Führung · Innovation · Risikomanagement
X LinkedIn V+ Abonnement
VANGUARD VANGUARD
Wirtschaft Sicherheit

Cybersicherheit in der Smart Economy: Die Rolle des CFO

Feiyun Chen | | 1 Min. Lesezeit

In einer zunehmend vernetzten Welt, in der digitale Technologien wie Künstliche Intelligenz, das Internet und Big Data die Wirtschaft prägen, gewinnt Cybersicherheit für Unter - nehmen in Smart Economy an Bedeutung. Diese Technologien bieten immense Chancen, erhöhen jedoch auch die Verwundbarkeit gegenüber Cyberangriffen, wodurch der Finanz - vorstand (CFO) eine zentrale Rolle einnimmt. Cybersicherheit als Geschäftsrisiko Traditionell konzentrierte sich der CFO auf finanzielle Aspekte. In der Smart Economy muss er jedoch Cybersi - cherheit als betriebswirtschaftliches Risiko erkennen, da Cyberangriffe operative Störungen und finanzielle Schäden verursachen können. Cyber - sicherheit sollte frühzeitig in digitale Projekte integriert werden. Der CFO ist dafür verantwortlich, dass das Unter - nehmen „cybersmart“ agiert und eine Kultur der Wachsamkeit fördert. Dabei muss er die Bedeutung des Schutzes vor Cyber-Gefahren betonen und sicherstellen, dass Mitarbeiter ihre Rolle in der Cybersicherheit verstehen. Verantwortungsbereich des Finanzvorstands Die Verantwortung des CFOs in Bezug auf Cybersicherheit wächst kontinu - ierlich. Er ist nicht nur dafür verant - wortlich, die notwendigen finanziellen Ressourcen bereitzustellen, sondern muss auch eng mit dem Chief Infor - mation Officer (CIO) und anderen Führungskräften zusammenarbeiten, um Cybersicherheit als essenzieller Bestandteil der Unternehmens - strategie zu verankern. Ein kompe - tenter CFO sollte die Bedrohungslage verstehen und Investitionen in Cyber - sicherheit als Teil eines umfassenden Risikomanagements betrachten, indem er potenzielle Risiken analysiert und zukünftige Bedrohungen minimiert. Cybersicherheit in der Smart Economy Langfristige Planung für Cybersicherheit Ein zentraler Aspekt ist die angemessene Budgetierung für Cybersicherheit. Der CFO muss sicherstellen, dass ausreichend Mittel für effektive Sicher - heitsmaßnahmen vorhanden sind, einschließlich Investitionen in Erken - nungssysteme, Datenverschlüsselung und Schulungen für Mitarbeiter. Lang - fristige finanzielle Auswirkungen von Cyber Sicherheitsinvestitionen sollten sorgfältig bewertet werden, da sich oft zeigt, dass präventive Maßnahmen kosteneffizienter sind als die Reaktion auf tatsächliche Sicherheitsvorfälle. Fazit In der Smart Economy hat Cybersicherheit für den CFO eine herausragende Bedeutung. Durch die Integration von Sicherheitsstrategien in die Finanz - planung und die enge Zusammenarbeit mit anderen Führungskräften trägt der CFO dazu bei, das Unternehmen vor den vielfältigen Bedrohungen der digitalen Welt zu schützen. Dies erfordert nicht nur finanzielle Mittel, sondern auch ein tiefes Verständnis der Bedrohungen und die Fähigkeit, in einer dynamischen Bedrohungslage fundierte Entscheidungen zu treffen. m a G. m onir f azeli Wie gut, dass die Stimmen, welche meinen „ach, so ein Hackerangriff passiert uns bestimmt nicht“ immer leiser werden. Zumindest in der Geschäftswelt. Betreiben wir ein Netzwerk für ein Unternehmen, so sind wir heute in der Situation, dass wir viel darüber gelernt haben, wie wir uns schützen können und letztlich auch müssen. IT Security Konzepte und diverse Standards beinhalten einen guten Leitfaden, wie ein solches Sicher - heitskonzept umgesetzt werden kann. Vereinfacht kann man daher sagen: umso schwieriger der Angriff wird, desto besser unsere Chancen, dass der Angreifer sein Ziel ändert. Dafür braucht es allerdings ein Konzept, welches uns ermöglicht, die Zusammenhänge zu erkennen. Dieses Sicherheitskonzepts beginnt idealerweise immer mit einem Risi - komanagement. Also der Überlegung und Erfassung, welche Ereignisse könnten, eintreten und massive Schwie - rigkeiten bereiten? Wie werden diese Schwierigkeiten aussehen? Welchen Schwierigkeitsgrad wird dieses Risiko verursachen? Ein zentraler Bestandteil des Risikoma - nagements ist die Risikobewertung. Hierbei werden die potenziellen Risiken identifiziert, analysiert und nach Eintrittswahrschein - lichkeit und ihrem Wirkungsgrad bewertet. Dementsprechend kann entschieden werden, welche Maßnahmen gesetzt werden, um die Risiken zu minimieren oder gar in Chancen umzuwandeln. Diverse Standards wie BSI-Grundschutz, Datenschutzverordnungen oder branchenspezifische Complian - cevorgaben kommen dann zum Einsatz. Manches proaktiv, vieles reaktiv. Konzepte wie Zero Trust setzen auf einen 100 % proaktiven Ansatz und empfehlen bei Netz - werksegmentierung auf Applika - tionsebene, Microsegmentierung durchzuführen. Zero Trust bedeutet immer davon auszugehen, dass der Angreifer ins Netzwerk kommt, oder vielleicht schon da ist ohne das er auffällt! Bei einer ISO 27001 Zertifizierung wird aber nicht nur das Netzwerk segmentiert, sondern auch eine Nachweispflicht darüber ange - fordert, dass die Mitarbeiter entsprechende Schulungen Der nächste logische Schritt The Next LEVELb arbara s teiner

bekommen und das Management sich seinen Aufgaben entsprechend weiterbildet. Warum? Weil ein schlecht informierter Mitarbeiter ein großes Risiko aufweist. Regelmäßige Awareness-Trainings müssen absolviert und nachgewiesen werden. Diese Trainings sind ein wesentlicher Bestandteil der Zerti - fizierung und auch im NIS-Gesetz verankert. Einem Unternehmen fällt es daher nicht schwer dieses Wissen einzuholen und weiters profitieren Firmen, besonders ab einer mittleren Unterneh - mensgröße, sehr stark davon, dass Berater unterschiedlicher Hersteller direkte Ansprechpartner dafür sind und neue Einblicke darüber geben. Einladungen zu C-Level Plattformen, Roundtables und diversen Security Events bieten weiteren umfang - reichen Content und die Möglichkeit Wissen zu transferieren. Diese Form von Wissenstransfer wird laufend überarbeitet und verbessert. Wenn sich dann doch etwas einschleicht, werden alle Maßnahmen von der NextGen Firewall, über EDR und XDR, Ausfall - sicherheit, Backup-Schutz, Zugriffs - berechtigungen und Segmentie - rungen hart auf die Probe gestellt. In der IT Security ist der Insider Threat (Angriff von innen) nach wie vor eine der meisten Einfallstore und dieser wird oft erst aufgrund von Unwis - senheit ermöglicht. Die jüngste Vergangenheit hat noch eine weitere erschreckende Seite gezeigt: ist Content abgeflossen oder der Angreifer noch im Netz, werden die Arten der Erpressungen immer dreister. Da stellt man sich die Frage, wie kommt man dazu, z. B. als Privatperson damit erpresst zu werden, dass Content im Internet über Familienmitglieder, Hobbies oder was auch immer veröffentlicht wird? Nur weil man in einem Unter - nehmen tätig ist, welches gerade einer Ransomware-Attacke zum Opfer fällt und alles verschlüsselt wurde. Bevor Sie nun denken, das geschieht ja nicht bei uns im schönen Österreich – oder in der DACH Region. Irrtum! Das Cyber Hilfswerk hat es sich daher zur Aufgabe gemacht, hier anzusetzen, dabei soll unter anderem das Projekt Cyber Kids helfen, diese Lücke zu reduzieren. Es geht nicht nur noch darum unsere Unternehmen mit Risiken zu bewerten und danach zu handeln, es sollte auch als Privatperson das Wissen verfügbar gemacht werden Risiken zu erkennen. Ich spreche hierbei nicht nur von Kindern und Jugendlichen, die abgeholt werden sollen. Cyber Kids bedient mehrerer Bereiche. Mit Cyber Kids soll eine Plattform geschaffen werden, die einem Infor - mationsaustausch und Wissens - transfer dient, weiters Bewusstsein für die digitale Welt vermittelt und letztendlich auch vor Hackerat - tacken schützt. Nicht nur die Kinder sollen auf diese Themen sensibilisiert werden, sondern auch und vor allem Eltern, Großeltern, Angehörige und Lehrer. Es geht darum zu erkennen, welche Tools habe ich als Privatperson zur Verfügung, um Scams zu erkennen. Phishing Attacken, die oftmals über SMS und WhatsApp daherkommen, als solche zu verifizieren und entsprechend abzuwehren. Wenn wir es mit Cyber Kids letzt - endlich schaffen, auch im privaten Bereich sicher zu agieren und es für Angreifer immer schwieriger wird, auch diese einzufangen, so werden wir alle davon profitieren. Wussten Sie, dass bereits eine Vielzahl von IT Security Herstellern Vorträgen an Schulen und Gemein- den anbieten? Es außerdem viele IT Security Spe-zialisten gibt, die gerne an Fachhochschulen kommen würden, und spannende Vorträge zu diesen Themen im Gepäck haben? Die Steigerung der digitalen Widerstandsfähigkeit und die Gewährleistung von Cybersicherheit in der digitalen Welt insgesamt sind für die Sicherheit eines Staates von großer Bedeutung. Dies drückt sich beispielsweise in der „Öster - reichischen Strategie für Cybersicherheit“ (ÖSCS) aus dem Jahr 2021 aus, wo als Vision die langfristige Schaffung eines sicheren Cyberraumes als Beitrag zur Steigerung der Resilienz Österreichs und der Europäischen Union durch einen gesamtstaatlichen Ansatz festgehalten ist. Strategien bzw. deren Umsetzung haben auch strate - gisches Denken potenzieller Mitbewerber/Gegner zu berücksichtigen. In diesem Kurzbeitrag soll auf 2500 Jahre altes chinesisches strategisches Denken hinge - wiesen werden. Strategisches Denken ist in zwei Erdteilen begründet worden: einerseits in Europa und andererseits in Asien. Als Ausgangspunkt sind dabei zu betrachten: ■ in Europa die Schriften antiker griechischer und römischer Denker als Basis neuzeitlichen Denkens in Kriegführung und Strategie ■ in Asien chinesisches strategisches Denken in Form konkreter Handbücher von Sun Tsu Die Herausforderungen der Cybersicherheit im strate - gischen Bereich machen insbesondere auch eine Ausei - nandersetzung mit dem eher wenig bekannten stra - tegischen Gedankengebäude der im Werk „Kunst des Krieges“ dargelegten dreizehn Grundprinzipien, verfasst vermutlich um 500 v. Chr. durch einen chinesischen General namens Sun Tsu, lohnenswert; dies umso mehr, als diese Prinzipien an chinesischen Bildungsein - richtungen nach wie vor als aktuell gelten und dement - sprechend gelehrt werden. Klar kommt die entscheidende Bedeutung der Sicherheit und damit in Verbindung die Bedeutung des Krieges zum Ausdruck: „Die Kunst des Krieges ist für den Staat von entscheidender Bedeutung. … Deshalb darf sie unter keinen Umständen vernachlässigt werden.“ Heute ist dies wohl auf die umfassende Bedeutung dieser Begriffe zu beziehen. Gerade der Bereich der Kriegführung im Cyberraum folgt folgenden Gedanken: „In all deinen Schlachten zu kämpfen und zu siegen, ist nicht die größte Leistung. Die größte Leistung besteht darin, den Widerstand des Feindes ohne einen Kampf zu brechen.“ Sun Tsu betont damit auch die grundsätzliche Überlegenheit der indi - rekten Strategie gegenüber der direkten Strategie. Die indirekte Strategie beruht vor allem auf Täuschung und List, wobei hier konkrete Handlungsanweisungen gegeben werden: „Wenn wir also fähig sind anzugreifen, müssen wir unfähig erscheinen; wenn wir unsere Streit - kräfte einsetzen, müssen wir unfähig scheinen; … greife den Feind an, wo er unvorbereitet ist; tauche auf, wo du nicht erwartet wirst.“ Als eine zentrale Forderung formuliert Sun Tsu die Notwendigkeit einer richtigen Beurteilung der gegne - rischen und eigenen Mittel: „Wenn du den Feind und dich selbst kennst, brauchst du den Ausgang von hundert Schlachten nicht zu fürchten. … Wenn du weder den Feind noch dich selbst kennst, wirst du in jeder Schlacht unter - liegen.“ Für Österreich ist gemäß der ÖSCS 2021 die Cyber - sicherheit daher eine der obersten Prioritäten und eine gemeinsame Herausforderung für Staat, Wirt - schaft, Wissenschaft und Gesellschaft. Das ist auch die Grundlage dafür, die Chancen der Digitalisierung auch in den kommenden Jahren und Jahrzehnten bestmöglich und vor allem sicher nutzen zu können. Eine Cybervertei - digung ist zu planen und hat daher alle Maßnahmen zur Vorbereitung, Aufrechterhaltung und Wiederherstellung der Handlungsfähigkeit im Rahmen von souveränitäts - gefährdenden bzw. -verletzenden Handlungen sicherzu - stellen. Cybersicherheit: Berücksichtigung 2500 Jahre alten strategischen Denkens b arbara s teiner mm a G. f ranz h ollerer

# Wirtschaft # Sicherheit