Kapitel 1. Cybersecurity im Zeitalter der digitalen Transformation
Diese Arbeit wurde mithilfe von KI übersetzt. Wir freuen uns über dein Feedback und deine Kommentare: translation-feedback@oreilly.com
Eine weltweite Pandemie legt die Produktionsanlagen in China lahm und verursacht Lieferengpässe und Verlangsamungen in Fabriken von Detroit bis Yokohama. Ein äthiopisches Verkehrsflugzeug stürzt Minuten nach dem Start auf mysteriöse Weise ab, wobei alle Menschen an Bord ums Leben kommen; und weniger als sechs Monate später stürzt auf der anderen Seite der Welt die gleiche Flugzeugmarke und das gleiche Modell auf fast die gleiche Weise ab. Ein Unbekannter manipuliert die Kontrollsysteme einer Wasseraufbereitungsanlage in Florida und erhöht die Menge einer Chemikalie, die normalerweise für die Wasseraufbereitung unbedenklich ist, aber in höheren Konzentrationen tödlich ist, um mehr als das Hundertfache. Ein Erpresser nutzt künstliche Intelligenz (KI), um die Stimme einer Person überzeugend nachzubilden, um eine Entführung vorzutäuschen, und Wahlbeamte auf der ganzen Welt befürchten, dass dieselben "Deepfake"-Techniken - die auch Bilder manipulieren können - eingesetzt werden, um demokratische Wahlen zu untergraben. Ein russischer Cyberangriff auf ein vom ukrainischen Militär genutztes Satellitennavigationssystem legt Hunderte von Kilometern entfernt in Deutschland Windkraftanlagen lahm. Und ein einsamer Angreifer erpresst ein großes Pipelinesystem, was zu massiven Treibstoffengpässen an der Ostküste der USA führt.
Diese Ereignisse sind dramatische Beispiele dafür, wie zerbrechlich unser tägliches Leben und die Systeme und Prozesse, auf denen es beruht, heute sind. Diese komplexen, komplizierten Zusammenhänge entstehen durch die überwältigende Abhängigkeit der Welt von digitalen Technologien für die Kommunikation und Zusammenarbeit und durch die beispiellosen Risiken, die sie in einem radikal beschleunigten Tempo eingeführt haben und weiterhin einführen. Unternehmen in aller Welt sehen sich heute Bedrohungen ausgesetzt, die noch vor wenigen Jahren unvorstellbar gewesen wären. Diese Bedrohungen können die finanziellen Interessen akut schädigen und in einigen Fällen Unternehmen sogar in den Ruin treiben - und das nicht nur, weil sie im Umgang mit Cyber-Bedrohungen versagt haben, sondern auch wegen des Wettbewerbs: der Fähigkeit eines Unternehmens, Risiken einzugehen und sich schneller zu bewegen als seine Konkurrenten, die sich beide in einem wettbewerbsfähigen Tempo digitalisieren. Die Sicherheitsorganisationen haben Mühe, mit den großen Herausforderungen, die diese Bedrohungen und Schwachstellen darstellen, Schritt zu halten und scheitern oft.
Dieses Buch zeigt einen Weg nach vorne in dieser radikal anderen und bedrohlichen neuen Geschäfts- und Technologielandschaft. Der Ansatz, der sich auf die jahrzehntelange Erfahrung der Autoren in diesem Bereich stützt, basiert auf der Prämisse, dass sich ein Unternehmen heute und in Zukunft nur dann schützen kann, wenn es ein umfassendes, unternehmensweites Cyber-Risikomanagement-Programm entwickelt. Das Buch wendet sich an ein breites Spektrum von Unternehmensakteuren - nicht nur an Sicherheitsexperten -, um strategische Entscheidungen und Ausführungsparameter im gesamten Unternehmen festzulegen. Der Schlüssel ist die Definition, Entwicklung und Umsetzung eines Cyber-Risikomanagementprogramms.
Die Aufsichtsbehörden auf der ganzen Welt konzentrieren sich verstärkt darauf, wie Unternehmen ihre Cyberrisiken managen, wie sie ihre Risikotoleranz festlegen, ob sie sich an diese Toleranz halten und ob dieser programmatische Ansatz angemessen überwacht wird. Die Gerichte konzentrieren sich zunehmend auf die persönliche Haftung von Vorständen, Geschäftsführern und anderen Unternehmensverantwortlichen, einschließlich der Chief Information Security Officers (CISOs), wenn es um ihre Aufsicht über das Cyber-Risikomanagement geht. Das Fehlen eines Programms und die Ergebnisse eines Programms selbst können die Grundlage für diese Haftung sein.
Viele Leserinnen und Leser, vor allem erfahrene Sicherheitsexperten, werden einige oder alle Komponenten eines Cyber-Risikomanagement-Programms, wie wir es vorstellen, wiedererkennen, und wahrscheinlich praktizieren sie einige von ihnen bereits, zumindest teilweise. Sicherheitsexperten sind per Definition auch Risikofachleute (ein wichtiges Konzept, auf das wir immer wieder zurückkommen werden). Ihre Erfahrungen im Risikomanagement sind von unschätzbarem Wert für die Entwicklung und Umsetzung eines Cyber-Risikomanagementprogramms. Unser Ansatz zeichnet sich dadurch aus, dass er all diese Komponenten und noch mehr in einem umfassenden, formalen Programm zusammenfasst, das das gesamte Unternehmen und viele seiner Stakeholder vor allen gegenwärtigen und zukünftigen Risiken schützt.
In diesem Buch tauchen wir tief in die Definition eines formellen Cyber-Risikomanagement-Programms ein und stützen uns dabei auf eine Vielzahl maßgeblicher Quellen, die globale Standards, Vorschriften, Gerichtsurteile und einflussreiche Quellen mit einem Rahmenwerk verbinden, das die grundlegenden Elemente des definierten Programms unterstützt. Obwohl das Buch keine Anleitung für Risikomanagement-Taktiken sein wird, wird es dennoch auf viele Risikopraktiken verweisen und Beispiele liefern, die in das Programm implementiert werden können.
Warum jetzt ein Cyber-Risikomanagement-Programm? Die digitale Transformation hat ein Cyber-Element in jeden Aspekt der Sicherheit eingebracht und die Cybersicherheit in den letzten Jahren zu einem der dringlichsten Anliegen für Unternehmen weltweit gemacht - und zwar nicht nur für die Sicherheitsexperten, sondern auch für jede Führungskraft.
Die vierte industrielle Revolution
Der Begriff vierte industrielle Revolution - manchmal auch Industrie 4.0 genannt1wurde in den 2010er Jahren von dem Wirtschaftswissenschaftler Klaus Schwab, dem Gründer des World Economic Forum (WEF), geprägt. Das Konzept wird allgemein definiert als ein rascher und sich rapide beschleunigender Wandel von Systemen und Prozessen, der durch die zunehmende Vernetzung und Automatisierung von Technologien vorangetrieben wird und die Grenzen zwischen der physischen und digitalen Welt verwischt. Zu diesen Technologien gehören künstliche Intelligenz (AI), fortschrittliche Robotik, Machine-to-Machine (M2M) Kommunikation, die Netzwerke von autonomen Geräten, die das Internet der Dinge (IoT) ausmachen, und viele weitere, die sich am Horizont abzeichnen. Und da diese Technologien auf neue, unerwartete und unvorhersehbare Weise zusammenwirken, treiben sie soziale, politische, wirtschaftliche und kulturelle Veränderungen mit einer Geschwindigkeit voran, die es in der Geschichte der Menschheit noch nie gegeben hat.
Hinweis
In einem WEF-Bericht von 2016 über die vierte industrielle Revolution heißt es: "Die Geschwindigkeit der aktuellen Durchbrüche hat keinen historischen Präzedenzfall. Im Vergleich zu früheren industriellen Revolutionen entwickelt sich die vierte in einem exponentiellen statt linearen Tempo. Außerdem verändert sie fast jede Branche in jedem Land. Und die Breite und Tiefe dieser Veränderungen kündigt die Umgestaltung ganzer Produktions-, Management- und Regierungssysteme an."2
Um die dramatischen Veränderungen zu verstehen, die wir jetzt erleben, müssen wir einen Schritt zurückgehen und uns ansehen, wie es dazu gekommen ist, insbesondere die historischen Veränderungen, die ihnen vorausgegangen sind:
-
Die erste industrielle Revolution nutzte Wasserflüsse, die Mühlräder drehten, und kohlebefeuerte Kessel, die Dampfkessel speisten, um die Produktion (Stahlwerke und Textilfabriken) und den Transport (Züge und Schiffe) anzutreiben.
-
Die Zweite Industrielle Revolution elektrifizierte diese Prozesse und ermöglichte eine echte Massenproduktion.
-
Die Dritte Industrielle Revolution basierte - und basiert immer noch - auf Elektronik, Automatisierung und Informationsaustausch, um die betriebliche Effizienz zu verbessern.
-
Die vierte industrielle Revolution ermöglicht betriebliche Effizienz und Innovation in einem Tempo, das noch vor wenigen Jahren unvorstellbar war. Sie wird vor allem durch die Digitalisierung bestehender Systeme, Anwendungen, Geräte und Prozesse vorangetrieben und - ganz wichtig - durch die kontinuierliche, fortlaufende und schnelle Entwicklung neuer digitaler Technologien.
In der Zukunft wird die Welt wahrscheinlich auf die Vierte Industrielle Revolution als einen radikaleren, dramatischeren und grundlegenderen Wandel zurückblicken als auf alle drei Vorgängerrevolutionen zusammengenommen. Sie baut auf ihnen allen auf, vor allem auf der dritten, und zwar mit einer bisher unvorstellbaren Geschwindigkeit, Reichweite und Wirkung. Es ist, als ob alle großen technologischen Entwicklungen, die es zuvor gab - die elektrische Glühbirne, das Automobil, Radio und Fernsehen, alles - zur gleichen Zeit stattfanden .
Unter findest du fünf wichtige Trends, die sich auf die Unternehmen und die Risiken, denen sie ausgesetzt sind, auswirken:
- Konvergenz der Industrie
- Jede Branche befindet sich im Wandel, und der Zyklus der Veränderungen beschleunigt sich ständig. Neue Ökosysteme, Geschäftsmodelle und Verbraucherverhalten verwischen die Branchengrenzen in allen Marktsegmenten. Und Unternehmen, die mit Dritten in Branchen-Ökosystemen zusammenarbeiten - manchmal sogar mit direkten Konkurrenten - sind mit bisher unbekannten Risiken konfrontiert, weil sie zwangsläufig ein gewisses Maß an Kontrolle an die anderen Parteien abgeben.
- Globalisierung
- Wenn die Menschen und Organisationen, die an der Wertschöpfungskette beteiligt sind - Hersteller, Zulieferer, Partner, Kunden - über die ganze Welt verteilt sind, müssen Unternehmen erkennen, dass die Risiken, denen sie ausgesetzt sind, anders, höchst unvorhersehbar und in einem Ausmaß sind, mit dem sie noch nie zuvor konfrontiert waren.
- Erwartungen an die Aufsicht
- Unternehmen werden von Gesetzgebern, Aufsichtsbehörden, Industrie- und Verbraucherverbänden und einer Vielzahl anderer interessierter Parteien stärker denn je beobachtet. Und all diese Parteien erwarten - und fordern in vielen Fällen - eine stärkere Kontrolle der Geschäftspraktiken von Unternehmen.
- Rechtliche Herausforderungen
- Oftmals führen Handlungen oder Unterlassungen von Unternehmen, wie im Fall von Cybersecurity-Ereignissen wie Datenschutzverletzungen, zu schädlichen Klagen.
- Eine sich verändernde regulatorische Landschaft
- Die gesetzlichen Anforderungen werden immer komplexer und strenger - und oft auch widersprüchlicher. Dadurch steigt sowohl das Risiko der Nichteinhaltung als auch die Schwierigkeit und die Kosten für das Management dieser Risiken.
All diese Trends sind durch zwei radikale Störfaktoren gekennzeichnet: Geschwindigkeit und Volatilität. Alles geschieht in einem dramatisch beschleunigten Tempo, und die Beschleunigung selbst nimmt ständig zu - Märkte, Politik, Verbraucherverhalten - und macht alles komplexer, instabiler, schwerer vorhersehbar und schwieriger zu managen. Das Ergebnis ist, dass Unternehmen keine andere Wahl haben, als agiler als je zuvor zu werden und ihre Agilität durch ihre Risikoentscheidungen ständig zu verfeinern und zu verbessern.
Die digitale Transformation hat es den Herstellern ermöglicht, betriebliche und logistische Effizienz zu erreichen, die noch vor wenigen Jahren undenkbar gewesen wäre. Schauen wir uns ein einfaches Beispiel dafür an, wie das funktioniert: die Entwicklung, Prüfung, Herstellung, Lieferung und Installation eines Halbleiters für den Einsatz in einem Elektrofahrzeug (EV). Der Prozess beginnt damit, dass ein Designteam in Kalifornien die Spezifikationen für den Chip an ein Werk in China sendet, das mit der Entwicklung eines Prototyps betraut wird, wahrscheinlich mit einer endlosen Reihe von Aktualisierungen in letzter Minute. Wenn der Prototyp fertig ist, wird er zum Testen an den Autohersteller in Michigan geschickt. Wenn der Prototyp zufriedenstellend ist, werden die Spezifikationen an ein anderes Werk an einem anderen Ort in China geschickt, wo ein anderer Hersteller die seltenen Erden und andere Materialien für den Chip beschafft und einen Produktionsplan aufstellt. Und das ist ein wichtiger Punkt, auf den wir später noch zurückkommen werden: All diese verschiedenen Punkte im Prozess können von unterschiedlichen Unternehmen erledigt werden. Sie müssen nicht Teil derselben Organisationsstruktur sein und auch nicht alle zum selben Unternehmen gehören - und in den meisten Fällen werden sie das auch nicht. In den meisten Fällen werden sie es auch nicht sein. Sie werden jedoch alle Teil der digitalisierten Welt sein und alle Beteiligten dazu zwingen, Prozesse und Interaktionen zu überdenken und dabei digitalisierte Risiken einzubeziehen.
Nehmen wir an, der Herstellungsprozess ist reibungslos verlaufen und die erste Lieferung von Halbleitern ist versandbereit. Digitale Technologien machen es möglich, diese Lieferung bis auf die kleinste Ebene zu verfolgen. Das bedeutet, dass der Hersteller zu jedem Zeitpunkt genau weiß, wo sich ein bestimmter Halbleiter befindet, und zwar nicht nur auf der Welt, sondern auch in welchem Schiffscontainer, in welchem Frachtraum und in welchem Hafen. Warum ist das wichtig? Weil es dem Hersteller ermöglicht, seinen Produktionsplan mit absoluter Präzision zu planen. Der Chip kommt genau zum richtigen Zeitpunkt an, um in das Armaturenbrett des Elektrofahrzeugs eingebaut zu werden. Die Produktion wird nicht verzögert, und der Hersteller hat keine zusätzlichen Kosten und Risiken durch unnötige Vorräte, die gestohlen oder beschädigt werden könnten, während sie in einem Lager liegen. Ermöglicht wird diese Effizienz durch die digitale Vernetzung, die diese "Just-in-Time-Wirtschaft" und die damit verbundene Echtzeitkommunikation und den Informationsaustausch vorantreibt.
Wie schnell sind die Veränderungen, die diese Trends bewirken? Ein hervorragender Indikator für die Geschwindigkeit der Veränderungen ist der Standard and Poor's 500 (S&P 500), einer der ältesten und wichtigsten Börsenindizes in den USA. Im Jahr 1969, also vor nicht viel mehr als einem halben Jahrhundert, machten traditionelle Industrieunternehmen, im Wesentlichen Fertigungsbetriebe, ein Drittel der 500 gelisteten Unternehmen aus. Heute sind nur noch 68 Industrieunternehmen gelistet, gleichauf mit den Unternehmen der Informationstechnologie. Noch atemberaubender ist die Veränderung der Lebensdauer der im S&P gelisteten Unternehmen - der Zeitraum, in dem S&P sie für wichtig genug hält, um einen Maßstab für die Wirtschaft zu setzen. Laut Innosight lag die durchschnittliche Dauer der S&P-Listung eines Unternehmens 1964 bei 33 Jahren, und S&P prognostiziert, dass sie bis 2027 auf nur noch 12 Jahre sinken wird.
Was ist die Erkenntnis daraus? Unternehmen müssen schnell handeln. Schnelles Handeln bedeutet auch, Risiken einzugehen. Ein Teil des Gleichgewichts im Risiko-Ertrags-Dialog besteht darin, ein Gleichgewicht zwischen verschiedenen Risiken zu halten. In diesem Fall kann das Cyber-Risiko auf Kosten der Effizienz und der Finanzierung anderer Projekte gehen, aber auch auf Kosten des Verlusts von Boden gegenüber Konkurrenten, die vielleicht bereit oder in der Lage sind, mehr Risiken einzugehen. Ein gutes Cyber-Risikomanagementprogramm, das zeitnahe und verlässliche Risikoinformationen liefert, sollte es Unternehmen ermöglichen, schneller zu handeln, da sie wissen, was auf sie zukommt. Sie werden Risiken schneller erkennen und sich der Latenz ihrer Bremsen bewusst sein, wenn sie sie einsetzen müssen. Das ist ein klarer strategischer Vorteil in diesem digitalisierten Umfeld.
Die radikalen Veränderungen, die durch die vierte industrielle Revolution hervorgerufen werden - neue Technologien und neue Geschäftsmodelle werden geboren und alte sterben - sind das jüngste und extremste Beispiel für den Prozess, den der österreichische Ökonom Joseph Schumpeter "schöpferische Zerstörung" nannte. Und die Weltwirtschaft hat noch nie eine intensivere Periode der schöpferischen Zerstörung erlebt als die, die sie gerade durchläuft und die fast ausschließlich durch die digitale Transformation angetrieben wird. Digitale Technologien eröffnen innovativen, zukunftsorientierten Unternehmen kreative Möglichkeiten, während sie gleichzeitig Unternehmen, denen die Innovation fehlgeschlagen ist oder die nicht schnell genug innoviert haben, buchstäblich vernichten. Das Wichtigste für die Sicherheitsentscheider, die dieses Buch lesen, ist, dass die digitalen Technologien die Unternehmen, ihren Betrieb und ihre Prozesse anfälliger gemacht haben als je zuvor. Diese Anfälligkeit und Fragilität wurde durch ein Ereignis schmerzlich deutlich, das seit Menschengedenken buchstäblich beispiellos war und auf das wir später in diesem Kapitel näher eingehen werden: die COVID-19-Pandemie.
Das Eindringen digitaler Technologien in unser berufliches und privates Leben ist mittlerweile so umfassend, dass die meisten von uns es als selbstverständlich ansehen. Und das bedeutet allzu oft, dass wir nicht erkennen, welche radikalen Veränderungen sie mit sich bringt, welche dramatischen Auswirkungen sie auf unser Berufsleben hat und vor allem, wie abhängig wir von all diesen Technologien sind. Ohne diese Erkenntnis können wir uns nicht angemessen vor den ständig wachsenden Risiken der Digitalisierung schützen oder sie überhaupt erkennen. Dies gilt natürlich nicht nur für Unternehmen, sondern auch für Dritte .
In einer durch digitale Technologien veränderten Welt muss sich das Sicherheitsrisikomanagement drastisch verändern, um mit den ständigen digital getriebenen Veränderungen in der Unternehmensumgebung Schritt zu halten.
Cybersicherheit ist im Wesentlichen eine Risikopraxis
In dieser komplexen, sich schnell verändernden und eng vernetzten Welt gibt es kein risikofreies Umfeld. Seit den Anfängen der Zivilisation sind Schiffe gesunken, Ernten fehlgeschlagen, Karawanen auf der Seidenstraße, die Europa und Asien verband - ein frühes Beispiel für das, was wir heute Lieferkette nennen - wurden von Banditen überfallen. Unternehmen mussten schon immer Risiken eingehen, um sich anzupassen, zu innovieren, zu konkurrieren und zu überleben. Jeder Aspekt der Wirtschaft ist auf die eine oder andere Weise mit Risikomanagement verbunden. (Auch das war schon immer so. Schon vor mehr als dreitausend Jahren versicherten die Kaufleute im alten Ägypten ihre Waren.) Hier ein aktuelleres Beispiel: Die Budgetentscheidungen des Finanzchefs von sind ein Prozess des Risikomanagements, da er entscheidet, wie er die Ressourcen für Produktion, Forschung und Entwicklung, Marketing, Aktienrückkäufe und natürlich Sicherheit aufteilt. Jeder Dollar, Euro, Rupie oder Yen, der einem Bereich zugewiesen wird, muss einem anderen Bereich entzogen werden, und der CFO muss auf einem schmalen Grat zwischen Kosten auf der einen Seite und Risiken auf der anderen Seite wandern.
Eine risikofreie Umgebung gibt es nicht. Die Aufgabe eines Cybersecurity-Risikomanagementprogramms ist es, den Entscheidungsträgern in Unternehmen zu helfen, die Risiken zu verstehen, denen sie ausgesetzt sind, und sie durch einen risikobasierten Entscheidungsprozess zu führen.
Das gilt für den Sicherheitsexperten genauso wie für den CFO. Unabhängig von ihrer Rolle und ihrer Position im Unternehmen sollten Sicherheitsexperten nicht versuchen, alle Risiken zu eliminieren - nicht nur, weil das nicht möglich ist, sondern auch, weil es eine unkonstruktive Verschwendung ihrer wertvollen Zeit und Ressourcen ist. (Das ist ein Konzept, das die meisten Menschen intuitiv verstehen, weil wir alle in unserem täglichen Leben ständig risikobasierte Entscheidungen treffen. Ein einfaches Beispiel: Jemand, der zu spät zu einem Geschäftstreffen kommt, muss vielleicht das Risiko eines Strafzettels gegen die Belohnung eines neuen Kunden abwägen.) Stattdessen sollten sie mit den wichtigsten Interessenvertretern des Unternehmens zusammenarbeiten, um das richtige Gleichgewicht zwischen Risiko und Belohnung zu finden, akzeptable Risikoniveaus festzulegen und geeignete Sicherheits- und Risikomanagementmaßnahmen zu entwickeln.
Ein Sicherheitsexperte ist per Definition ein Risikomanagement-Experte.
Sicherheitsfachleute haben natürlich schon immer Risikomanagement betrieben. Aber sie neigen dazu, das Risikomanagement auf einer Ad-hoc-Basis anzugehen und sich mit Risiken, Bedrohungen und Schwachstellen zu befassen, wenn sie auftauchen und erkannt werden. Das ist ganz natürlich, denn Risiken waren schon immer schwer vorherzusehen und darauf vorzubereiten, aber in einer Welt, die durch die Digitalisierung auf den Kopf gestellt wurde, ist das kein angemessener Ansatz mehr. Viele Sicherheitsexperten haben das bereits erkannt und arbeiten daran, ihre Praktiken zu verbessern, aber es bleibt noch eine Menge zu tun. Wir glauben, dass Sicherheit und Risikomanagement als professionelle Disziplinen deutlich reifen müssen und dass eine Sicherheitsorganisation dies nur erreichen kann, wenn sie ein formalisiertes Risikomanagementprogramm einführt.
Die Sicherheit muss sich weiterentwickeln, um der notwendigen Geschwindigkeit der aufkommenden Risiken und den sich ändernden Unternehmensanforderungen gerecht zu werden - und das kann nur durch ein umfassendes Cyber-Risikomanagementprogramm erreicht werden.
Dies bedeutet eine Reihe grundlegender Veränderungen in der Art und Weise, wie Sicherheit funktioniert, und es steht außer Frage, dass die Bewältigung dieser Veränderungen für viele Sicherheitsexperten eine Herausforderung darstellen wird. Veränderungen sind immer schwierig, und so radikale Veränderungen, wie sie die digitale Transformation mit sich bringt, sind mit Sicherheit besonders schwierig. Es ist wichtig, dass die Sicherheitsexperten, die dieses Buch lesen, erkennen, dass neue risikobasierte Sicherheitsansätze, die durch die digitale Transformation angetrieben werden, nicht nur Herausforderungen mit sich bringen. Sie bedeuten auch neue Chancen für berufliches und persönliches Engagement und Entwicklung.
Sicherheitsexperten, die ihre Aufgabe darin sehen, mit den wichtigsten Stakeholdern zusammenzuarbeiten, um das richtige Gleichgewicht zwischen Risiko und Nutzen zu finden und zu erreichen, tragen nicht nur dazu bei, das Unternehmen besser zu schützen - auch wenn sie das definitiv tun werden. Sie tragen auch dazu bei, dass diese Stakeholder sie als Gleichgesinnte und strategische Entscheidungsträger sehen und nicht nur als technisches Personal, das Antivirensoftware installiert oder VPNs implementiert. Kurz gesagt bedeutet das, dass die Sicherheitsbehörden einen Platz am Tisch haben sollten, an dem die wichtigen Entscheidungen getroffen werden. Aber der Weg dorthin wird nicht unbedingt einfach sein. Sicherheitsexperten müssen ihre bereits umfangreichen technologischen Fähigkeiten ausbauen und erweitern. Sie müssen wahrscheinlich auch Fähigkeiten in Bereichen entwickeln, die bisher nicht als "Sicherheit" oder "Technologie" galten - zum Beispiel müssen sie lernen, mit Führungskräften in einer Sprache zu kommunizieren, die sie verstehen und die sie verstehen können. Dazu müssen sie ein umfassenderes, differenzierteres Verständnis für die Veränderungen entwickeln, die die Welt, das Unternehmen und die ausgereifte Disziplin des Risikomanagements umgestalten.
Cyber-Risikomanagement - Aufsicht und Rechenschaftspflicht
Das, was sich verändert, ist nicht die Technologie - es ist die Technologie, die dich verändert.
Jeanne W. Ross, MIT Sloan Center for Information Systems Research
In der heutigen Zeit der Unbeständigkeit gibt es keinen anderen Weg, als sich neu zu erfinden. Der einzige nachhaltige Vorteil, den du gegenüber anderen haben kannst, ist Agilität, das ist alles. Denn nichts anderes ist nachhaltig. Alles, was du erschaffst, wird von jemand anderem kopiert.
Jeff Bezos, "Digitale Transformation und ein agiles Unternehmen werden"
Die Praxis und hat die Aufmerksamkeit von Aufsichtsbehörden und Gerichten auf das Management dieser Risiken gelenkt.
Ein neues Regelwerk der SEC ( ) verlangt zum Beispiel, dass börsennotierte Unternehmen innerhalb eines bestimmten Zeitraums über wesentliche Cybersicherheitsvorfälle berichten und über ihre Cybersicherheits-Governance, ihr Risikomanagement und ihre Strategien berichten. Die digitale Transformation macht jedes "bösartige" Ereignis zu einem Cyber-Ereignis, d.h. Cyber ist ein zentraler Aspekt der Unternehmenssicherheit und der Entscheidungsfindung für unternehmensweite Geschäftsrisiken. Auch die Aufsichtsbehörden der Branche konzentrieren sich zunehmend auf das Cyber-Risikomanagement und die Überwachung ihrer Programme.
Wie wir in Kapitel 2 ausführlich erörtern werden, haben sich die Gerichte auch auf die Frage konzentriert, wer die Verantwortung für die Bemühungen der Unternehmen zum Management dieser Risiken trägt - nicht unbedingt die täglichen Entscheidungen, sondern die eigentlichen Risikoprogramme. Vorstände und Unternehmensverantwortliche, einschließlich des CISO, sehen sich mit einer neuen Verantwortung konfrontiert, die sie zusätzlich zu ihrer erwarteten taktischen Verantwortung wahrnehmen müssen: Cyber-Risikomanagement.
Die Frage nach dem "Warum jetzt?" wird auch durch diese Aufsichtspflichten bestimmt. Ein Cyber-Risikomanagementprogramm kann dabei helfen, ein vertretbares Programm zu erstellen, das auf bestehenden Standards, früherer Rechtsprechung und Richtlinien von Bildungsanbietern für Aufsichtsräte basiert, insbesondere der National Association of Corporate (NACD) und dem WEF.
Digitale Transformation und Reifung des Cyber Risk Management Programms
In den letzten Jahren haben wir eine erstaunliche Zunahme von Cyberangriffen erlebt - in Umfang, Schwere und Raffinesse. Dafür gibt es viele Gründe, von denen hier einige aufgelistet sind: ein dramatischer Anstieg der Fernarbeit, eine erhöhte Gefährdung durch die Verwendung von Geräten, die den Mitarbeitern gehören, und eine wachsende Abhängigkeit von dem IoT. Und die Auswirkungen sind bereits spürbar. Eine im November 2021 veröffentlichte Studie ergab, dass 81 % der Unternehmen weltweit von zunehmenden Cyberbedrohungen betroffen waren und aufgrund von Cybersecurity-Risiken Ausfallzeiten hinnehmen mussten (McAfee Enterprise und FireEye). Und die weltweiten Einnahmen aus Cyberkriminalität werden für 2022 auf schwindelerregende 8,4 Billionen Dollar geschätzt .
Die immer schnellere Entwicklung neuer Technologien stellt die Unternehmen vor eine ebenso schnell wechselnde Reihe von Risiken. Das zeigt deutlich, dass Cybersicherheit als Funktion und Disziplin weit über den Schutz von Systemen und Daten hinausgeht und nicht mehr nur das Problem der Sicherheitsorganisation ist.
Cybersicherheit ist nicht nur ein "Sicherheits"-Problem
Cybersicherheit ist zwar ein wichtiger Schwerpunkt für Sicherheitsexperten in Unternehmen, hat aber Auswirkungen auf eine enorme Bandbreite von Unternehmensrollen und -funktionen, da sich Cyberrisiken auf all diese Funktionen auswirken. Deshalb hoffen wir, dass dieses Buch nicht nur von Sicherheitsexperten gelesen wird, sondern auch von vielen anderen Entscheidungsträgern in Unternehmen beeinflusst wird. Werfen wir einen Blick auf einige dieser Personen und sprechen wir darüber, warum sie Maßnahmen ergreifen müssen, um die Probleme der Cybersicherheit anzugehen (siehe Tabelle 1-1).
| Position | Risikorelevante Rollen und Verantwortlichkeiten | Vorteile des Cyber Risk Management Programms |
|---|---|---|
| Direktor (Vorstandsmitglied) | Überwacht die Unternehmenspraktiken und stellt die Unabhängigkeit sicher. | Ein vertretbares System zur Ausübung der Aufsichtspflicht über das Cyber-Risikomanagement mit einem Verständnis der geschäftskritischen Risiken. |
| Corporate Officer (CxO) | Beaufsichtigt und informiert den Vorstand über kritische Risiken, die für das Unternehmen von Bedeutung sein können. Er überprüft und genehmigt die empfohlenen Pläne zur Risikominderung. | Er ist mit den verfügbaren Daten und Erkenntnissen über die Risiken informiert, um die Relevanz und Wettbewerbsfähigkeit auf dem Markt zu erhalten, und gibt dem gesamten Unternehmen strategische Leitlinien für die ordnungsgemäße Ausführung bis zu einer bestimmten Toleranz vor. |
| Leiter der Geschäftseinheit | Verschafft Einblick in die Risiken der einzelnen Geschäftsbereiche und Unternehmensfunktionen. | Ermöglicht den Zugang zu Risikoinformationen, die für die Entscheidungsfindung der Geschäftseinheit relevant sind. |
| Beauftragter für Informationssicherheit | Ermöglicht es, das Risikoumfeld zu überwachen, das Unternehmen bei der Festlegung akzeptabler Risikoniveaus anzuleiten und die Ausrichtung an festgelegten Strategien zur Risikominderung sicherzustellen. | Bietet ein laufendes Budget-Business-Case mit Ausrichtung auf die Risikobereitschaft des Unternehmens. |
| Compliance- oder Risikomanager | Bietet die Identifizierung von Risiken und Empfehlungen zur Risikominderung an vorderster Front. | Er fungiert als etablierter Kanal für die Eskalation und die Sichtbarkeit des Unternehmens. |
| Allgemeiner Rechtsbeistand/Rechtliches | Steuert die rechtliche Strategie und den Ansatz der Organisation in Bezug auf die Cybersicherheit (Überprüfung der rechtlichen Anforderungen, Management der rechtlichen Risiken im Zusammenhang mit der Cybersicherheit und Beaufsichtigung der Reaktion der Organisation auf Cybersecurity-Vorfälle aus rechtlicher Sicht). | Das Rechtsteam erhält ein klares Verständnis der Cyber-Risikolage des Unternehmens, so dass es proaktiv informiert wird und potenzielle rechtliche Probleme angehen kann. Dank dieser Klarheit können sie genauere und fundiertere Rechtsberatung leisten. |
| Cyber-Funktionsinhaber oder Praktiker | Stellt Risikoinformationen aus ihren spezifischen Sicherheitsrisikobereichen zur Verfügung, die aggregiert werden können. Führt die vereinbarte Strategie zur Risikominderung aus und verfolgt die Leistung im Vergleich dazu. |
Bringt die organisatorischen Ziele mit den täglichen taktischen Abläufen in Einklang (was der Rolle mehr Sinn verleiht). |
| Wirtschaftsprüfer | Prüft unabhängig den Aufbau und die Funktionsweise des Cyber-Risikomanagementprogramms. | Klar definiertes Programm mit einem Design, das bewertet werden kann. |
Cybersecurity ist auch ein breiteres Anliegen, das ganze Unternehmen, Branchen, und die Organisationen, die sie vertreten, betrifft. Hier sind einige der kritischsten (siehe Tabelle 1-2).
| Sektora | Anschauliche Beispiele für die Einführung von Technologien | Beispiele dafür, was auf dem Spiel steht |
|---|---|---|
| Energieerzeugung und -verteilung | IT- und Betriebstechnologien (OT) werden mit dem Internet verbunden, um die Produktivität und betriebliche Effizienz zu verbessern. | Alles. Alle anderen Sektoren hängen von einer stabilen Energieversorgung ab. Ohne sie kann die Wirtschaft nicht funktionieren und die Gesundheit und das Wohlergehen der Menschen sind gefährdet. |
| Finanzdienstleistungen | Digitale Technologien wie Blockchain, Robotik und künstliche Intelligenz (KI) / maschinelles Lernen (ML) rationalisieren das Finanzsystem, um einen besseren Service zu bieten. | Die Gesellschaft kann ohne das allgemeine Vertrauen in die Kapitalmärkte und die Fähigkeit, Geldwerte zu speichern und zu übertragen, nicht funktionieren. |
| Transport und Logistikb | Kommunikationstechnologien der nächsten Generation, wie z.B. vernetzte Fahrzeuge, die in Echtzeit Informationen mit Fahrzeugen und der Infrastruktur in der Nähe austauschen, sollen das Reisen sicherer, effizienter und weniger umweltschädlich machen. | Ein unbefugter Zugriff auf die Fahrzeugsysteme könnte zum Verlust der persönlichen Daten des Fahrers führen oder die Fahrzeugfunktionen manipulieren und Unfälle oder Todesfälle verursachen. |
| Industriell | Digitale Lösungen wie Automatisierung, künstliche Intelligenz (KI), 3D-Fertigung (additive Fertigung) und andere Technologien sorgen für mehr Effizienz, Skalierbarkeit und kürzere Markteinführungszeiten. | Rechtliche, sicherheitstechnische und ökologische Verantwortung für diese Technologien entwickeln sich weiter, und Internet-Hacker haben leichteren Zugang zu Produktionsplänen als je zuvor, was die Angriffsfläche und das Schadenspotenzial erhöht. |
| Gesundheitswesen | Kognitive Systeme, die Erkenntnisse über vernetzte Umgebungen, tragbare Sensoren und robotergestützte chirurgische Prozesse generieren, bringen eine ehemals dezentralisierte Branche voran und zentralisieren sie, um die Versorgung zu verbessern und die Kosten zu kontrollieren. | Die Verletzung geschützter Gesundheitsdaten und sogar die Unterbrechung wichtiger Gesundheitsdienste durch gezielte Angriffe fortschrittlicher Angreifer (z. B. Cyberkriminelle, die Ransomware einsetzen). |
| Bildung | Wissen und Informationen können sofort geteilt und in großem Umfang zur Verfügung gestellt werden, so dass Bildungseinrichtungen größere Bevölkerungsgruppen erreichen können. | Erhöhtes Risiko oder fehlender Schutz der Privatsphäre zusammen mit Fehlinformationen, die sich schneller verbreiten und konsumiert werden. |
| Öffentlicher Sektor | Schnelle Datenerfassung und -analyse, stärkere Beteiligung der Bürgerinnen und Bürger und Bereitstellung besserer Dienstleistungen. | Die Gesamtkomplexität der Bedrohungslandschaft als Folge des technologischen Fortschritts wird die Regierungen auf der ganzen Welt auf die Probe stellen, da es zunehmend an Fähigkeiten und Kapazitäten fehlt, um die Herausforderungen effektiv anzugehen. |
| Kommunikation | 5G, KI/ML, IoT und die daraus resultierenden datengesteuerten Erkenntnisse verändern das Kundenerlebnis und steigern die Erwartungen an Dienstleistungen (einschließlich Geschwindigkeit, Konnektivität und Ausfallsicherheit). | Die Ermöglichung von Milliarden von vernetzten Geräten hat die Angriffsfläche vergrößert und macht größere und gefährlichere Angriffe möglich. |
| Chemisch | Eine immer komplexere globale Lieferkette ermöglicht die Umwandlung von weltweit bezogenen Rohstoffen in mehr als 70.000 verschiedene Produkte, die für das moderne Leben unerlässlich sind. | Chemikalien müssen gegen eine wachsende Anzahl von Bedrohungen geschützt werden, weil sie potenziell gefährlich sind und weil andere kritische Infrastrukturen auf sie angewiesen sind. |
a "Critical Infrastructure Sectors", CISA, Zugriff am 10. Oktober 2023. b "How the U.S. Department of Transportation Is Protecting the Connected Transportation System from Cyber Threats", US Department of Transportation, abgerufen am 10. Oktober 2023. | ||
Cyber Risk Management Programm: Ein dringendes Unternehmensproblem
Der Zweck eines Programms zum Management von Sicherheitsrisiken besteht darin, das Unternehmen, seine Führungskräfte (auf höchster Ebene) und andere wichtige Interessengruppen bei der Entscheidungsfindung in Bezug auf Sicherheitsrisiken zu unterstützen. Die Sicherheitsabteilung trifft die Entscheidungen nicht, aber sie bringt ihr Fachwissen und ihre Erfahrung ein. Das Ergebnis sind im Idealfall risikobasierte Entscheidungen, bei denen Risiko und Nutzen sorgfältig abgewogen werden.
Ein Sicherheitsprogramm für Unternehmen ist eine wesentliche Voraussetzung für den Erfolg in der digitalen Welt.
Das gesamte Unternehmen - die Sicherheitsorganisation, die Geschäftsbereiche und die einzelnen Mitarbeiter - muss sich an der kontinuierlichen Weiterentwicklung des Programms für Sicherheitsrisiken beteiligen. Warum? Weil die Bemühungen strategisch und nicht taktisch sein müssen. Das ist nicht nur für den Erfolg des Programms wichtig, sondern auch für die berufliche und persönliche Entwicklung der beteiligten Sicherheitsexperten. Jeder will einen Platz am Tisch haben, jeder will an wichtigen Entscheidungen beteiligt sein. Führungskräfte setzen strategische Leute an den Tisch; Personen, die als taktisch orientiert gelten, bekommen diesen Platz selten angeboten.
Diese Wahrnehmung - dass Sicherheit im Wesentlichen eine taktische Funktion oder, schlimmer noch, nur eine Kostenstelle ist - ist eines der größten Probleme, mit denen die Disziplin konfrontiert ist. Es wird nicht einfach sein, diese Wahrnehmung zu überwinden, und es wird Zeit brauchen, aber es kann und muss getan werden. Der Schlüssel liegt darin, strategisches Risikomanagement programmatisch zu praktizieren und dies auch zu zeigen, und zwar kontinuierlich.
Wir haben ein Rahmenwerk für die Einrichtung eines Cyber-Risikomanagementprogramms (CRMP) entwickelt, das die Kernelemente weltweit etablierter und anerkannter Risikostandards, etablierter Vorschriften und Urteile aus der Rechtsprechung berücksichtigt, die Führungskräfte und Vorstände für die Überwachung von Risiken zur Rechenschaft ziehen . Das Rahmenwerk identifiziert vier Kernkomponenten und unterstützende Prinzipien, die Sicherheits- oder Risikopraktikern, Prüfern oder Aufsichtsbehörden dabei helfen, herauszufinden, was ein CRMP ist und welche Komponenten für die Übernahme in Betracht gezogen werden sollten. Die Anwendung ist anpassungsfähig und flexibel für alle Größen und Reifegrade von Organisationen. Jedes Programm braucht eine gewisse Struktur, um Stabilität und Konsistenz zu gewährleisten. Wir haben bei unseren Recherchen festgestellt, dass alle Risikomanagementprogramme in ihrem Ansatz einheitlich sind. Sie verwenden unterschiedliche Begriffe und Prozesse, um sie zu beschreiben, aber die Grundlagen sind, nun ja, grundlegend für das Programm.
Ein CRMP besteht aus vier wesentlichen Komponenten, die durch internationale Normungsgremien, Gerichtsentscheidungen, gesetzliche Rahmenbedingungen und anerkannte Grundsätze auf Vorstandsebene definiert sind:
Innerhalb des Rahmens findest du die Grundsätze und eine Reihe von informativen Referenzen, die jeden Bestandteil und Grundsatz unterstützen.
Der Fahrplan für dieses Buch
In diesem Buch werden wir vor allem darüber sprechen, wie man ein Cyber-Risikomanagementprogramm definiert und entwickelt und welchen Wert es hat. In Kapitel 2 legen wir fest, was genau das Programm ausmacht. In den Kapiteln 3-6 werden wir die vier Kernkomponenten und die Leitprinzipien definieren und im Detail behandeln. In Kapitel 7 geben wir Hinweise zur Umsetzung eines Programms, das einen angemessenen Ausgangspunkt hat und auf den Reifegrad, das Betriebsumfeld und die branchenspezifischen Anforderungen des Unternehmens abgestimmt ist. In Kapitel 8 gehen wir darauf ein, wie ein Programm zur Widerstandsfähigkeit des Unternehmens beitragen kann, indem es mit anderen betrieblichen Risikopraktiken koordiniert wird (z. B. physische Sicherheit, Sicherheit der Lieferkette und von Dritten, Business Continuity Management und Disaster Recovery), um eine ganzheitliche Risikoposition des Unternehmens zu entwickeln. Zum Abschluss werfen wir in Kapitel 9 einen Blick auf aufkommende Technologien und darauf, wie Risikomanagement auch in Zukunft führend sein wird; außerdem gehen wir etwas näher auf KI ein. Nicht alle Beispiele in diesem Buch beziehen sich auf den reinen Cyberspace; einige Beispiele sind für das Risikomanagement in jeder Form sehr relevant.
Die Quintessenz
In diesem ersten Kapitel haben wir die radikalen Veränderungen erörtert - transformativ, disruptiv, aufregend und herausfordernd zugleich -, die das Risikoumfeld von Unternehmen neu gestalten. Im nächsten Kapitel werden wir näher darauf eingehen, warum Unternehmen ein formelles, systematisches Cyber-Risikomanagementprogramm einführen müssen - und in vielen Fällen sogar gesetzlich dazu verpflichtet sind -, das klar definiert und verteidigt werden kann und das in einer durch digitale Technologien völlig veränderten Welt als eigenständige und dringend benötigte strategische Orientierungshilfe dienen kann.
1 Diese deutsche Terminologie spiegelt die Bedeutung des Landes in der verarbeitenden Industrie und anderen Branchen wider.
2 Klaus Schwab, "Die vierte industrielle Revolution: What It Means, How to Respond", Weltwirtschaftsforum, 14. Januar 2016.
Get Aufbau eines Cyber Risk Management Programms now with the O’Reilly learning platform.
O’Reilly members experience books, live events, courses curated by job role, and more from O’Reilly and nearly 200 top publishers.
