Hybride Arbeitswelten & Cybersicherheit:
Tipps für Ihre IT-Sicherheit
Cyber Security Newsletter #12
Homeoffice funktioniert. Diese Erkenntnis hat viele Führungskräfte in den letzten Monaten überrascht. Aber was können IT- und Sicherheitsverantwortliche kleiner und mittelständischer Unternehmen tun, um Datensicherheit im Homeoffice zu gewährleisten?
Viele Unternehmen haben die Corona-Pandemie genutzt, um die interne Digitalisierung voranzutreiben. Sie stellen ihren Mitarbeitern und Mitarbeiterinnen während der weiterhin andauernden Pandemie hybride Arbeitsformen zur Verfügung. Das hat zur Folge, dass sowohl im Büro als auch remote gearbeitet wird – beispielsweise von zu Hause, aus dem Café oder einem Co-Working-Space heraus.
In dieser Situation ist eine Sensibilisierung aller Angestellten für die Themen Datenschutz und IT-Sicherheit besonders wichtig. So sollte gewährleistet werden, dass die Zuständigkeit für Datenschutz im Unternehmen benannt ist und kommuniziert wird. Auch ist die Erstellung von verbindlichen und sanktionsbewehrten Richtlinien zu Datenschutz und IT-Sicherheit im Homeoffice erforderlich.
In Bezug auf die IT-Sicherheit empfehlen Experten dringlich die Benutzung von VPN-Tunnellösungen, die Verwendung von sicheren Passwörtern und das regelmäßige Erstellen von Backups.
Unser Tipp: Nutzen Sie die von carmasec zur Verfügung gestellten Leitfäden. Anhand des ersten können Sie prüfen, ob in Ihrem Unternehmen bereits ein strategisch-funktionales Managementsystem für Informationssicherheit (ISMS) etabliert ist. Der zweite Leitfaden unterstützt Sie bei der Bewertung Ihrer ad hoc in der Krise getroffenen Maßnahmen hinsichtlich der Faktoren Effizienz, Notwendigkeit und Compliance.
Hier finden Sie unsere Leitfäden:
VUCA – dieses Akronym steht für ein neues Marktumfeld, in dem Entscheider gefordert sind, ihr gewohntes Handeln neu auszurichten: Die Welt ist nicht mehr durch Stabilität, Langfristigkeit und Vorhersehbarkeit gekennzeichnet. In der VUCA-Welt herrschen Volatilität (V), Unsicherheit (U), Komplexität (C) und Widersprüchlichkeit (A). Die digitale Vernetzung wirkt in diesem Zusammenhang wie ein Katalysator. Störungen wirken wie der berühmte Flügelschlag eines Schmetterlings, der zeitverzögert einen Sturm verursacht.
Szenarioanalysen helfen, sich in dieser zunehmend komplexen Welt zu orientieren. Sie werden von Großunternehmen ebenso eingesetzt wie von Regierungen. Aus der Vielzahl solcher Analysen haben Wissenschaftler der Universitäten in Oxford und Kent in England 30 sektorenübergreifende Szenarioanalysen zur digitalen Vernetzung ausgewertet mit dem Ziel, Gemeinsamkeiten und Muster in den Analysen zu identifizieren. Daraus haben sie zehn Erkenntnisse gewonnen:
10 Implikationen aus Szenario-Analysen
Als eine wichtige Konsequenz aus der Meta-Analyse heben die Wissenschaftler die Bedeutung von Cyber-Resilienz hervor. Angriffe treiben die Kosten für Kosten für Cyber-Versicherungen in die Höhe. Der Schutz von Unternehmen vor Angriffen – im Besonderen durch Insider aus den eigenen Reihen – ist wichtig für den Erhalt der Geschäftsfähigkeit. Cyber-Resilienz ist dafür eine geeignete Strategie.
Die Wissenschaftler merken an, dass Unternehmen immer mehr in Technologien investieren, um sich zu schützen, dass sie aber die Insider-Bedrohung ignorieren, die nach den Erkenntnissen der Meta-Analyse in Zukunft zunehmen wird. Entsprechend kritisieren sie, dass Unternehmen den Menschen als Teil des Cybersicherheitssystems vernachlässigen.
Zur Studie: Future Scenarios and Challenges for Security and Privacy
Wie sieht ein sicheres Unternehmen aus? Und wie kann ein Unternehmen seine Leistungsfähigkeit und seinen Reifegrad im Bereich der Cybersicherheit objektiv einschätzen? Sogenannte Readiness-Assessments helfen Unternehmen, genau diese Fragen zu beantworten.
Die digitale Transformation erweitert aktuell die Angriffsfläche für Cyberattacken erheblich und bietet dabei Cyberkriminellen potenzielle Ziele. Eine Einschätzung von Juniper Research zeigt beispielsweise, dass Cyberkriminalität Unternehmen weltweit bis 2022 insgesamt über acht Milliarden Dollar kosten wird. Readiness-Assessments sind für Unternehmen ein wertvolles Instrument, um quantitativ einzuschätzen, wie gut sie im Hinblick auf Cybersicherheit vorbereitet sind.
Reifegradmodelle setzten Readiness voraus: Sie bewerten Unternehmen unter Berücksichtigung qualitativer Dimensionen, wie beispielsweise der Organisationskultur. Des Weiteren bieten sie Zielkorridore, um die nächste Reifegradstufe zu erreichen. Dafür werden umfangreiche Handlungsmaßnahmen definiert. Sie bilden einen Referenzrahmen für Unternehmen. Die Modelle gewinnen im Bereich der Unternehmensführung und -steuerung immer mehr an Bedeutung. Sie stellen für Unternehmen ein Maß dar, um sich in einer bestimmten Disziplin kontinuierlich zu verbessern – dabei zeigen sie potenzielle Entwicklungsperspektiven und Handlungsoptionen auf.
Juniper Research: Cybercrime to cost Global Business over $8 Trillion in the next 5 Years
Reifegradmodelle legen den verantwortlichen Entscheidern transparent und begründet dar, in welcher Ausgangssituation sich das Unternehmen in Hinblick auf Cybersicherheit befindet. Außerdem geben sie Hinweise darauf, welche Maßnahmen das Unternehmen vor diesem Hintergrund umsetzen sollte, um vor potenziellen Risiken und Gefahren geschützt zu sein – wirksam, nachhaltig und ökonomisch.
Im deutschen Raum gibt es bisher kein speziell auf die Cybersicherheit ausgerichtetes Reifegradmodell. Aus diesem Grund hat carmasec – aufbauend auf den Erkenntnissen aus dem angelsächsischen Raum – ein Reifegradmodell für Cybersicherheit entworfen. Das carmasec Cybersecurity Reifegradmodell (kurz: CS2RM) sieht einen Assessment-Prozess vor, in dem ein Unternehmen zu Beginn auditiert wird. Hierbei erfolgt eine Standortbestimmung des Reifegrads. Jeder Reifegradstufe sind dabei bewährte Instrumente und Methoden zugewiesen. Es stellt damit eine Blaupause dar, mit der Handlungs- und Optimierungsbedarfe sichtbar gemacht werden.
Whitepaper von carmasec: Reifegradmodelle für die Cybersicherheit Ihres Unternehmens
Corona hat es gezeigt: Krisen können überraschend auftreten und ungeahnte Folgen haben. Dabei wehren einige Unternehmen die Folgen solcher Krisen scheinbar mühelos ab. Andere kämpfen um ihr Überleben. Worin unterscheiden sich diese Unternehmen? Verfügen die einen über mehr Geld, die klügeren Köpfe und wirksamere Technologien? Ein Blick in die Liste von Unternehmen, die aufgrund der Pandemie in die Krise geraten sind, zeigt: Es gehört offensichtlich mehr dazu.
Seit einigen Jahren erfährt das Konzept der „Resilienz“ wachsende Aufmerksamkeit. Es bietet Erklärungen, warum manche Unternehmen Krisen besser meistern als andere. Dabei wird deutlich, Resilienz ist mehr als ein Buzzword. Der Ursprung der Resilienzforschung reicht bis in die 1950er Jahre. Der Psychologe Jacob Block gilt als ihr Gründungsvater. Heute findet das Resilienz Konzept Anwendung in verschiedenen Disziplinen – von Ingenieurwissenschaft bis Betriebswirtschaft- und hat transdisziplinären Charakter.
Die Experten von carmasec stellen zur Diskussion: Ist Resilienz auch ein Thema für die Cybersicherheit? Schließlich gehört es zu den Aufgaben von Security-Verantwortlichen in Unternehmen, Dienstleistern, Technologie-Anbietern und Beratern Risiken zu minimieren, Gefahren abzuwehren und im Krisenfall die Handlungsfähigkeit des Betriebs wiederherzustellen.
Seit einiger Zeit beschäftigt sich carmasec intensiv mit Cyber-Resilienz und ist zur Auffassung gelangt: Ohne Cyber-Resilienz keine Cybersicherheit. Die Pandemie hat deutlich gemacht, dass Sicherheit ganzheitlich und interdisziplinär betrachtet werden muss: Die Arbeit auf Distanz erfordert nicht nur neue Technologien und eine angepasste Strategie in Sachen Cybersicherheit. Sie setzt eine neue Denkweise bei den Beschäftigten, ein neues Verständnis von Leadership sowie eine andere Arbeitskultur voraus.