Ransomware-Erpressungen, Datenpannen und andere Cyberbedrohungen: Fast täglich erschüttern Meldungen über erfolgreiche Cyberangriffe unser Vertrauen. Vorteil Cyber Security: Da Vertrauen die beste Basis für gute Geschäftsbeziehungen ist, rücken die Sicherheitsmaßnahmen, Bewertungen und Zertifizierungen in den Fokus.

Das Bewusstsein für Cyber-Risiken steigt

Die Crux dabei ist, das Angreifer nicht mehr nur Teilsysteme infizieren, um Unternehmen in diskreten Verhandlungen größere Summen für die Schädlingsbekämpfung abzupressen, sondern sie gefährden unter Umständen den guten Ruf oder gar die wirtschaftliche Existenz.

Bei den Cyberangriffen auf Rheinmetall und die Hotelkette Motel One oder die Casinos und Hotels des MGM-Konzerns, bei denen ein Schaden von 100 Millionen Dollar entstanden ist, handelt es sich nur um die jüngsten Beispiele. Insgesamt ist die Liste der Geschädigten

So werden sich Unternehmen und Organisationen der Gefahren zunehmend bewusst. Dabei erstrecken sich die Cyber-Risiken nicht nur auf das eigene Unternehmen – auch Partner, Lieferanten und andere Drittparteien können potenzielle Angriffspunkte im eigenen Netzwerk sein.

Supply-Chain-Angriffe und Third-Party-Risikomanagement

Dabei ist die Zusammenarbeit mit einer breiten Palette von externen Partnern heute unerlässlich, um flexibel zu bleiben, Kosten zu senken und im Wettbewerb bestehen zu können. Aber neben allen Vorteilen sind die Herausforderungen groß: Sie reichen von Cyber-Risiken wie Supply-Chain-Angriffen über Regulierungsfragen bis hin zu negativen Konsequenzen fürs eigene Image. Deshalb ist es entscheidender denn je, dass solche Partnerschaften auf Vertrauen und Integrität basieren.

Aus diesem Grund legen auch immer mehr Unternehmen Wert auf effiziente und durchdachte Konzepte zum Third-Party-Risikomanagement (TPRM). Das Werkzeug umfasst den Prozess des Identifizierens, Bewertens, Überwachens und Kontrollierens von Risiken, die mit der Einbindung von Dritten in die Geschäftsabläufe des eigenen Unternehmens verbunden sind. So lassen sich die mit externen Partnern verbundenen Gefahren und Risiken effektiv verwalten und steuern.

Cyber Security als Alleinstellungsmerkmal?

Das alles hat zur Folge, dass Unternehmen immer öfter das Cybersicherheitsrisiko als Hauptkriterium bei der Abwicklung von Transaktionen und Geschäftsbeziehungen heranziehen. Dabei kann ­– analog zum Autokauf – dieser Aspekt auch schon als Alleinstellungsmerkmal dienen.

Beispiel Volvo: Denn seien wir mal ehrlich: Wenn eine neue Software oder ein neuer Service implementiert wird, ist die Sorge groß, dass dies das eigene Cyber-Risiko erhöht und neue Sicherheitslücken sich öffnen, die zu einem großen Vorfall, Datenverlust oder zu einer Betriebsunterbrechung führen. Daher ist es nicht nur richtig, sondern viel mehr notwendig, dass man sich über das Cybersicherheitskonzept eines Partners informiert – und zwar durch Umfragen, Sicherheitsbewertungen oder vorhandene Zertifizierungen.

Wie der Mittelstand Risiken unterschätzt

Dennoch bleibt die zunehmende Bedrohung im Mittelstand oft unterschätzt. Denn obwohl die Digitalisierung auch hier mittlerweile Einzug gehalten hat, fehlen im Gegensatz zu vielen großen Unternehmen oft die erforderlichen Fähigkeiten und personellen Ressourcen, um den damit verbundenen Gefahren durch Cyberangriffe effektiv zu begegnen.

Meist werden auch die IT-Abteilungen für das Thema Cybersicherheit verantwortlich gemacht. Aber die sind meist mit anderen Aufgaben ausgelastet und verfügen nicht über die Mittel und Möglichkeiten, die wachsende Bedrohung abzuwehren. In Zukunft werden Unternehmen entweder intern aufrüsten und Expertise aufbauen oder frühzeitig einen geeigneten Partner suchen müssen, der sie in diesem Bereich unterstützen kann.

Dabei ist es besonders wichtig, eine umfassende und realistische Einsicht in die eigene Angriffsfläche zu haben. Dies umfasst die Unternehmensinfrastruktur einschließlich der Mitarbeitenden und aller schützenswerten Vermögenswerte. Welche Domänen, DNS-Einträge, IP-Adressen und Dienste könnten öffentlich zugänglich sein? Was könnte ein potenzieller Angreifer noch aus öffentlichen Quellen über das Unternehmen erfahren? Und welche Informationen könnten für einen möglichen Angreifer von Interesse sein?

Und, was machen Sie so in Sachen Cybersicherheit?

Diese Fragen sollte man klären und dazu auch transparent über Cyber Security sprechen. Denn ein Unternehmen, das in der Lage ist, ein hohes Maß an Informationssicherheit nachzuweisen, bietet eine deutlich stabilere Grundlage für langfristige Geschäftsbeziehungen.

Dabei hängt die Wahl der richtigen Bewertung oder Zertifizierung vom eigenen Geschäftsmodell, der Branche oder auch den spezifischen Sicherheitsanforderungen ab. Um eine umfassendere Sicherheitslandschaft zu bieten, kann es auch sinnvoll sein, mehrere dieser Zertifizierungen zu erwerben.

Nur einige Cyber-Zertifizierungen im Überblick:

ISO/IEC 27001: Die Zertifizierung nach ISO/IEC 27001 zeigt, dass ein Unternehmen ein systematisches und kontinuierliches Vorgehen zur Verwaltung von Informationen hat, das Menschen, Prozesse und IT-Systeme einschließt.

ISO 27001 Zertifizierung auf der Basis von IT-Grundschutz: Die international anerkannte Zertifizierung des BSI (Bundesamt für Sicherheit in der Informationstechnik) basiert auf dem BSI IT-Grundschutz, einem bewährten Instrument zum Schutz von Unternehmensinformationen.

ISIS12: Die Zertifizierung nach ISO/IEC 27001 und IT-Grundschutz folgt dem international anerkannten Ansatz für das Informationssicherheitsmanagement (ISMS) und berücksichtigt auch die Bedürfnisse kleiner und mittlerer Unternehmen (KMU).

TISAX (Trusted Information Security Assessment Exchange): Insbesondere für die Automobilindustrie relevant, ist TISAX eine Bewertung und ein Austauschmechanismus für Informationssicherheit.

PCI DSS (Payment Card Industry Data Security Standard): Für Unternehmen, die Kreditkarteninformationen verarbeiten, speichern oder übertragen, ist die PCI-DSS-Zertifizierung unerlässlich.

SOC 2 (Service Organization Control 2): Diese Zertifizierung bezieht sich auf die Überwachung von Cloud- und anderen Serviceanbietern. Sie gewährleistet, dass diese Anbieter Informationen sicher und privat verwalten.

Heute informieren, übermorgen noch erfolgreich bleiben

Sie merken: Wurde die Cyber Security früher noch als Kostenfaktor angesehen, hat sie in der heutigen Welt einen zentralen Platz eingenommen. Dabei kann sie als Basis für gute Geschäftsbeziehungen und sogar als Alleinstellungsmerkmal von Unternehmen dienen.

Wer das erkennt und entsprechend handelt, wird in der digitalisierten Wirtschaftswelt nicht nur heute, sondern auch morgen und übermorgen noch erfolgreich sein. Diese Chance sollte man nutzen, indem man seine Kunden, Partner und Lieferanten transparent über die eigenen Cyber-Security-Maßnahmen informiert.

Apropos informiert bleiben: Wenn Sie Fragen zum Thema haben oder mehr über Cyber Security erfahren möchten, sprechen Sie mich gerne darauf an.