Im Compliance-Dschungel den Überblick behalten
NIS-2, DORA, C5-Testat: Wenn IT- und Security-Verantwortliche Compliance gewährleisten wollen, stehen sie vor einem komplexen Geflecht aus nationalen und internationalen Regelwerken. Was noch erschwerend hinzu kommt: Die Kommunikationsprozesse in deutschen Unternehmen sind oftmals gehemmt.
Advertorial
So reden IT-Sicherheitsverantwortliche und die Chefetage entweder aneinander vorbei oder nehmen sich nicht richtig ernst. Dabei ist IT-Security absolut geschäftsentscheidend. Was können Unternehmen tun, um die Kommunikation zu verbessern und angesichts gesetzlicher Vorgaben nicht den Überblick zu verlieren?
Herausforderung: Kommunikation
Eine aktuelle Studie von Trend Micro ergab, dass sich über drei Viertel der IT- und IT-Sicherheitsverantwortlichen/CISOs in deutschen Unternehmen von der Geschäftsleitung unter Druck gesetzt fühlen, die Cyberrisiken im Unternehmen herunterzuspielen. Fast die Hälfte von ihnen glaubt, dass erst ein schwerwiegender Sicherheitsvorfall die Chefetage dazu veranlassen würde, entschlossener gegen Cyberrisiken vorzugehen. Diese Ergebnisse zeigen ein gravierendes Kommunikationsproblem: Offensichtlich schaffen es die Security-Verantwortlichen nicht, der Geschäftsleitung die Bedeutung von Cyberrisiken und die daraus entstehenden Geschäftsrisiken aufzuzeigen. Wie gelingt es also, die Kommunikation zwischen CISO und CEO zu verbessern?
Zahlen, Daten, Fakten
Damit die Geschäftsführung fundierte Risikoeinschätzungen treffen kann, braucht sie konkrete, messbare Zahlen. So berichten fast alle befragten CISOs (99 Prozent), dass sich ihre interne Lage verbesserte, sobald es ihnen gelang, den geschäftlichen Nutzen ihrer Cybersicherheitsstrategie darzustellen: 46 Prozent erhielten daraufhin mehr Budget. 42 Prozent wurden in die Entscheidungsfindung auf höherer Ebene miteinbezogen und 40 Prozent wurde mehr Verantwortung zuteil.
Sobald also konkrete Kennzahlen für den Risikostatus eines Unternehmens geliefert werden, verbessert sich die Kommunikationslage zwischen CISO und CEO erheblich – und damit die Wertschätzung. Ein messbarer Risiko-Score ermöglicht es der Geschäftsleitung, schwierige Entscheidungen zu treffen: zum Beispiel, ob ein potenzielles Risiko ignoriert, überwacht oder mit konkreten Maßnahmen angegangen werden soll. Letztlich sollte die Entscheidung davon abhängen, wie schwerwiegend das Risiko die Geschäftsfähigkeit des Unternehmens beeinflussen könnte.
Zudem ist es für CISOs ratsam, konkrete Erläuterungen zu Prozessen und notwendigen Schutzmechanismen zu geben: Wie profitieren wir von bestimmten digitalen Prozessen, wenn wir diese konsequent absichern? Was wären die potenziellen Folgen, wenn wir dies unterlassen? Eine weitere Basis für gute Kommunikation ist eine klare Definition der jeweiligen Verantwortlichkeiten. Diese erlaubt nicht zuletzt eine schnelle Reaktion im Ernstfall.
Kommunikation auf Grundlage harter Fakten und Kennzahlen und eine klare Arbeitsteilung sind Voraussetzungen dafür, dass Unternehmen in Sachen Cybersecurity, Compliance und Risikomanagement saubere Arbeit leisten. Doch wie kommen IT-Verantwortliche an verlässliche Kennzahlen und messbare Risikoeinschätzungen? Als technische Lösung bietet sich die Schaffung einer „Single Source of Truth“ für die gesamte Angriffsfläche an. Hier kommen Attack Surface Risk Management (ASRM) und Extended Detection and Response (XDR) ins Spiel.
Selbst im Worst Case eine überzeugende Antwort
Eine ganzheitliche Plattform zum Management der kann zur Lösung dieses Kommunikationsproblems beitragen, indem sie konsistente, managementtaugliche Risikoeinblicke liefert. ASRM sammelt interne und externe Security-Daten in einem zentralen Data Lake, analysiert und korreliert sie. Im Executive Dashboard erhalten CISOs alle Informationen zur Risikoexposition, die sie für ein überzeugendes Reporting bei der Geschäftsleitung brauchen. Der Risiko-Score des Unternehmensnetzwerks wird zu diesem Zweck von ASRM automatisiert und KI-gestützt ermittelt.
ASRM und XDR lassen sich zudem über eine einheitliche Cybersecurity-Plattform wie Trend Vision One integrieren. Eine zentrale Stelle ermöglicht dabei die einfache und kosteneffiziente Überwachung und Steuerung der einzelnen Sicherheitssysteme. Um auch den Cyber-Ernstfall vollumfänglich abzudecken, kann die Lösung durch das Dienstleistungskonzept Trend Service One ergänzt werden, welches unter anderem Incident Response im Angriffsfall beinhaltet. Das ist genau das, was Regulierungswerke wie NIS-2 vorschreiben. Die Lösung ist dabei flexibel genug, um Unternehmen je nach Bedarf auch mit Managed Services in verschiedenen Ausprägungen zu unterstützen.
Alle gesetzlichen Neuerungen übersichtlich auf einen Blick
Trend Micro unterstützt Unternehmen aber auch über Technologie und Dienstleistungen hinaus bei der Einhaltung der wichtigsten Regularien: Bereits in der achten Auflage versorgt der Leitfaden Cybersicherheit und IT-Compliance im Unternehmen IT-Verantwortliche und Geschäftsführungen mit juristischen Informationen.
Der Leitfaden wurde jüngst im Zuge von NIS-2 und des auf die Finanzindustrie fokussierten Digital Operational Resilience Act (DORA) überarbeitet. Hinzugekommen sind insbesondere Kapitel zu den Verantwortlichkeiten und Pflichten, welche die neuen EU-Regularien mit sich bringen.
Außerdem werden im Ratgeber Fragen zum datenschutzkonformen Einsatz von Cybersicherheitslösungen und zu den Sicherheitsanforderungen an Cloud-Dienste gemäß dem C5-Katalog beantwortet. So dürfen etwa Bundesbehörden externe Cloud-Dienste nur dann einsetzen, wenn diese nach C5 testiert sind. Ab dem 1. Juli 2024 gilt die C5-Pflicht nach SGB V auch im Gesundheitssektor für solche Cloud-Services, die Patientendaten verarbeiten.
Sie können den Leitfaden auf der Website von Trend Micro herunterladen.
Fazit: Kommunikation verbessern, Überblick behalten
Diese zahlreichen neuen Regularien zu Cybersicherheit und Risikomanagement mögen auf den ersten Blick unübersichtlich wirken. Jedoch handelt sich dabei um durchaus vernünftige Mindeststandards, die von vielen Unternehmen bereits seit Jahren eingehalten werden. Schließlich ist eine gute IT-Security essenziell für die Geschäftstätigkeit einer jeden Institution.
Damit diese auch tatsächlich Compliance-konform umgesetzt wird, braucht es eine funktionierende Kommunikation innerhalb des Unternehmens: Nur wenn CISOs und die Geschäftsführung an einem Strang ziehen, können Risiken korrekt abgeschätzt und im Ernstfall die richtigen Maßnahmen getroffen werden. Eine offene Kommunikationskultur mit eindeutiger Arbeitsteilung, unterstützt von einer Single Source of Truth bildet dementsprechend die Grundlage für ein funktionierendes Cyberrisikomanagement.
Mehr dazu finden Sie hier.
Richard Werner, Security Advisor bei Trend Micro