3min. read

Sollte Ihr Unternehmen einmal Opfer einer Cyberattacke werden, richten sich die Augen des Vorstands auf Sie. Jetzt Rede und Antwort zu stehen, kann sich ziemlich einsam anfühlen, aber Sie sind nicht allein. Wenn Sie zeigen können, dass Ihre Pläne und Maßnahmen die Best Practices der Branche beherzigen und alle relevanten Richtlinien und Anforderungen erfüllen, sind Sie in ausgezeichneter Gesellschaft. Noch besser wird es mit der Bestätigung Ihrer Vorgehensweise durch externe Fachleute. Dies wird die Verantwortlichen davon überzeugen, dass Sie umsichtig gehandelt und alles zum Schutz des Unternehmens getan haben.

Wenn die Vorstandsmitglieder erst einmal Ihre Maßnahmen zur Stärkung der Cybersicherheit und zur Schadensbegrenzung verstanden haben, lautet ihre nächste Frage vermutlich: „Was haben wir unternommen, um unserer Sorgfaltspflicht für die Cybersicherheit nachzukommen?"

Das impliziert wiederum die folgenden Fragen:

  • Haben wir die Maßnahmen von unabhängiger Seite prüfen lassen?
  • Wer hat das geprüft und was genau war Gegenstand des Prüfauftrags (z. B. Bedrohungssuche oder Bedrohungseinschätzung)?
  • Falls das intern durchgeführt wurde, wie haben wir sichergestellt, dass unsere Maßnahmen ausreichend und wirksam sind?

Sorgfaltspflicht rund um die Cybersicherheit: Woran erkennen wir, dass wir es richtig gemacht haben?

Jetzt steht und fällt alles damit, den Vorstand und andere maßgeblich Beteiligte von der Objektivität der Analysen zu überzeugen. Die Analysen sollen nicht nur belegen, dass die Sicherheitslücke unschädlich gemacht wurde bzw. die Folgen des Angriffs eingedämmt wurden, sondern auch, dass die Infrastruktur des Unternehmens ausreichend gegen etwaige Folgeangriffe geschützt ist.

Unternehmen, die häufig regionsübergreifend und mit Open-