Neuigkeiten aus der Arbeitswelt von morgen 

Unsere Rubriken


12.06.24
12.06.24
4
Unternehmen & Märkte

NIS2, DORA & Co: Wie Sie Cyber-Security-Risiken minimieren und Kompetenzen aufbauen

Cyber-Security
© Alexander Supertramp

Mit NIS2 und DORA hat die Europäische Union zwei Rechtsvorschriften veröffentlicht, die Unternehmen in der Finanzbranche und in Schlüsselsektoren der EU ein höheres Cybersicherheitsniveau und erweiterte Meldepflichten auferlegt. Doch für die Umsetzung dieser Regulatorien fehlen vielen Unternehmen Budget und vor allem Personal, was auch die neueste Ausgabe des Hays-Fachkräfte-Index spiegelt. Die entscheidende Frage ist also: Wie kann eine clevere Kombination aus internen und externen Kompetenzen aussehen? Isabel Höhn, Channel Managerin Cyber Security bei Hays, und Carsten Steinmüller, Teamleiter Cyber Security bei Hays, kennen die Antwort.

1. Der Branchenverband BITKOM bezifferte den Schaden, den die deutsche Wirtschaft 2022 durch Cyberangriffe erlitten hat, mit rund 203 Mrd. EUR. Wo lauern Ihrer Meinung nach für Unternehmen die größten Risiken?

Carsten Steinmüller: Mittlerweile dürfte es sich herumgesprochen haben, dass die eigenen Mitarbeitenden die größte Gefahrenquelle sind, wenn es um das Thema Cyber Security geht. Deshalb gilt: Wer auf Nummer sicher gehen will, sollte seine Belegschaft ständig im unmittelbaren Arbeitskontext für die Gefahren sensibilisieren. Am besten geht das über die Simulation von Phishing-Angriffen. Diese zählen zu den häufigsten Bedrohungen. In diesem Kontext sollte auch der Identitätsdiebstahl der sogenannten „Credentials“ erwähnt werden: Mitarbeitende geben unbeabsichtigt Login- oder Zugangsdaten ein, und schon schnappt die Falle zu. Auch Täuschungen über Schadsoftware wie Malware oder Ransomware sollten von Mitarbeitenden entlarvt werden können. Daher sind bewusstseinsbildende Maßnahmen der Schlüssel zu gezielter Prävention gegen Cyberattacken. 

Carsten Steinmüller© PicturePeople
Carsten Steinmüller ist seit 2018 im Vertrieb und Consulting bei Hays tätig. Aktuell verantwortet er das Business Development für Hays im Bereich Cyber Security für strategische und mittelständische Kunden in Deutschland.

2. Wenige Monate vor Ablauf der Frist zur NIS2-Richtlinie fehlt es vielen Unternehmen immer noch an Orientierung für eine umfassende Vorbereitung. Was raten Sie vor allem mittelständischen Firmen, welche Überlegungen sie jetzt anstellen sollten?  

Carsten Steinmüller: Generell sollten Unternehmen sich zunächst darüber klar werden, welchen Risiken das eigene Geschäft ausgesetzt ist und wo Cyberkriminelle gute Einfallstore ins Unternehmen finden. Ein Simulationstest könnte im nächsten Schritt zeigen, was passieren würde, wenn die Hauptsysteme mehrere Stunden oder Tage ausfallen. Das lässt sich am besten in einer Testumgebung realisieren, im laufenden Betrieb ist das schwer. Einige Unternehmen stellen auch ein Team aus internen und externen Spezialistinnen und Spezialisten zusammen, um eine Risikobewertung durchzuführen. Sie schätzen die externe Meinung, da diese nicht nur neutral und praxiserprobt ist, sondern meist auch auf einem großen Know-how basiert, das intern enorm weiterhilft. Innerhalb der Risikobewertung kann zudem darüber entschieden werden, welche Leistungen sinnvollerweise inhouse abgebildet und welche ausgelagert werden können.

3. Im ersten Quartal dieses Jahres sind die Stellenausschreibungen für IT und insbesondere Security-Expertinnen und -Experten nochmals deutlich angestiegen (37 Prozent), wie der aktuelle Hays-Fachkräfte-Index zeigt. Welche Kompetenzen werden angesichts der bevorstehenden gesetzlichen Pflichten besonders nachgefragt?

Isabel Höhn: Um es gleich vorwegzunehmen: Wer glaubt, mit der Suche nach einem erfahrenen Cyber-Security-Experten sind alle Anforderungen erfüllt, ist leider auf dem Holzweg. Da die gesetzlichen Anforderungen mehrere Fachgebiete und Unternehmensdiziplinen wie das Risiko- und Compliance Management, die technische IT-Infrastruktur (Netzwerkbetrieb, Betriebssysteme, Pen-Tests oder Cloud-Anwendungen), aber auch ethische Aspekte betreffen, kann ein Experte bestenfalls wichtige Teilqualifikationen abdecken. Dazu kommen Kenntnisse über aktuelle Bedrohungsmethoden und Angriffsmechanismen. In jedem Fall ist es wichtig, für die Organisationssicherheit eine erfahrene Führungskraft zu haben, die nicht nur den entsprechenden fachlichen Background mitbringt, sondern auch über sehr gute analytische und kommunikative Fähigkeiten verfügt. Denn sie sollte federführend dafür verantwortlich sein, den Informations- und Wissenstausch mit den betroffenen Fachbereichen und dem Management zu koordinieren.

Isabel Höhn© PicturePeople
Isabel Höhn ist Channel Managerin für Cyber Security in DACH & CEMEA bei Hays. In dieser Rolle arbeitet sie eng mit Partnern und Unternehmen zusammen, um individuelle Recruiting-Strategien zu entwickeln und dem Fachkräftemangel im Bereich Cyber Security entgegenzuwirken.

4. Welche Leistungen sollten Firmen intern abbilden können, welche auslagern, um kosteneffizient zu agieren?

Carsten Steinmüller: Dazu gibt es ein paar klare Ableitungen. Alles, was die strategische Planung rund um die Sicherheitsstrategie, Richtlinien sowie Governance-Modelle betrifft, sollte intern behalten werden. Warum? Weil ein Unternehmen sonst in Gefahr läuft, dass die Strategie nicht zu den spezifischen Anforderungen des eigenen Geschäfts passt. Das gilt insbesondere auch für das Risikomanagement. Hier geht es am Ende darum, die Risikofaktoren für das eigene Geschäft so spezifisch wie möglich herauszufinden. Schulungen können natürlich von externen Partnern durchgeführt werden, sollten allerdings ebenfalls auf die individuellen Anwendungsszenarien angepasst sein. Aufgaben wie Penetrationstests sowie Sicherheitsaudits können problemlos ausgelagert werden. Insgesamt empfiehlt sich eine ausgewogene Kombination aus internen und ausgelagerten Sicherheitsleistungen, um sowohl die geforderten Sicherheitsstandards als auch Kosteneffizienz und die nötige Umsetzungsgeschwindigkeit zu gewährleisten.

5. Wie können aus Ihrer Sicht kluge Sourcing-Konzepte aussehen, um mit geringen Personalständen Sicherheitsrisiken bestmöglich zu minimieren?

Isabel Höhn: Auch wenn diese Maßnahme in der Vergangenheit von vielen Unternehmen für nicht notwendig erachtet wurde: Es macht in vielerlei Hinsicht Sinn, in die Weiterbildung der Mitarbeitenden in Richtung Cyber Security zu investieren. Zum einen, um sie für die Anforderungen der neuen Richtlinien zu sensibilisieren, zum anderen aber auch, um langfristig interne Kompetenzen aufzubauen. Spezifische Zertifizierungen verbessern nicht nur den Wissensstand der Mitarbeitenden, sondern haben auch den Effekt, dass diese sich insgesamt mehr mit dem Thema Sicherheit identifizieren und entsprechend engagieren. Darüber hinaus ist es sinnvoll, klare Rollen und Verantwortlichkeiten zu definieren, um die Sicherheitsrichtlinien umsetzen und ihre Einhaltung überwachen zu können. Auch Tools zur Automatisierung können helfen, schneller und effizienter zu agieren. Sollten Unternehmen feststellen, dass es intern mit den personellen Kapazitäten eng wird, bietet es sich an, definierte Sicherheitsfunktionen wie zum Beispiel ein SOC (Security Operations Center) as a service auszulagern. Dabei sollte allerdings beachtet werden, dass die Verantwortung für das Einhalten des rechtskonformen Sicherheitsniveaus stets beim Unternehmen selbst, nicht beim externen Partner, liegt. Ungeachtet dessen, welche Sicherheitsfunktionen ausgelagert werden, obliegt dem betroffenen Betrieb stets die Pflicht, den gesamten Prozess zu steuern und zu prüfen.

 

Teilen oder downloaden
12.06.24
4
4
Bewertungen (für eingeloggte User)
Silvia Hänig
Teilen oder downloaden
Bewertungen (für eingeloggte User)

Newsletter

Sie möchten weiterhin über die neuesten Trends in der Arbeitswelt informiert bleiben? 

Neue Perspektive gesucht?

Personelle Unterstützung gesucht?