Minderung von Cyberrisiken: Top-Fragen des Vorstands für CISOs
Dies ist der zweite Teil einer vierteiligen Serie mit Strategien zur proaktiven Kommunikation für CISOs. Es gehört zu Ihren Aufgaben, wichtige Informationen und Maßnahmen in eine Sprache zu übersetzen, die der Vorstand versteht. Dann können Sie sich nämlich auf Ihre eigenen Aufgaben konzentrieren: angemessen auf Vorfälle, Ereignisse und Bedrohungen reagieren, um die Auswirkungen auf das Unternehmen zu minimieren.
Im Falle einer Cyberattacke möchte der Vorstand natürlich wissen, ob es einen Plan gibt. Der Vorstand möchte die Gewissheit, dass das Unternehmen darauf vorbereitet ist, den Vorfall schnell, effizient und gründlich zu bewältigen, um die Auswirkungen zu minimieren. Deshalb wird die nächste brennende Frage, die Sie beantworten müssen, nachdem Sie über das Cyberrisiko informiert haben, die Frage nach Ihrem Plan zur Schadensbegrenzung sein. Sie sollten eine Antwort auf die Frage „ Wurde die Situation eingedämmt und haben wir angemessen darauf reagiert?“ parat haben.
Das impliziert wiederum die folgenden Fragen:
- Wie sah unser Notfallplan aus?
- Wie haben wir Maßnahmen und Ressourcen priorisiert?
- Was ist noch zu tun?
- Gab es Überraschungen und konnten wir Lehren für das nächste Mal ziehen?
Schadensbegrenzung bei Cyberrisiken: Haben wir alles getan?
Was Ihre Führungskräfte und Vorstandsmitglieder wirklich interessiert, ist, ob die Situation unter Kontrolle gebracht wurde und welche Zusicherungen Sie geben können, dass angemessen auf das Risiko reagiert wurde.
Um bei der Beantwortung solcher Fragen vom Vorstand (oder später womöglich auch von einem Auditausschuss) eine vertretbare Position einnehmen zu können, benötigen Sie vor allem eines: Dokumentation! Ihre Pläne für die Reaktion auf Vorfälle und Zero-Day-Schwachstellen sowie für das Patchmanagement müssen alle Prozesse, jegliche Kommunikation und alle Schritte zur Risikobeseitigung und Schadensbegrenzung enthalten.
Diese Dokumentation muss umfassend sein und sollte nicht nur die Pläne umfassen, sondern auch:
- durchgeführte Notfall-Änderungsprozesse
- beteiligte Personen
- Angaben zu Patching und Segmentierung (wie und wann Systeme priorisiert und gepatcht/segmentiert wurden)
- wie Systeme auf kritische Prozesse reagiert haben
- wie Prozesse stratifiziert wurden
- wie Durchsetzungsregeln angepasst und implementiert wurden
Das Ziel ist es, genau zu zeigen, was wann und wie getan wurde, damit Sie nachweisen können, dass Sie Ihrer Sorgfaltspflicht nachgekommen sind, und damit Sie über die Elemente berichten können, die nicht nur Ihr Vorstand, sondern auch Aufsichtsbehörden und Wirtschaftsprüfer nachvollziehen können müssen.
Führungskräfte auf dem Laufenden halten: Wiederherstellung ist ein längerer Prozess
Wenn der Vorstand fragt: „Sind Sie fertig? Ist die Situation überstanden? Ist alles erledigt?“, dann ist es wichtig, die Wiederherstellung nach einem Vorfall als Prozess darzustellen, nicht als einmalige Aktion. Bei der Wiederherstellung geht es auch darum, in Zukunft robuster und reaktionsschneller zu werden.
Das bedeutet, dass Sie sich hinsetzen und Besprechungen abhalten müssen, die Ihnen dabei helfen, Lehren aus dem Vorfall zu ziehen und herauszufinden, wo Sie etwas anders, schneller oder besser hätten machen können. Wenn die Zeit drängt, ist die genannte Dokumentation immens wichtig, um sicherzustellen, dass nichts übersehen und kein Schritt ausgelassen wird. Doch auch die kleinen Dinge dürfen nicht vergessen werden. Sie können enormen Einfluss auf die Effizienz Ihrer Maßnahmen haben.
So können Sie beispielsweise mit leicht verständlichen Ablauflisten für bestimmte Situationen und mit Berichten über die Auswirkungen auf Ihr Geschäft, die Ihnen sagen, wo sich Ihre wichtigsten Ressourcen befinden, im Fall der Fälle viel Zeit und Mühe sparen. Im Nachhinein ist man immer schlauer. Nehmen Sie sich also die Zeit, um herauszufinden, was nützlich gewesen wäre, und erklären Sie dem Vorstand dann, was Sie tun, um nächstes Mal noch besser vorbereitet zu sein.
Wenn Sie Ihre Antworten auf die Fragen des Vorstands als Prozess beschreiben, wird gleich klar, dass Sicherheit nie wirklich abgeschlossen und nie perfekt ist, sondern nur immer weiter verbessert werden kann. Denken Sie daran: „Am Tag des Balls ist es zu spät, tanzen lernen zu wollen.“ Vergessen Sie also nicht, alles akribisch zu dokumentieren und immer wieder für den Ernstfall zu proben. Lassen Sie den Vorstand wissen, wie Sie jede einzelne Gelegenheit nutzen, um sich vorzubereiten und Ihre Fähigkeiten zu verbessern, und was Sie tun, um dafür zu sorgen, dass Ihre Reaktion das nächste Mal noch besser wird (denn ein nächstes Mal gibt es immer).
Im dritten Teil dieser Serie geht es um Antworten auf die Frage: „Was haben wir unternommen, um unserer Sorgfaltspflicht für die Cybersicherheit nachzukommen?“.
Im folgenden Video erfahren Sie mehr darüber, wie Sie am besten mit Ihrem Vorstand über das Thema Schadensbegrenzung bei Cyberrisiken kommunizieren:
Setzen Sie sich mit uns in Verbindung
Fragen Sie bei Ihrer Cyberversicherung ausdrücklich nach Unterstützung durch die Unit 42®, wenn Sie Incident-Response-Servicesbenötigen.
Wenn Sie befürchten, dass Ihr Unternehmen Zielscheibe eines Angriffs über die Log4jSicherheitslücke oder eines anderen bekannten Angriffsmechanismus geworden ist, nehmen Sie Kontakt zur Unit 42auf und besprechen Sie die Situation mit einem Mitglied des Teams. Das Incident-Response-Team der Unit 42 ist rund um die Uhr an 365 Tagen im Jahr erreichbar. Sie können auch vorbeugen und eine vorsorgliche Beurteilung anfordern.