Um welche Assets würden Sie sich am meisten Sorgen machen, wenn Ihr Unternehmen mit einem Cyberangriff konfrontiert wäre? Der Versuch, alles zu schützen, ist nicht die effektivste Verteidigungsstrategie. Aber sind Sie sicher, welche Aspekte Sie bei der Absicherung Ihres Unternehmens priorisieren sollten?
Angesichts begrenzter Ressourcen und einer Cyberlandschaft, in der es scheinbar unendlich viele Risiken gibt, brauchen Sie einen strategischen Sicherheitsansatz. Indem Sie ermitteln, welche Assets und Umsatzquellen kritisch sind, können Sie sich auf das konzentrieren, was für Ihr Unternehmen am wichtigsten ist. Auf diese Weise können Sie sicherstellen, dass Ihre wichtigsten Assets sicher sind und Ihr Unternehmen auch im Falle eines Angriffs weiterhin funktionsfähig bleibt.
Wir haben mit Wouter Goudswaard, dem CCO von Eye Security, gesprochen, um einen Einblick in die aktuelle Gefahrenlandschaft zu erhalten und zu erfahren, warum ein proaktiver Ansatz für die Cybersicherheit zukunftsweisend ist und wo Sie bei der Absicherung Ihres Unternehmens beginnen sollten.
Sehen Sie sich das vollständige Gespräch mit Wouter Goudswaard an: Video (EN) | Protect what could shut you down first: what to (cyber) secure in your organisation (dataguard.uk)
In diesem Beitrag:
Lernen Sie die Risiken für Ihre Organisation kennen
Sie können Ihr Unternehmen nicht vor etwas schützen, von dem Sie nichts wissen. Deshalb ist der erste Schritt, sich mit den Risiken vertraut zu machen, denen Ihr Unternehmen ausgesetzt ist.
Cyberangriffe sind verbreiteter, als Sie denken
Die aktuelle Cyberumgebung erfordert einen realistischen Blick auf Cyberangriffe. Dazu gehört auch, sich der steigenden Wahrscheinlichkeit eines Angriffs und dessen Auswirkungen auf Ihr Unternehmen bewusst zu sein. „Letztes Jahr lag das Risiko bei einem von fünf Unternehmen, einen Cybervorfall zu erleiden - ob klein oder groß. Ein Jahr später sprechen wir von 1 zu 4. Es geht nicht darum, ob es passiert, es wird passieren. Sie müssen also Maßnahmen ergreifen", sagt Wouter Goudswaard.
Cyberangriffe werden zu einer immer häufigeren Bedrohung, und ihre Auswirkungen auf Unternehmen nehmen ebenfalls zu. Im letzten Jahr beliefen sich die weltweiten durchschnittlichen Kosten für eine Datenschutzverletzung auf 4,45 Millionen Dollar. Besonders betroffen ist der Gesundheitssektor, der mit fast 11 Millionen Dollar die höchsten durchschnittlichen Kosten innerhalb verschiedener Branchen aufweist.
Das könnte Sie auch interessieren: Schutz sensibler Daten und Risikomanagement im Gesundheitswesen
Identifizieren Sie mit einem soliden Risikomanagement Ihre größten Risiken
Nachdem Sie nun wissen, welche Bedrohungen von Cyberangriffen ausgehen, ist es an der Zeit zu ermitteln, welchen Risiken Sie ausgesetzt sind. Dies ist die Grundlage für Ihre Bemühungen, die kritischen Assets Ihres Unternehmens vor Bedrohungen wie Cyberangriffen zu schützen. „Es beginnt damit, zu verstehen, was das Risiko wirklich ist", sagt Goudswaard.
Hier kommt das Risikomanagement ins Spiel. Es umfasst die Ermittlung potenzieller Bedrohungen, die Bewertung ihrer Auswirkungen und die Umsetzung von Maßnahmen zur Minderung des Risikos. Beim Risikomanagement geht es darum, Ihre Schwachstellen zu erkennen und proaktive Maßnahmen zum Schutz Ihrer Daten und Systeme umzusetzen. Indem Sie den Risiken immer einen Schritt voraus sind, stellen Sie sicher, dass Ihr Unternehmen sicher und widerstandsfähig gegen Cyberangriffe bleibt.
Warum eine passive Sicherheitsstrategie nicht mehr ausreicht
Es liegt auf der Hand, dass Sie eine solide Strategie benötigen, um die heutigen Cyberbedrohungen zu bewältigen und Ihr Unternehmen zu schützen. Doch nicht jede Strategie ist gleichermaßen wirksam. Eine passive Sicherheitsstrategie, bei der man sich nur auf eine Cyberversicherung verlässt, reicht nicht mehr aus, um für die Zukunft gewappnet zu sein. Aber woran liegt das?
Die Cyberlandschaft verändert sich rasant
„Wenn man sich die Versicherungswelt ansieht, gibt es viele Bereiche, die versichert werden müssen, und der Cyberbereich war einer der neuesten", erklärt Wouter Goudswaard. „Alle waren begeistert und haben angefangen, Cyberversicherungen zu verkaufen, ohne zu wissen, wie groß das Risiko ist."
Cyberangriffe werden heutzutage immer effektiver: Cyberkriminelle können größere Organisationen mit weniger Ressourcen angreifen. Neuere Entwicklungen wie Ransomware-as-a-Service und Phishing-as-a-Service machen es deutlich einfacher, Angriffe durchzuführen.
Bei diesen Geschäftsmodellen entwickeln Hacker Erpressersoftware und ähnliche Tools und verkaufen sie an Partner, die dann eigenständig Opfer angreifen. „Das Risiko nimmt in rasantem Tempo zu", sagt Goudswaard. All dies zeigt, dass ein passiver Ansatz nicht ausreicht, um Ihr Unternehmen zu schützen.
Die Zukunft liegt in proaktiven Maßnahmen
Wouter Goudswaard vergleicht die Notwendigkeit aktiver Maßnahmen im Bereich der Cybersicherheit mit der Entwicklung bei der Brandbekämpfung: „Heutzutage gibt es Brandmeldeanlagen, die Feuer erkennen. Wir haben Sprinklersysteme. Wir beginnen sofort, das Feuer zu löschen. Und im Grunde genommen werden wir die gleiche Entwicklung bei der Cybersicherheit erleben."
Im Falle eines Cyberangriffs müssen - ähnlich wie beim Ausbruch eines Feuers - wirksame Maßnahmen ergriffen werden, um sofort reagieren zu können und die Auswirkungen auf Ihr Unternehmen zu minimieren. Eine Versicherung kann eine hilfreiche Ergänzung sein, aber „man kann sich nur passiv absichern, wenn man auch aktive Maßnahmen ergreift", sagt Goudswaard.
Das könnte Sie auch interessieren: Welche Cybersicherheitsmaßnahmen sollten Sie als Tech-Unternehmen ergreifen?
Welche Rolle spielt NIS2 bei der Absicherung kritischer Assets?
Die Sicherung kritischer Assets hilft Unternehmen, Cyberangriffe daran zu hindern, den Geschäftsbetrieb zu stören und Daten zu gefährden. Und für einige wird es bald auch verpflichtend sein.
Die NIS2-Richtlinie wird Organisationen, die in wesentlichen und wichtigen Sektoren in der EU tätig sind, dazu verpflichten, ihre Assets zu sichern. Zu den wesentlichen und wichtigen Sektoren gehören unter anderem das Gesundheitswesen, digitale Dienstleistungen und Infrastruktur, Banken und das Finanzwesen sowie die Lebensmittelindustrie. Betroffen sind mittlere und große Unternehmen mit mindestens 50 Mitarbeitern oder einem Jahresumsatz von 10 Millionen Euro.
Sehen Sie sich dieses Video an: How to prepare for NIS2 (EN)
Die neue Richtlinie zielt darauf ab, die Cybersicherheit zu harmonisieren, insbesondere in bestimmten Branchen. Dies betrifft Organisationen, bei denen eine Betriebsstörung der Gesellschaft ernsthaften Schaden zufügen könnte.
Wenn die Richtlinie nicht korrekt umgesetzt wird, können CISOs und die Unternehmensführung persönlich für Versäumnisse bei der Umsetzung der NIS2-Richtlinie haftbar gemacht werden. Daher gilt: „Wir müssen uns selbst schützen. Wir müssen unsere Mitarbeitenden schützen. Wir müssen die Kunden, für die wir arbeiten, schützen", sagt Wouter Goudswaard.
Kennen Sie das schwächste Glied in jeder Sicherheitskette?
Es sind nicht immer Ihre Systeme, die Sie den größten Bedrohungen aussetzen. Die Zahlen sprechen für sich: 82 % der erfolgreichen Cyberangriffe beginnen mit einer Social-Engineering-Aktivität, häufig per E-Mail. Daher sind E-Mails nach wie vor einer der häufigsten Bedrohungsvektoren, über den Bedrohungen in Ihr Unternehmen gelangen. Und sie greifen das schwächste Glied in jeder Sicherheitskette an: den Menschen.
Das könnte Sie auch interessieren: Vorsicht bei E-Mail-Betrug: Phishing erkennen & vermeiden
Aus diesem Grund sollten Sie sich auf Ihre Mitarbeitenden, ihr Verhalten und ihre Arbeitsweise konzentrieren. Wenn Sie diesen Sicherheitsaspekt nicht berücksichtigen, könnten Sie umfangreiche Investitionen in anderen Bereichen tätigen, die nicht den gewünschten Effekt haben. Die Implementierung von Sensibilisierungsschulungen und kontinuierlichen Phishing-Simulationen sind geeignete Maßnahmen, um dieses menschliche Risiko zu mindern.
Wie DataGuard Ihnen helfen kann, Risiken effektiv zu managen
Jede Organisation hat ihre eigenen Risiken. Sie brauchen erfahrene Fachleute, die mit Ihrer Branche vertraut sind und Ihren Geschäftskontext verstehen. DataGuard kann Ihnen dabei helfen, die für Ihr Unternehmen spezifischen Risiken zu ermitteln, zu verwalten und zu mindern, indem Sie Ihre wichtigsten Assets zuerst sichern.
Bereiten Sie sich mit einem verständlichen, szenariobasierten Ansatz für das Risikomanagement auf die Bekämpfung der neuesten Cyberbedrohungen vor. Die branchenspezifische Beratung unserer Sicherheitsexperten hilft Ihnen, Ihre Ressourcen auf das Wesentliche zu konzentrieren, was zu effektiven und wirksamen Sicherheitsmaßnahmen führt.
Häufig gestellte Fragen
Was versteht man unter kritischen Assets in der Cybersicherheit?
Kritische Assets in der Cybersicherheit beziehen sich auf die wichtigen Systeme, Daten und Ressourcen, die für den Betrieb und die Sicherheit eines Unternehmens von zentraler Bedeutung sind. Diese Assets sind für die Kontinuität und Sicherheit der Geschäftsprozesse unverzichtbar. Der Schutz kritischer Assets ist notwendig, um Betriebsausfälle, Datenverletzungen und potenzielle finanzielle Konsequenzen oder Rufschädigung zu verhindern.
Was sind Beispiele für kritische Assets im Bereich der Cybersicherheit?
Sensible Informationen, wie geistiges Eigentum, sind ein Beispiel für kritische Asset im Bereich der Cybersicherheit. Zentrale Geschäftsfunktionen, wie die Lieferkette, und wichtige Infrastrukturen, wie Server und Netzwerksysteme, fallen ebenso in diese Kategorie.
Wie können Sie Ihre kritischen Assets identifizieren?
Die Identifizierung kritischer Assets beginnt damit, die Risikolandschaft Ihres Unternehmens zu verstehen. Beurteilen Sie zunächst, welche Assets und Umsatzquellen für Ihre Geschäftskontinuität am wichtigsten sind. Dieser strategische Ansatz hilft bei der Priorisierung, welche Aspekte am meisten geschützt werden muss, damit Ihr Unternehmen auch bei Cyberbedrohungen funktionsfähig bleibt.
Wie können Sie die kritischen Assets in Ihrer Organisation schützen?
Um kritische Assets zu schützen, muss eine umfassende Risikomanagementstrategie implementiert werden. Dazu gehört die Ermittlung potenzieller Bedrohungen, die Bewertung ihrer Auswirkungen und das Ergreifen proaktiver Maßnahmen zur Eindämmung. Stellen Sie sicher, dass Sie über robuste Sicherheitsprotokolle, regelmäßige Überwachung und einen Reaktionsplan für Zwischenfälle verfügen, um gegen Cyberangriffe gewappnet zu sein.
