Greg Day von Palo Alto Networks ist überzeugt: Neue EU-Datenschutzvorschriften werden in den Führungsetagen für einen großen Weckruf in Sachen Cybersicherheit sorgen. [...]
In Europa übertragen wir immer noch viel zu viel Verantwortung und Rechenschaftspflicht für Internetsicherheit der IT-Abteilung. Laut einer Umfrage von Palo Alto Networks glaubt fast die Hälfte der Manager in europäischen Unternehmen, dass die letzte Verantwortung für von den Schutz eines Unternehmens vor Cybergefahren bei der IT liegt. Und was noch überraschender ist: Mehr als die Hälfte der IT-Abteilungen stimmen dem zu. Dies sind schockierende Erkenntnisse, weil sie einfach so nicht wahr sind.
Cybersicherheit ist nicht wie „normale“ Sicherheit, wo ein „Pförtner“ den Zutritt zum Unternehmen und zu seinen Datenbeständen schützt. Auch wenn die Auswahl spezifischer Technologielösungen der IT obliegt, hat jeder im Unternehmen ein gewisses Maß an Verantwortung. Wenn wir uns jedoch auf „Rechenschaftspflicht und Verantwortung“ konzentrieren, dann betonen die Führungskräfte gerne die Bedeutung der Sicherheit für die Mitarbeiter. Sie sind jedoch diejenigen, die eine Top-down-Strategie verfolgen oder entwickeln sollten, die auf das Risiko ihrer Firma zugeschnitten ist.
DIE WIRKUNG DER NEUEN EUROPÄISCHEN DATENSCHUTZBESTIMMUNGEN
Hinzu kommt in der Europäischen Union eine Einigung über die Datenschutz-Grundverordnung (BIPR) und die Richtlinie zur Netz- und Informationssicherheit (NIS). Diese werden von den Unternehmen verlangen, bestimmte Cybersicherheitsanforderungen nach aktuellem Stand der Technik zu erfüllen.
Es drohen nicht unbedeutende finanzielle und die Reputation betreffende Auswirkungen für Unternehmen. Das Management wird verstehen müssen, dass ihr Unternehmen von Geldbußen betroffen sein könnte – und in einigen Fällen könnten die Kunden im Falle einer Datenschutzverletzung Schadenersatzforderungen stellen.
Datenschutzregeln und Verantwortlichkeiten werden künftig verfeinert werden. Das bedeutet, dass, wenn das Management dies nicht bereits umgesetzt hat, es die Pflicht hat, dafür zu sorgen, dass jeder im Unternehmen entsprechend den neuen Vorschriften arbeitet. Es kann nicht sein, dass die Last der Verantwortung weiterhin der IT-Abteilung aufgeladen wird.
EINE LÜCKE BLEIBT BEI DER BETRACHTUNG DER CYBERSICHERHEIT SEITENS DES MANAGEMENTS
Ermutigend ist, dass die Mehrheit (83 Prozent) der Befragten der Geschäftsleitung angibt, über Cybersicherheit gut informiert zu sein. Dennoch bleibt eine nicht so unbedeutende Gruppe von hochrangigen Führungskräften übrig, bei der es noch Nachholbedarf gibt. Palo Alto Networks fragte C-Level-Führungskräfte, wodurch ein Online-Sicherheitsrisiko genau definiert ist, und einer von zehn Befragten sagte, dies nur „ungefähr“ zu verstehen und auf Google zurückgreifen zu müssen, um es erklären zu können.
Gegenwärtig scheint es somit, dass in einigen Unternehmen ein Mangel an Kommunikation zwischen dem Management und der IT vorherrscht, was die Bedeutung der Cybersicherheit und möglicher Schäden durch eine Datenschutzverletzung angeht. Die bevorstehenden regulatorischen Änderungen bieten Unternehmen die Möglichkeit, ihre Sicherheitsstrategie zu überarbeiten. Die neuen Regelungen zielen darauf ab, die Anforderungen in der EU zu harmonisieren, mit klar definierten Zuständigkeiten und Erwartungen. Die Sanktionen und der Fokus auf Cybersicherheit auf EU-Ebene sollten ein Weckruf für alle Unternehmen sein, um das nötige Engagement in der Führungsetage zu gewährleisten.
Es gibt keinen Raum für laxe Sicherheitspraktiken, egal auf welcher Ebene eines Unternehmens, aber einige rangniedrigere Mitarbeiter werden sicher nicht immer positive Nachrichten vom Management erhalten. Obwohl die Mehrheit der Mitarbeiter ein wachsendes Verständnis für Cyberrisiken auf Unternehmensebene mitbringt, glaubt einer von zehn Befragten, dass es dem Führungsteam oder dem Vorstand an entsprechenden Fähigkeiten mangelt, um Cyberangriffe zu verhindern.
FÜR CYBERSICHERHEIT TRÄGT JEDER VERANTWORTUNG
Einige Führungskräfte sind bereit, in fortschrittliche Sicherheitstechnologie zu investieren, aber es nützt nichts, wenn sie die Verantwortung auf die IT-Abteilung abwerfen und einen vollständigen Schutz erwarten. Sie müssen das Thema Cybersicherheit selbst sehr gut verstehen, einschließlich Regeln, Verwaltung und Kommunikation im gesamten Unternehmen, zusätzlich zur rein technologischen Lösung.
Sicherheitsregeln und Risikomanagement sind hierfür der Schlüssel. Die Daten zu schützen, sollte ein Thema für das gesamte Unternehmen sein, denn es ist ein Thema, das über IT hinausgeht. Sicherheits- und Risikobewertungen müssen mit voller Unterstützung und Expertise des Managements durchgeführt werden. Zudem gilt es zu verstehen, welche Vermögenswerte am wertvollsten und damit am meisten gefährdet sind.
Gerade jetzt, scheint es, dass es deswegen an der Spitze der Unternehmen Herausforderungen zu bewältigen gibt. Die möglichen Folgen werden einige Führungskräfte motivieren, Cybersicherheit als unternehmensweites Problem – und nicht nur der IT – zu behandeln. Genau das ist es, worauf es jetzt ankommt.
* Greg Day ist Vice President und Regional Chief Security Officer für Europa, Nahost und Afrika bei Palo Alto Networks.
Be the first to comment