Zum Hauptinhalt wechseln

Cybersicherheit

20. Juni 2024

 

Den Vorstandsraum ins Cyber-Schlachtfeld bringen

Cyber-Experten schulen Unternehmensführungskräfte darin, wichtige Entscheidungen zu treffen, die ihre Unternehmen vor wachsenden Ransomware- und Spyware-Angriffen sowie anderen Bedrohungen schützen.

Christine Gibson

Mitwirkender

Anfang 2020 führte eine äußerst ausgeklügelte Gruppe von Hackern einen der am weitesten verbreiteten Cyberangriffe der Geschichte durch. Man nimmt an, dass sie für die russische Regierung arbeiten, drangen in die Computersysteme eines IT-Management-Softwareentwicklers namens SolarWinds ein und betteten bösartigen Code in die Überwachungstools des Unternehmens ein.

Bis Juni hatte die Malware den Hackern Zugang zu den inneren Abläufen von Hunderten von Bundesbehörden und Fortune-500-Unternehmen verschafft. Als der Hack entdeckt wurde, hatte die Gruppe Monate Zeit gehabt, Regierungs- und Unternehmensoperationen auszuspionieren.

Sowohl für den öffentlichen als auch den privaten Sektor diente der Vorfall als Weckruf für eine stetig eskalierende Bedrohung. Cyberangriffe sind so alt wie das Internet, aber in den letzten Jahren sind sie immer ausgefeilter, heimtückischer und zerstörerischer geworden. Während die direkt gemeldeten Verluste durch Cyberangriffe gering sind, etwa 500.000 US-Dollar, berichtete der Internationale Währungsfonds kürzlich, dass das Risiko extremer Verluste – mindestens bis zu 2,5 Milliarden Dollar – gestiegen ist.

Angesichts der hohen Einsätze liegt die Verantwortung, ein Unternehmen vor Cyberangriffen zu schützen, bei seinen ranghöchsten Mitgliedern: dem Vorstand. Ein entscheidender Teil seiner heutigen Aufgabe ist es, abzuschätzen, ob die richtige Unternehmenskultur und Governance vorhanden sind, um die Systeme des Unternehmens vor Cybersicherheitsbedrohungen zu schützen, und dafür benötigen sie ein differenziertes Verständnis des Cyberrisikos.

"Vorstände müssen natürlich finanziell klug sein, aber sie müssen auch cyber-kompetent sein", sagt Ron Green, Mastercards Cybersecurity Fellow und ehemaliger Chief Security Officer. "Sie stellen sich dieser Herausforderung jeden Tag, ob sie es wissen oder nicht."

Dieses Maß an Fachwissen ist jedoch unter Regisseuren selten. Nur 12 % der S&P-500-Vorstände beinhalten einen Cybersecurity-Spezialisten, sagt Kimberly Cheatle, die Direktorin des US-Geheimdienstes, und verweist auf eine Studie von NightDragon, einer Risikokapitalfirma, die Cybersicherheitsunternehmen finanziert, und dem Diligent Institute aus dem Jahr 2023.

Um Direktoren dabei zu helfen, ihre Unternehmen – und Mitbürger – vor Cyberkriminalität zu schützen, hat Mastercard in Zusammenarbeit mit dem U.S. Secret Service, der Cybersecurity and Infrastructure Security Agency, der National Association of Corporate Directors und NightDragon einen Schulungskurs entwickelt, die Cybersecurity Board Academy. "Das ist eine wirklich einzigartige Gelegenheit, diese Lücke zu schließen", sagt Cheatle.

Die erste Sitzung der CISA und der Secret Service Board of Directors Academy, die am Dienstag im James J. Rowley Training Center des Secret Service in South Laurel, Maryland, stattfand, brachte Unternehmensleiter und Branchenexperten zusammen, um den Stand der Technik im Schutz digitaler Netzwerke zu erkunden.

 

Ron Green, Mastercards Cybersecurity Fellow, spricht vor Unternehmensleitern, die Anfang dieser Woche an einer Schulung zu Cyberrisiken und -resilienz in Maryland teilnehmen. (Foto: Rebecca Abraham)

"Wir wollten sicherstellen, dass wir diese Konnektivität stärken", sagt Jen Easterly, CISA-Direktorin. Der Privatsektor, so sagt sie, "sollte offensichtlich nicht erwartet werden, dass er sich raffinierten Nationalstaatsakteuren allein stellt. Sie legt also großen Wert darauf, die Vernetzung zwischen öffentlichem und privatem Sektor zu erhöhen und zu stärken."

Gemeinsam arbeiten wir zum Schutz der nationalen Infrastruktur

In einer zunehmend vernetzten Welt muss Cybersicherheit eine Teamarbeit sein. Deshalb luden Mastercard und seine Partner Direktoren von Fortune-500-Unternehmen und viele, die kritische US-Infrastrukturen vertreten, ein, um aus erster Hand von Regierungs- und Branchenexperten zu lernen. In einem Lehrplan, der von der NACD und den Prinzipien der Internet Security Alliance für effektive Cyberrisikoüberwachung geprägt ist, diskutierten die Teilnehmer Bedrohungen, Governance, Schutz und Resilienz und schufen so eine Grundlage bewährter Praktiken für die fortlaufende Cyberverteidigung.

Bei diesen Angriffen können die Schäden weit über die finanziellen hinausgehen, indem kriminelle und staatlich geförderte Akteure Spionagekampagnen starten oder versuchen, kritische nationale Infrastruktur zu lahmlegen. Keine Institution ist tabu. Krankenhäuser, Schulsysteme, medizinische Forschungslabore, staatliche und lokale Behörden – alle sind zu Zielen geworden. Und da ein Großteil der US-Infrastruktur im Besitz privater Unternehmen ist, spielt der Geschäftssektor eine entscheidende Rolle im Zivilschutz.

"Wege zu finden, im Namen unserer Unternehmen – im Namen unseres Landes – wachsam zu sein, ist für das, was wir tun, unerlässlich", sagte Stephen Jennings, unabhängiger Direktor beim Chiphersteller Analog Devices, der zu den 16 Direktoren gehörte, die an der Eröffnungssitzung teilnahmen. "Wir bekommen ein besseres Verständnis für die Durchsetzungsfähigkeiten, die neuesten Trends, die neuesten Risiken."

"Cybersicherheit muss eine gemeinsame Anstrengung sein, und jetzt können wir mehr Geben und Nehmen zwischen Industrie und öffentlichem Sektor haben, um sie künftig anzugehen. Die Bedrohung wird so schnell nicht verschwinden. Das wird ein fortwährender Kampf sein."

Stephen Jennings

Das Programm schmiedet zudem eine fortlaufende öffentlich-private Partnerschaft, damit die Teilnehmer weiterhin voneinander lernen und Bedrohungen einen Schritt voraus bleiben können. Vorstandsmitglieder können auf ein wachsendes Netzwerk an Cybersicherheitsexpertise zugreifen, während CISA und der Secret Service eine Möglichkeit haben, Feedback zu erhalten, um ihre Botschaften für den breiteren privaten Sektor zu verfeinern.

"Cybersicherheit muss eine gemeinsame Anstrengung sein, und jetzt können wir mehr Geben und Nehmen zwischen Industrie und öffentlichem Sektor haben, um sie künftig anzugehen", sagt Jennings. "Die Bedrohung wird so schnell nicht verschwinden. Das wird ein fortwährender Kampf sein."

Verwandte Geschichten

Warum Betrügereien zunehmen – und wie wir uns schützen können

Von Vinecia Hill