dass diese Digitalisierung vor dem Hintergrund eines allgemeinen Mangels an Cybervorbereitung seitens der Vorstände und der Unternehmensführung erfolgte. Darüber hinaus führte COVID dazu, dass viele Unternehmen in vielen, wenn nicht sogar allen Branchen bestimmte Elemente ihrer Wertschöpfungskette digitalisieren mussten. Für einige bedeutete dies, dass sie ihre Mitarbeiter von zu Hause aus arbeiten liessen, während für andere der Verkauf von Waren nur noch über den elektronischen Handel möglich war, um im Geschäft zu bleiben. Viele Unternehmen haben viele dieser digitalen Elemente beibehalten, aber viele haben vergessen, die Sicherheitsaspekte ihrer Digitalisierungsreise zu berücksichtigen. Zum Teil war dies eine Folge der Dringlichkeit, für die Geschäftskontinuität zu handeln, in anderen Fällen lag es an schierer Faulheit, mangelnder Aufmerksamkeit oder der Unwissenheit. Es wurde festgestellt, dass Angreifer im Durchschnitt zwischen zwei und 6 Monaten im System eines Unternehmens verbringen, bevor es zu einem Angriff kommt. Das erklärt zum Teil den Anstieg der Angriffe in diesem Jahr. Dr. Maya Bundt wies darauf hin, dass einige Unternehmen wie z.B. Swiss Re in den letzten 20 Jahren eine allmähliche digitale Transformation durchlaufen haben, aber mit COVID mussten viele grundlegende Aufgaben des Risikomanagements neu oder anders erledigt werden, und die Herausforderungen für die Unternehmen sind im Zusammenhang mit einer sich schnell entwickelnden regulatorischen Landschaft gestiegen.

Dr. Maya Bundt wies darauf hin, dass strategische Unternehmensentscheidungen sowohl Chancen als auch Risiken für ein Unternehmen mit sich bringen und dass „das Management von Cyberrisiken zu den Kosten der Geschäftstätigkeit gehört“. Um die Risiken zu mindern, müssen sich Vorstände und Management der Auswirkungen von Unternehmensentscheidungen auf das Cyber-Risikoprofil ihres Unternehmens bewusst sein und diese proaktiv berücksichtigen. Anstatt jedoch sichere Produkte und Dienstleistungen nur als Risiko oder Kostenthema zu behandeln, sollten Vorstände und Management diese auch als strategische Vermögenswerte betrachten.

Alle waren sich einig, dass in vielen Fällen die Sicherheit zugunsten von Effizienz oder Anschaffungskosten vernachlässigt wird. Dr. Maya Bundt wies darauf hin, dass die Frage, wie das richtige Gleichgewicht gefunden werden kann, von der Geschäftsstrategie und dem Risikomanagementrahmen bestimmt werden sollte, wenn Geschäftsanforderungen Vorrang vor sicherem Cyberverhalten haben. Das bedeutet, dass sich Unternehmen fragen müssen: Welches Risiko will das Unternehmen eingehen? Und wie hoch ist das Risiko, das wir eingehen, wenn wir diese Geschäftsentscheidung treffen oder nicht treffen? Es ist wichtig, dass das Unternehmen das Risiko versteht und seine Sicherheits- und Risikopolitik anwendet, durchsetzt und lebt. Es wurde eingeräumt, dass manchmal ein schwerfälligerer Ansatz oder Prozess erforderlich ist, um die digitalen Vermögenswerte des Unternehmens zu schützen. Andreas Pankow wies auf die Notwendigkeit hin, pragmatisch vorzugehen und ein Gleichgewicht zwischen Risiko und Ertrag zu finden. Er räumte auch ein, dass geschäftliche Erfordernisse manchmal eine gewisse Dringlichkeit haben, dass aber dennoch bestimmte Risiko- und Sicherheitselemente angewandt werden sollten, und zwar auch dann, wenn die geschäftliche Entscheidung bereits gefallen ist.

Dr. Maya Bundt wies darauf hin, dass die Betrachtung des Themas als Geschäftsbedürfnis und als Sicherheitsbedürfnis eine sich gegenseitig ausschliessende Entscheidung oder ein Nullsummenspiel darstellt. Diese dichotome Denkweise kann vermieden werden, wenn das Geschäftsbedürfnis Sicherheitsanforderungen einschliesst. Susanne Gnädinger wies darauf hin, dass es entscheidend ist, die Sprache des Vorstands und des Unternehmens zu sprechen, wenn es darum geht, die Kosten aufzuzeigen, die dem Unternehmen entstehen, wenn Sicherheitsanforderungen nicht umgesetzt werden. Andreas Pankow wies darauf hin, dass in Unternehmen, in denen der CISO den CFO davon überzeugen muss, dass Cyberrisiken keine ‚versunkenen Kosten‘ sind, dies ein kulturelles Problem darstellt. Die Verfügbarkeit von branchenrelevanten Statistiken kann dazu beitragen, das Unternehmen davon zu überzeugen, das Cyber-Risiko einer Geschäftsentscheidung in Betracht zu ziehen, ebenso wie die Möglichkeit, ein „Preisschild“ für die jährlichen Cybersicherheitskosten des Unternehmens im Vergleich zu den durchschnittlichen Kosten eines Cyber-Angriffs aufzuzeigen. Andreas Pankow wies darauf hin, dass es in der Verantwortung des CFO – und nicht des CISO – liegt, sich diese Zahlen anzusehen und eine Entscheidung zu treffen, die das Business Continuity Management sicherstellt.

Geschäfte in einer digitalen Welt bedeuten, dass Cyber-Risiken Teil der Kosten für die Geschäftstätigkeit sind . Daher ist es töricht, Ausgaben für die Cybersicherheit als „versunkene Kosten“ zu betrachten. Dennoch herrscht in vielen Unternehmen eine solche Einstellung vor, und die Sensibilisierung spielt in dieser Hinsicht eine wichtige Rolle. So können beispielsweise Nachrichten, Medienartikel und Veröffentlichungen, in denen die persönliche Haftung von Führungskräften und Vorstandsmitgliedern bei Cyberangriffen hervorgehoben wird, dazu beitragen, die Geschäftsleitung und die Vorstandsmitglieder in die richtige Richtung zu drängen, wenn es darum geht, Sicherheitsanforderungen in Geschäftsentscheidungen zu verankern.

Andreas Pankow wies auf die inhärenten Risiken hin, die mit dem unternehmensstrategischen Element der Expansion – ob vertikal oder horizontal – verbunden sind, von einer MA-Transaktion bis hin zum Onboarding eines neuen Anbieters – und auf die Notwendigkeit, Ressourcen für die Bewältigung dieser Risiken bereitzustellen. Im Zusammenhang mit der Due-Diligence-Prüfung von Drittanbietern und dem Management von Lieferantenrisiken stellte Dr. Maya Bundt fest, dass es wichtig ist, diejenigen Lieferanten zu identifizieren, die für die betriebliche Kontinuität des Unternehmens entscheidend sind, ihre Lieferketten zu bewerten und einen Überblick über ihre Lieferanten zu haben. Es wurde zwar eingeräumt, dass dies eine entmutigende und schwierige Aufgabe ist, insbesondere für Unternehmen mit mehreren zehntausend Lieferanten (was bei grösseren multinationalen Unternehmen oft der Fall ist), aber es ist eine wesentliche Sicherheitsanforderung. Andreas Pankow vertrat die Ansicht, dass es so etwas wie einen vertrauenswürdigen Anbieter nicht gibt und dass jedes Unternehmen seine eigenen Risikokriterien festlegen und durchsetzen muss, um zu bestimmen, mit welchen Anbietern es zusammenarbeitet und mit wem es Systeme und Daten gemeinsam nutzt. Susanne Gnädinger wies auch auf die Komplexität der Due-Diligence-Prüfung von Drittanbietern im Zusammenhang mit mehreren Anbietern hin und betonte, wie wichtig es ist, Prioritäten in Bezug auf ihre Kritikalität zu setzen.

Alle Podiumsteilnehmer wiesen darauf hin, dass der Umgang mit Cyber-Risiken keine einmalige Angelegenheit ist; die Cyber-Bedrohung ist beständig und verschwindet nie. Dementsprechend sind Penetrationstests kein einmaliges Ereignis im Jahr, das Ihr Unternehmen für den Rest des Jahres absichert. Vielmehr muss die Cybersicherheit Teil des normalen Betriebsablaufs des Unternehmens sein und in die Risikokultur des Unternehmens eingebettet werden. Das bedeutet, dass sie ein ständiges Element der Unternehmenspraktiken sein muss, implementiert und Teil des täglichen Lebens eines Unternehmens und eines jeden Einzelnen – wie das Zähneputzen. Susanne Gnädinger merkte an, dass es in dieser Hinsicht ein bisschen so ist, wie wenn man fit werden will oder plant, einen 10-Kilometer-Lauf zu absolvieren, was tägliches Training erfordert, anstatt nur alle paar Monate einmal ins Fitnessstudio zu gehen. Eine solche Gewohnheitsbildung erhöht die Cyber-Resilienz, denn wenn sie in die tägliche Arbeit und die DNA des Unternehmens eingebettet ist, wird es für die Mitarbeiter einfacher und leichter, sich mit dem Thema zu befassen, und sie werden dazu beitragen, die Angst, die die Cybersicherheit umgibt, in Bewusstsein und Engagement umzuwandeln.

Andreas Pankow wies darauf hin, dass Cyber-Risiken ein tägliches Thema auf der Tagesordnung des Managements sein müssen. Ausserdem wurde festgestellt, dass einige Unternehmen naiverweise davon ausgehen, dass sie nicht angegriffen werden können. Es gibt jedoch keine Branche, Unternehmensgrösse oder Organisationsform, die nicht im Fokus der Angreifer steht. Dr. Maya Bundt stellte fest, dass kein Unternehmen zu klein ist, um Opfer eines Cyberangriffs zu werden. Andreas Pankow wies darauf hin, dass ein Grund dafür die Professionalisierung und Digitalisierung der Angreifer selbst ist. Dr. Maya Bundt wies darauf hin, dass das Konzept des „Kollateralschadens“ – bei dem Unternehmen, die nicht direkt im Visier der Angreifer stehen, dennoch erheblich beeinträchtigt werden – oft übersehen wird. Das kann so einfach sein wie die Nutzung eines Lieferanten oder Anbieters, der angegriffen wurde. Susanne Gnädinger merkte an, dass die zunehmende Nutzung von Geräten als Folge der Digitalisierung vergleichbar sei mit der Masse an Menschen, die im Straßenverkehr unterwegs sind, ohne das Wissen oder die Erfahrung zu haben, wie man ein Fahrzeug bedient.

Cyber-Risiken müssen ein Thema für den Vorstand und das Management sein, aber das ist in einigen Unternehmen oft noch nicht der Fall, weil die Vorstandsmitglieder und das Management Angst haben und mit dem Thema Cybersicherheit nicht vertraut sind. Andreas Pankow wies darauf hin, dass das Cyber-Risiko für mittelständische Unternehmen, die vor einem Nachfolgeproblem stehen, oft eine Herausforderung darstellt; es kann sowohl auf der geschäftlichen als auch auf der persönlichen Seite ein Problem sein und erfordert weitere Sensibilisierung.

2. Die „Risikokultur“ eines Unternehmens wirkt sich grundlegend auf die Cyber-Resilienz des Unternehmens aus

Eine Risikokultur existiert unabhängig davon, ob sich ein Unternehmen dessen bewusst ist oder nicht, und muss im weiteren kulturellen Kontext des Unternehmens untersucht werden. Eine Unternehmenskultur, in der die Mitarbeiter ermutigt werden, sich zu äussern, wenn sie etwas bemerken, das dem Unternehmen schaden oder seine Kontinuität gefährden könnte, oder in der Fehler zu machen als etwas angesehen wird, das wir alle tun, schafft eine gesunde Risikokultur. Eine solche Kultur verschafft einem Unternehmen die Möglichkeit, ein potenzielles Problem zu beheben, bevor es zu einem Vorfall für das Krisenmanagement wird. Vorstände und Management spielen eine entscheidende Rolle bei der Schaffung einer solchen Unternehmenskultur. Sie müssen mit gutem Beispiel vorangehen, wenn es darum geht, Sicherheitswerte und Verhaltensweisen vorzuleben. Das bedeutet, dass Vorstände und Management zeigen müssen, dass sie das Cyber-Risiko ernst nehmen und die Cyber-Resilienz zu einem Teil der DNA ihres Unternehmens machen. Dazu gehört auch, dass sie Verhaltensweisen belohnen und fördern, die eine starke Cyber-Hygiene begünstigen, wie z.B. die Ermutigung zum Melden von Risiken, das Vermeiden von Schuldgefühlen, wenn man Fehler gemacht hat, regelmässige Feedbackschleifen und die Belohnung von Mitarbeitern, die Schwachstellen im Unternehmen erkennen, bevor Angreifer es tun.

Für Aufsichtsräte wies Dr. Maya Bundt darauf hin, dass es wichtig ist, dass sie auch „Taten folgen lassen“, indem sie unter anderem vermeiden, Verhaltensweisen zu fördern, die Anreize für schlechte Cyber-Praktiken bieten oder eine gute Cyber-Hygiene untergraben könnten. Ausserdem betonte Dr. Bundt, dass es wichtig ist, dass Aufsichtsräte einen offenen und direkten Kommunikationskanal mit dem CISO haben. Dadurch wird das Interesse des Vorstands an dem Thema geweckt und es können gängige Mythen ausgeräumt werden. Wenn ein Aufsichtsrat den CISO kennt und einen direkten Draht zu ihm hat, kann dies auch dazu beitragen, dass Themen des operationellen Cyber-Risikos in die Bedeutung für das Unternehmen übersetzt werden, d.h. was es in Schweizer Franken/Euro/USD bedeutet und was es für die Lieferanten, Kunden und Aktionäre eines Unternehmens bedeutet. Dies fördert dann einen pragmatischen Rahmen für das Risikomanagement. Susanne Gnädinger merkte an, dass dieser Ansatz einer offenen Kommunikation auch einen Sinn in einer Organisation schafft, da er eine Betrachtung des Themas aus einer End-to-End-Perspektive für das Unternehmen erfordert, wodurch der Beitrag jedes Mitarbeiters zur allgemeinen Cyber-Resilienz des Unternehmens greifbarer wird. In dieser Hinsicht ist die altehrwürdige menschliche Tradition des Geschichtenerzählens – zu der auch gehört, dass Führungspersönlichkeiten sich verletzlich zeigen und von ihren Fehlern, aber auch von guten Verhaltensweisen berichten – ein mächtiges Instrument, das genutzt werden sollte, um gute Cyber-Praktiken für alle im Unternehmen zu modellieren.

3. Der menschliche Faktor in der Cybersicherheit

Alle Experten waren sich einig, dass der Faktor Mensch in vielerlei Hinsicht eine entscheidende Rolle für die Cyber-Resilienz spielt, aber im Allgemeinen unterschätzt und oft missverstanden wird. In einer digitalen Welt spielt jeder im Unternehmen eine wichtige Rolle bei der Gewährleistung der Cybersicherheit und damit der Aufrechterhaltung der betrieblichen Kontinuität des Unternehmens. Unternehmen müssen ihre Mitarbeiter und ihre Prozesse verstehen und wissen, wie sie arbeiten. Die Mitarbeiter im gesamten Unternehmen müssen durch positive Psychologie befähigt und als wichtige Akteure für die Daseinsberechtigung des Unternehmens gestärkt werden. Das bedeutet, dass die Führungskräfte die Fähigkeiten und Fertigkeiten ihrer Mitarbeiter und den Wert, den sie schaffen, kennen und mit ihren Mitarbeitern in Kontakt treten müssen. In grösseren Unternehmen ist dies eine grössere Herausforderung, die jedoch durch Delegation gelöst werden kann.

Die Auswirkungen des Managements von Cyber-Risiken auf die Menschen sind ebenfalls überwältigend, und dies muss sowohl aus der Perspektive des Wohlbefindens als auch aus operativer und strategischer Sicht berücksichtigt werden, da es sich auch um einen Cyber-Risikofaktor handelt. Dr. Maya Bundt wies darauf hin, dass sich Cyber-Krisen oft über Wochen und Monate hinziehen, so dass die Belastung der Cybersecurity-Krisenteams oft enorm ist und ihre Menschlichkeit oft übersehen und missachtet wird – d.h. sie haben Familien und ein Leben ausserhalb der Bewältigung dieser Krisen. Darüber hinaus kann eine unüberschaubare Arbeitsbelastung das Cyber-Risiko erhöhen, da es an Präsenz und Aufmerksamkeit mangelt. Deshalb sollten Unternehmen bei ihren Cybersicherheitsstrategien auch den Faktor Mensch berücksichtigen und bei der Planung von Ereignissen und Notfällen die Kapazitäten ihrer Mitarbeiter und Krisenteams im Auge behalten.

Zum Thema Sicherheitsschulungen merkten alle Diskussionsteilnehmer an, dass diese ansprechend sein und Spass machen müssen, so viel wie möglich mit Spielen arbeiten und Rollenspiele, Escape Rooms und Simulationsmethoden verwenden sollten, die es Ihnen ermöglichen, den Schmerz eines Cyberangriffs zu „spüren“. Wichtig ist, dass die Schulungen so „übersetzt“ werden, dass die Mitarbeiter verstehen, wie das, was sie tun, in das Gesamtbild passt, wenn es um den Schutz und die Sicherung der „Kronjuwelen“ des Unternehmens geht. In diesem Zusammenhang wurde angemerkt, dass gute Cyber-Praktiken so routinemässig werden müssen wie „Zähneputzen“. Im Zusammenhang mit Social Engineering wies Andreas Pankow darauf hin, dass schlechte digitale Sicherheit in Privathaushalten und auf privaten Geräten oft der Ausgangspunkt für Cyberangriffe auf Unternehmen ist.

Alle Diskussionsteilnehmer betonten, wie wichtig es ist, die positive Psychologie bei der Bewusstseinsbildung oder bei der Durchführung von Schulungs- und Ausbildungsmaßnahmen in Organisationen einzusetzen. Es wurde festgestellt, dass die Sprache, die innerhalb einer Organisation verwendet wird, eine wichtige Rolle dabei spielt, eine starke Cyber-Kultur entweder zu untergraben oder zu verstärken. Andreas Pankow stellte fest, dass „Zero-Trust intern missverstanden wird“ und die kontraproduktive Botschaft aussendet, dass man seinen Kollegen nicht trauen kann. Dies gilt insbesondere im Zusammenhang mit dem schädlichen Klischee, dass „der Mensch das schwächste Glied“ in der Sicherheitskette ist.

Es herrschte allgemeiner Konsens darüber, dass die Sensibilisierung lange vor dem Eintritt in das Berufsleben beginnen muss und dass es in dieser Hinsicht eine gesellschaftliche Verpflichtung gibt, die nächste Generation zu erziehen, indem Kinder in den Schulen über Cyberrisiken aufgeklärt werden. Infolge des Hausunterrichts während der COVID ist das Alter, in dem Kinder zum ersten Mal Geräte benutzen, gesunken, was eine stärkere Sensibilisierung und digitale Erziehung in einem früheren Alter erfordert. Andreas Pankow wies darauf hin, dass die DGC in Deutschland ein erfolgreiches Projekt zur digitalen Bildung an Schulen gestartet hat, in dem Schüler über die Risiken der digitalen Kommunikation aufgeklärt werden.

Im Anschluss an die Diskussion gab es eine ausführliche Fragerunde mit einer Reihe von aufmerksamen Fragen unseres Online-Publikums, von denen viele auf die in der Diskussion angesprochenen Punkte eingingen, die in der obigen Übersicht enthalten sind, sowie einige abschliessende Empfehlungen der Diskussionsteilnehmer, die im Folgenden zusammengefasst sind:

Seien Sie vorbereitet. Sie können sich zwar nicht auf ein bestimmtes Ereignis vorbereiten, aber Sie müssen sich darauf vorbereiten, dass etwas passieren wird. Angesichts eines überwältigenden Risikos müssen Sie Prioritäten setzen, was den Fokus und die Investitionen angeht. Vorbereitet zu sein bedeutet, Szenarien zu planen und über Notfallpläne zu verfügen, in denen klar festgelegt ist, wer was, wann und wie für alle Arten von Situationen zu tun hat, auch für den Fall, dass alle Systeme und Daten durch Ransomware verschlüsselt werden und jegliche digitale Kommunikation (E-Mails, interne Kanäle, VOIP usw.) unterbunden wird. Sie müssen über einen Plan zur Aufrechterhaltung des Geschäftsbetriebs verfügen, der sich mit digitalen Schäden genauso befasst wie mit physischen Schäden (z. B. einem Brand). Der Plan muss enthalten, wo er im Krisenfall zu finden ist, wie Sie vorgehen müssen und wer zu kontaktieren ist.
Arbeiten Sie an Ihrem Risikomanagement. Verstehen Sie, welchen Risiken Sie ausgesetzt sind, wo Sie kritische Vermögenswerte, Prozesse, Lieferanten usw. haben. Jedes Unternehmen hat sein eigenes Risikoprofil und jedes muss seine eigenen Massnahmen zur Risikominderung um sein individuelles Risikoprofil herum organisieren, und hören Sie niemals damit auf.
Führen Sie routinemässig Simulationen und Tabletop-Übungen durch, so wie auch Feuerübungen regelmässig durchgeführt werden.
Kennen und vertrauen Sie Ihren Mitarbeitern und verstehen Sie ihre Beweggründe und Probleme;
Halten Sie das Sicherheitsbewusstsein lebendig, indem Sie positive Verstärkung und Geschichten in Trainings- und Schulungsprogrammen für das Sicherheitsbewusstsein einsetzen.
Sehen Sie in der Sensibilisierung mehr als nur die Einhaltung von Vorschriften; vermeiden Sie langweilige „Klick, weiter“-Schulungen; verwenden Sie Rollenspiele, Escape Rooms und Spielmethoden, die es Ihnen ermöglichen, den „Schmerz“ eines Cyberangriffs zu spüren.
Investieren Sie und beteiligen Sie sich an öffentlich-privaten Partnerschaften, die die Verbreitung von Best Practices erleichtern und es uns ermöglichen, uns gegenseitig zu helfen. Einige gute Beispiele für solche Partnerschaften in der Schweiz sind das Schweizerische Zentrum für Cybersicherheit im Finanzsektor FS-CSC(https://fscsc.ch) in Zusammenarbeit mit dem Nationalen Zentrum für Cybersicherheit(https://www.ncsc.admin.ch/ncsc/en/home.html) und das Nationale Testinstitut für Cybersicherheit(www.ntc.swiss), das den Unternehmen das Verständnis dafür erleichtert, wie ihre Netzwerkkomponenten ihr Cyberrisiko erhöhen oder mindern.
Setzen Sie auf kollektive Offensiv- und Defensivfähigkeiten, bei denen sich Unternehmen zusammenschliessen und mit vereinten Kräften gegen Cyberangreifer vorgehen.
Unterstützen Sie die kontinuierliche Entwicklung und Anwendung von Risikostandards, Scoring und Mindestanforderungen, die von Branchenverbänden und Regierungen (z.B. für kritische Infrastrukturen) festgelegt wurden. Diese bieten Unternehmen eine Orientierungshilfe und liefern Benchmarks für verschiedene Branchen. Bei Cyberangriffen kämpfen Unternehmen weltweit gegen einen gemeinsamen Feind, und in dieser Hinsicht sollten sie sich nicht als Konkurrenten sehen.

Wer sass mit am Tisch?

1.„Das Management von Cyber-Risiken gehört zu den Kosten der Geschäftstätigkeit“

2. Die „Risikokultur“ eines Unternehmens wirkt sich grundlegend auf die Cyber-Resilienz des Unternehmens aus

3. Der menschliche Faktor in der Cybersicherheit

[SwissCyberSecurity .net feature] Dies sind die Finalisten für die Swiss CISO Awards 2024

Die Bedeutung der Cybersicherheit und die Rolle der Regierung beim Schutz der Gesellschaft

[Partner Content – cyberunity] Führungspersönlichkeiten in der Informationssicherheit: Wegbereiter für ein umfassendes Sicherheitsmanagement

Cyberangriffe auf Hotelbranche: wenn Hacker mitbuchen – Sascha Maier im Interview