Serial Chairman | Chartered Director, FIoD | Serial International Non-Executive Director | Ex-Group CEO | Accredited Business Angel | Cybersecurity at Boards | High-Tech Enthusiat | Cert. Restructuring Advisor |
๐๐๐ง๐ง๐๐ง ๐๐ข๐ ๐๐ข๐ 1-๐๐ข๐ฅ๐ฅ๐ข๐จ๐ง๐๐ง ๐๐จ๐ฅ๐ฅ๐๐ซ ๐ ๐ซ๐๐ ๐ ๐ณ๐ฎ๐ซ ๐๐ฒ๐๐๐ซ ๐๐๐๐ฎ๐ซ๐ข๐ญ๐ฒ? Und, warum die Antwort besonders Aufsichtsrรคte, Beirรคte und Vorstรคnde betrifft? Jay Chaudhry, der CEO/Grรผnder von Zscaler, ein groรer globalen Cloud Security Provider, beantwortet in dem beigefรผgten Artikel die Frage: "Warum gibt es so viele Sicherheitsverletzungen, obwohl die Ausgaben fรผr Cybersecurity so hoch sind?" Die Antwort liegt in der ๐๐จ๐ฆ๐ฉ๐ฅ๐๐ฑ๐ข๐ญรค๐ญ ๐ฎ๐ง๐ ๐๐ข๐๐ฅ๐ฌ๐๐ก๐ข๐๐ก๐ญ๐ข๐ ๐ค๐๐ข๐ญ des Themas und, Cybersecurity ist nicht primรคr ein Thema der IT-Abteilung, sondern des gesamten Unternehmens und aller seiner Fรผhrungskrรคfte. In den ๐๐๐ mรผssen durch ๐๐ข๐ ๐ง๐๐ฎ๐๐ง ๐๐๐-๐๐๐ ๐๐ฅ๐ง bedeutende Cybersecurity-Vorfรคlle innerhalb von nur vier Tagen gemeldet und Vorstรคnde sowie auch Aufsichtsrรคte mรผssen nun ein tiefgreifendes Verstรคndnis zum Schutz und zur รberwachung von Cyber-Risiken gewรคhrleisten. Ansonsten haften sie fรผr nicht pflichtgemรครes Handeln. รhnliche Regelungen werden auch in ๐๐๐ฎ๐ญ๐ฌ๐๐ก๐ฅ๐๐ง๐ im Laufe des nรคchsten Jahres mit der ๐๐๐-2-๐๐ข๐๐ก๐ญ๐ฅ๐ข๐ง๐ข๐ Wirkung entfalten. Wegducken geht dann nicht mehr, zumindest nicht ohne Konsequenzen. . ย ๐๐๐๐๐ค๐ญ๐ข๐ฏ๐ ๐๐ข๐ฌ๐ข๐ค๐จ๐๐๐ฐ๐๐ซ๐ญ๐ฎ๐ง๐ durch die Unternehmensfรผhrung ist hier eine Schlรผsselkompetenz. Cyber-Risiken sollten hier in drei Kategorien unterteilt werden: ๐๐๐ข๐ง๐๐๐ซ๐๐๐ซ๐๐ฌ ๐๐ข๐ฌ๐ข๐ค๐จ, also ein durch Investitionen und Training erfassbars und beherrschbares Risiko. ๐ร๐๐๐ซ๐ญ๐ซ๐๐ ๐๐๐ซ๐๐ฌ ๐๐ข๐ฌ๐ข๐ค๐จ, also ein durch z:B. eine Cyber-Versicherung zu deckendes Risiko. ๐๐๐ค๐ณ๐๐ฉ๐ญ๐๐๐ฅ๐๐ฌ ๐๐ข๐ฌ๐ข๐ค๐จ, also das Risiko, das das Unternehmen als ganzes auch tragen kann. Eine realistische Einschรคtzung dieser Risiken ist entscheidend, um eine fundierte ๐๐ฒ๐๐๐ซ๐ฌ๐๐๐ฎ๐ซ๐ข๐ญ๐ฒ-๐๐ญ๐ซ๐๐ญ๐๐ ๐ข๐ zu entwickeln. Hier ๐ฏ๐ข๐๐ซ ๐๐๐ซ๐ง๐๐ซ๐๐ ๐๐ง zur Risikobewertung lauten: 1. Wo bietet meine Organisation eine Angriffsflรคche? (VPN, private Apps, externe Firewall usw.) 2. Wie wahrscheinlich ist ein Angriff auf diese Schwachstellen? (via Phishing, Ransomware Attacke usw. 3. Kรถnnen erfolgreiche Angreifer in meinem Netzwerk sensible Daten finden? 4. Wie hoch ist das Risiko, dass diese Daten gestohlen werden? Die ๐๐๐ซ๐จ-๐๐ซ๐ฎ๐ฌ๐ญ-๐๐ซ๐๐ก๐ข๐ญ๐๐ค๐ญ๐ฎ๐ซย ist hierbei ein strategischer Ansatz, die Risiken im Griff zu behalten. Zero-Trust bedeutet hier,in aller Kรผrze: Vertrauen ist gefรคhrlich, Kontrolle und รberwachung ist gut! Diesen spannenden Ansatz hier auszubreiten, wรผrden den Rahmen diese Beitrags sprengen. Im Artikel gibt es einige Ansรคtze hierzu. Mehr davon vielleicht mal in einem anderen Beitrag. Also, ๐๐๐ซ๐ญ๐๐ง ๐ฎ๐ง๐ ๐๐จ๐๐๐๐ง ๐ข๐ฌ๐ญ ๐ค๐๐ข๐ง๐ ๐๐ญ๐ซ๐๐ญ๐๐ ๐ข๐! Bringt keine Millionen, sonder kosten viele. Hat Ihnen der Beitrag gefallen? Dann freue ich mich รผber einen ๐๐จ๐ฆ๐ฆ๐๐ง๐ญ๐๐ซ und einen ๐๐ข๐ค๐. Besten Dank. #Aufsichtsratย #Beiratย #Geschรคftsfรผhrungย #Vorstandย #leadershipย #cybersecurityย
Die Verantwortung bezgl. der Cybersicherheit sollte nicht bei der IT -Abteilung liegen. Cybersicherheit muss als Stabsstelle angesehen werden. Direkter Zugang zum Vorstand und/oder Aufsichtsrat. Dier SEC verlangt auch entsprechende Nachweise, das das Wissen und Verstรคndnis im Vorstand/ Aufsichtsrat vorhanden ist. Ja Cybersicherheit kostet, aber in wenigen Jahren wird der Punkt Cybersicherheit auch im Bereich Wettbewerb eine entscheidende Rolle spielen. Lieferanten werden nur noch zum Zuge kommen, wenn sie sich entsprechend aufgestellt haben.
Informationssicherheit fรคngt bei allen Mitarbeitern im Unternehmen an und ist nicht nur eine Angelegenheit der IT Abteilung. Dies kann nicht hรคufig genug betont werden. Sehr guter Beitrag.
Bitte korrigieren wenn ich mich irre. NIS-2 gilt doch nur fรผr KRITIS-Betreiber?! Da bleibt also noch sehr viel Spielraum zum Wegducken fรผr Unternehmen aller Arten und Grรถรen. Dieser Spielraum wird auch weiterhin auf den letzten Millimeter genutzt werden. Sicherheit sieht man selten, macht vieles nicht einfacher und trรคgt erst mal nichts zu Umsatz und Gewinn bei. Sie steht also immer auf der Soll- und nie auf der Haben-Seite. Passiert nichts weil Security an 100% implementiert heiรt es "Wofรผr bezahlen wir das und betreiben den Aufwand? Ist doch noch nie was passiert". Passiert etwas, weil nur rudimentรคr implementiert heiรt es "Wofรผr haben wir das bezahlt? Ist ja doch was passiert". Passiert etwas weil nichts gemacht wurde heiรt es "Warum hast du nicht noch deutlicher darauf hingewiesen" ๐คท๐ผโ๏ธ Wie sagte einer meiner Lehrer seinerzeit: Niemand wird jemals sagen "Soll ich dir mal meinen neuen Fi-Schalter zeigen? Aber jeder sagt "Willst du mal mein neues Auto sehen?"
Sicherheit kostet viel. Vor allem Zeit, Geld und Komfort. Und das Thema nervt, obwohl es so wichtig ist. Aus diesem Grund hat die SIT Computers zusammen mit der terraXaler GmbH den Xaler NIS2 Edition entwickelt. Da ist alles drin, was es fรผr dieses Thema braucht. Im Falle eines Angriffes kann mittels TFOF (Trojaner Fu*k Off Feature) in der Zeit einfach zurรผck gespult werden und forensich bleibt alles erhalten. Security Awerness inklusive. Das Thema kann also sehr, sehr einfach sein. Wenn man will...
Danke fรผr den Artikel. Ja, ich stimme zu das SEC ein gutes Beispiel und das NIS-2 zumindest ein Versuch ist fรผr mehr Informationnssicherheit zu sorgen. Leider scheint der Gesetzgeber es aber zu versรคumen eine breitere Masse zu erreichen. Der Staat geht einfach nicht strikt genug, insbesondere auch in den eigenen Strukturen, mit dem Thema um. Viele รถffentliche Unternehmen und Organisationen sind nicht in Scope. Auch werden die Organisationsverantwortlichen im รถffentlichen Sektor nicht in die Pflicht/Haftung genommen. Es ist im Umkehrschluss auch davon auszugehen, dass der Staat und die Lรคnder ihre (nachgeordneten) Organisationen nicht mit den notwendigen Ressourcen austatten werden. Vorfรคlle in Verwaltungen, Landkreisen etc. werden wohl weiter regelmรครig negative Schlagzeilen machen. Mit gutem Beispiel vorangehen sollen/mรผssen Andere...
Geld wird oftmals ineffizient ausgegeben, wenn es um IT-Sicherheit geht. Durch den Zeitdruck in der IT kauft man gerne noch ein weiteres Produkt, da Hersteller durch den Zukauf Besserung in Aussicht stellen. Die eigentlichen Probleme werden aber nicht aufgedeckt und nicht behoben.
OLIVER F. GOSEMANN Cybersecurity ist ein Thema des gesamten Unternehmens. In IT und OT und auch im Einkauf. Wer an Cybersecurity Produkte, Service und Mitarbeiterschulung spart, spart am falschen Ende. Noch ein Thema halte ich fรผr wichtig bei der Auswahl von Produkten. Fragen Sie Ihren Lieferanten, ob die Produkte nach der IEC Methodik Security by Design entwickelt wurden und wie die โSecurity-Hรคrtungโ erfolgte. Ein Security-Stresstest ist ein must have. Wenn Sie heute eine neue Netzwerkinfrastruktur planen, dann wรผrde ich mir in jedem Fall eine private #5G Infrastruktur mal auf den โZettelโ schreiben. Warum? Das Unternehmen hat das #P5G Netzwerk und die Daten selbst unter Kontrolle und gerade bei 24/7/365 mit 6 9s ein wertiges Thema. Die Industrie geht schon weltweit diesen Weg, aber auch Krankenhรคuser z.B setzen auf #P5G. Warum? Zuverlรคssig und sicher! In Industrie OT sollten auch nur Protokolle mit Security integrated wie z.B. #OPCUA zum Einsatz kommen. Bei der Lieferantenauswahl ist ein wichtiger #DigitalTrust Punkt die Frage: โSetzen Sie in Ihrem Unternehmen auch die Produkte und Services ein, die sie mir vorschlagenโ?
Der Stand der Technik muss konsequent von allen umgesetzt werden. Und das gilt insbesondere auch fรผr Behรถrden. Wir sehen ja mit NIS2 mal wieder wie unangenehm, das Thema so manchen ist.
Vielen Dank fรผr den Artikel und warnende Worte ... das Thema ist ja jetzt schon groร und wird von manchen groรen Unternehmen, zudem von vielen KMUs noch nicht ausreichend bearbeitet.
Serial Chairman | Chartered Director, FIoD | Serial International Non-Executive Director | Ex-Group CEO | Accredited Business Angel | Cybersecurity at Boards | High-Tech Enthusiat | Cert. Restructuring Advisor |
6moHier der Link zum Artikel: https://www.forbes.com/sites/forbestechcouncil/2023/11/06/the-million-dollar-cybersecurity-question/?sh=77fc71896b60