Compliance garantieren : Von DSGVO bis NIS-2: Wie Unternehmen nicht den Überblick verlieren
IT-Security und Chefetage müssen an einem Strang ziehen. Nur so kann die Compliance im Angesicht zunehmend komplexerer Regulierungen garantiert werden. Doch eine gehemmte Kommunikationskultur erschwert oft die Zusammenarbeit. Wir geben Tipps für die richtige Kommunikation und stellen Lösungen vor, wie Unternehmen Cyberrisikomanagement Compliance-konform umsetzen können. Zudem erhalten Leser mit dem neu überarbeiteten rechtlichen Leitfaden von Trend Micro einen Überblick über alle wichtigen gesetzlichen Regelungen im IT-Sicherheitsbereich.
Advertorial
Von Richard Werner, Trend Micro
Datenschutzgrundverordnung (DSGVO), NIS-2, C5-Testat – wenn Verantwortliche heutzutage Compliance garantieren wollen, stehen sie vor einem komplexen Geflecht aus nationalen und internationalen Regelwerken. Dabei können Verstöße empfindliche Konsequenzen nach sich ziehen. Insbesondere die neue NIS-2-Richtlinie der EU betont, dass Cyberrisikomanagement als Chefsache anzusehen ist – so müssen CEOs persönlich haften, falls Regelverstöße festgestellt werden. Compliance zu überwachen, ist allein aus diesem Grund keine triviale Aufgabe. Was noch erschwerend hinzukommt: Die Kommunikationsprozesse in deutschen Unternehmen sind oftmals blockiert. So reden IT-Sicherheitsverantwortliche und die Chefetage entweder aneinander vorbei oder nehmen sich nicht richtig ernst. Dabei ist IT-Security absolut geschäftsentscheidend. Was können Unternehmen tun, um die Kommunikation zu verbessern und im Wald der gesetzlichen Cybersecurity-Regulierungen nicht den Überblick zu verlieren?
Herausforderung: Kommunikation
Eine aktuelle Studie von Trend Micro ergab, dass sich über drei Viertel der IT- und IT-Sicherheitsverantwortlichen in deutschen Unternehmen von der Geschäftsleitung unter Druck gesetzt fühlen, die Cyberrisiken im Unternehmen herunterzuspielen. Fast die Hälfte von ihnen glaubt, dass erst ein schwerwiegender Sicherheitsvorfall die Führungsriege dazu veranlassen würde, entschlossener gegen Cyberrisiken vorzugehen. Diese Ergebnisse zeigen ein gravierendes Kommunikationsproblem: Offensichtlich schaffen es die Security-Verantwortlichen nicht, der Geschäftsleitung die Bedeutung von Cyberrisiken und die daraus entstehenden Geschäftsrisiken aufzuzeigen. Wie gelingt es also, die Kommunikation zwischen CISO und CEO zu verbessern?
Cybersecurity-Deutsch – Deutsch-Cybersecurity
Damit die Geschäftsführung fundierte Risikoeinschätzungen treffen kann, braucht sie konkrete, messbare Fakten. So berichten fast alle befragten CISOs (99 Prozent), dass sich ihre interne Lage verbesserte, sobald es ihnen gelang, den geschäftlichen Nutzen ihrer Cybersicherheitsstrategie zu messen: 46 Prozent erhielten daraufhin mehr Budget. 42 Prozent werden in die Entscheidungsfindung auf höherer Ebene miteinbezogen und 40 Prozent wurde mehr Verantwortung zuteil.
Sobald konkrete Kennzahlen zum Risikostatus eines Unternehmens geliefert werden, verbessert sich also die Kommunikationslage zwischen CISO und CEO erheblich – und damit auch die Wertschätzung. Ein messbarer Risk-Score erlaubt es der Geschäftsleitung, schwierige Entscheidungen zu treffen: Etwa ob ein potenzielles Risiko ignoriert, überwacht oder mit konkreten Maßnahmen angegangen werden soll. Letztlich sollte die Entscheidung davon abhängen, wie schwerwiegend das Risiko die Geschäftsfähigkeit des Unternehmens beeinflussen könnte.
Zudem ist es für CISOs ratsam, konkrete Erläuterungen zu Prozessen und notwendigen Schutzmechanismen abzugeben: Wie profitieren wir von bestimmten digitalen Prozessen, wenn wir diese konsequent absichern? Was wären die potenziellen Folgen, wenn wir dies unterlassen? Eine weitere Basis für gute Kommunikation ist eine genaue Teilung der Verantwortlichkeiten. Wofür ist die IT-Security verantwortlich und wofür die Chefetage? Dies zu klären, erlaubt es, im Ernstfall schnell zu reagieren. So hat die IT-Security beispielsweise die Aufgabe, die Geschäftsführung jederzeit über die gerade auftretenden Sicherheitsrisiken zu informieren und konkrete Lösungsmöglichkeiten vorzuschlagen. Exekutive Entscheidungen sollten dabei immer dokumentiert und aufgenommen werden. Auf der anderen Seite darf die Sicherheitsabteilung nicht auf eigene Faust und ohne Absprache mit der Chefetage agieren. Es empfiehlt sich aber, eine Notfallregelung zu treffen, sollte beispielsweise in einer akuten Gefahrensituation die Geschäftsführung nicht erreichbar sein.
Kommunikation auf Grundlage harter Fakten und Kennzahlen und eine klare Arbeitsteilung sind Voraussetzungen dafür, dass Unternehmen in Sachen Cybersecurity und Risikomanagement saubere Compliance-Arbeit leisten. Doch wie kommen die IT-Verantwortlichen an verlässliche Kennzahlen und messbare Risikoeinschätzungen? Als technische Lösung bietet sich an, eine „Single
Source of Truth“ für die gesamte Angriffsfläche zu schaffen. Hier kommen Attack Surface Risk Management und Extended Detection and Response (XDR) ins Spiel.
Selbst im Worst Case eine überzeugende Antwort
Eine ganzheitliche Plattform zum Management der Angriffsoberfläche (Attack Surface Risk Management, ASRM) kann zur Lösung dieses Kommunikationsproblems beitragen, indem sie konsistente, Management-taugliche Risikoeinblicke liefert. ASRM sammelt interne und externe Security-Daten in einem zentralen Data Lake, analysiert und korreliert sie. Im Executive Dashboard erhalten CISOs alle Informationen zur Risikoexposition, die sie für ein überzeugendes Reporting bei der Geschäftsleitung brauchen. Der Risiko-Score des Unternehmensnetzwerks wird zu diesem Zweck von ASRM automatisiert und KI-gestützt ermittelt.
ASRM und XDR sind zudem über eine einheitliche Cybersecurity-Plattform wie Trend Vision One integrierbar. Eine zentrale Stelle erlaubt dabei die einfache und kosteneffiziente Überwachung und Steuerung der einzelnen Sicherheitssysteme. Um auch den Cyber-Ernstfall vollumfänglich abzudecken, kann die Lösung durch das Dienstleistungskonzept Trend Service One ergänzt werden, welches unter anderem Incident Response im Angriffsfall beinhaltet. Das ist genau das, was Regulierungswerke wie NIS-2 vorschreiben. Die Lösung ist dabei flexibel genug, um Unternehmen nach Bedarf auch mit Managed Services in verschiedenen Ausprägungen zu unterstützen.
Alle gesetzlichen Neuerungen übersichtlich auf einen Blick
Trend Micro möchte Unternehmen bei der Einhaltung der wichtigsten Regularien unterstützen: Bereits in der achten Aufl age versorgt der Leitfaden „Cybersicherheit und IT-Compliance im Unternehmen“ IT-Verantwortliche und Geschäftsführungen mit juristischen Informationen.
Der frei zum Download verfügbare Leitfaden (siehe QR-Code unten) wurde jüngst im Zuge von NIS-2 und des auf die Finanzindustrie fokussierten Digital Operational Resilience Act (DORA) überarbeitet. Hinzugekommen sind insbesondere Kapitel zu den Verantwortlichkeiten und Pflichten, welche die neuen EU-Regularien mit sich bringen. Außerdem beantwortet der Ratgeber Fragen zur DSGVO-Compliance beim Einsatz von Cybersicherheitslösungen und zu den Sicherheitsanforderungen an Cloud-Dienste gemäß dem C5-Katalog. So dürfen etwa Bundesbehörden externe Cloud-Dienste nur dann einsetzen, wenn diese nach C5 testiert sind. Seit
dem 1. Juli 2024 gilt die C5-Pflicht laut SGB V auch im Gesundheitssektor für solche Cloud-Services, die Patientendaten verarbeiten. Das Gesundheitswesen schreitet hier also mit gutem Beispiel voran, was eine Signalwirkung auf andere Branchen haben dürfte.
Fazit: Kommunikation verbessern, Überblick behalten
Die neuen Regularien zu Cybersicherheit und Risikomanagement mögen auf den ersten Blick unübersichtlich wirken. Jedoch handelt sich dabei um durchaus vernünftige Mindeststandards, die von vielen Unternehmen bereits seit Jahren eingehalten werden. Immerhin ist eine gute IT-Security essenziell für die Geschäftstätigkeit einer jeden Institution. Damit diese auch tatsächlich Compliance-
konform umgesetzt wird, braucht es eine funktionierende Kommunikation innerhalb des Unternehmens: Nur wenn CISOs und die Geschäftsführung an einem Strang ziehen, können Risiken korrekt abgeschätzt und die richtigen Maßnahmen im Ernstfall getroffen werden. Eine offene Kommunikationskultur mit eindeutiger Arbeitsteilung, gestützt von einer Single Source of Truth bilden dementsprechend die Grundlage für ein funktionierendes Cyberrisikomanagement.
Den juristischen Leitfaden von Trend Micro können Sie hier kostenfrei herunterladen: Trend Micro
Richard Werner ist Security Advisor bei Trend Micro.