Cyber-Attacken richtig managen
McAfee: Cyber-Kriminalität verursacht bis zu 575 Milliarden US Dollar Schaden jährlich
Die Cyber-Revolution verändert aber auch die Industrie durch enorme Produktivitätssteigerungen, neue Märkte und Dienstleistungen. Neben den vielen positiven Aspekten, geht aber auch eine große Gefahr von der Digitalisierung ganzer Lebensbereiche, und darin mit eingeschlossen auch der Wirtschaft, aus.Cyber-Attacken von kriminellen Hackern, Geheimdiensten oder Konkurrenten gehören mittlerweile zum Alltag. Laut einer Studie "Net losses: Estimating the global cost of cybercrime" von McAfee sind die Schäden durch Cyber-Kriminalität mittlerweile größer als durch den Drogenhandel. McAfee schätzt den weltweiten Schaden durch Cyber-Kriminalität auf bis zu 575 Milliarden US Dollar jährlich.
Unternehmen sind mit der Abwehr von Cyber-Angriffen weitgehend überfordert, wie der TÜV-Rheinland kurz vor Weihnachten festgestellt hat. Nach Auffassung der TÜV-Experten müssen die Unternehmen die IT-spezifische Risikolage neu überdenken (siehe Nachricht auf COMPLIANCEdigital vom 19.12.2014).
Auch für die US-amerikanische Organisation COSO (Committee of Sponsoring Organizations of the Treadway Commission) steht das Thema Cyber-Sicherheit seit langen ganz oben auf der Prioritätenliste.
COSO: Cyber-Attacken können nicht verhindert werden
Cyber-Attacken können zwar nicht verhindert werden. Umso wichtiger sei es nach Auffassung von COSO aber, diese effektiv zu managen. Nach Ansicht von Robert B. Hirth Jr., COSO-Vorsitzender, gebe es zudem auf allen Ebenen der Industrie eine wachsende Besorgnis über die Cyber-Kriminalität.In dem aktuellen Forschungsbericht "COSO in the Cyber Age", der auf den Seiten von COSO veröffentlicht wurde, geben die Autorinnen Mary E. Galligan, Direktor für Cyber Risk Services bei Deloitte & Touche LLP, und Kelly Rau, Senior Manager bei Deloitte & Touche LLP
Hilfestellungen, wie die beiden Frameworks: "Internal Control-Integrated Framework” (2013) und das “Enterprise Risk Management - Integrated Framework” (2004) eingesetzt werden können, um Cyber-Risiken effektiv und effizient auswerten zu können.
Die neuen Leitlinien sollen Firmen helfen, den richtigen Weg zur Bekämpfung und Verwaltung der Cyber-Attacken einzuschlagen, so Hirth weiter. Vor allem das 2013 veröffentlichte Framework Internal Control-Integrated Framework bietet nach Auffassung von COSO Möglichkeiten zur Identifizierung und Umsetzung von internen Kontrollkomponenten und Prinzipien, wie der Einsatz für Integrität und dem Eintreten für ethischer Werte, bis hin zur Risikoanalyse. Das Framework bietet aber auch Bewertungsmöglichkeiten sowie Hinweise, wie Mängel kommuniziert werden können.
Industrie muss in Risikomanagement investieren
Die beiden Studien-Autorinnen Galligan und Rau raten aufgrund der zunehmenden Cyber-Bedrohung allen Unternehmen, mehr in das Risikomanagement investieren. Unternehmen sollten sich zudem folgende Fragen stellen:- Konzentrieren wir uns auf die richtigen Dinge?
- Sind wir proaktiv oder reaktiv?
- Passen wir uns an den Wandel an?
- Haben wir die richtigen Talente?
- Bieten wir Anreize für Offenheit und Zusammenarbeit?
- Kann die Geschäftsleitung die Cyber-Risiken artikulieren und die geplanten Gegenmaßnahmen erklären?
Literaturempfehlungen
Wie Unternehmen wesentliche regulatorische Anforderungen an die IT identifizieren, priorisieren und effizient steuern können, erläutern die Autoren Michael Rath und Rainer Sponholz in dem Band "IT-Compliance: Erfolgreiches Management regulatorischer Anforderungen". Folgende Themen stehen im Mittelpunkt des Pionierwerks zur IT-Compliance, das bereits in der zweiten Auflage vorliegt:- Prinzipien und Rechtsrahmen der IT-Compliance.
- Klassifizierung und Priorisierung notwendiger Schutzmaßnahmen
- CobiT-Framework: IT-Compliance unter Einsatz des ISACA-Rahmenwerks
- IT-Compliance-Management: Organisationsformen, Instrumente, Umsetzung
Mario Schulz, ESV-Redaktion COMPLIANCEdigital | 13:00 Uhr, 23.01.2015