Blog

Auch KMU brauchen einen CISO

/ Kategorie: Cybersecurity, CISO, ISPIN Viewpoint

Die ohnehin schon hohe Zahl an Cyberattacken ist seit dem Beginn des Russland-Ukraine-Kriegs noch einmal deutlich angestiegen. Hacker nutzen den Konflikt als Ablenkung und intensivieren ihre Aktivitäten. Für KMU sind das schlechte Nachrichten. Denn bereits 2019 waren sie von 43 % aller Sicherheitsvorfälle betroffen. KMU brauchen einen CISO, aber die zumeist begrenzten Ressourcen und Budgetbeschränkungen lassen das in der Regel nicht zu. Die Lösung: CISO as a Service.

ISPIN Blog - CISO as a Service

Die Zahl der Cyberangriffe nimmt in einem noch nie dagewesenen Ausmass zu. Nicht nur grosse Unternehmen, sondern auch klein- und mittelständische Firmen sind von kontinuierlichen Eindringversuchen und Zwischenfällen betroffen. Das Hacken von KMUs bringt den Cyberkriminellen zwar keinen hohen Gewinn, aber diese Unternehmen sind leichter zu knacken. Zudem ist der Zeitaufwand, den die Angreifer betreiben müssen, um in das Netzwerk einzudringen, relativ gering. KMUs sind aus mehreren Gründen interessant für Hacker:

  1. Sie investieren in der Regel weniger in die IT-Sicherheit und sind daher leichtere Opfer.
     
  2. KMU sind anfälliger für Social Engineering
    Beim Social Engineering werden Menschen manipuliert, damit sie z. B. vertrauliche Informationen weitergeben oder Geld überweisen. Kleine Unternehmen sind diesem Risiko aus mehreren Gründen stärker ausgesetzt: Sie verfügen über weniger grundlegende Sicherheitsvorkehrungen. Sie sind sich des Risikos oft nicht bewusst und schulen ihre Mitarbeitenden nicht oder nicht ausreichend. Zudem arbeiten sie häufig mit einer Vielzahl von Drittanbietern zusammen, um ihr Geschäft zu betreiben – in diesem Bereich kommt es oft zu Datenschutzverletzungen.
     
  3. Sie sehen sich gezwungen, Lösegeld zu zahlen
    Vor die Wahl gestellt, entweder eine Ransomware-Forderung zu zahlen, die sie vielleicht schneller wieder online bringt, oder eine lange, möglicherweise geschäftsschädigende Ausfallzeit in Kauf zu nehmen, haben KMU oft das Gefühl, keine andere Wahl zu haben, als diese Forderungen zu zahlen. Da sie niemanden haben, an den sie sich um Hilfe wenden können, gilt dies insbesondere für diejenigen, die keinen Zugang zu Spezialisten für Cybervorfälle haben.
     
  4. KMU sind das Einfallstor zu grösseren Unternehmen
    Viele KMU sind elektronisch mit den IT-Systemen grösserer Organisationen verbunden. Wenn Cyberkriminelle also versuchen, in diese grösseren und besser geschützten Unternehmen einzudringen, nehmen sie zunehmend deren kleine Zulieferer ins Visier. Hinzu kommt, dass viele dieser IT-Beziehungen durch öffentlich verfügbare Daten sichtbar sind.
     
  5. KMU sind oft nicht das Ziel, sondern ein Kollateralschaden
    Häufig sind KMU „nur“ der Kollateralschaden bei gross angelegten Cyberangriffen, die nichts mit ihnen zu tun haben. In KMU herrscht vielfach die Meinung vor, sie seien abgesichert, weil sie ihre IT auslagern und ihre Daten in der Cloud gespeichert sind. Aber wenn ein Cyberangriff gegen einen ihrer Technologieanbieter gestartet wird, sind sie es, die den Schaden tragen müssen. Denn dies führt zu Betriebsunterbrechungen oder Datenschutzverletzungen, welche sich finanziell, im Kundenvertrauen und in der generellen Reputation negativ auswirken.

IT-Sicherheit professionell managen

Die meisten KMUs brauchen keinen Vollzeit-CISO und können sich auch keinen leisten. Aber sie brauchen eine klare Sicherheitsstrategie und jemanden, der die Umsetzung dieser Strategie vorantreibt. Ein CISO verfügt über die nötige Erfahrung und das Fachwissen, um Menschen, Prozesse die Organisation sowie Technologien zu managen, um die Übereinstimmung von Unternehmenssicherheit und Geschäftszielen zu gewährleisten. KMU brauchen einen solchen Experten, der über die nötige Erfahrung und das Fachwissen für die Abwehr von Cyberangriffen verfügt. Aber: Diese Experten sind hoch gefragt, teuer und schwer zu finden. Mit „CISO as a Service“ können KMU die Herausforderungen dennoch bewältigen. Denn damit steht Ihnen ein CISO zur Verfügung, ohne dass sie ihn selbst einstellen müssten.

Vorteile eines CISO für KMU

Die Rolle des CISO ist eine multidimensionale, umfassende Aufgabe. Ein CISO muss nicht nur über technisches Fachwissen verfügen, sondern auch eine strategische Perspektive haben, um sicherheitsorientierte Geschäftsentscheidungen zu treffen. Er muss die Cyber-Kultur und Maturität des Unternehmens verstehen und sich an sie anpassen als auch über die Erfahrung verfügen, um das Unternehmen sicher durch eine Sicherheitsverletzung zu führen.

Aufgaben eines „CISO as a Service“

Ein im Dienstleistungsmodell engagierter CISO hat im Prinzip dieselben Aufgaben, wie ein angestellter. Dazu gehören:

  • die Entwicklung eines ausgereiften Cybersicherheitsprogramms, das an die Bedürfnisse des Unternehmens angepasst ist – 
    Der CISO ist derjenige, der die Risiken, denen das Unternehmen ausgesetzt ist, qualifiziert und eine Lösung auswählen kann, die es ermöglicht, die gesetzlichen Vorschriften einzuhalten und unter dem Gesichtspunkt des Risikomanagements sicher zu sein. Er stellt zudem sicher, dass Standards, Verfahren und Leitlinien zur Sicherung der Informationsinfrastruktur des Unternehmens entwickelt werden.
     
  • die Erstellung eines Compliance-Programms – 
    Unternehmen verfügen oft nicht über das Fachwissen in Sachen Compliance und wie sich diese Vorgaben auf die Erstellung von Richtlinien und Prozessen zur Sicherung geschützter Informationen auswirken. Mit „CISO as a Service“ können eine Strategie und ein Ausführungsplan entwickelt werden, der die spezifischen Anforderungen des beauftragenden Unternehmens erfüllt.
  • die Neuausrichtung der Cyber-Ausgaben – 
    Was auch immer das Unternehmen vor einem oder einem halben Jahr zum Schutz vor Cyberrisiken getan hat, ist heute wahrscheinlich nicht mehr so effektiv. Ein „CISO as a Service“ kann Organisationen jeder Grösse helfen, indem er sich das aktuelle Budget ansieht und wie es ausgegeben wird. Er kann daraufhin Wege aufzeigen, wie es effektiver und effizienter ausgegeben werden kann, um eine sicherere Position zu schaffen.
     
  • die kompetente Unterstützung bei neuen Projekten – 
    Ist ein Technologieprojekt angedacht oder eine Due-Diligence-Prüfung geplant, kann der CISO das Unternehmen mit seiner Erfahrung vor kostspieligen Fehlern oder Versäumnissen bewahren.

„CISO as a Service“ bietet KMU den Vorteil mit Experten arbeiten zu können, deren Fähigkeiten und Erfahrungen vielfältig sind. Diese Erfahrungen aus anderen Projekten und Branchen können sie einbringen und damit auch neue Impulse geben. CISO im Dienstleistungsmodell fallen nicht aus, weil bei Krankheit oder anderen Absenzen, Kollegen aus dem beauftragten Unternehmen übernehmen können.

Das Risiko für KMUs wird sich auch in Zukunft nicht verringern. Daher ist ein „CISO as a Service“ eine gute Lösung, um die Risiken beherrschbar zu machen und Schaden für das Unternehmen zu vermeiden. Schlussendlich darf man nicht vergessen, dass der Fachkräftemangel gerade kleinere und mittlere Unternehmen trifft. Der „CISO as a Service“ verlagert diese Herausforderung bzw. dieses Risiko an den entsprechenden Dienstleistungspartner.

Zusammen. Sicher.

Haben Sie schon einen CISO? Sind Sie sicher, dass Ihre Sicherheitsstrategie und -massnahmen ausreichen, um den massiven Angriffswellen standzuhalten? Kontaktieren Sie uns! Unsere Cybersecurity-Experten helfen Ihnen gerne.

 

Sie haben einen Security-Notfall und brauchen Hilfe? Unser Incident Response Team ist 7x24 für Sie da.