Sorgfaltspflicht rund um die Cybersicherheit: Top-Fragen des Vorstands für CISOs
Dies ist der dritte Teil einer vierteiligen Serie mit Strategien zur proaktiven Kommunikation für CISOs. Es gehört zu Ihren Aufgaben, wichtige Informationen und Maßnahmen in eine Sprache zu übersetzen, die der Vorstand versteht. Dann können Sie sich nämlich auf Ihre eigenen Aufgaben konzentrieren: angemessen auf Vorfälle, Ereignisse und Bedrohungen reagieren, um die Auswirkungen auf das Unternehmen zu minimieren.
Sollte Ihr Unternehmen einmal Opfer einer Cyberattacke werden, richten sich die Augen des Vorstands auf Sie. Jetzt Rede und Antwort zu stehen, kann sich ziemlich einsam anfühlen, aber Sie sind nicht allein. Wenn Sie zeigen können, dass Ihre Pläne und Maßnahmen die Best Practices der Branche beherzigen und alle relevanten Richtlinien und Anforderungen erfüllen, sind Sie in ausgezeichneter Gesellschaft. Noch besser wird es mit der Bestätigung Ihrer Vorgehensweise durch externe Fachleute. Dies wird die Verantwortlichen davon überzeugen, dass Sie umsichtig gehandelt und alles zum Schutz des Unternehmens getan haben.
Wenn die Vorstandsmitglieder erst einmal Ihre Maßnahmen zur Stärkung der Cybersicherheit und zur Schadensbegrenzung verstanden haben, lautet ihre nächste Frage vermutlich: „Was haben wir unternommen, um unserer Sorgfaltspflicht für die Cybersicherheit nachzukommen?"
Das impliziert wiederum die folgenden Fragen:
- Haben wir die Maßnahmen von unabhängiger Seite prüfen lassen?
- Wer hat das geprüft und was genau war Gegenstand des Prüfauftrags (z. B. Bedrohungssuche oder Bedrohungseinschätzung)?
- Falls das intern durchgeführt wurde, wie haben wir sichergestellt, dass unsere Maßnahmen ausreichend und wirksam sind?
Sorgfaltspflicht rund um die Cybersicherheit: Woran erkennen wir, dass wir es richtig gemacht haben?
Jetzt steht und fällt alles damit, den Vorstand und andere maßgeblich Beteiligte von der Objektivität der Analysen zu überzeugen. Die Analysen sollen nicht nur belegen, dass die Sicherheitslücke unschädlich gemacht wurde bzw. die Folgen des Angriffs eingedämmt wurden, sondern auch, dass die Infrastruktur des Unternehmens ausreichend gegen etwaige Folgeangriffe geschützt ist.
Unternehmen, die häufig regionsübergreifend und mit Open-Source-Software arbeiten, stehen unter besonderer behördlicher Kontrolle (z. B. CCPA oder DSGVO). Für diese Unternehmen empfiehlt sich ein weiteres Augenpaar mit objektivem Blick, um zu bestätigen, dass die Lücken geschlossen wurden und Folgeangriffe keine Chance haben.
Es gibt Tools und Services (z. B. Plattformen zur Angriffssimulierung oder unabhängige Fachleute), mit deren Hilfe Unternehmen Angriffe nachstellen und bestätigen können, dass ihre Umgebung frei von bestimmten Schwachstellen ist. Diese Tools können als zusätzliche Sicherheit für den Vorstand dienen, denn sie demonstrieren ein besonders hohes Maß an Sorgfalt und zeigen, dass alles „clean“ ist.
Umgang mit Daten zur Risikobewertung: jede Menge Details
Um nachzuweisen, dass Sie die richtigen Maßnahmen ergriffen haben, sollten Sie Ihre Antworten mit seriösen Datenquellen und Informationen unterfüttern können. Das ist von entscheidender Bedeutung, doch leider alles andere als einfach. Denken Sie an einen so überschaubaren Vorgang wie eine Bedrohungseinschätzung. Wie zeigen Sie, dass die von Ihnen veranlasste Bedrohungseinschätzung den für Ihr Unternehmen passenden Umfang hatte? Dazu könnten Sie beschreiben, wie Sie die Assets priorisiert haben, etwa aufgrund des Stellenwerts für das Unternehmen, was wiederum eine belastbare Analyse der Auswirkung auf das Unternehmen und ein Schema zur Datenklassifizierung erfordert – allzu leicht wird die Argumentation sehr kleinteilig.
Jetzt kommt es darauf an, die Abfolge Ihrer Entscheidungen nicht aus dem Blick zu verlieren. Dann können Sie Ihre Sorgfalt nachweisen und belegen, warum Sie genau diesen Weg zur Sicherheit gewählt haben. Beispielsweise müssen Sie zeigen können, auf welcher Grundlage Sie den Zuschnitt von Aufgaben gewählt haben und welche Arbeiten tatsächlich abgeschlossen wurden.
Lesen Sie auch Teil vier dieser Serie, in dem es um die Frage geht: „Wie beantworten wir Anfragen zu behördlichen Vorgaben und Compliance?“
Im folgenden Video erfahren Sie mehr darüber, wie Sie am besten mit Ihrem Vorstand über das Thema Sorgfalt bei der Cybersicherheit kommunizieren:
Setzen Sie sich mit uns in Verbindung
Fragen Sie bei Ihrer Cyberversicherung ausdrücklich nach Unterstützung durch die Unit 42®, wenn Sie Incident-Response-Servicesbenötigen.
Wenn Sie befürchten, dass Ihr Unternehmen Zielscheibe eines Angriffs über die Log4jSicherheitslücke oder eines anderen bekannten Angriffsmechanismus geworden ist, nehmen Sie Kontakt zur Unit 42auf und besprechen Sie die Situation mit einem Mitglied des Teams. Das Incident-Response-Team der Unit 42 ist rund um die Uhr an 365 Tagen im Jahr erreichbar. Sie können auch vorbeugen und eine vorsorgliche Beurteilung anfordern.