Cyberkriminalität muss nicht einfach hingenommen werden. Mithilfe einer Sicherheitskultur – einer rigorosen Strategie für das Risikomanagement, bei der Mitarbeitende im Fokus stehen – können Unternehmen für die nötige Wachsamkeit sorgen, um Bedrohungen abzuwehren.
Eine Sicherheitslücke bei Log4J, Schwachstellen bei SolarWinds oder die Frischkäseknappheit in den Vereinigten Staaten während der letzten Weihnachtssaison, die zum Teil auf einen Cyberangriff zurückzuführen war – aufgrund dieser und anderer Vorfälle sind Unternehmen aktuell damit beschäftigt, ihre Sicherheitsstrategien neu ausrichten. Damit versuchen sie, finanzielle Schäden durch Cyberkriminalität abzuwenden, die sich bis 2025 auf schätzungsweise 10,5 Billionen US-Dollar pro Jahr belaufen könnten.
Priorisierung neuer Geschäftsroutinen durch Sicherheitskultur
Während Unternehmen verstärkt auf Technologie setzen, steigen auch die damit verbundenen Risiken. Das Thema Sicherheit gewinnt dadurch maßgeblich an geschäftlicher Relevanz. Untersuchungen des Analystenhauses Gartner zufolge möchten 70 Prozent aller CEOs ihre Unternehmen bis 2025 widerstandsfähiger machen, um für Bedrohungen durch Cyberkriminalität sowie extreme Wetterereignisse, gesellschaftliche Unruhen und politische Instabilität gerüstet zu sein. Gleichzeitig wird die Sicherheitskultur von Unternehmen auch zahlreiche Geschäftsroutinen beeinflussen. Analysten des Marktforschungsinstituts IDC gehen davon aus, dass 80 Prozent der Unternehmen angesichts komplexer, globaler Vorschriften ihre Investitionen in die Automatisierung von Sicherheitskonzepten um 25 Prozent erhöhen werden, um Richtlinien und Regelungen fortlaufend zu erfüllen. Laut Angaben von IDC werden im selben Zeitraum 25 Prozent der weltweit größten Public-Cloud-Kunden Programme für integriertes Risikomanagement und Cyberversicherungen nutzen, bei denen Cloudanbieter ihre Kunden in allen Phasen aktiv begleiten, um sie vor ausgeklügelten Cyberangriffen zu schützen.
Sicherheit zur Angelegenheit des gesamten Unternehmens machen
Führungskräfte für Sicherheit und Risikomanagement gaben im Rahmen einer Umfrage von Gartner an, dass das Internet der Dinge (IoT) und cyber-physische Systeme für sie in den nächsten drei bis fünf Jahren besonders wichtig sein werden. Gartner-Analysten sind der Ansicht, dass bis 2023 75 Prozent der Unternehmen ihre Steuerungskonzepte für Risiken und Sicherheit umstrukturieren werden, um dem zunehmenden Einsatz modernster Technologien Rechnung zu tragen. Aktuell ist dies bei weniger als 15 Prozent der Unternehmen der Fall.
In einer Welt, in der so gut wie jedes Unternehmen in der IT-Branche mitmischt, sind Sicherheitsprozesse, die in das gesamte Unternehmen integriert sind, von entscheidender Bedeutung. Die SAP nutzt das Framework für Cybersicherheit des US-amerikanischen National Institute of Technology in North America – eine ganzheitliche Sicherheitsstrategie, die auf wiederholbaren Prozessen beruht. Mit diesem Ansatz wird die Steuerung des Sicherheitsansatzes unternehmensweit harmonisiert, unter anderem bei der Produktentwicklung und innerhalb der betrieblichen Abläufe.
„Sicherheit war schon immer unser wichtigstes Anliegen“, erklärt Tim McKnight, Executive Vice President und Chief Security Officer bei der SAP. „Mit der Beschleunigung der Digitalisierung haben Unternehmen eine weitreichende, cloudbasierte IT-Transformation eingeläutet, die auch das Thema Sicherheit umfasst. Wir haben eine mehrjährige Transformation in Sachen Sicherheit vollzogen, unterstützt durch das Engagement unseres Vorstands und Echtzeitinformationen von Kunden.“
Eine Sicherheitskultur beruht auf einer gemeinsamen Vision und wird von Führungskräften ermöglicht, die Sicherheit zu einer Priorität machen, sowie von Teams, die sich fortwährend weiterbilden, Erfolge verzeichnen und aus Fehlern lernen. Die Strategien der Anbieter für Unternehmenssoftware können anderen Branchen als Vorbild dienen.
„Wir haben für alle unsere Führungskräfte Ziele in Bezug auf Cybersicherheit gesetzt“, so McKnight. „Wir legen diese Maßnahmen regelmäßig dem Vorstand vor und gleichen den Fortschritt mit den Sicherheitsinitiativen ab. Mit offenen Gesprächen rund um das Thema Sicherheit machen wir unsere Prioritäten und die Verantwortlichkeiten der einzelnen Abteilungen deutlich. Ganz egal, ob Führungskräfte, Teamleitende oder Mitarbeitende – alle müssen verstehen, welche Rolle sie bei der Umsetzung einer Sicherheitskultur spielen und Sicherheit an erste Stelle setzen. Sicherheitsvorfälle sind letzten Endes zum größten Teil auf menschliche Fehler zurückzuführen.“
Sicherheitskonzepten Priorität einräumen mit KI-Funktionen
Just-In-Time-Lieferketten sorgen in der Zeit nach der Pandemie für mehr Flexibilität in wirtschaftlichen Abläufen. Doch je mehr Partner ein Unternehmen hat, desto höher ist auch das Sicherheitsrisiko. Analysten bei Forrester prognostizieren, dass 60 Prozent der Sicherheitsvorfälle im Jahr 2022 Dritte betreffen werden. Das ist eventuell einer der Gründe, warum die Analysten von IDC davon ausgehen, dass bei 55 Prozent der Unternehmen bis zum nächsten Jahr die Hälfte der Sicherheitsbudgets in technologieübergreifende Partnernetze und Plattformen fließen werden, die auf eine schnelle Nutzung sowie einheitliche Sicherheitsmechanismen ausgelegt sind, um so Innovationen zu beschleunigen.
Unternehmen müssen ausreichend Ressourcen veranschlagen, um dem Thema Sicherheit während des gesamten Produktlebenszyklus Priorität zu geben – von der Entwicklung bis hin zum Produktivstart und Support. Da Produkte und Services auf intelligenten Funktionen wie künstlicher Intelligenz (KI), maschinellem Lernen, robotergesteuerter Prozessautomatisierung (RPA) und anderen Technologien basieren, werden immer öfter ausgefeilte Sicherheitskonzepte erforderlich.
„Eine effektive Kultur sorgt dafür, dass alle für Sicherheit verantwortlich sind“, sagt Wiebke Thelo, Senior Vice President und Leiterin bei SAP Quality, Application Security & Production. „Business Information Security Officers bei SAP berichten beispielsweise direkt an die Leitung der Geschäftseinheiten. Sie arbeiten zusammen und stellen sicher, dass Sicherheitskonzepte in das Design, die Entwicklung und den Betrieb von Produkten eingebettet sind.“
Cyberangriffe: Mitarbeitende für eine sichere Zukunft schulen
Laut einer IDC-Studie verzeichnen fast 25 Prozent der Unternehmen wöchentlich Ransomware-Angriffe. Menschliches Urteilsvermögen ist ein wichtiger Faktor, um diese Vorfälle zu verhindern. Da eine von 10 Fachkräften im letzten Jahr die Branche gewechselt hat, warnen Analysten bei Forrester jedoch vor einem Kompetenzschwund im Bereich Sicherheit. Diese Analysten geben Führungskräften den Rat, sich mit Themen wie Burnout und Problemen innerhalb der Teamkultur zu beschäftigen und durch Nachfolgeplanung dafür zu sorgen, dass eine neue Riege an erfahrenen Fachleuten ausgebildet wird.
„Für eine Sicherheitskultur ist ein hohes Maß an Lernen und Entwicklung nötig. Deshalb haben wir die Sicherheit professionalisiert“, sagt McKnight. „Das menschliche Element ist entscheidend – die Mitarbeitenden stehen bei uns an erster Stelle, gefolgt von Prozessen und Technologie. Wir konzentrieren uns zuallererst auf unsere Angestellten und stellen sicher, dass sie über alle nötigen Fähigkeiten verfügen.“
Da Telearbeit, Just-in-Time-Lieferketten und technologische Innovationen noch immer äußerst relevant sind, müssen Unternehmen schneller denken und handeln als Kriminelle. Es kann jederzeit zu Cyberangriffen kommen. Das können auch die Unternehmen und Verbraucher bestätigen, die vor Kurzem mit der Frischkäseknappheit in den USA zu kämpfen hatten. Kriminelle machen keinen Urlaub und eine Sicherheitskultur bietet den besten Schutz.
Folgen Sie Susan Galer auf Twitter: @smgaler
Dieser Artikel wurde ursprünglich auf Forbes.com in der Rubrik BrandVoice SAP veröffentlicht.
