Cybersecurity

Internationale Unternehmen im Spannungsfeld

30. September 2019, 14:33 Uhr | Autor: Marko Vogel / Redaktion: Diana Künstler

Für global agierende Unternehmen nimmt das Sicherheitsrisiko mit steigender Digitalisierung zu, denn auch Geschäftsmodelle werden immer digitaler. Je länger die Wertschöpfungskette, desto universeller muss die Cybersecurity-Strategie angelegt sein.

Für 53 Prozent der CEOs weltweit stellt sich derzeit nicht mehr die Frage, ob das eigene Unternehmen Ziel eines Cyberangriffs wird, sondern vielmehr wann. Das zeigt der Global CEO Outlook 2019, eine Studie von KPMG, für die weltweit rund 1.300 CEOs von Großunternehmen befragt wurden. Ein Ergebnis, das beweist, wie realistisch Angriffsszenarien für Unternehmen sind. Implementierte Strategien für Cyber- und Datensicherheit sind für die Existenz eines internationalen Unternehmens unabdingbar – und zwar zu jeder Zeit – nicht nur, wenn gerade in der Öffentlichkeit über große Angriffe berichtet wird.

Mehr als nur technische Prävention
Vor diesem Hintergrund sollte es für internationale Unternehmen zu den essenziellen Schutzmaßnahmen gehören, sich auf den Ernstfall – sprich auf einen Angriff – vorzubereiten. Der Global CEO Outlook 2019 zeigt: Noch immer geben nur 68 Prozent der CEOs weltweit an, dass ihr Unternehmen solche Vorbereitungsmaßnahmen schon getroffen hat. Dabei kommt es für die Zukunftsfähigkeit digitaler Geschäftsmodelle unbedingt darauf an, Angriffe so früh wie möglich zu erkennen. Nur so können Unternehmen bestmöglich darauf reagieren.

Technische Prävention allein genügt jedoch in Zeiten digitaler Geschäftsmodelle nicht. Denn zur Absicherung gegen die Angriffe gehört mehr als nur die Detektion von Angriffen. Um den Schaden im Fall der Fälle zu minimieren und bestmöglich auf Hacker, Datendiebe und Co. zu reagieren, müssen für die Gegenwehr klare Verantwortlichkeiten mit definierten Prozessen und Abläufen festgelegt sein. Hier spielen auch funktionierende Mechanismen zum Wiederanlauf von Systemen und zur Wiederherstellung von Daten eine wichtige Rolle.

Security CoE kann Spannungsfeld lösen
Für Unternehmen mit internationalen Wertschöpfungsketten taucht bei der Implementierung solcher Maßnahmen und Strategien häufig schnell ein weiteres Problem in puncto langer Lieferketten und Digitalisierung auf. So finden sie sich entlang der Wertschöpfungskette nicht selten in einem weiten Spannungsfeld aus national verschiedenen Sicherheitsstandards wieder. Denn Standards, die im Land des Unternehmenshauptsitzes gelten, müssen nicht unbedingt der Norm an einem internationalen Standort, einer ausländischen Produktionsstätte oder dem Sitz eines Dienstleisters entsprechen. Internationale Unternehmen stehen hier vor der Herausforderung, angemessene Informationssicherheitsstandards und -strategien global umzusetzen und zu steuern.

Auch wenn weltweit anerkannte Standards wie ISO 27000 und NIST internationalen Unternehmen beim Aufbau und der Ausrichtung ihrer Informationssicherheitsorganisationen Orientierung bieten (siehe dazu Infokasten anbei), ist das eine große Aufgabe. Dazu kommen immer mehr nationale Cybersecurity-Gesetze, die den Überblick und die Umsetzung für internationale Unternehmen zusätzlich erschweren. Um dem Spannungsfeld der national verschiedenen Regularien und der zunehmenden Digitalisierung und Globalisierung ihrer Geschäftsmodelle zu begegnen, sollten internationale Unternehmen den Aufbau eines Security Center of Excellence (CoE) erwägen. Ein solches besteht in der Regel aus einem Expertenteam, das Tools, Ressourcen und Kompetenzen für alle Herausforderungen und Probleme rund um die Cybersecurity an einem zentralen Ort bündelt. Dabei bedient man sich zahlreicher Best Practices und Tools. Ein ausgereiftes Kompetenzzentrum ist eine eigenständige Einheit, die dafür verantwortlich ist, das Geschäft zu unterstützen und selbst komplexeste Projekte bis zum erfolgreichen Abschluss zu begleiten. Anstatt also an jedem Standort oder Knotenpunkt der Wertschöpfungskette eigene Maßnahmen zu implementieren, stellt ein Security Center of Excellence sicher, dass Services und Lösungen konsistent durch standardisierte Prozesse und kompetente Spezialisten für alle Unternehmenseinheiten weltweit erbracht werden.

Indem die für die Sicherheitsziele notwendigen Maßnahmen im Security Center of Excellence übergreifend entwickelt und auf einen Nenner gebracht werden, sorgen internationale Unternehmen nicht nur für weniger Risiken in der Datenkette, sondern sparen zudem lokale Ressourcen und Kosten.

Bewusstsein auf Führungsebene schaffen
Damit Präventionsmaßnahmen oder der Aufbau eines Security Center of Excellence aber überhaupt erst realisiert werden können, müssen sich Führungsverantwortliche in internationalen Unternehmen der aktuellen Situation und der Herausforderungen bewusst sein. So liegt das Thema Cybersecurity zunächst nicht bei den IT-Experten eines Unternehmens, sondern beginnt auf der Führungsebene. Nur wenn das Interesse und der Antrieb aus den oberen Etagen kommen, können entsprechende Spezialisten konkrete Maßnahmen dann auch technisch umsetzen und beispielsweise zentral gebündelte Services und Lösungen realisieren. Auch Vorstände internationaler Unternehmen müssen das Thema Sicherheit also auf ihrer Agenda haben und das ABC der Cybersecurity beherrschen. Grundsätzlich sollten sich diese als einen ersten Schritt in Richtung Cybersecurity grundlegend die folgenden drei Fragen stellen:

Welche Cyberrisiken oder -vorfälle können im Unternehmen signifikante Schäden verursachen?
Welche Daten sind die Kronjuwelen des Unternehmens und sind diese durchgängig und ausreichend geschützt?
Welche neuen Bedrohungen, insbesondere für digitale Geschäftsmodelle, bestehen? Welche Maßnahmen können hier greifen?

Marko Vogel ist Partner im Bereich Security Consulting der KPMG