Cybersecurity, von der Überlebensstrategie zum Unternehmensvorteil |Disclose

Im Fokus: Digitalisierung

Cybersecurity, von der Überlebensstrategie zum Unternehmensvorteil

Urs P. Küderli
Partner and Leader Cybersecurity and Privacy, PwC Switzerland

Neue Technologien sind zukunftsweisend und digitale Geschäftsmodelle setzen sich durch. Wer die digitale Transformation richtig einsetzt und seinen neuen Aufgaben einer angemessenen Datensicherheit nachkommt, kann sich interessante Vorteile zunutze machen und daran wachsen. Doch mit den neuen Möglichkeiten gehen auch neue Gefahren einher, die es zu berücksichtigen gilt. Die Abhängigkeit von digitalen Technologien und die Gefahren aus der virtuellen Welt sind über die letzten Jahre exponentiell gewachsen. So ist es für die Unternehmen überlebenswichtig geworden, ihre hauseigenen Daten und digitalen Plattformen zu schützen.

Die Bedrohungen aus dem Cyberspace nehmen unaufhaltsam zu. Negativbeispiele werden in den Medien ganz wörtlich ausgerollt und rege debattiert, das zeigen Beispiele wie die Spionage- und Hackerangriffe auf Ruag, 20 Minuten oder Digitec. Gruppierungen und Einzelpersonen, die Cyberattacken ausführen, werden intelligenter und ihre Offensiven ausgeklügelter. Diese steigende Gefahr verlangt nach einer geschärften Aufmerksamkeit für das Thema Cybersicherheit, allerdings nach einer ganzheitlichen. Denn aufgrund der zunehmenden erfolgreichen Angriffe und der daraus resultierenden Veröffentlichungen von sensitiven Informationen steigen auch die regulatorischen Anforderungen auf nationaler und internationaler Ebene.

An der Digitalisierung führt kein Weg mehr vorbei. Wer heute nichts Digitales oder Mobiles im Angebot hat, befindet sich meistens bereits in der Abstiegsrunde. So ist die digitale Transformation heute Überlebensstrategie. An digitalen Möglichkeiten für mehr Effizienz und weniger Kosten mangelt es an keiner Stelle der Wertschöpfungskette.

In diesem vielseitigen Spannungsfeld stehen Unternehmen aller Grössen und Industrien. Denn sie sammeln und pflegen Daten, seien es Kunden-, Vertriebs-, Produkt- oder Finanzdaten. Damit stehen sie vor zahlreichen neuen Herausforderungen. Diesen neuartigen und mehrdimensionalen Kräften müssen sie eine enorme Dynamik entgegensetzen. Ansonsten gehen sie im Markt schlicht und ergreifend unter.

Daten als schützenswertes Kapital

Über die letzten Jahre haben die Unternehmen eindeutig zu wenig in ihre Digitalisierung und die Cybersicherheit investiert. Um damit klarzukommen und auch in Zukunft marktfähige Produkte und Services anzubieten, müssen sie sowohl ihr digitales Portfolio als auch ihre Sicherheit ausbauen. Denn Daten gehören neben Arbeitskräften und Geld mittlerweile zum wichtigsten unternehmerischen Kapital.

Allerdings ist die virtuelle Welt hochkomplex, rasant getaktet und kennt wie andere Bereiche auch ihre eigenen Risiken. Zu viele Unternehmen sehen die Cybersicherheit immer noch als ein Thema, bei dem es darum geht, einen Unternehmensperimeter zu schützen. Sie meinen, die Risiken damit eingedämmt zu haben. Doch in der heutigen eng vernetzten Arbeitswelt und mit den modernen Gefahren sind solche Ansätze veraltet. Dem Perimeterschutz ergeht es dabei wie den Burgen im Mittelalter: Mit dem Aufkommen neuer Angriffsvarianten und der Notwendigkeit, für Handel und Wirtschaft offen zu sein, boten die Mauern keinen ausreichenden Schutz mehr. Entsprechend nützt Schutz alleine nicht mehr. Bei der Cybersicherheit geht es darum, dass sich die Unternehmen gezielt auf Cyberattacken vorbereiten, im Eintretensfall schnell reagieren und den Vorfall so rasch als möglich überwinden. Nur so lassen sich finanzielle oder imagebezogene Auswirkungen eindämmen. Wer das Thema Cybersicherheit aus einer derartigen Rundumsicht angeht, sollte fünf Vorgehenspunkte berücksichtigen. So bewahrt er die nötige Flexibilität und Ausdauer für das hohe Tempo des digitalen Wettkampfs.

Strategie und Rahmenwerk

Am Anfang stehen eine klare Vision, eine Strategie und das dazugehörige Rahmenwerk, das den effizienten Umgang des Unternehmens mit Cyberrisiken definiert. Dazu gehört die Definition, welche Daten und Systeme besonders geschützt werden sollen. Denn in den seltensten Fällen sind genügend Ressourcen vorhanden, um alles angemessen zu schützen.

Schützen

Ist das strategische Fundament gelegt, steht das Aufbauen und Testen von Lösungen an, die Cybergefahren abfangen und Schlüsselsysteme und -daten schützen. In einem modernen Sicherheitsumfeld hat der Schutz von Daten einen immer höher werdenden Stellenwert. Der Schutz von Systemen ist zwar immer noch notwendig, wird aber je nach Herausforderungen weniger wichtig. Sogenannte «Information Rights Management»-Systeme helfen, sensitive Daten zu verschlüsseln und nur denjenigen Personen und/ oder Funktionen Zugriff darauf zu gewähren, die ihn auch benötigen.

Betreiben

Ein wichtiger Aspekt des Betreibens einer IT-Umgebung ist die aktive Überwachung. Ein solches kostenoptimiertes Monitoring der hauseigenen Informationssicherheit mit wiederholten Sicherheitstests stellt sicher, dass das System rechtzeitig vor Vorfällen oder Verstössen warnt und sich Angriffe und Vorfälle entdecken lassen.

Reagieren

Angesichts der heutigen Gefahrenlage wird es mit praktisch 100-prozentiger Wahrscheinlichkeit zu einem Sicherheitsvorfall kommen. Tritt ein solcher ein, muss das Unternehmen schnell und gezielt reagieren. So kann es finanzielle Verluste und Imageschäden minimieren. Hier gilt es, frühzeitig und noch vor einem Vorfall die entsprechenden Vereinbarungen mit einem Sicherheitsprovider zu schliessen, da sonst zu viel Zeit verstreicht, um passend zu reagieren.

Wiederherstellen

Sind Systeme und Daten beeinträchtigt, müssen diese möglichst rasch und korrekt wiederhergestellt werden. Nur so lässt sich der negative Einfluss auf das Geschäft minimieren. Mit einem systematischen Lernprozess wird der Vorfall analysiert; die Erkenntnisse fliessen in das Risikoprofil zurück, wodurch ein neuer Sicherheitszyklus beginnt.

Vermehrter Einsatz von «managed services»

Nur wenige Unternehmen schaffen die digitale Transformation und das Sichern der digitalen Geschäftsprozesse vollständig aus eigenen Kräften. Entsprechend werden immer mehr auch in der Cybersicherheit sogenannte «managed services» eingesetzt. Dabei werden Sicherheitsleistungen nicht mehr nur in Form von Technologie und Beratung, sondern direkt als Service eingekauft. Dies entspricht sowohl dem Grundsatz der Reduktion von Investitionskosten wie auch der Technologieentwicklung (siehe Kasten). Denn dank des Wissens von Cyberexperten und durchdachter Lösungen kann ein Unternehmen die Dynamik der digitalen Transformation mitmachen und diese als Chance wahrnehmen. Zum Glück gibt es bereits eine Vielzahl von Dienstleistern, die sich auf Aspekte der digitalen Sicherheit spezialisiert und diese zu ihrem Kerngeschäft gemacht haben. So kann es sich lohnen, gewisse neue Aufgaben oder ganze Bereiche der Cybersicherheit an Experten auszulagern. Das dürfte der eigenen Cybersicherheit durchaus zuträglich sein (siehe Kasten). Denn dank dem Wissen von Cyberexperten und durchdachter Lösungen kann ein Unternehmen die Dynamik der digitalen Transformation mitmachen und diese als Chance statt als Albtraum wahrnehmen.

Die Cloud – Sicherheits- oder Sorgenquelle?

Die Diskussion rund um die Sicherheit von Cloudlösungen hält schon lange an. Allerdings werden meist zwei Themen vermischt. Betrachtet man die Sicherheitsvorkehrungen eines professionellen grossen Cloudanbieters, so präsentieren sich diese um ein x-Faches besser als firmeninterne Lösungen. Entsprechend gewinnt ein Unternehmen für die meisten Szenarien an Sicherheit, wenn es seine Daten in die Cloud verlagert. Eine zweite und oft neue Herausforderung sind die Compliance und der Datenschutz, da grosse Cloudanbieter die Daten nicht in der Schweiz speichern. Diese Themen müssen gründlich überlegt, klar geregelt und die Cloudlösung entsprechend implementiert werden. Das gelingt in den meisten Fällen mit einem überschaubaren Aufwand. So wird ein Unternehmen mit der Cloud an Sicherheit gewinnen und die eigenen technischen Sicherheitsrisiken senken.

Zunehmende Regulationen auch für die Schweiz relevant

Die Schweiz hat traditionell einen guten Ruf in Bezug auf den Datenschutz. Doch die Anforderungen steigen sowohl aufgrund der Bestimmungen der EU als auch in absehbarer Zeit durch die Überarbeitung des schweizerischen Datenschutzgesetzes.

In der digitalen Wirtschaft kommt dem Regulator die Aufgabe zu, einen Basisschutz von Kundendaten einzufordern und die Gesetzgebung am Puls von Zeit und Technologie zu halten. Vor diesem Hintergrund hat das EU-Parlament die EU-Datenschutz-Grundverordnung (EU-DSGVO) überarbeitet und deren Inkraftsetzung auf Ende Mai 2018 angesetzt. Diese Verordnung sieht wichtige Zusatzrechte und Schutzbestimmungen für die Nutzer sowie erhebliche Strafen bei Verstössen vor und gilt auch für Schweizer Firmen, die Daten von Personen speichern und/ oder verarbeiten, die ihren Wohnsitz in der EU haben.

Die schweizerische Datenschutzgesetzgebung berücksichtigt die meisten bisherigen internationalen Schutzregeln und dürfte viele Neuerungen der laufenden Überarbeitungsrunde übernehmen. Zwar sind die Auswirkungen der revidierten EU-DSGVO auf nationaler und europäischer Ebene heute noch nicht abschätzbar. Wir gehen jedoch davon aus, dass die Durchsetzung und allfällige Strafen einen Grossteil der Unternehmen dazu bewegen werden, die Datenschutzbestimmungen und Sicherheitskontrollen für ihre Kundendaten zu verschärfen und DSGVO-Assessments durchzuführen. Das dürfte sich auch lohnen. Denn Verstösse werden mit bis zu 4% des Umsatzes oder 20 Millionen Euro gebüsst. Solche Summen investieren die Unternehmen dann doch besser vorgängig in ihre Datensicherheit.

Fazit

Für Ihr Unternehmen wird es immer entscheidender, seine hauseigenen Daten und Plattformen zu schützen, damit Sie von den positiven Effekten der Digitalisierung profitieren können. Diese Tatsache ist den wenigsten Unternehmen ausreichend bewusst, auch wenn die Abhängigkeiten und die Gefahren aus dem Cyberspace schon lange zunehmen. So müssen heute manche Unternehmen vermehrt in die Cybersicherheit investieren, um ihren Rückstand aufzuholen. Dafür ist jetzt der richtige Zeitpunkt, gerade in Hinblick auf die neuen Regulierungen im Bereich Datenschutz. Wenn Sie den Übertritt in die digitale Welt mit der richtigen Sicherheit begleiten und Sie sich ihren neuen Herausforderungen stellen, gewinnt Ihre Organisation an Glaubwürdigkeit und Vertrauen. Dazu müssen Sie das Sicherheitsbewusstsein in Ihrer unternehmerischen DNA verankern.

Artikel-Übersicht