Die größten Herausforderungen für Unternehmen
Viele Unternehmen begegnen den Risiken, indem sie von Rechenzentren vor Ort auf cloudbasierte Lösungen umstellen. Doch auch die cloudbasierte Sicherheit wirft neue Probleme auf.
Aufbau der Infrastruktur: Unternehmen stehen vor zwei großen Problemen: der Auswahl aus einer Vielzahl von Sicherheitsanbietern und -lieferanten und deren Verwaltung. Laut einem Anbieter, der verschiedene Cloud-Sicherheitsplattformen installiert, ist es ein häufiges Problem, ein einziges Dashboard zu erstellen, um ein Netzwerk aus verschiedenen Lösungen zu verwalten, die vom Endpunktschutz bis hin zu Cloud-Systemparameterlösungen reichen. Und da so viele ähnliche Optionen zur Verfügung stehen, sind einige Unternehmen wie gelähmt; sie brauchen zu lange, um die perfekte Lösung zu finden, anstatt eine anfängliche Infrastruktur aufzubauen, die im Laufe der Zeit aktualisiert werden kann.
Überwachung, Schulung und Steuerung der Systeme: Wir sind der Meinung, dass eine klare Berichterstattungsstruktur an den für die Überwachung zuständigen Ausschuss des Verwaltungsrats unerlässlich ist, mit Berichten ohne Fachjargon, die auch von Aufsichtsratsmitgliedern ohne Cyber-Expertise leicht verstanden werden können. Ebenso hilfreich ist eine einfache Matrix, in der die Risiken als „hoch, mittel, niedrig“ eingestuft werden, sowie Berichte über Gegenmaßnahmen. Die Rechtsabteilung, der Vorstand und die Geschäftsleitung sollten häufiger mit dem Datensicherheitsteam interagieren. Die Aufsicht muss sich auch auf die Mitarbeiter erstrecken, die die Systeme betreiben und überwachen.
Steigende Kosten für Umsetzung/Beschaffung: Viele Chief Information Officer (CIO) haben uns mitgeteilt, dass sie mit den Kosten zu kämpfen haben. In einigen Fällen können Ingenieure eine einzige Änderung an einem Server vornehmen, die im Laufe der Zeit die Gesamtkosten für ein ganzes System drastisch erhöhen. Darüber hinaus stellen viele Anbieter die steigenden Kosten für die Überwachung und Wartung einer robusten Cybersicherheitsinfrastruktur nicht klar dar. Die Überprüfung von Mitarbeiterzugängen und ein vorausschauendes Infrastrukturkostenmodell können dazu beitragen, diese Fallstricke zu vermeiden, insbesondere bei Unternehmen mit geringeren dedizierten Cybersicherheitsressourcen. Die Kosten für Cyber-Versicherungen sind ein weiterer Faktor. Die Versicherungsleistungen können sich verringern, wenn neue Anbieter hinzukommen und Systeme aktualisiert werden oder wenn sich der Versicherungsschutz verringert. So hat beispielsweise Lloyd’s of London kürzlich angekündigt, keine Versicherungen mehr gegen staatlich unterstützte Cyberangriffe anzubieten.
Wie können Anleger das Cyber-Risikomanagement bewerten?
Anleger müssen die richtigen Fragen stellen und sich auf die Budgets konzentrieren, um die Cyber-Strategie und -Maßnahmen eines Unternehmens zu beurteilen. Wie werden Cyber-Probleme an den Vorstand gemeldet? Wie werden Risiken überwacht und eskaliert? Welche Arten von Systemtests und Reaktionsplänen werden angewandt? Sind die Mitarbeiter auf einen Angriff vorbereitet?
Gespräche mit der Geschäftsführung können wichtige Hinweise auf die Cyberkompetenz liefern. Bei unseren jüngsten Besuchen haben wir festgestellt, dass Unternehmen mit einem ausgeprägten Risikobewusstsein eher bereit sind, über das Thema zu sprechen und Einzelheiten zur Unternehmensführung, Berichterstattung und Schulung anzugeben. Vage oder Standardantworten könnten darauf hindeuten, dass ein Unternehmen weniger gut auf Bedrohungen vorbereitet ist und damit anfälliger für Angriffe ist.
Stimmige Strategien für komplexe Bedrohungen
Da die Bedrohungen zunehmen, müssen Unternehmen ihre Anstrengungen zur Angriffsabwehr und zum Schutz ihrer Daten und Systeme verstärken. Kleine und mittelgroße Unternehmen sind möglicherweise mit höheren Risiken konfrontiert, da viele von ihnen sich noch in einem relativ frühen Stadium der Cybersicherheitsentwicklung befinden und Lücken in ihren Systemen aufweisen.
Bei Unternehmen aller Größenordnungen sollten Anleger die vorhandenen Cybersicherheitssysteme unter die Lupe nehmen und sich eingehender mit der Unternehmenskultur, den Ressourcen und der Berichterstattung über die Sicherheit befassen. Mit stimmigen Strategien in jedem Bereich werden Unternehmen besser darauf vorbereitet sein, Cyberangriffe zu verhindern und auf sie zu reagieren. Indem sie sich regelmäßig mit der Unternehmensleitung über diese Themen austauschen, sind professionelle Investoren besser in der Lage, das Cybersicherheitsprofil eines Unternehmens in eine umfassendere Risikobewertung von Portfoliokandidaten und -beteiligungen einzubeziehen.
