23 Nov 2023
Cyber Risiken sind Chefsache: Die Verantwortung der Geschäftsleitung und des Verwaltungsrats in kritischen Infrastrukturen
Im Einsatz für das Gemeinwesen stehen kritische Infrastrukturen besonders im Rampenlicht. Zum einen in den Augen des Staates und der Bürger, zum anderen aber auch als möglicher Angriffsvektor. Ausgesprochen heikel wird es, wenn es um die Sicherheit operativer Technologien (OT) in kritischen Infrastrukturen geht. Die jüngsten Berichte der NZZ über gezielte Angriffe auf OT-Systeme verdeutlichen die Dringlichkeit des Themas. In diesem Zusammenhang gewinnt die Einbindung der Geschäftsleitung und des Verwaltungsrats als Schlüsselfiguren an Bedeutung.
Wir geben einen Einblick, wie Security-Verantwortliche mit diesen Stellen besonders gewinnbringend zusammenarbeiten können.
Schritt 1: Vermittlung der Grundkenntnisse
Der Auftrag von GL und VR sind die Handlungsfähigkeit sicherzustellen, wirtschaftlich zu handeln und Risiken realistisch einzuschätzen. Hier ist die Vermittlung der Grundkenntnisse über Prozesse, Technologien und deren Risiko-Exponierung sehr wichtig. Ohne Kenntnisse im Bereich Cybersicherheit ist eine realistische Risikoeinschätzung nicht möglich. Sind im Verwaltungsrat gute Cyber Kompetenzen vertreten, empfiehlt es sich dennoch zusammen mit externen Kompetenzen die Vermittlung zu strukturieren und Prioritäten zu ermitteln.
Der Verwaltungsrat sollte die Risiken und Bedrohungen für OT-Systeme verstehen und die potenziellen Auswirkungen von Sicherheitsvorfällen auf das Unternehmen und die Gesellschaft abschätzen können.
Wie schätzen Sie Ihre Cyber Sicherheits Maturitätsevel ein?
Dank einer fundierten Analyse helfen wir zu verstehen wo Sie stehen und wie sie ihre Maturität weiter auf- und ausbauen können.
Dank einer fundierten Analyse helfen wir zu verstehen wo Sie stehen und wie sie ihre Maturität weiter auf- und ausbauen können.
Schritt 2: Risikobewertung
Eine umfassende Risikobewertung ist unerlässlich. Die Geschäftsführung sollte in der Lage sein, die Risiken für OT-Systeme zu quantifizieren und zu verstehen. Gerade in den Jahreszeiten in denen ausführlich über Budgetallozierung debattiert wird ist es wichtig, dass die Divisionen auch mit finanziellen Ressourcen zur Risikominimierung ausgestattet werden.
Einige Unternehmen gehen noch davon aus, dass hier ein zentrales IT Budget ausreicht. Dass dies nicht der Fall ist, zeigen die Erkenntnisse aus erfolgreichen Angriffen.
Schritt 3: BCM, Monitoring, Notfallplanung
Die Verantwortung endet nicht bei der Prävention und den Investitionen. Der Verwaltungsrat muss verstehen, wie das Unternehmen auf Sicherheitsvorfälle reagiert und die Wiederherstellung kritischer Funktionen sicherstellt.
Ein Unternehmen kann sich als «gut vorbereitet» bezeichnen, wenn:
1) ... die Implementierung gesonderter Business Continuity Planungen erfolgt
2) ... ein sauberes Inventar besteht.
3) ... das konstante Messen und Monitoren des Betriebs sichergestellt wird.
4) ... Notfall-Szenarien aufgestellt, durchgeplant und getestet wurden.
Wie transponiert man Erkenntnisse aus den Analysen, Compliance Anforderungen und Frameworks wie NIST2, ISO & andere in eine erfolgreiche Cyber Strategie?
Wir aktivieren Unternehmen und bauen Strategien die Technologie, Prozesse und Menschen vereinen.
Wir aktivieren Unternehmen und bauen Strategien die Technologie, Prozesse und Menschen vereinen.
Schritt 4: Arbeiten mit dem Faktor Mensch
Eine Sicherheitsstrategie ist nur so erfolgreich, wie sie Unterstützung und Ressourcen für sich gewinnen kann. Anders ausgedrückt benötigt sie neben einem Budget für Cybersicherheit auch eine umfassende Integration in das Unternehmen. Was viele Unternehmen im Bereich der Betriebstechnik (OT) aus ihrer Arbeit im Bereich «Safety» kennen, trifft auch auf die Cybersecurity zu:
- Unternehmen, die eine Sicherheitskultur entwickeln, können auf eine höhere Widerstandsfähigkeit (Resilienz) zählen.
- Eine Sicherheitskultur erfordert Aufmerksamkeit für das Thema (Awareness), Zeit für Mitarbeiter, um ihr Verhalten an Sicherheitsmassnahmen anzupassen, sowie Training.
- Erfolgreiche Sicherheitskulturen sind durchgängig engagiert; es gibt keine Ausnahmen für das Management oder die Produktionsstätte, nur um Prozesse zu erleichtern.
- Sicherheitsmassnahmen werden im Gegenzug so gestaltet, dass sie menschliches Verhalten vorhersehen und möglichst nicht stören.
Schritt 5: Transparenz und Collaboration
Eine transparente Kommunikation mit dem Management und den Stakeholdern ist unerlässlich. Der regelmässige Austausch von Sicherheitsberichten ermöglicht es dem Verwaltungsrat Know-how aufzubauen und angemessene Massnahmen zu ergreifen.
Zudem erleben wir in der Betrachtung der Gefahrenlage eine konstante Veränderung der Vektoren. Diese müssen deshalb kontinuierlich besprochen, priorisiert und operationalisiert werden.
Insgesamt ist das Verständnis und die aktive Beteiligung des Verwaltungsrats an der OT-Sicherheit von wesentlicher Bedeutung. Dies stellt sicher, dass realistische Risikoeinschätzungen vorgenommen werden und die gesetzlichen Anforderungen erfüllt sind. Eine starke OT-Sicherheit trägt nicht nur zum Schutz kritischer Infrastrukturen bei, sondern sichert auch das Wohl der Gesellschaft. Der Verwaltungsrat ist somit nicht nur ein Lenker des Unternehmens, sondern auch ein Hüter der digitalen Resilienz.