Mit der rasant steigenden Digitalisierung steigt das Risiko von Cyberattacken. Deshalb ist es wichtig, seine Cyber Resilience systematisch und nachhaltig zu stärken und sich nicht nur auf (ICT-)Sicherheitsmauern zu verlassen.

Täglich gibt es neue Cyberattacken auf Unternehmen. Bedrohlicher als die schiere Menge der Angriffe ist jedoch ihre zunehmende Qualität, Effizienz und Professionalität. Ausserdem dauert es nicht selten Wochen, Monate oder gar Jahre, bis ein erfolgreicher Angriff entdeckt wird. Vor diesem Hintergrund ist es unerlässlich, mehr in die Erkennung und Reaktion auf Cyberattacken zu investieren. Ein systematischer Sicherheitsansatz ist das A und O erfolgreicher Cyber Security. Dabei müssen sowohl das Risikomanagement, der Schutz der Informationen, die Erkennung und Reaktion auf Sicherheitsvorkommnisse als auch die Wiederherstellung und Optimierung berücksichtigt werden. Denn Cyberrisiken haben sich in den letzten Jahren zu den grössten operativen Risiken für Unternehmen entwickelt.

Risikomanagement als Managementaufgabe

Obwohl das Risikomanagement nicht explizit als Aufgabe des Verwaltungsrates im OR genannt wird, ist dieser aufgrund der nicht delegierbaren gesetzlichen Aufgaben wie Rechnungslegung, Finanzkontrolle, Überwachung etc. verantwortlich. Seit der Aktienrechtsrevision 2008 trägt der Verwaltungsrat zudem die Verantwortung, dass ein internes Kontrollsystem existiert. Seit 2013 müssen ordentlich revisionspflichtige Unternehmen anstelle des Jahresberichts einen Lagebericht mit einer Risikobeurteilung erstellen. Die Empfehlungen des Swiss Code gehen mit der weiter gefassten Definition des IKS noch stärker in Richtung umfassendes Risikomanagement. Es betrachtet sowohl finanzielle, operative (beispielsweise Cyberrisiken) sowie strategische und marktspezifische Risiken. Unternehmen sind also gut beraten, sich konsequent mit aktuellen und neuen Risiken auseinander zu setzen und der Informationssicherheit das nötige Gewicht beizumessen. Die Cyber-Security-Strategie bildet dabei den bereichsübergreifenden, strategischen Rahmen. Internationale Standards wie ISO 27001 oder das NIST Cyber Security Framework bieten anerkannte Modelle für die Errichtung, Umsetzung, Überprüfung und kontinuierliche Verbesserung der eigenen Cyber Resilience.

In der heutigen Welt ist jeder Tag ein «Zero Day»

Unternehmen müssen sich auf Cyberattacken vorbereiten. Der Schutz von Netzwerken und Unternehmenswerten wird aber immer schwieriger; insbesondere vor anspruchsvollen Attacken, die durch herkömmliche Sicherheitssysteme nicht erkannt werden. Deshalb gilt es, den Fokus nicht nur auf den Schutz und die Abwehr zu legen, sondern insbesondere auf die Detektion und die rasche Reaktion auf sicherheitsrelevante Ereignisse. Man darf sich nicht mehr nur auf (immer) höhere ICT-Sicherheitsmauern verlassen – denn Angreifer werden leider immer einen Weg finden …

Da Attacken rund um die Uhr erfolgen, muss ein Unternehmen auch an sieben Tagen der Woche – während 24 Stunden – Cyber Security gewährleisten können. Dazu braucht es entsprechende Ressourcen, Know-how und Werkzeuge, und dies am besten aus einem dedizierten Cyber Defence Center. Dieses reagiert nicht nur auf Gefahren, sondern sucht aktiv nach potentiellen Bedrohungen und Angriffsmustern. Cyber Defence basiert also nicht nur auf einer defensiven, sondern vor allem auch auf einer offensiven Sicherheitsstrategie. Nur so lässt sich Cyber Resilience zielgerichtet und kontinuierlich verbessern.

