Warum Sicherheitsgedanken in Ihre Unternehmensstrategie gehören

Thierry, fangen wir mit einer Definitionsfrage an. Was heisst Strategie?

Jeder kennt das Wort. Aber viele Unternehmen verstehen nicht wirklich, was eine Strategie ist. Im Grunde ist es ein einfaches Konzept: "Wo stehen wir heute, wie sehen wir die Zukunft und was ist unsere konkrete Ambition?” Die Strategie besteht darin, den Weg in unsere gewünschte Zukunft zu finden.

Ich will die Strategie entmystifizieren und Firmen ermöglichen, sich gezielt auf ihren Weg zu machen. Das entscheidende Wort hier ist “machen”. Nachdem man die Lage verstanden und die Richtung entschieden hat, muss man handeln. Man muss sich mit der Strategie auseinandersetzen und laufend daran arbeiten.

Wenn wir an die Zukunft denken, ist die Cyberkriminalität ein Element, das immer stärker in den Fokus rückt. Wie fliessen Sicherheitsgedanken in die Unternehmensstrategie ein?

Mit dem zunehmenden Einsatz von Technologie wie künstlicher Intelligenz/Machine Learning und der steigenden Anzahl von angeschlossenen und vernetzten Geräten steigt auch die Zahl der Cyberangriffe. Die Cyberkriminellen werden immer raffinierter, so dass es für Unternehmen immer wichtiger wird, einen aktiven Ansatz für die Cybersicherheit zu wählen. Passiv zu bleiben reicht heute einfach nicht mehr aus.

Durch die digitale Transformation haben viele Firmen kürzere Time-To-Market und bringen laufend neue Software-Updates in die produktive Umgebung ein. In diesem Kontext müssen wir Cybersicherheit als integrierten Teil der Gesamtstrategie berücksichtigen. Sicherheit sollte eingebaut sein (Stichwort “Security by design”) und nicht erst nachträglich entstehen.

Ich denke, im technologischen Umfeld haben Unternehmen, die ein strategisches Sicherheitskonzept verfolgen, eine bessere Ausgangsposition, um erfolgreich zu sein.

Kannst du ein konkretes Beispiel nennen, wo ein Unternehmen Cybersicherheit effektiv in seine Gesamtstrategie integriert hat?

Da kommen mir zuerst spontan die Banken in den Sinn. Da sind Cyber-Abwehrdispositive schon seit Jahren Teil der Strategie. Neuerdings beobachte ich, dass auch KMUs und Startups sich dem Thema annehmen.

Bei KMUs gibt es teilweise die Herausforderung, dass sie durch die “Internetisierung” (sprich der Verbindung ins Internet) ihrer traditionellen Produkte, z.B. in der Maschinenindustrie, plötzlich mit Cyberrisiken konfrontiert sind. Vielfach muss dann zuerst das relevante Wissen aufgebaut werden, bevor man das Thema strategisch aufarbeiten kann.

Bei digital orientierten Startups ist es eher ein Ressourcen-Thema. Sie sind sich der Wichtigkeit der Cyber Risiken bewusst, doch sie haben personelle und finanzielle Herausforderungen zu meistern, um die entsprechenden Abwehrdispositive aufzubauen.

Welches sind deiner Meinung nach die derzeit grössten Bedrohungen für die Cybersicherheit in Unternehmen und wie können sie sich darauf vorbereiten?

Ein Datenverlust in seinen verschiedenen “Facetten” ist sicherlich ein enormes Problem. Dabei sind Themen wie “Ransomware”, Datenschutzverletzungen, Datenlecks oder IP-Diebstahl relevant. Mit der Folge, dass Firmen nicht mehr arbeiten können, erpressbar werden, an Glaubwürdigkeit verlieren oder ihren Wettbewerbsvorteil verlieren.

Auch Attacken auf physische Infrastrukturen wie Maschinen, Lieferketten, Zutrittssysteme, Fahrzeuge sind nicht zu unterschätzen. Da kann, neben dem wirtschaftlichen Schaden, schnell auch Gefahr für “Leib und Leben” entstehen.

Sich vorzubereiten, respektive entsprechende Abwehrdispositive aufzubauen und aktuell zu halten, wird aus meiner Sicht immer wichtiger. Für viele Unternehmen ist es inzwischen überlebenswichtig. Neben dem benötigten Know How geht es natürlich immer auch darum, Kosten-Nutzen-Überlegungen zu machen.

Welchen konkreten Ansätzen begegnest du in der Praxis?

Die “Normstrategie” ist aus meiner Sicht, sich im Thema fit zu machen. Namentlich mit Ausbildung der Fachpersonen, Sensibilisierung der Belegschaft, Einhalten von Cybersecurity-Standards bei Hardware-, Software- und Netz-Lösungen, und deren regelmässige “Checks” durch Dritte anhand von regelmässigen Testings, Bug-Bounty-Programmen oder Vulnerability Disclosure Programmen.

Eine weitere Strategie, die ich interessant finde, ist der konsequente Weg in die Cloud. Gerade für kleinere Unternehmen mit beschränktem Wissen und Budgets kann es sinnvoll sein, möglichst “alles” in die Cloud zu stellen. So entsteht zwar eine gewisse Abhängigkeit zu den entsprechenden Anbietern, doch deren Sicherheitsdispositive sind dafür “state of the art”. Sicherheit wird zu grossen Teilen ausgelagert.

Was empfiehlst du Unternehmen, die noch keine Strategie für die Cybersicherheit haben?

Zuerst müssen sie sich Zeit nehmen, um sich mit dem Thema zu befassen. Sprich: Cyber Security muss “auf die Agenda kommen”, wie man so schön sagt. Danach sehe ich ein ganz klassisches Vorgehen, welches für strategische Fragen angewendet wird: Erstens die Ist-Situation analysieren, also welche Gefahren haben wir im Unternehmen und wie kritisch sind die Risiken? Daraus ergibt sich der Handlungsbedarf. Im Rahmen der Strategieformulierung geht es dann darum, einerseits Optionen für Gegenmassnahmen wie zum Beispiel Penetration-Tests und Bug-Bounty-Programme zu erarbeiten. Andererseits ist die Risikobereitschaft zu bestimmen. Aus der Summe daraus ergibt sich das Massnahmenpaket. Welches dann geplant und umgesetzt wird.