Ich hatte Anfang des Jahres schon einen Beitrag zum Thema IT- bzw. Cybersecurity speziell für Geschäftsführer geschrieben. Da das Thema aber weiterhin sehr brisant ist und auch der Allianz Global Risk Report Cybersecurity weiterhin als eine der größten Gefährdungen für Unternehmen ansieht (siehe Grafik), möchte ich hier gerne ein Update liefern.

Sie sehen gerade einen Platzhalterinhalt von Standard. Um auf den eigentlichen Inhalt zuzugreifen, klicken Sie auf den Button unten. Bitte beachten Sie, dass dabei Daten an Drittanbieter weitergegeben werden.

Weitere Informationen

Im gestrigen CIO-Stammtisch der Region Nordwestdeutschland hatten wir Cybersecurity-Experten der Bechtle AG zu Gast und es war sehr spannend. Herzlichen Dank an dieser Stelle an Christian Wolken und Jan Köhler von der Bechtle AG. Die gesammelten Erkenntnisse sind sicherlich auch für andere CIOs und Geschäftsführer relevant.

Die Top 3 Präventionsmaßnahmen im Bereich IT- und Cybersecurity im Überblick

  1. Awareness schaffen (z.B. durch Awareness-Kampagnen für alle Mitarbeiter)
  2. Notfallstrategie erarbeiten (schon jetzt mit der Geschäftsführung klären, wie in einem Notfall bzw. Hackerangriff gehandelt werden soll)
  3. Kommunikationsstrategie für den Notfall erarbeiten (Folgende Stakheolder-Gruppe müssen betrachtet werden: Kunden und Lieferanten, Mitarbeiter sowie die Pressestelle und das Marketing einbeziehen.)

Man erkennt, dass spannenderweise alle Top-3-Maßnahmen organisatorischer Natur sind. Die Technik ist in den meisten Fällen beherrschbar:  Aber bei IT-Security wird nicht die Organisation und Strategie gedacht. Und genau hier muss auch die Geschäftsführung involviert werden. Denn es gibt wesentliche Entscheidungen für das Unternehmen zu treffen. Und diese Entscheidungen sollten frühzeitig getroffen werdent, denn in der Paniksituation eines schon erfolgten Hackerangriffes ist es schwierig mit kühlem Kopf richtig zu entscheiden.

Um aber auch die Technikseite zu ergänzen – Die Top 3 der technischen Prävention im Überblick:

  1. Alle Ports, die nicht unbedingt benötigt werden müssen geschlossen sein
  2. Alle Patches (insbesondere die Microsoft Patches) immer so schnell wie möglich installieren
  3. Firewall- und Endpoint-Technologie auf dem neuesten Stand haben und halten

Cyberversicherung: Macht ein Abschluss Sinn? Worauf ist zu achten?

Prinzipiell macht ein Abschluss einer Cyberversicherung Sinn. Viele Fragen der Versicherung helfen für die Vorbereitung auf einen Hackerangriff und sind daher sinnvoll. Es ist wichtig, genau zu prüfen was Bestandteil der Versicherung ist und welche Vorrausetzungen getroffen werden müssen.

Was ist zu tun wenn der Notfall eingetreten ist (Hackerangriff war erfolgreich)?

  • Auf jeden Fall nicht die Server herunterfahren
  • Polizei einschalten. Auch um die Schäden durch die gerade genannte Versicherung abdecken zu können muss und sollte die Polizei eingeschaltet werden. Beispielhafte Informationen des LKA Niedersachsen finden Sie hier.
  • Kommunikation extern (Kunden und Lieferanten) sowie intern (Mitarbeiter) starten. Kommunikation mit der Presse klären (was darf bzw. soll berichtet werden und was nicht.)
  • Behörden informieren (Datenschutzbehörde des Landes) – hier auch wieder ein Link beispielhaft für Niederschsen
  • Ruhe bewahren, Dienstleister informieren.

Was ist proaktiv (ergo vor einem Hackerangriff) auf jeden Fall mit der Geschäftsführung zu klären?

  • Proaktive Klärung mit der Geschäftsführung, ob eine Lösegeldforderung bezahlt werden soll bzw. in welchen Fällen bezahlt werden soll und in welchen Fällen nicht.
  • Klärung der Kommunikation in Richtung Kunden und Lieferanten. Wie informiert man Mitarbeiter? Idealerweise auch jetzt schon Gespräche mit dem Betriebsrat führen und HR-Verantwortliche einbeziehen, um im Falle eines Falles vorbereitet zu sein.
  • Klärung bzgl. Öffentlichkeitsarbeit und Pressekommunikation. Was soll bzw. darf und muss kommuniziert werden?
  • Wie kann man Imageschäden möglichst reduzieren? Auch hier hilft es, proaktiv Ideen zu entwickeln, einen möglichen Angriff möglichst ohne großen Schaden in Bezug auf Image und Marke zu überstehen.

Es gilt: Strategie vor Organisation vor Technik bei dem Thema Cybersecurity.

Daher ist es so wichtig, dass nicht nur die IT die Technik im Griff hat, sondern die Geschäftsführung, HR, Öffentlichkeitsarbeit und Betriebsrat involviert sind. Ich wünsche Ihnen, dass dieses Thema an Ihnen vorbei geht. Trotzdem gilt leider auch hier: Eine gute Vorbereitung ist die halbe Miete!

Herzliche Grüße

Volker Johanning

Ähnliche Blogbeiträge zum Weiterlesen:

M&A-Projekte scheitern an der IT

Was sind die Gründe, warum M&A-Projekte oftmals an der IT scheitern? .. Die Geschäftsführung und der Vorstand müssen die IT stärker einbeziehen H Studie in der Computerwoche...

mehr lesen