Zum Hauptinhalt wechseln

Cybersicherheit

20. Juni 2024

 

Den Sitzungssaal ins Cyber-Schlachtfeld verlegen

Cybersicherheitsexperten schulen Führungskräfte in Unternehmen, damit diese die folgenreichen Entscheidungen treffen können, die ihre Unternehmen vor zunehmenden Ransomware- und Spyware-Angriffen sowie anderen Bedrohungen schützen.

Christine Gibson

Contributor

Anfang 2020 gelang einer äußerst raffinierten Gruppe von Hackern einer der umfangreichsten Cyberangriffe der Geschichte. Sie sollen für die russische Regierung gearbeitet haben, drangen in die Computersysteme eines IT-Management-Softwareentwicklers namens SolarWinds ein und betteten bösartigen Code in die Überwachungstools des Unternehmens ein.

Bis Juni hatte die Schadsoftware den Hackern Zugang zu den internen Abläufen hunderter Bundesbehörden und Fortune-500-Unternehmen verschafft. Bis der Hack entdeckt wurde, hatte die Gruppe monatelang Zeit gehabt, Regierungs- und Unternehmensabläufe auszuspionieren.

Sowohl für den öffentlichen als auch für den privaten Sektor diente der Vorfall als Weckruf angesichts einer stetig wachsenden Bedrohung. Cyberangriffe gibt es so lange wie das Internet selbst, aber in den letzten Jahren sind sie raffinierter, heimtückischer und zerstörerischer geworden. Während die direkt gemeldeten Verluste durch Cyberangriffe gering sind und sich auf rund 500.000 US-Dollar belaufen, berichtete der Internationale Währungsfonds kürzlich, dass das Risiko extremer Verluste – mindestens in Höhe von 2,5 Milliarden US-Dollar – gestiegen sei.

Angesichts der hohen Risiken liegt die Verantwortung für den Schutz eines Unternehmens vor Cyberangriffen bei seinen ranghöchsten Mitgliedern: dem Vorstand. Ein entscheidender Teil ihrer heutigen Arbeit besteht darin, zu beurteilen, ob die richtige Kultur und Governance vorhanden sind, um die Systeme des Unternehmens vor Cybersicherheitsbedrohungen zu schützen, und dafür benötigen sie ein differenziertes Verständnis von Cyberrisiken.

„Vorstände müssen natürlich finanziell klug sein, aber sie müssen auch im Bereich Cybersicherheit klug sein“, sagt Ron Green, Cybersecurity Fellow und ehemaliger Chief Security Officer von Mastercard . „Sie stehen jeden Tag vor dieser Herausforderung, ob sie es wissen oder nicht.“

Ein solches Maß an Fachkompetenz ist unter Regisseuren jedoch selten. Laut Kimberly Cheatle, der Direktorin des US Secret Service, die sich auf eine Studie von NightDragon, einer Risikokapitalgesellschaft, die Cybersicherheitsunternehmen finanziert, und dem Diligent Institute aus dem Jahr 2023 beruft, verfügen nur 12 % der Aufsichtsräte der S&P 500-Unternehmen über einen Cybersicherheitsspezialisten.

Um Vorständen zu helfen, ihre Unternehmen – und ihre Mitbürger – vor Cyberkriminalität zu schützen, hat Mastercard in Zusammenarbeit mit dem US Secret Service, der Cybersecurity and Infrastructure Security Agency, der National Association of Corporate Directors und NightDragon einen Schulungskurs entwickelt, die Cybersecurity Board Academy. „Dies ist eine wirklich einzigartige Gelegenheit, damit zu beginnen, diese Lücke zu schließen“, sagt Cheatle.

Die erste Sitzung der CISA und Secret Service Board of Directors Academy, die am Dienstag im James J. Rowley Training Center des Secret Service in South Laurel, Maryland, stattfand, brachte Unternehmensleiter und Branchenexperten zusammen, um den aktuellen Stand der Technik im Bereich des digitalen Netzwerkschutzes zu erörtern.

 

Ron Green, Cybersecurity Fellow bei Mastercard, sprach Anfang dieser Woche in Maryland vor Unternehmensleitern, die an einer Schulung zum Thema Cyberrisiken und Resilienz teilnahmen. (Foto: Rebecca Abraham)

„Wir wollten sicherstellen, dass wir diese Vernetzung stärken“, sagt Jen Easterly, Direktorin von CISA. „Vom Privatsektor kann man natürlich nicht erwarten, dass er es allein mit hochentwickelten Nationalstaaten aufnehmen kann“, sagt sie. Daher wird der Ausbau und die Stärkung der Verbindungen zwischen dem öffentlichen und dem privaten Sektor höchste Priorität eingeräumt.“

Gemeinsam zum Schutz der nationalen Infrastruktur

In einer zunehmend vernetzten Welt muss Cybersicherheit eine Teamleistung sein. Deshalb luden Mastercard und seine Partner Führungskräfte von Fortune-500-Unternehmen und zahlreiche Vertreter kritischer US-Infrastrukturen ein, um aus erster Hand von Experten aus Regierung und Industrie zu lernen. In einem auf den Prinzipien des NACD und der Internet Security Alliance für eine effektive Überwachung von Cyberrisiken basierenden Lehrplan diskutierten die Teilnehmer Bedrohungen, Governance, Schutz und Resilienz und schufen so eine Grundlage für bewährte Verfahren zur fortlaufenden Cyberabwehr.

Bei solchen Angriffen können die Schäden weit über den finanziellen Bereich hinausgehen, da kriminelle und staatlich geförderte Akteure Spionagekampagnen starten oder versuchen, kritische nationale Infrastrukturen lahmzulegen. Keine Institution ist tabu. Krankenhäuser, Schulsysteme, medizinische Forschungslabore, Landes- und Kommunalverwaltungen – sie alle sind zu Zielen geworden. Und weil ein Großteil der Infrastruktur der USA in privatem Besitz ist, spielt der Wirtschaftssektor eine entscheidende Rolle im Zivilschutz.

„Es ist für unsere Arbeit unerlässlich, Wege zu finden, um in dieser Hinsicht im Namen unserer Unternehmen – im Namen unseres Landes – wachsam zu sein“, sagte Stephen Jennings, ein unabhängiger Direktor des Chipherstellers Analog Devices, der zu den 16 Direktoren gehörte, die an der Auftaktsitzung teilnahmen. „Wir gewinnen ein besseres Verständnis für die Durchsetzungsmöglichkeiten, die neuesten Trends und die aktuellen Risiken.“

„Cybersicherheit muss eine gemeinsame Anstrengung sein, und jetzt können wir mehr Geben und Nehmen zwischen Industrie und öffentlichem Sektor haben, um sie in Zukunft zu bekämpfen.“ Die Bedrohung wird so schnell nicht verschwinden. Das wird ein andauernder Kampf werden.“

Stephen Jennings

Das Programm fördert zudem eine dauerhafte öffentlich-private Partnerschaft, damit die Teilnehmer weiterhin voneinander lernen und Bedrohungen einen Schritt voraus sein können. Die Vorstandsmitglieder können auf ein wachsendes Netzwerk von Cybersicherheitsexperten zurückgreifen, während CISA und der Secret Service die Möglichkeit haben, Feedback einzuholen, um ihre Botschaften für den breiteren privaten Sektor zu optimieren.

„Cybersicherheit muss eine gemeinsame Anstrengung sein, und jetzt können wir mehr Geben und Nehmen zwischen Industrie und öffentlichem Sektor haben, um sie in Zukunft zu bekämpfen“, sagt Jennings. „Die Bedrohung wird so schnell nicht verschwinden.“ Das wird ein andauernder Kampf werden.“

Verwandte Geschichten

Warum Betrugsfälle zunehmen – und wie wir uns schützen können

Von Vinecia Hill