Von Jim Wetekamp, CEO bei Riskonnect
Die Zeiten, in denen Chief Information Security Officers im Verborgenen arbeiteten, sind vorbei. Heutige CISOs werden als strategische Geschäftspartner betrachtet. Tatsächlich zeigt eine Studie von Deloitte eine signifikante Zunahme der CISO-Beteiligung an strategischen Gesprächen und dass mehr CISOs nun direkt an den CEO berichten.
Organisationen verlassen sich bei Strategie, Wachstum und Umsatz auf Technologie. Systemverfügbarkeit und Betriebszeit sind nicht verhandelbar, doch der Anstieg digitaler Bedrohungen setzt Unternehmen einem ständigen Risiko von Störungen aus. Vorstände fordern von CISOs und Technologieführern, dass sie dieses wachsende Spektrum an Risiken antizipieren und proaktiv managen, um die kritische Technologie der Organisation zu schützen. Die Rolle des CISO und die Art und Weise, wie diese Führungskräfte Bedrohungen angehen, verändern sich infolgedessen grundlegend.
Neue Generation digitaler Risiken
CISOs sehen sich einer Vielzahl sich entwickelnder digitaler Risiken gegenüber, die es schwieriger denn je machen, die Organisation und ihre Technologie sicher und reibungslos am Laufen zu halten.
Technologieadoption
Achtzig Prozent der Führungskräfte beabsichtigen, die Ausgaben für neue Technologien in diesem Jahr zu erhöhen. Unternehmen setzen strategisch KI-Tools, Automatisierung, Cloud-Technologie und andere fortschrittliche und aufkommende Technologien ein, um die Produktivität zu steigern, Abläufe zu optimieren, die Entscheidungsfindung zu verbessern, Kundenerlebnisse zu verbessern und letztendlich einen Wettbewerbsvorteil zu behalten.
Jedes neue Technologieelement, das die Organisation einführt, setzt das Unternehmen jedoch Risiken aus. Während diese neuen Tools viele Vorteile bieten, erweitern sie auch die Angriffsfläche und schaffen Schwachstellen. Neue Tools können auch die Gesamtsystemleistung reduzieren und während der Implementierung zu potenziellen Ausfallzeiten führen, wenn sie nicht nahtlos in bestehende Systeme integriert werden.
Fortgeschrittene Cybersicherheitsbedrohungen
Cyberrisiken übertreffen nun wirtschaftliche und Talentrisiken als Hauptsorge für Organisationen. Laut Riskonnects Bericht zur neuen Generation von Risiken sagen 72% der Führungskräfte, dass Cyberbedrohungen ihre Organisation erheblich beeinflussen. Vierundzwanzig Prozent der Führungskräfte nennen speziell KI-gestützte Angriffe – wie Ransomware, Phishing und Deepfakes – als ihr größtes Geschäftsrisiko für die nächsten 12 Monate. Trotz dieser wachsenden Bedrohung fehlt 80% der Organisationen eine dedizierte Strategie zur Bewältigung von KI-gesteuerten Betrugsangriffen und anderen Risiken der generativen KI, was Organisationen exponiert lässt.
Cyberkriminalität kostet Unternehmen jährlich etwa 10,5 Billionen Dollar. Die globalen Durchschnittskosten einer Datenpanne werden derzeit auf 4,45 Millionen Dollar geschätzt. Lösegeldforderungen betragen durchschnittlich 2 Millionen Dollar, zuzüglich weiterer 2,75 Millionen Dollar an Bereinigungskosten. Die Folgen von Cyberkriminalität gehen über finanzielle Verluste hinaus. Eine einzige Verletzung oder ein Angriff kann zu Reputationsschäden, regulatorischer Prüfung und betrieblichen Störungen führen, die dauerhafte Auswirkungen haben. Angesichts der geschäftlichen Auswirkungen dieser Risiken ist es nachvollziehbar, warum der Einfluss von CISOs wächst und diese Technologieführer zunehmend als strategische Geschäftspartner angesehen werden.
Mangel an KI-Governance
Die rasche Integration von KI in Geschäftsabläufe schafft große Herausforderungen in Bezug auf Governance und Aufsicht. Nur 8% der Organisationen fühlen sich auf KI- und KI-Governance-Risiken vorbereitet. Lediglich 19% der Organisationen haben ihre gesamte Organisation formell zu Risiken der generativen KI geschult oder informiert.
Interne Bedrohungen sind genauso ernst zu nehmen wie jene, die von außerhalb der vier Wände einer Organisation kommen. Mitarbeiter, Partner, Auftragnehmer und Lieferanten mit Systemzugang können die Sicherheit absichtlich oder unbeabsichtigt gefährden, von versehentlicher Datenoffenlegung durch unsachgemäße Handhabung bis hin zu vorsätzlichem Datendiebstahl und Erpressung. Es besteht auch das Risiko von Systemausfällen, wenn Mitarbeiter KI-Tools falsch einsetzen oder das KI-Modell unbefugte Entscheidungen trifft oder Änderungen vornimmt. Der Druck, schnell Wert aus KI zu generieren, könnte Teams auch dazu verleiten, bei der Sicherheitssteuerung Abkürzungen zu nehmen oder die IT-Funktion gänzlich zu umgehen.
Risiken durch Dritte
Mit der zunehmenden Nutzung von KI-Werkzeugen durch Anbieter wächst das Drittanbieterrisiko exponentiell. Mindestens 15 % der Datenschutzverletzungen betreffen einen Drittanbieter oder Lieferanten, wobei einige Schätzungen sogar von einem Drittel oder mehr ausgehen, und KI verstärkt dieses Risiko weiter. 65 Prozent der Organisationen verfügen über keine Richtlinien zur Regulierung des KI-Einsatzes bei Lieferanten, was zu kritischen Sicherheitslücken führt. Doch KI ist nicht der einzige Faktor. Ein fehlerhaftes Software-Update, wie im Fall des berüchtigten CrowdStrike-Vorfalls, oder ein anderes Ereignis bei einem Anbieterpartner könnte Ihre kritischen Geschäftsabläufe zum Erliegen bringen, wenn Sie keinen umfassenden Ansatz für das digitale Risikomanagement implementiert haben.
Wie sich die Rolle des CISO entwickelt
Früher konzentrierten sich CISOs ausschließlich auf den Schutz der Unternehmensinformationen. Der Schwerpunkt lag auf der Implementierung von Sicherheitsmaßnahmen wie Firewalls, Intrusion-Detection-Systemen und Datenverschlüsselung zur Abwehr potenzieller Bedrohungen. Angesichts der wachsenden Abhängigkeit von der Systemverfügbarkeit und der Vielfalt sowie Schwere der digitalen Bedrohungen für die Systeme von Organisationen ist das IT-Risiko heute ein zentrales Geschäftsrisiko – und die Erwartungen an die Rolle des CISO sind entsprechend gestiegen.
CISOs benötigen ein tiefgreifendes Verständnis der Exposition und Widerstandsfähigkeit der Organisation in Bezug auf die gesamte Bandbreite digitaler Risiken – nicht nur Datenschutzverletzungen und Informationssicherheitsprobleme. Von ihnen wird erwartet, dass sie:
- Die kritische Technologie und die Zukunftsaspirationen der Organisation vor Cyberbedrohungen schützen.
- Eine umfassende Strategie zur Bewältigung von Cybersicherheit, IT-Risiken, Resilienz, Geschäftskontinuität, Compliance, KI, Drittanbieterrisiken und mehr entwickeln und implementieren.
- Digitale Resilienz vorantreiben und dem Unternehmen helfen, sich schnell von auftretenden Ereignissen zu erholen.
- Dem Vorstand Einblicke in die Wirksamkeit von Prozessen und Kontrollen gewähren.
- Notwendige Änderungen in IT-, Cyber- und KI-Praktiken identifizieren, um das Unternehmen zu schützen.
- Technische Informationen so vermitteln, dass andere Führungskräfte und Endnutzer in der gesamten Organisation sie verstehen.
Die Rolle des CISO wandelt sich. Und damit auch die Art und Weise, wie diese Technologieführer an das Management digitaler Risiken herangehen, die das Unternehmen augenblicklich lahmlegen könnten.
Drei Wege zur Maximierung der CISO-Wirkung
Es gibt drei Schritte, die CISOs in Betracht ziehen sollten, um den wachsenden Erwartungen gerecht zu werden und die Verantwortung für ihre erweiterten Aufgaben zum Schutz wertvoller Technologien sowie der Zukunftsaspirationen und Lebensfähigkeit der Organisation zu übernehmen.
1. Verlagern Sie Ihre Denkweise über die „Erkennung“ hinaus.
Intrusion-Detection-Systeme, Security Information and Event Management-Systeme, Schwachstellen-Scanner und andere Werkzeuge haben sicherlich nach wie vor ihren Platz. Aber sie sind nicht das Nonplusultra. Selbst die fortschrittlichsten Cybersicherheitsmaßnahmen können Ihr Risiko nicht vollständig eliminieren. Mit den wachsenden und sich entwickelnden Erwartungen an CISOs müssen sich auch die Ansätze zum Risikomanagement parallel dazu transformieren.
Die heutigen digitalen Risiken gehen weit über Malware und Datenschutzverletzungen hinaus und umfassen regulatorische Herausforderungen, Schwachstellen bei Drittanbietern und betriebliche Störungen. CISOs benötigen einen proaktiven und ganzheitlichen Ansatz zur Prävention, Bewältigung und Wiederherstellung im Hinblick auf das gesamte Spektrum digitaler Risiken. Eine Fokussierung allein auf die Erkennung von Schwachstellen, Angriffen und Fehlfunktionen übersieht kritische Risikoquellen und lässt Organisationen exponiert.
2. Konzentrieren Sie sich auf eine einheitliche Strategie für das Technologierisikomanagement.
Die Zeiten, in denen Risiken komponentenweise inventarisiert, Anomalien identifiziert und Schwachstellen gepatcht wurden, sind vorbei. Die heutige Angriffsfläche und das Risikospektrum sind einfach zu groß. Es gibt zu viele Assets, Systeme, Geschäftsdienste, Benutzer, Teams, Kontrollen, Server, Geräte und Vorschriften, die es zu verwalten gilt. Risiken sind zudem miteinander verbunden und können sich über das gesamte Unternehmen erstrecken. Der einzige Weg, um all dies im Griff zu behalten, ist ein proaktiver, umfassender und strukturierter Ansatz, der mehrere Interessengruppen und Abteilungen koordiniert.
Führende CISOs erkennen das enorme Ausmaß digitaler Risiken, die dem Unternehmen schaden könnten. Das Management von Technologierisiken bedeutet nicht nur, Einblicke in IT-Risiken und -Kontrollen zu gewinnen, sondern auch in Drittanbieterrisiken, Compliance, Geschäftskontinuität, Resilienz, Datenschutz und mehr.
Der Fokus hat sich nun vom IT-Risikomanagement zum Technologierisikomanagement verlagert. Technologierisikomanagement identifiziert, antizipiert und adressiert die breiteren Risiken von Technologieausfällen, um einen reibungslosen und ununterbrochenen Betrieb zu gewährleisten. Es bringt verschiedene Risikobereiche sowie die Strategien, Prozesse, Systeme, Finanzen und Mitarbeiter zusammen, um Risiken in der gesamten Organisation zu managen, einschließlich Cyberangriffe, Ransomware-Forderungen, Datenschutzverletzungen, Serviceausfälle, Geräteausfälle, menschliche Fehler und mehr.
Eine einheitliche Strategie erfordert auch eine enge Zusammenarbeit mit der Führungsebene, IT-Teams, Geschäftsbereichen und externen Partnern, um eine Kultur der Resilienz und geteilten Verantwortung zu fördern.
3. Gewinnen Sie einen ganzheitlichen Überblick über digitale Risiken.
CISOs müssen wissen, wo die digitalen Risiken des Unternehmens liegen, was sie bedeuten, wie sie mit der Unternehmensstrategie zusammenhängen und wie damit umzugehen ist. Beginnen Sie damit, die technologischen Ressourcen und Partner des Unternehmens zu identifizieren. Erstellen Sie ein Inventar aller Netzwerke, Geräte, Infrastrukturen, Software, Daten, Prozesse und Personen. Dazu gehören Entwickler, Anwender, technisches Personal und andere, die die Technologie betreiben.
Bewerten Sie anschließend die Risiken. Evaluieren Sie die digitale Infrastruktur, Systeme, Prozesse, Schwachstellen und bestehenden Kontrollen des Unternehmens. Ermitteln Sie die Wahrscheinlichkeit und potenzielle Auswirkung dieser Risiken aus internen und externen Quellen.
Einige Risiken sind es wert, vollständig vermieden zu werden, da der potenzielle Schaden nicht gerechtfertigt wäre. Andere könnten es wert sein, akzeptiert zu werden, wie beispielsweise Risiken, die mit neuen Technologien einhergehen. Es könnte auch Risiken geben, bei denen es am sinnvollsten ist, die Verantwortung auf eine andere Partei zu übertragen, üblicherweise durch Versicherungen oder Outsourcing. Bewerten Sie diese Risiken und Reaktionspläne regelmäßig neu und passen Sie die Pläne bei Bedarf an. Bleiben Sie diesen und anderen neu auftretenden Risiken voraus, indem Sie kontinuierlich die digitale Bedrohungslandschaft überwachen und für verschiedene Szenarien planen.
Ein Fokus auf CISOs
Es ist eine spannende Zeit für CISOs. Die digitale Transformation beschleunigt sich branchenübergreifend, und ihre Rolle erweitert sich rapide, um die wachsenden Herausforderungen des Geschäftsbetriebs im digitalen Zeitalter zu bewältigen. CISOs halten den Schlüssel dazu in der Hand, sicherzustellen, dass das Unternehmen neue Technologien selbstbewusst einsetzen kann, ohne dabei Sicherheit oder Stabilität zu kompromittieren.
Über den Autor
Jim Wetekamp ist der CEO von Riskonnect, einem führenden Anbieter von integrierter Risikomanagement-Software. Er ist ein anerkannter Experte für versicherbare Risiken, Unternehmensrisiken und Resilienz.
