Auf dem Weg zu einem integrierten Ansatz

Lassen Sie uns die traditionellen Silos in der Cybersicherheit hinter uns lassen.

Ein Wandel im Umgang mit Bedrohungen

Autor: Dirk Jan van den Heuvel, Geschäftsführer bei Bureau Veritas Cybersecurity

Als Geschäftsführer eines wachsenden Cybersicherheitsunternehmens sehe ich einen Wandel im Umgang mit Bedrohungen. Die traditionelle Trennung zwischen z.B. 'Bewusstsein', 'Governance' oder 'technischen Maßnahmen' führt oft zu einer Unterbrechung des Cyber-Risikomanagements. Die Lösung: ein stärker integrierter, multidisziplinärer Ansatz.

Einige große Unternehmen haben gute Maßnahmen zur Verwaltung ihrer Cybersicherheitsrisiken eingeführt. Sie haben ein CISO-Büro, ein Sicherheitsmanagementsystem, Schulungen und technische Maßnahmen eingeführt. Sie befolgen die ISO 27k-Normen oder das NIST Cybersecurity Framework (Identifizieren, Schützen, Erkennen, Reagieren, Wiederherstellen, Verwalten). Sie verfügen über Richtlinien zur Analyse von Risiken, Bedrohungen, Erkenntnissen und Problemen, so dass sie lernen und sich verbessern können. Mit einem großen Team von Sicherheitsexperten verwalten sie die Cyberrisiken eines so großen Unternehmens. Hut ab!

Kredit: N. Hanacek/NIST

Ungleichgewicht zwischen verschiedenen Maßnahmen

Für kleinere Organisationen (bis zu Tausende von Mitarbeitern) ist die Herausforderung jedoch größer. Sie benötigen viele Kompetenzen, um mit Cyber-Risiken auf eine ausgereifte Weise umzugehen. Von außen betrachtet mögen ihre Sicherheitsmaßnahmen gut aussehen: Sie organisieren vielleicht Schulungen, verfügen über Sicherheitsrichtlinien und technische Maßnahmen zur Reduzierung von Cyberrisiken. In der Praxis sehen wir jedoch, dass diese Maßnahmen oft ziemlich unzusammenhängend sind:

Schulungen zur Sensibilisierung und zum Verhalten sind nicht mit den Besonderheiten des Unternehmens oder der Branche, in der es tätig ist, verbunden. Sie werden oft als eine Frage der Einhaltung von Vorschriften behandelt und nicht als eine Möglichkeit, echte Risiken zu bewältigen.
Ein Sicherheitsmanagementsystem mag zwar vorhanden sein, aber es kann nicht die wirklichen Bedrohungen auf der technischen Seite oder die Risiken im Zusammenhang mit der Unternehmensführung und dem menschlichen Faktor angehen.
Die technischen und IT-Maßnahmen können gut sein, aber unzureichend oder unausgewogen. Zum Beispiel, wenn es angemessene "Schutz"-Maßnahmen gibt, aber unzureichende "Erkennen"- oder "Reaktions"-Maßnahmen.

Wir brauchen einen ausgewogeneren Ansatz

Die heutigen Cyber-Herausforderungen erfordern einen ausgewogenen, integrierten Ansatz für Cybersicherheitsmaßnahmen. Schutz-, Erkennungs-, Reaktions- und Governance-Maßnahmen müssen alle aufeinander abgestimmt werden. Mitarbeiter mit Kenntnissen in den Bereichen Bewusstsein und Verhalten, Sicherheitsmanagement oder IT-Sicherheit müssen zusammenarbeiten, um das Unternehmen zu schützen. Wir müssen uns von den traditionellen Silos lösen und uns mehr auf Zusammenarbeit und Integration konzentrieren. Informationssicherheit, Cybersicherheit und menschliche Faktoren müssen zusammengeführt werden, sowohl in größeren als auch in kleineren Organisationen.

NIS2 und DORA: Bewegung in Richtung Integration

Glücklicherweise sehen wir in Verordnungen wie NIS2 und DORA eine Bewegung hin zu diesem integrierten Ansatz. Dabei geht es nicht um eine Checkliste oder eine einfache Aktionsliste, sondern letztlich um Wissen und Schulung, Mentalität, Verantwortlichkeit, laufendes Risikomanagement, Beweise oder vielleicht sogar Geldstrafen. Diese weltumspannenden Vorschriften verlangen von vielen kritischen und wichtigen Organisationen die Umsetzung solider, integrierter Sicherheitsmanagementmaßnahmen. Und die Vorschriften verlangen von ihren kritischen Zulieferern, dass sie dasselbe tun.

Dies ist eine große Herausforderung für kritische und wichtige Organisationen in unserer Gesellschaft. Vorbei sind die Zeiten, in denen es ausreichte, ein ISMS zu haben; die Zeiten, in denen ein jährlicher Pen-Test ausreichte, um die Risiken zu beseitigen; die Zeiten, in denen Kunden jeden Cybervorfall als "Pech" akzeptieren konnten. Wir brauchen einen professionelleren, multidisziplinären, programmgestützten Ansatz (mit mehreren parallelen Spuren). Bei Secura lieben wir diese Herausforderung. Deshalb nennen wir das Jahr 2024 das Jahr des integrierten Ansatzes.

Die Welt der Cybersicherheit verändert sich. Abonnieren Sie unseren Cyber Vision Newsletter, um mehr über die sich verändernde Natur der Cybersicherheit und die Zukunft der Cyber-Resilienz zu erfahren.

Über den Autor

Dirk Jan van den Heuvel, Geschäftsführer bei Bureau Veritas Cybersecurity

Erfahrener General Manager mit einer nachgewiesenen Erfolgsbilanz in den Bereichen Informationstechnologie und Cybersicherheit. Der Schwerpunkt liegt dabei auf Fachwissen, (globalen) Standards, Tests und Zertifizierung. Unternehmer und starker Geschäftsentwickler mit Führungsqualitäten und einem Doktortitel in Physik von der Universität Leiden.

Dienstleistungen mit einem integrierten Ansatz

Secura CyberCare

In dem sich schnell verändernden Bereich der Cybersicherheit benötigen viele unserer Kunden einen Partner für Cybersicherheit. Einen unabhängigen Berater, auf den Sie immer zählen können. Mit Secura CyberCare haben Sie immer einen zuverlässigen Sicherheitspartner an Ihrer Seite.

NIS2-Dienste

Benötigen Sie Hilfe bei NIS2? Entdecken Sie unsere Experten-Services, die Ihnen helfen, die NIS2-Anforderungen an die Cybersicherheit zu erfüllen.

DORA Dienstleistungen

Benötigen Sie Hilfe bei DORA? Entdecken Sie unsere Experten-Services, die Ihnen helfen, die DORA-Anforderungen an die Cybersicherheit zu erfüllen.

Dienstleistungen mit einem integrierten Ansatz

Secura CyberCare

NIS2-Dienste

Benötigen Sie Hilfe bei NIS2? Entdecken Sie unsere Experten-Services, die Ihnen helfen, die NIS2-Anforderungen an die Cybersicherheit zu erfüllen.

DORA Dienstleistungen

Benötigen Sie Hilfe bei DORA? Entdecken Sie unsere Experten-Services, die Ihnen helfen, die DORA-Anforderungen an die Cybersicherheit zu erfüllen.

Kontakt aufnehmen

Möchten Sie mehr über die Vision der integrierten Services von Bureau Veritas Cybersecurity erfahren und wie Sie diese in Ihrem Unternehmen umsetzen können? Füllen Sie das Formular aus und wir werden Sie innerhalb eines Arbeitstages kontaktieren.

Vorname

Nachname

Unternehmen / Organisation

E-mail

Telefonnummer

Wie können wir Ihnen helfen?

Ich stimme der Verarbeitung meiner Daten gemäß der Datenschutzerklärung zu und akzeptiere die Allgemeinen Geschäftsbedingungen.

Ich bin einverstanden, dass Bureau Veritas Cybersecurity diese Daten nutzt, um mich über weitere Dienstleistungen, Veranstaltungen oder relevante Themen zu informieren.

Warum sollten Sie sich für Bureau Veritas Cybersecurity entscheiden?

Bureau Veritas Cybersecurity ist Ihr kompetenter Partner für Cybersicherheit. Wir unterstützen Unternehmen dabei, Risiken zu identifizieren, ihre Abwehrmaßnahmen zu stärken und Cybersicherheitsstandards und -vorschriften einzuhalten. Unsere Dienstleistungen umfassen Menschen, Prozesse und Technologien, von Sensibilisierungsschulungen und Social Engineering bis hin zu Sicherheitsberatung, Compliance und Penetrationstests.

Wir sind in IT-, OT- und IoT-Umgebungen tätig und unterstützen sowohl digitale Systeme als auch vernetzte Produkte. Mit über 300 Cybersicherheitsexperten weltweit verbinden wir fundiertes technisches Fachwissen mit einer globalen Präsenz. Bureau Veritas Cybersecurity ist Teil der Bureau Veritas Group, einem weltweit führenden Unternehmen im Bereich Prüfung, Inspektion und Zertifizierung.