Trend: Wenn Datenklau oder CEO Fraud Schlagzeilen machen, sind in der Regel große Konzerne betroffen. Warum ist Cybersecurity in mittelständischen Unternehmen genauso wichtig?
Georg Schwondra: Ein Security Breach bei einem großen Konzern wird üblicherweise breiter in den Medien publiziert. Wir sehen aber auch vermehrte Angriffe auf den Mittelstand. Ursache dürfte mitunter die schlechtere Cyberabsicherung im Vergleich zu großen Unternehmen sein. Im Gegensatz zu einem großen Konzern, der zumeist dank einer entsprechenden Cyber-Insurance einen Breach verkraftet, kann ein solcher Vorfall für einen Mittelständler existenzbedrohend werden. Im Mittelstand sind zudem Cyber-Insurance-Polizzen nicht so verbreitet. Das führt dazu, dass das betroffene Unternehmen die Folgekosten nach einem entsprechenden Vorfall selbst tragen muss. Für den Mittelstand ist es daher genauso wichtig, eine adäquate Cybersecurity im Unternehmen umzusetzen.
Welche Abteilungen beziehungsweise Bereiche in Unternehmen sind am stärksten von den Risiken betroffen?
In Unternehmen sind üblicherweise jene Abteilungen, die Finanztransaktionen abwickeln oder schützenswerte Güter erstellen, dem höchsten Risiko ausgesetzt. Natürlich ist das Topmanagement auch ein beliebtes Ziel. Aber generell kann bei praktisch keiner Abteilung ausgeschlossen werden, dass es zu einem Angriff kommt.
Wenn alle Unternehmensbereiche betroffen sein können, wie schützt man sich dann am besten?
Wir empfehlen eine Basisabsicherung für das gesamte Unternehmen und ergänzende Security-Maßnahmen für die besonders exponierten Bereiche. Grundsätzlich ist ein Unternehmen nur so sicher wie sein schwächstes Glied. Sicherheit sollte ganzheitlich betrachtet und geplant werden, mit dem Ziel, den Impact eines solchen Incidents zu limitieren. Ein Beispiel: Wenn es gelingt, eine Ransomware in die Produktion einzuschleusen, so kommt es bei schlechter Basisabsicherung leicht zum Stillstand des gesamten Unternehmens. Wenn man allerdings seine Hausaufgaben gemacht hat, verhindern die implementierten Maßnahmen die Verbreitung der Ransomware und der Impact bleibt überschaubar.
Worauf sollten sich Unternehmen konzentrieren? Sind präventive Maßnahmen ausreichend oder müssen auch Notfallpläne in der Schublade liegen – weil es ja nie eine 100-prozentige Sicherheit geben kann? Auf welcher Ebene im Unternehmen sollte das Thema angesiedelt sein?
Wir empfehlen die Absicherung auf Basis eines risikobasierten Ansatzes – mit sowohl präventiven als auch reaktiven Maßnahmen. Im Zuge eines Reifegrad-Assessments ermitteln wir den Ist-Reifegrad der Cybersecurity im Unternehmen. Dann erarbeiten wir via Peer-Review gemeinsam mit dem Kunden den Zielreifegrad. Dieser wird verwendet, um alle notwendigen Bereiche der Security auf den gewünschten Stand zu bringen – damit kann das Unternehmen ganzheitlich und risikobasiert abgesichert werden. Unserer Erfahrung nach muss Security als direkte Reporting-Line zum Topmanagement angesiedelt werden. Dadurch wird sichergestellt, dass das Topmanagement die Risiken kennt und schnell Entscheidungen getroffen werden können.
Wie hoch ist der Stellenwert der externen Beratung in diesem Bereich? Können Stresstests, Schulungen usw. helfen, um die Cybersicherheit zu verbessern?
Der Prophet im eigenen Land zählt wenig – daher werden oft externe Berater hinzugezogen, die diese Aufgaben bereits mehrfach absolviert haben und einschlägige Erfahrung mit einbringen. Stress- und Securitytests helfen, die Sicherheit zu verbessern, sind allerdings kein Allheilmittel. Wir empfehlen im Vorfeld, eine in die IT-Strategie eingebettete Cyberstrategie zu entwickeln, um die entsprechenden Maßnahmen umzusetzen. Erst danach machen Tests wirklich Sinn. Wir helfen den Unternehmen einerseits mit Ansätzen wie Penetration-Tests und andererseits mit Krisenübungen, um sich auf die Krisensituation vorzubereiten.
Wieso wurde Cybersecurity neben Nachhaltigkeit als neuer Schwerpunktbereich in das Bewertungsmodell von „Best Managed Companies“ aufgenommen? Welchen Mehrwert bringt diese Ergänzung für die teilnehmenden Unternehmen?
Bei „Best Managed Companies“ werden hervorragend geführte Unternehmen ausgezeichnet. Neben Sustainability ist Cyber-Risk das zentrale Thema, worum sich jedes Unternehmen zwingend kümmern muss. Nur wenn hier eine gute Absicherung erfolgt, kann Resilienz erreicht werden. Es ist keine Frage mehr, ob ein Unternehmen Ziel einer erfolgreichen Attacke wird, sondern nur, wann diese erfolgt. Nur ein resilientes Unternehmen ist hier nachhaltig geschützt. Das global etablierte Bewertungsmodell erlaubt einen guten Abgleich der eigenen Strategie mit internationalen Benchmarks.
Are you best in class?
Best Managed Companies
ist ein international etabliertes Programm, das hervorragend geführte Unternehmen auszeichnet. Die teilnehmenden Unternehmen werden von einer unabhängigen Expertenjury in den vier Schwerpunktbereichen Strategie, Governance & Finance, Produktivität & Innovation sowie Kultur & Commitment bewertet. Unternehmen, die in all diesen Bereichen überzeugen können, werden ausgezeichnet.
Der Bewerbungsprozess wird von jeweils zwei erfahrenen Beratern von Deloitte begleitet. Zentrales Element ist ein Workshop gemeinsam mit dem Topmanagement, um bestmögliche Bewerbungsunterlagen zu erstellen. Dabei wird die Führungsarbeit der jeweiligen Unternehmen mit international erprobten „Leading Practices“ abgeglichen.
Interessierte mittelständische Unternehmen können sich ab sofort für die Neuauflage des gelungenen Programms bewerben.
Nähere Informationen finden Sie unter www.deloitte.at/bestmanaged
