Drei Schritte für ein risikobasiertes Cyber-Sicherheitskonzept

Cyber-Security als Risikomanagement-Thema

Die Antwort liegt in einem Paradigmenwechsel: Cyber-Security sollte zum Risikomanagement-Thema werden. Es reicht nicht, digitale Sicherheit lediglich als Thema für die IT-Abteilung zu betrachten. Cyber-Risiken verhalten sich ähnlich wie andere komplexe und systemkritische Risiken wie Feuer, Einbruch oder Wasserschäden. Deshalb gilt es, die Sicherheitskonzepte konsequent in die Gesamt-Unternehmensstrategie einzufügen. Dazu sind drei grundlegende Schritte nötig:

1. Kronjuwelen identifizieren: An erster Stelle sollten die Assets der Organisation gesammelt und priorisiert werden. Schließlich gilt: Nicht alle Informationen und Unternehmenswerte sind gleich wichtig. Die meisten Kapazitäten sollten darauf ausgerichtet sein, die sprichwörtlichen Kronjuwelen zu schützen. Um die nötige Aktualität zu gewährleisten und die Bewertung immer an die unternehmerische Situation anzupassen, sollte so eine Prüfung regelmäßig stattfinden.

2. Risiken analysieren: Im nächsten Schritt sollten möglichst genau die Risiken festgestellt werden, welche die Assets bedrohen. Außerdem sollte klar entschieden werden, welches Risiko organisatorisch akzeptabel ist. Kurz: Welches Schutzniveau ist wirtschaftlich sinnvoll?

3. Maßnahmen etablieren: Mit diesem Wissen können dann Maßnahmen ausgewählt werden, die den höchsten Beitrag leisten diese Risiken zu reduzieren und die Widerstandsfähigkeit gegen Cyberangriffe auf Kernprozesse des Unternehmens zu erhöhen. Dies beinhaltet explizit auch die Schaffung effektiver Organisations- und Führungsstrukturen, die für Transparenz sorgen und ermöglichen, auf neue Bedrohungen agil zu reagieren und Schutzsysteme entsprechend anzupassen.

1. Drei Schritte für ein risikobasiertes Cyber-Sicherheitskonzept
2. Cyber-Security als Risikomanagement-Thema
3. Konsequente Unterstützung nötig