share iconDOWNLOAD PDFPDF
3min. read
TEIL EINS EINER VIERTEILIGEN SERIE

Anfälligkeit für Cyberrisiken: Top-Fragen des Vorstands für CISOs

Von: Tim Erridge, Vice President, Services, EMEA

Dies ist der erste Teil einer vierteiligen Serie mit Strategien zur proaktiven Kommunikation für CISOs. Es gehört zu Ihren Aufgaben, wichtige Informationen und Maßnahmen in eine Sprache zu übersetzen, die der Vorstand versteht. Dann können Sie sich nämlich auf Ihre eigenen Aufgaben konzentrieren: angemessen auf Vorfälle, Ereignisse und Bedrohungen reagieren, um die Auswirkungen auf das Unternehmen zu minimieren.

Ein Angriff oder das Bekanntwerden einer Anfälligkeit für potenziell verheerende Exploits (wie die Ausnutzung der Schwachstelle Log4j), löst oft eine Reihe von Aktivitäten aus, die nahezu alle Mitglieder des Sicherheitsteams vollauf beschäftigt. Wenn Sie der CISO des betroffenen Unternehmens sind, stehen Ihnen schlaflose Nächte bevor, bis die Bedrohung umfassend eingeschätzt, eingedämmt, reduziert und letztendlich behoben oder zumindest so weit neutralisiert ist, dass Sie sich wieder Ihren „normalen“ Tätigkeiten widmen können.

Doch der CISO ist nicht der Einzige, der die potenziellen Auswirkungen einer Schwachstelle oder eines Angriffs verstehen und minimieren will. Andere Mitglieder der Unternehmensleitung möchten ebenfalls über den Fortschritt der Aktivitäten auf dem Laufenden gehalten werden.

Beginnen wir mit der Vorbereitung auf die Beantwortung der ersten Frage: „Wie groß ist das Risiko und gibt es bereits Auswirkungen?

Das impliziert wiederum die folgenden Fragen:

  • Sind geschäftskritische Systeme und Daten betroffen und wie wird sich dieser Vorfall auf die Geschäftsprozesse auswirken?
  • Was haben wir getan, um die Anfälligkeit zu reduzieren, und welche weiteren Aktionen sind geplant?
  • Wie sind unsere wichtigsten strategischen Partner und andere Dritte betroffen? Sind wir durch sie weiteren Risiken ausgesetzt?

Bezifferung der Anfälligkeit für Cyberrisiken: Wie ERNST ist die Lage?

Was die Mitglieder der Unternehmensleitung und des Vorstands wirklich wissen möchten, ist: Wie hoch ist die Wahrscheinlichkeit, dass etwas Ernsthaftes passiert, und wie schlimm könnte es werden? Zur Berechnung der Risikoanfälligkeit wird die Wahrscheinlichkeit eines Vorfalls mit dessen potenziellen Auswirkungen multipliziert, aber die Vorstandsmitglieder denken natürlich nicht in Formeln. Sie möchten wissen, wie ein solcher Vorfall die geschäftskritischen Funktionen beeinträchtigen würde, wie die wichtigsten Daten geschützt und die Kunden weiterhin bedient werden können und letztendlich, was getan werden muss, um den Umsatz aufrechtzuerhalten.

Zur Beurteilung und Darlegung des Risikos müssen Sie also alle genutzten Netzwerke und Systeme analysieren, um sich ein umfassendes Bild vom Ausmaß der Anfälligkeit zu verschaffen. Zudem müssen Sie über Ihr Unternehmen hinausschauen und alle Dritten, Partner und Zulieferer identifizieren, von denen ein Risiko ausgehen könnte. Vermutlich werden Sie auf Antworten dringen müssen, um genau zu ermitteln, was Ihre Zulieferer, Wiederverkäufer und strategischen Partner tun, um ihre eigene (und Ihre) Anfälligkeit zu reduzieren. Aber es ist besser, als Nervensäge zu erscheinen, als über eine unzureichend geschützte Software oder Integration angegriffen zu werden.

Diese detaillierte Analyse wird es Ihnen erleichtern, besorgte Vorstandsmitglieder sachkundig zu informieren, wenn sie wissen wollen, welche geschäftskritischen Systeme, Daten und Prozesse beeinträchtigt werden könnten und wie sich das auf das Geschäft auswirken würde. Zudem hilft sie Ihnen, die diversen Risiken zu stratifizieren und nahezu unvermeidbare Folgefragen wie „Welche unserer gefährdeten Partnerunternehmen haben die Sache im Griff und über welche müssen wir uns Sorgen machen?“ zu beantworten.

Bei dieser Gelegenheit können und sollten Sie Ihre Gesprächspartner auch über die folgenden Themen informieren:

  • Ihre Pläne für den Fall, dass ein Exploit Erfolg hat
  • Wie Sie planen, die Auswirkungen einzudämmen, um die kritischen Funktionen am Laufen zu halten
  • Wie die Geschäftsprozesse letztendlich wiederhergestellt werden sollen

Erwähnen Sie dabei unbedingt auch, was Sie bereits getan haben – und was Sie aktuell tun –, um die Anfälligkeit Ihrer Geschäftsprozesse (und Ihrer Geschäftsbeziehungen) zu reduzieren, deren Resilienz zu verbessern und Ihr Tagesgeschäft so robust wie möglich zu gestalten.

Beurteilung der Auswirkungen auf das Geschäftsergebnis

Bei der Einschätzung der Auswirkungen müssen Sie holistisch und weit über die taktischen Reaktionen Ihres Teams hinaus denken und alle technischen und kommerziellen Konsequenzen einbeziehen. Sie sollten beispielsweise die folgenden Aspekte bewerten und in Ihrem Bericht erwähnen:

  • Kosten: Was haben die Reaktion auf Angriffe auf Anwendungen, Systeme oder Infrastruktur, die Schadensbehebung bzw. das Ersetzen und Modernisieren der betroffenen Komponenten gekostet? Welche anderen Kosten sind entstanden, z. B. durch Mitarbeiterkündigungen und nicht unmittelbar greifbare Dinge, wie die vorübergehende Vernachlässigung anderer Aufgaben?
  • Strategische Auswirkungen: Hat Ihr Unternehmen Wettbewerbsvorteile oder Marktanteile/Marktposition verloren?
  • Reputationsverlust: Gab es Änderungen bei der Kundenzufriedenheit und -treue? Haben die Beziehungen zu Investoren oder Partnerunternehmen gelitten?
  • Rechtliche Konsequenzen oder Compliancestrafen: War die Compliance betroffen oder gibt es rechtliche Konsequenzen? Besteht beispielsweise die Gefahr, dass Investoren oder Kunden Klagen einreichen? Müssen wir Strafe zahlen? Wurden Regulationen unterliegende oder vertrauliche Daten gestohlen? Werden alle vertretbaren Schritte zum Schutz von Kundendaten unternommen und wie kann unser Unternehmen zeigen, dass wir alles Notwendige zu ihrer Sicherung tun? (Die FTC kündigt in einer vor Kurzem veröffentlichten Warnung an, dass sie ihre volle rechtliche Befugnis nutzen wird, um Unternehmen zu bestrafen, die keine angemessenen Schritte einleiten, um Kundendaten vor bekannten kritischen Schwachstellen zu schützen.)
  • Betriebsstörungen: Waren Services oder die Lieferkette betroffen? Sind aufgrund dieses Vorfalls strategische Initiativen in Verzug oder in Gefahr? Welche Maßnahmen zur Resilienzstärkung wurden eingeleitet, um zukünftige Auswirkungen zu minimieren?

Wenn Sie mit Antworten auf diese Fragen zu Besprechungen kommen, können Sie dem Vorstand verdeutlichen, mit welchen Herausforderungen Sie konfrontiert sind und wie Sie planen, diese zu bewältigen und zukünftige Risiken auf ein akzeptables Maß zu reduzieren.

Im zweiten Teil dieser Serie beschäftigen wir uns mit der Antwort auf die Frage: „Haben wir die Situation unter Kontrolle und haben wir alles Notwendige getan?“

Im folgenden Video erfahren Sie mehr darüber, wie Sie am besten mit Ihrem Vorstand über das Thema Risikoanfälligkeit kommunizieren:

Setzen Sie sich mit uns in Verbindung

Fragen Sie bei Ihrer Cyberversicherung ausdrücklich nach Unterstützung durch die Unit 42, wenn Sie Incident-Response-Services benötigen.

Wenn Sie befürchten, dass Ihr Unternehmen Zielscheibe eines Angriffs über die Log4j-Sicherheitslücke oder eines anderen bekannten Angriffsmechanismus geworden ist, nehmen SieKontakt zur Unit 42 auf und besprechen Sie die Situation mit einem Mitglied des Teams. Das Incident-Response-Team der Unit 42 ist rund um die Uhr an 365 Tagen im Jahr erreichbar. Sie können auch vorbeugen und eine vorsorgliche Beurteilunganfordern.

Erhalten Sie die neuesten Nachrichten, Einladungen zu Veranstaltungen und Bedrohungswarnungen.

Beliebte Ressourcen

Rechtliche Hinweise

Häufig genutzte Ressourcen

Sicherheitslücke melden

Copyright © Palo Alto Networks 2024. Alle Rechte vorbehalten.