Bei der Beschaffung von Software für Cybersecurity bzw. zur Stärkung der Unternehmensresilienz sind vielschichtige Überlegungen anzustellen. Die Kaufentscheidung liegt in der Regel bei technischen Führungskräften wie CSO, CIO oder CTO oder wird von diesen zumindest stark beeinflusst. Paradoxerweise stammen jedoch einige der wichtigsten Erkenntnisse darüber, ob eine Software oder Technologie die richtige Wahl für euer Unternehmen ist, gar nicht aus dem technischen Bereich. Vielmehr gilt es, über die vorhandenen Tools, die Geschwindigkeit externer Veränderungen sowie über das allgemeine Security-Niveau eures Unternehmens nachzudenken – unter Berücksichtigung von Mitarbeitern und Prozessen.
Hier sind 7 Fragen, die sich jeder CxO insbesondere während des Beschaffungsprozesses (aber auch sonst) stellen sollte, um dem Unternehmen zur optimalen Kaufentscheidung zu verhelfen und gleichzeitig die Cyber-Resilienz zu erhöhen.
1 – Bestehen Lücken in unserem Versicherungsschutz?
Cyberrisiken wurden in der Vergangenheit von den meisten CXOs zur Kenntnis genommen, versichert und abgehakt. Angesichts der steigenden Häufigkeit, Professionalität, Ausmaße und potenziellen Auswirkungen von Cyberangriffen werden auf dem Versicherungsmarkt allerdings immer nachdrücklicher Beschränkungen gefordert. Im Dezember 2022 erklärte der CEO der Zurich, dass „Cyber künftig nicht mehr versicherbar“ sein werde. Lloyd's of London hat derweil eine Ausnahmeregelung für staatlich unterstützte Angriffe eingeführt, da „die Verluste wesentlich höher sein könnten, als der Markt verkraften kann“.
Diese Entwicklungen sind vor allem auf die zunehmende Vernetzung zwischen der Cyber- und der physischen Welt, den kontinuierlichen Vormarsch von Ransomware und immer professioneller organisierte Cyberkriminelle zurückzuführen.
Zwar stehen Regierungen unter Druck, staatliche Unterstützung für Vorfälle mit terroristischem Hintergrund bereitzustellen (wie bei Naturkatastrophen), doch bei der Definition von „staatlicher Unterstützung“ befinden wir uns in einer Grauzone, die die Juristen vermutlich noch lange beschäftigen wird.
Alles in allem werdet ihr feststellen, dass es immer schwieriger wird, sich gegen Cyberangriffe zu versichern. Selbst wenn es gelingt, kann es schwer werden, die Police wie angestrebt geltend zu machen. Folglich kann sich die Lücke vergrößern, die zwischen den versicherten Risiken und den Risiken klafft, die eure Sicherheitsinvestitionen abfedern können. Es empfiehlt sich daher, beide Bereiche so häufig zu überprüfen, wie es die externe Landschaft erfordert. Höchstwahrscheinlich müsst ihr verstärkt in technische Lösungen investieren, die das gesamte Security-Spektrum einschließlich Vorbeugung, Erkennung, Abwehr und Recovery abdecken.
2 – Wie zukunftssicher ist die Lösung bzw. wie kann sie mit der sich ändernden Bedrohungslandschaft Schritt halten?
Die Zeiten, in denen Hacker allein im stillen Kämmerlein agiert haben, sind längst vorbei. Heute solltet ihr Cyberkriminalität im Kontext eines professionellen Marktes mit Zugriff auf Kapital und Budgets für Forschung und Entwicklung sehen, der die Möglichkeit bietet, neue Technologie schneller zu nutzen als ihr.
LinkedIn hat beispielsweise einen schnellen Anstieg von Lösungen im Stil von ChatGPT zu verzeichnen, die mithilfe von KI falsche Profile erstellen, um Arbeitssuchende zu betrügen. Nach Schätzungen der Federal Trade Commission der USA gab es 2022 92.000 ähnliche Betrugsfälle mit Gesamtkosten in Höhe von 367 Millionen US-Dollar und damit 75 % mehr als im Vorjahr. Dazu kommt die wachsende IoT-Angriffsfläche, die sich laut Statista bis 2030 von derzeit 15 Milliarden vernetzten IoT-Geräten auf dann 30 Milliarden vernetzte IoT-Geräte verdoppeln wird. Das damit einhergehende Risiko für Privatpersonen und Unternehmen steigt beständig.
Aus Gründen wie diesen seid ihr mit einer unberechenbaren Bedrohungslandschaft konfrontiert, die immer gefährlicher wird. Da es nicht mehr möglich ist, die Entwicklungen zuverlässig vorherzusagen, müsst ihr dafür sorgen, dass die Lösungen, die ihr heute zum Einsatz bringt, agil und in der Lage sind, auch neue Bedrohungen abzuwehren. Teil der Lösung werden höchstwahrscheinlich auch eure Partner unter den Anbietern sein. Daher lohnt es sich, in Erfahrung zu bringen, mit welchen Ressourcen und welcher Entschlossenheit sie diesen Ansatz verfolgen.
Zurückhaltung ist hier nicht angebracht. Ihr solltet eure Anbieter mit Blick auf die Abwehr neuer Bedrohungen ruhig auf die Probe stellen. Fragt sie, wie solche Bedrohungen ihrer Meinung nach aussehen könnten, wie sie darauf reagieren werden, wie schnell Patches oder neue Produktentwicklungen bei euch ankommen werden und ob diese mit zusätzlichen Gebühren verbunden sind.
3 – Kennen wir die möglichen Auswirkungen von Schwachstellen in der Lieferkette?
Angesichts einer globalen Pandemie, eines festgefahrenen Containerschiffs im Panamakanal und anhaltender geopolitischer Spannungen verrate ich euch sicher nichts Neues, wenn ich noch einmal darauf hinweise, dass die mit Cyberbedrohungen einhergehenden Risiken für euer Unternehmen teilweise in der Lieferkette und damit außerhalb eurer Kontrolle liegen. Daher lohnt es sich, herauszufinden, inwieweit ihr hier einem Ausfallrisiko ausgesetzt seid. Dennoch überprüfen laut dem britischen Ministerium für Wissenschaft, Innovation und Technologie nur gut die Hälfte der großen Unternehmen in Großbritannien ihre unmittelbaren Lieferkettenrisiken im Zusammenhang mit Cyberbedrohungen.
Stellen wir das Ganze in einen Geschäftskontext: 2023 war MKS Instruments, ein Anbieter von Komponenten und Systemen für die Halbleiterbranche, Opfer eines Ransomware-Angriffs, der Auswirkungen auf produktionsbezogene Systeme einschließlich Auftragsverarbeitung und Versand hatte. Die finanziellen Auswirkungen wurden zum Zeitpunkt des Verfassens dieses Artikels auf 200 Millionen bis 500 Millionen US-Dollar beziffert – mindestens 20 % des Quartalsumsatzes. Der Dominoeffekt für einen (unbestätigten) Kunden von MKS war von ähnlichem Ausmaß, nämlich rund 250 Millionen US-Dollar.
Eine solche Störung kann digital oder physisch sein, weshalb es sich empfiehlt, beide Aspekte in Betracht zu ziehen. Ihr habt wahrscheinlich bereits Lieferkettenstandards festgelegt, aber wie sieht es mit der Datengrundlage für die Einhaltung dieser Standards aus? Nachfragen lohnt sich. Viele Unternehmen verlassen sich weiterhin auf festgelegte Auditintervalle, um die Compliance zu sichern. Wir würden allerdings eher einem kontinuierlichen, risikobasierten Ansatz mit einer fundierten Datengrundlage den Vorzug geben.
4 – Gelingt uns eine wirkungsvolle Abmilderung des Fachkräftemangels?
Eine der wohl größten Herausforderungen liegt für viele Unternehmen im Bereich Fachkräfte und Kompetenzen.
Laut Gartner gibt es auf dem Arbeitsmarkt derzeit rund 3,4 Millionen offene Stellen im Bereich Cybersecurity. Bis 2025 soll fast die Hälfte der Führungskräfte abwandern, obwohl es in der Branche von 2019 bis 2020 Gehaltserhöhungen von ca. 16 % gegeben hat. Diese Abwanderung wird für die entsprechenden Unternehmen eine Erhöhung der Personalkosten um 30 % nach sich ziehen. Hinzu kommt, dass bis 2025 mehr als die Hälfte aller signifikanten Cyber-Incidents auf den Fachkräftemangel oder menschliches Versagen zurückzuführen sein dürfte. Angesichts dieser Zahlen wird deutlich, warum es so wichtig ist, Fachkräfte zu gewinnen und zu halten.
Burn-out (chronischer Stress) und Überforderung (Unfähigkeit, den steigenden Anforderungen gerecht zu werden) sind zwei große Risiken, die die Fachkräftebindung erschweren und die Wirksamkeit eurer Cyberabwehr unterlaufen. Technologien wie Automatisierung, risikobasierte Benachrichtigungen (Risk-Based Alerting, RBA) und KI/ML können hier hilfreich sein, dennoch sollten ausreichende Budgets für das Wohlbefinden, die Weiterbildung und Entwicklung der Mitarbeiter sowie für die Personalbeschaffung unter Berücksichtigung der Fluktuation eingeplant werden.
Selbst damit wird sich die Lücke im Fachkräftebereich allerdings nicht so schnell schließen lassen. Ihr solltet daher eure Personalabteilung bitten, Karrierewege oder Weiterbildungen zu definieren, die diesen Bereich für mehr Talente attraktiv machen. Auch hier können Anbieter in eurer Lieferkette Unterstützung bei der Kompetenzförderung bieten. Schließlich ist es langfristig auch für sie von Vorteil, wenn die Benutzer mit ihren Produkten vertraut sind – also eine Win-Win-Situation.
5 – Haben wir vor der Zuweisung von Budgets unsere Assets klar priorisiert?
2015 hat McKinsey unter 45 der Global 500-Unternehmen eine Umfrage zu deren Ausgaben und Fähigkeiten im Bereich Cybersecurity durchgeführt und herausgefunden, dass die Ausgaben nur in begrenztem Maße mit dem Schutzniveau übereinstimmen. Der offensichtliche Grund dafür ist, dass nicht alle Assets gleich sind. Sie unterstützen den Betrieb auf ganz unterschiedliche Weise und haben unterschiedliche Risiko- und Anfälligkeitsprofile. Daher sollten sich auch die Schutzmaßnahmen unterscheiden.
Die Lösung ist ein risikobasierter Cybersecurity-Ansatz, und hier können wir vom öffentlichen Sektor lernen.
Mehr als 100 Regierungen haben nationale Strategien für die Cyberabwehr definiert, und McKinsey hat für elf dieser Strategien Benchmarks erstellt, um die wichtigsten Grundsätze herauszufiltern. Diese gelten auch für Unternehmen. Nachfolgend die wichtigsten Schlussfolgerungen aus CXO-Sicht:
- Priorisieren kritischer Assets: Vereinfacht ausgedrückt bedeutet dies, dass ihr die Assets eures Unternehmens sichten und für jede Ebene eine adäquate Risikobereitschaft festlegen solltet. Bewährt hat sich auch die Implementierung gängiger Standards für die Cybersecurity, die auf eure wichtigsten Assets angewandt und effektiv verwaltet werden.
- Standardisierter Ansatz für das Risikomanagement: Nur mit einem standardisierten Ansatz verfügen alle für die Incident Response zuständigen Mitarbeiter und Führungskräfte über eine gemeinsame Sprache für Cyber-Incidents unterschiedlicher Schweregrade. Durch die Standardisierung der Inputs können Verzerrungen bei Investitionsentscheidungen vermieden werden.
- Klar definierter Response- und Recovery-Plan: Dieser Plan sollte formalisierte und nachvollziehbare Reporting-Grundsätze, Prozesse und Ressourcen umfassen. Insbesondere sollte deutlich werden, welche Schritte unternehmensextern über Partner oder andere Drittparteien ausgeführt werden. Dies sollte in einer Art Servicevertrag dokumentiert werden.
Die oben angeführten Punkte gelten für alle Assets des Unternehmens, mit besonderem Augenmerk auf leistungskritischen Assets.
6 – Können wir diese Gelegenheit nutzen, um Prozesse zu vereinfachen und Mehrwert zu schaffen, der über den Softwarekauf hinausgeht?
Die instinktive Reaktion auf Cyberbedrohungen ist die Investition in weitere Technologie. Wenn die Angriffsfläche wächst und die Bedrohungsakteure immer raffinierter werden, steigt logischerweise auch der Bedarf an technologischen Abwehrmöglichkeiten. Und die klassische Methode zur Performance-Steigerung ist die häufigere Einspeisung immer größerer Datenmengen mit immer neuen Methoden.
Mit der Zeit führt dies allerdings tendenziell zu einem komplexen Geflecht aus Tools mit überlappenden Funktionen, das schwer zu steuern, anzuwenden und zu implementieren ist und mit dem sich kaum Wert schöpfen lässt. Mit anderen Worten: Ihr könnt in die Falle tappen und viele Zusatzinvestitionen tätigen, die relativ wenig Nutzen bringen. Aus diesem Grund streben viele Unternehmen eine Konsolidierung und Vereinfachung ihrer Umgebungen an, um Kosten zu sparen und die Wertrealisierung zu steigern. Der Zugang zu größeren Datenmengen und deren Sichtbarkeit ist (fast) immer von Nutzen, allerdings gibt es kosteneffektive Methoden, die ohne doppelten Zeit- und Geldaufwand auskommen.
Wenn ihr eine Technologie oder Lösung für eine gute Wahl haltet, solltet ihr herausfinden, ob sie Funktionen bietet, die bestehende Tools ersetzen können, um eine benutzerfreundlichere Umgebung zu schaffen und möglicherweise Kosten zu sparen. Es empfiehlt sich nicht, dies auf einen Schlag zu tun, aber wenn die Möglichkeit besteht, Pilotprojekte durchzuführen und das entsprechende Potenzial auf risikoarme Weise zu testen, ist es einen Versuch wert.
7 – Bevorzugen wir mehr Funktionen oder eine Punktlösung?
Bei Cyber-Resilienz ist der Weg das Ziel. Die Bedrohungs- und Technologielandschaft wird sich auch künftig rasant entwickeln. Deshalb ist es für Unternehmen wichtiger, anpassungsfähiger zu werden, als sofort die perfekte Lösung zu finden.
Damit ist die Frage für euer Unternehmen vielleicht noch nicht beantwortet. Dieser Aspekt wirkt sich aber auf die Art des Cyberkompetenz-Ökosystems aus, das ihr aufbauen möchtet, z. B. auf die Art und Häufigkeit der Zusammenarbeit mit Partnern und die kurzfristige Budgetaufteilung für Software, Schulung und professionelle Services.
Wenn die Verantwortlichen euch allerdings eine rein technologische Lösung als Patentrezept verkaufen wollen, dann haben sie vermutlich nicht wirklich verstanden, womit das Unternehmen konfrontiert ist und was erforderlich ist, um die Cyber-Resilienz Jahr für Jahr aufrechtzuerhalten.
Was ist also gut?
Eure Kollegen halten euch jetzt für strategisch denkende Cyber-Gurus (gern geschehen), aber ihr seid im Meeting nur bis Frage drei von sieben gekommen und die Zeit drängt. Auf welche grundlegenden Aspekte kommt es wirklich an?
Vorsicht! Wir haben keine Einheitslösung parat, aber im Großen und Ganzen sprechen wir uns für Lösungen aus, die:
- Die Entwicklungsfähigkeit des Unternehmens stärken, damit euer Unternehmen im Kontext einer wachsenden, dynamischen und immer professionelleren Cyberbedrohungslandschaft, gegen die mit Versicherungen immer weniger ausgerichtet werden kann, auch künftig gut aufgestellt ist.
- Bei der Konsolidierung, Vereinfachung und Optimierung eurer IT-Umgebung helfen, um Kosten zu sparen, mehr Nutzen zu generieren und die Fachkräfteproblematik in den Griff zu bekommen (z. B. über Automatisierung, KI/ML, Konsolidierung von Produkten oder Tools).
- Funktionalität und Wertrealisierung in Einklang bringen. Es sollte klar sein, welcher Mehrwert generiert wird, wie er gemessen wird und welchen Assets er zuzuordnen ist. Dieser Wert muss sich nicht zwingend in Euro manifestieren, sollte sich jedoch an für die Unternehmensführung relevanten KPIs orientieren und unternehmensweit einheitlich definiert sein.
Zu guter Letzt ...
Glückwunsch, dass ihr so weit gekommen seid! Niemand behauptet, dass es einfach ist, aber ich hoffe, dass ihr durch diesen Blog ein besseres Gefühl für die Cyber-Landschaft bekommen habt und die Vorzüge künftiger Investitionsentscheidungen selbstbewusster und fundierter beurteilen könnt.
Cyber-Resilienz lässt sich nicht durch Software allein erreichen. Als nicht technische Führungskräfte könnt ihr im Beschaffungsprozess einen ungemein wertvollen Beitrag leisten, indem ihr Klarheit über das ultimative Ziel sowie angestrebte (und mögliche) Wertschöpfungspfade schafft und dafür sorgt, dass die Software auch im Gesamtkontext mit Mitarbeitern und Prozessen betrachtet wird.
*Dieser Artikel wurde aus dem Englischen übersetzt und editiert. Den Originalblogpost findet ihr hier.
