Insight

Innovation statt Reaktion – die nächste Stufe der Cybersicherheit

Veröffentlicht am 24. Juni 2024

Cyber Security

Cybersicherheit im Jahr 2024 – Ein Überblick

Der Schutz vor Cyberangriffen ist eine der größten Herausforderungen unserer Zeit. Auch wenn es schwierig ist, die Kosten von Cyberangriffen genau zu beziffern, kann heute niemand mehr leugnen, dass Cybersicherheit ein Thema ist, mit dem sich Unternehmen jeder Größe auseinandersetzen müssen. Täglich hören wir von Organisationen, die Cyberbedrohungen ausgesetzt sind. Ziel der Kriminellen ist es, Desinformation zu verbreiten, betrügerisch Geld zu beschaffen, kritische Infrastrukturen zu destabilisieren oder Spionage zu betreiben. Dazu haben Cyberangreifer – ob Kriminelle, Regierungen oder Hacktivisten – heute mehr Möglichkeiten denn je: Stärkere Anreize sorgen dafür, dass mehr Ressourcen eingesetzt und alle technisch möglichen Ansätze bis hin zur Verbesserung der Angriffe durch KI genutzt werden.

Zusätzlich zu den wachsenden Herausforderungen haben geopolitische Krisen die Bedrohungslage rund um den Globus dramatisch verschärft. Dies hat Unternehmen dazu veranlasst, die Entkopplung ihrer Informationssysteme zu prüfen, um die strengeren Vorschriften zu erfüllen, die in bestimmten Ländern einen anderen Ansatz erfordern.

Hinzu kommt, dass in vielen Branchen bereits heute strenge Vorschriften und Compliance-Anforderungen gelten oder in Vorbereitung sind. Dazu gehören unter anderem der AI Act/ AI Exec Order von Biden, DORA, FCA/PRA OpRes, NIS2 und weltweit unzählige Vorschriften zum Schutz kritischer Infrastrukturen.

Cybersicherheitsexpert:innen stehen daher vor der Herausforderung, all diese Themen schnell, effektiv und kosteneffizient anzugehen. Der Weg dorthin führt über ein Umdenken in der Cybersicherheit – weg von einer reaktiven Abwehrfunktion hin zu einer Funktion, die Fortschritt und Innovation ermöglicht und beschleunigt. Nur durch dieses Umdenken können sich Unternehmen von ihren Mitbewerbern differenzieren und entscheidende Wettbewerbsvorteile erzielen.

Im Folgenden geben unsere Expertinnen und Experten drei Empfehlungen, die diesen Wandel erleichtern:

Am Ball bleiben: Ist Regulierung gleichbedeutend mit Resilienz?

In den vergangenen Jahren ist Cyber-Resilienz zu einer unverzichtbaren Notwendigkeit geworden. Dies ist hauptsächlich auf die Einführung zahlreicher Vorschriften wie DORA, NIS2, CRA (Cyber Shield in den USA) zurückzuführen, die verschiedene Aspekte des Marktes abdecken.

Trotz steigender Investitionen ist der Reifegrad in diesem Bereich nach wie vor gering, mit erheblichen Unterschieden zwischen einzelnen Organisationen und Sektoren.

Unser aktueller Cyber Benchmark* zeigt, dass der Reifegrad der Unternehmen insgesamt zunimmt. Der Finanzdienstleistungssektor liegt dabei mit einem Reifegrad von 60 % (gegenüber einem Durchschnitt von 53 %) an der Spitze.

Welche Unterschiede bestehen zwischen stark regulierten und unregulierten Branchen?

Stark regulierte Branchen wie der Finanzsektor, der Energiesektor und der Bereich Life Sciences weisen aufgrund der hohen Investitionen und der regulatorischen Kontrolle tendenziell einen höheren Reifegrad im Bereich Cybersicherheit auf. Im Finanzsektor ist dies auf die traditionell hohen Investitionen und die strenge Kontrolle durch die Aufsichtsbehörden zurückzuführen.

Unternehmen, die in regulierten Branchen tätig sind, müssen sich auf effiziente und ergebnisorientierte Tests konzentrieren, um Lücken in Bezug auf ihre Reife zu identifizieren und eine ‚konvergente Abdeckung‘ zu erreichen.

Auch wenn unregulierte Sektoren derzeit nicht unter dem gleichen Druck stehen wie die Finanzbranche, wird es mittelfristig für alle Branchen von entscheidender Bedeutung sein, im Bereich der Cybersicherheit proaktiv zu handeln: In Zukunft muss das getan werden, was getan werden muss, um Resilienz im Bereich der Cybersicherheit zu erreichen. Die bloße Erfüllung der notwendigen Anforderungen wird nicht immer ausreichen. Informieren Sie sich daher frühzeitig über kommende Regularien, engagieren Sie sich in Branchenverbänden, um von Best Practices zu lernen, und nutzen Sie Sensibilisierungskampagnen, Schulungen und Krisenübungen, um die Bedeutung der Cyber-Reife für die eigene Organisation hervorzuheben.

Die kontinuierliche Verbesserung Ihrer Compliance und Widerstandsfähigkeit ist von entscheidender Bedeutung. Führen Sie ein effizientes Programmmanagement ein, verbessern Sie kontinuierlich Ihre Prozesse, sichern Sie frühzeitig die notwendigen Budgets und behalten Sie aktuelle Entwicklungen am Markt im Auge.

Change the Story: Die Art der Zusammenarbeit im Unternehmen muss sich ändern

Alles ist digital und alles muss sicher sein: Das ist die Denkweise, die Unternehmen heute haben müssen. Um diese Wirklichkeit werden zu lassen, müssen Cybersicherheitsexpert:innen anders mit allen Abteilungen innerhalb der Organisation zusammenarbeiten und das Image der Cybersicherheit verändern.

Eine Sicherheitskultur ist notwendig, um sicherzustellen, dass Cybersicherheit im Bewusstsein der Mitarbeitenden verankert wird. Spezielle Sensibilisierungskampagnen sind erforderlich, um das Bewusstsein für neue Risiken zu schärfen und die gewünschten Ergebnisse des Kulturwandels zu erzielen.

Unternehmen, die diese „Security First“-Mentalität erfolgreich umgesetzt haben, nutzen Cybersicherheit sogar als kommerziellen Vorteil für ihre Geschäftsentwicklung.

Cybersecurity-Fachleute müssen eine langfristige und gemeinschaftliche Perspektive einnehmen, um ein starkes Team aufzubauen. Es geht darum, Netzwerke und Karrierewege zu schaffen, die nicht nur Talente anziehen, sondern auch deren Entwicklung fördern und sie langfristig an das Unternehmen binden.

Angesichts von 4 Millionen unbesetzten Stellen im Bereich Cybersicherheit und 92 % der Fachkräfte, die einen Mangel an Fähigkeiten und Kenntnissen in ihren Unternehmen beklagen, stellt sich die Frage: Wie kann dieser Wandel gelingen? Da vielfältige Fähigkeiten erforderlich sind, müssen Unternehmen ihre Anstrengungen verstärken, um die richtigen Talente für sich zu gewinnen und die Herausforderungen von morgen zu meistern.

*ISC2 2023

Disruptive Technologie: Was heute sicher ist, wird morgen nicht mehr sicher sein

Das aktuell rasante Tempo der technologischen Entwicklung zeigt keine Anzeichen einer Verlangsamung. In diesem dynamischen Umfeld ist es für Unternehmen entscheidend, die Vorteile von KI zu nutzen, Bedrohungen bestmöglich einzudämmen und robuste Sicherheitsmaßnahmen zu gewährleisten.

CISOs werden in den kommenden Jahren gefordert sein, mit dieser Entwicklung Schritt zu halten und die Cybersicherheit auf die nächste Stufe zu heben. Sie müssen das bestmögliche Gleichgewicht zwischen den notwendigen Maßnahmen zur Risikominderung, einer starken Sicherheitsumgebung und dem erforderlichen Cybersicherheitsbewusstsein aller Beteiligten finden.

Ein Beispiel: KI-Lösungen basieren auf Unternehmensdaten. Daher ist es wichtig, vor der Implementierung von KI den Zugriff auf diese Daten zu sichern und das Zugriffsmanagement ordnungsgemäß zu verwalten. Erst danach sollte über die Absicherung der KI-Lösung selbst nachgedacht werden.

Zusammenfassend

Um Ihre Cybersicherheit auf die nächste Stufe zu heben, konzentrieren Sie sich auf drei Dinge: Erstens, halten Sie sich über die neuesten Regulierungen, die Bedrohungslandschaft und neue Technologien auf dem Laufenden. Zweitens, verändern Sie die Wahrnehmung von Cybersicherheit in Ihrer gesamten Organisation und zeigen Sie den Mehrwert auf, den Cybersicherheit bietet. Und drittens treiben Sie Veränderungen in diesem Bereich voran, um die Resilienz Ihres Unternehmens sicherzustellen und sein Wachstum über Jahre hinweg zu fördern.

* Die Reifegrade wurden auf der Grundlage internationaler Standards (NIST CSF / ISO 27001/2) im Rahmen von Assessments durch Wavestone Beraterinnen und Berater ermittelt. Die Stichprobe (Stand: 1. Juni 2024) umfasst mehr als 150 Organisationen mit fast 7 Millionen Mitarbeitenden.

Autor

Gérôme Billois

Partner – Frankreich, Paris

Wavestone
LinkedIn