Banner Aktuelle IT-Sicherheit Online-Schulungen Rabatt
Mit <kes>+ lesen

Security-Trainings für die Geschäftsleitung? – Unbedingt!

Cybersicherheit ist eine rechtliche Verpflichtung der Geschäftsleitung, aber für viele CEOs ist das Thema immer noch Neuland. Wie können CISOs ihre Chefs* besser darauf vorbereiten, Cyberrisiken zu bewerten und die richtigen Entscheidungen zu treffen?

Lesezeit 7 Min.

Von Richard Werner, Garching

Schon das dritte Jahr in Folge sind Cybervorfälle das größte Geschäftsrisiko laut Allianz Risk Barometer [1] – CEOs kommen also nicht umhin, sich mit dem Thema auseinanderzusetzen. Als Teil des unternehmerischen Risikomanagements müssen sie in der Lage sein, Cyberrisiken zu bewerten, deren Auswirkungen auf das Business abzuschätzen und geeignete Gegenmaßnahmen zu bestimmen.

In der Vergangenheit haben viele Geschäftsführer diese Aufgaben einfach an den CISO delegiert; aus der Verantwortung stehlen können sie sich aber nicht. Tatsächlich ist Cybersicherheit eine rechtliche Verpflichtung der Unternehmensleitung – und das nicht erst seit NIS-2 (vgl. [2]). Auch das Aktiengesetz und das Handelsgesetzbuch stellen klar, dass es Aufgabe der Geschäftsführung ist, wirksame Maßnahmen zum Schutz der IT-Infrastruktur zu treffen und ein entsprechendes Risikomanagement einzurichten. Wer tiefer in die Materie eintauchen will, dem sei der juristische Leitfaden „Cybersicherheit und IT-Compliance in Unternehmen“ [3] ans Herz gelegt, in dem der Fachanwalt für Informationstechnologierecht Dr. Thomas Stögmüller aktuelle rechtliche Anforderungen rund um die IT-Security anschaulich erklärt.

Geschäftsleiter brauchen Security-Schulungen

Um ihre Pflicht zum Cyber-Risikomanagement zu erfüllen, müssen CEOs das Thema Cybersecurity zwar nicht bis ins letzte technische Detail verstehen, aber doch so weit durchdringen, dass sie informierte Entscheidungen treffen können. CISOs stehen jetzt vor der Herausforderung, die Geschäftsleitung zu schulen und mit dem nötigen Rüstzeug auszustatten.

Als Blaupause kann der letzte Gesetzesentwurf zur NIS-2-Umsetzung [4] dienen: Er bestimmt in § 38 Abs. 3 BSIG-E, dass Unternehmensleiter regelmäßig an Trainings zum Thema Cybersicherheit teilnehmen sollen (siehe Kasten). Für Organisationen, die zu den wichtigen und besonders wichtigen Einrichtungen gemäß § 30 BSIG-E zählen, besteht künftig also eine gesetzliche Pflicht für entsprechende Fortbildungen. Aber auch alle anderen Organisationen profitieren davon, Cybersecurity zur Chefsache zu machen, denn Cyberrisiken zu verstehen, zu bewerten und zu managen, ist entscheidend für die Geschäftskontinuität.

Inhalte von CEO-Schulungen

CISOs müssen Geschäftsleiter*-Schulungen zwar nicht unbedingt selbst durchführen, zumindest aber vorbereiten. Gefragt sind dabei weniger die gängigen IT-Sicherheitstrainings, die dazu dienen, die Belegschaft für Cyberrisiken zu sensibilisieren – auch diese sind unverzichtbar, um Mitarbeiter gegen Angriffsszenarien wie Phishing-, CEO-Fraud oder Social-Engineering zu wappnen.

Zusätzlich brauchen Geschäftsleiter aber spezielle Schulungen, die das Thema aus der Business-Perspektive beleuchten: Neben juristischen Fragen und Business-Continuity-Management (BCM) geht es hier vor allem darum, eine gemeinsame Basis zwischen CISO und CEO zu schaffen. Das Ziel besteht darin, Cyberrisikomanagement-Entscheidungen möglichst gut vorzubereiten – sowohl im Normalbetrieb als auch im Ernstfall.

Wichtige Inhalte einer solchen Schulung sind zum Beispiel:

  • Wie kommunizieren CISO und CEO miteinander über Cybersicherheit, sodass die Geschäftsleitung die Risiken und möglichen Gegenmaßnahmen versteht?
  • Wie kann der CEO Cyberrisiken vernünftig einschätzen und ins Verhältnis setzen?
  • Auf welche Notfall-Szenarien und Entscheidungen muss er vorbereitet sein?

Gemeinsame Kommunikationsbasis

Die Kommunikation zwischen CISO und CEO ist der Dreh- und Angelpunkt für ein erfolgreiches Cyberrisikomanagement. Als fachliche Spezialisten haben CISOs die Aufgabe, der Unternehmensführung die richtigen Entscheidungsgrundlagen vorzulegen. Gleichzeitig sind CEOs in der Pflicht, solche Informationen einzufordern. Regelmäßige Meetings sind daher unverzichtbar.

In der Praxis scheitert die Kommunikation leider häufig daran, dass beide Parteien verschiedene Sprachen sprechen: CISOs haben meist die „Technik-Brille“ auf, CEOs betrachten die Welt dagegen aus der Business-Perspektive und wünschen sich plakative Kennzahlen mit klaren Aussagen. Auch wenn es schön wäre: Die Frage „Wie sicher sind wir?“ lässt sich nicht so leicht beantworten. Selbst der beste Security-Experte kann nicht vorhersagen, ob ein System am nächsten Tag angegriffen wird. Anhand einer Analyse der aktuellen Gegebenheiten ist er aber in der Lage, die Wahrscheinlichkeit zu berechnen, mit der das Unternehmen im Vergleich zu anderen Unternehmen stärker oder weniger stark gefährdet ist. Wenn CEOs verstehen, welche Daten die Security liefern kann, und CISOs diese Informationen businesstauglich präsentieren, dann kommen beide Welten zusammen.

Cyberrisiken und Gegenmaßnahmen richtig einschätzen

CEOs stehen vor der Herausforderung zu lernen, wie sie Cyberrisken anhand der CISO-Informationen bewerten können. Wie hoch ein identifiziertes Cyberrisiko ist, hängt immer von der relativen Eintrittswahrscheinlichkeit und vom zu erwartenden Schadensausmaß ab. Die relative Eintrittswahrscheinlichkeit ist umso größer, je exponierter eine Schwachstelle ist, je häufiger diese aktuell von Cyberkriminellen ausgenutzt wird, je besser das Unternehmen in die Zielgruppe der Angreifer passt und je schlechter es im Vergleich zu anderen geschützt ist. Technische Lösungen wie ein Attack-Surface-(Risk)-Management (ASM/ASRM), die kontinuierlich interne und externe Security-Daten analysieren, helfen CISOs dabei, diese Informationen auf Knopfdruck managementgerecht zu präsentieren.

Um das zu erwartende Schadensausmaß abzuschätzen, ist es wichtig, die Zusammenhänge zwischen IT und Geschäftsprozessen zu verstehen: Was würde passieren, wenn ein System ausfällt? Wie gefährlich wäre hier ein Datenabfluss? – Auf Basis der Risikobewertung muss der CEO anschließend entscheiden, ob die bestehenden Security-Maßnahmen ausreichen oder ob er weitere Investitionen freigibt.

Eine gute Strategie für CISOs besteht darin, verschiedene Maßnahmen zur Wahl zu stellen und deren Wirksamkeit und Wirtschaftlichkeit zu vergleichen. Im akuten Einzelfall mag es zum Beispiel günstiger sein, wenn die IT-Abteilung Nachtschichten schiebt, um einen Patch einzuspielen – langfristig kann sich aber eine Netzwerksicherheitslösung lohnen, die automatisiert Schwachstellen mit Virtual Patching schließt. Auch hier gilt: Der CEO muss nicht wissen, wie die Technik funktioniert, aber verstehen, was sie für sein Business bedeutet!

Auf den Ernstfall vorbereiten

Zu den wichtigen Schulungsinhalten zählt außerdem, sich mit dem Ernstfall auseinanderzusetzen: Wie sind die Kommunikationswege? CISO und CEO sollten Notfallpläne gemeinsam abstimmen. Wenn es tatsächlich zum Cyberangriff kommt, muss der CEO unter hohem psychischem und zeitlichem Druck schwierigste Entscheidungen treffen. Soll er Systeme vom Netz nehmen oder laufen lassen? In dieser Situation befand sich zum Beispiel der Geschäftsführer des amerikanischen Energieversorgers Colonial Pipeline [5]: Als die Office-IT des Unternehmens angegriffen wurde, entschied er, auch das Produktionsnetzwerk abzuschalten – in Folge kam es an der Ostküste der USA zu einer Treibstoff-Unterversorgung. Wer bereits im Vorfeld verschiedene Szenarien durchgespielt hat, kann das mögliche Schadensausmaß besser/schneller abwägen und ist klar im Vorteil.

1

§ 38 BSIG-E – Umsetzungs-, Überwachungs- und Schulungspflicht für Geschäftsleitungen besonders wichtiger Einrichtungen und wichtiger Einrichtungen

(1) Geschäftsleitungen besonders wichtiger Einrichtungen und wichtiger Einrichtungen sind verpflichtet, die von diesen Einrichtungen nach § 30 zu ergreifenden Risikomanagementmaßnahmen umzusetzen und ihre Umsetzung zu überwachen.

(2) Geschäftsleitungen, die ihre Pflichten nach Absatz 1 verletzen, haften ihrer Einrichtung für einen schuldhaft verursachten Schaden nach den auf die Rechtsform der Einrichtung anwendbaren Regeln des Gesellschaftsrechts. Nach diesem Gesetz haften sie nur, wenn die für die Einrichtung maßgeblichen gesellschaftsrechtlichen Bestimmungen keine Haftungsregelung nach Satz 1 enthalten.

(3) Die Geschäftsleitungen besonders wichtiger Einrichtungen und wichtiger Einrichtungen müssen regelmäßig an Schulungen teilnehmen, um ausreichende Kenntnisse und Fähigkeiten zur Erkennung und Bewertung von Risiken und von Risikomanagementpraktiken im Bereich der Sicherheit in der Informationstechnik zu erlangen sowie um die Auswirkungen von Risiken sowie Risikomanagementpraktiken auf die von der Einrichtung erbrachten Dienste beurteilen zu können.

§ 38 BSIG-E laut Regierungsentwurf zum NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz [4]

Fazit

Cybersecurity erfordert einen Dreiklang aus Technik, Prozessen und Menschen. Alle drei Faktoren sind für die Cyberrisikobewertung und die Wahl der geeigneten Gegenmaßnahmen wichtig. Um ein Risiko zu mindern, kann es zum Beispiel nötig sein, neue Sicherheitstechnologie einzusetzen oder auch Prozesse zu optimieren und Menschen besser zu schulen.

Wenn CEOs die Zusammenhänge verstehen, können sie bessere Entscheidungen treffen. Neben theoretischen Schulungen ist dafür ein Red-Teaming (vgl. etwa [6, 7]) empfehlenswert, das bestehende Security-Maßnahmen einem Praxistest unterzieht: Indem Unternehmen den Ernstfall proben, können sie am besten erkennen, wo sie Sicherheitslücken haben – und wo noch Schulungsbedarf besteht.

Richard Werner ist Security Advisor bei Trend Micro.

Literatur

[1] Allianz SE, Allianz Risk Barometer: Cyber-Attacken als weltweites Top-Risiko 2024, Januar 2024, www.allianz.com/de/mediencenter/news/studien/240116-allianz-risk-barometer-cyber-attacken-als-weltweites-top-risiko-2024.html –intl. Studie auf Englisch: https://commercial.allianz.com/content/dam/onemarketing/commercial/commercial/reports/Allianz-Risk-Barometer-2024.pdf

[2] Dennis-Kenji Kipker, Julian Zaudig, Schutzschild gegen Haftungsrisiken, Wie die Rolle des CISO unter NIS-2 neu gedacht werden muss, <kes> 2024#5, S. 32, www.kes-informationssicherheit.de/print/titelthemacnapp-das-unbekannte-wesen/schutzschild-gegen-haftungsrisiken/ (<kes>+)

[3] Thomas Stögmüller, Cybersicherheit und IT-Compliance im Unternehmen, Juristische Informationen für die Unternehmensleitung, 8. Auflage, Mai 2024, https://resources.trendmicro.com/juristischerLeitfaden_Auflage8_Mai_2024.html (Registrierung erforderlich)

[4] Bundesministerium des Innern und für Heimat (BMI), Entwurf eines Gesetzes zur Umsetzung der NIS-2-Richtlinie und zur Regelung wesentlicher Grundzüge des Informationssicherheitsmanagements in der Bundesverwaltung (NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz), Gesetzentwurf der Bundesregierung, Juli 2024, www.bmi.bund.de/SharedDocs/gesetzgebungsverfahren/DE/Downloads/kabinettsfassung/CI1/nis2-regierungsentwurf.pdf__blob=publicationFile

[5] Trend Micro, DarkSide und der Angriff auf Colonial Pipeline, Research, News, and Perspectives, Mai 2021, www.trendmicro.com/de_de/research/21/e/what-we-know-about-darkside-ransomware-and-the-us-pipeline-attac.html

[6] Nina Wagner, Vom Pentesting zum Red Teaming, Vortrag auf dem CSK Summit, Mai 2024, www.kes-informationssicherheit.de/webinare/vom-pentesting-zum-red-teaming/ (<kes>+)

[7] Michael Brügge, Der ultimative Pentest, Red-Team-Assessments – „echte“ Angriffe für mehr Sicherheit, <kes> 2019#2, S. 13, www.kes-informationssicherheit.de/print/titelthema-sicherheits-kultur-aufbau-pflegenutzentitelthema/der-ultimative-pentest/ (<kes>+)

Diesen Beitrag teilen: