Geschäftsmann schützt persönliche Daten auf virtueller Schnittstelle

C-Level-Führungskräfte müssen aufhören, unnötige Risiken einzugehen

#KingstonCognate stellt Bill Mew vor

Bild von Bill Mew

Bill Mew ist ein wichtiger Meinungsbildner und Aktivist für digitale Ethik und Unternehmer. Als wichtiger Meinungsbildner konzentriert sich Bill Mew darauf, die richtige Balance zu finden zwischen „wirkungsvollem Schutz“, auf welchem Gebiet er als wichtigster globaler Einflussnehmer für den Datenschutz eingestuft wurde, und „der Maximierung des wirtschaftlichen und sozialen Wertes“, auf welchem Gebiet er auch einer der wichtigsten Einflussnehmer für alles ist, von der Cybersicherheit und der digitalen Transformation bis hin zu GovTech und Smart Cities. Er tritt auch wöchentlich im Fernsehen/Radio (BBC, RT usw.) als Experte für diese Themen auf – mit mehr Sendezeit als jeder andere Technologe in Großbritannien.

Als Unternehmer ist Bill Mew der Gründer und CEO von CrisisTeam.co.uk, wo er mit einem Eliteteam von Experten in den Bereichen Incident Response, Cyberrecht, Reputationsmanagement und sozialer Einfluss zusammenarbeitet, um Kunden dabei zu unterstützen, die Auswirkungen von Cyberangriffen zu minimieren.

Eine Unternehmenskultur der Risikobereitschaft kann zu Störungen in der realen Welt führen

Unternehmensmanager arbeiten an einem großen Videotablett

Das Eingehen bestimmter Risiken ist töricht. Ein Großteil der Subprime-Bankkredite, die zur Kreditverknappung und schließlich zur globalen Finanzkrise führten, gingen an Menschen, die sich diese Kredite ganz offensichtlich nie leisten konnten. Und doch taten es fast alle Banken.

Unlängst hat jedoch niemand den Lockdown und die Tatsache vorausgesehen, dass alltägliche Handlungen wie zur Schule gehen, arbeiten, Freunde treffen oder an den Strand gehen jemals eine Bedrohung für Ihr Leben und das Ihrer Mitmenschen darstellen könnten. Aber jetzt, da wir den Kontext verstehen, ist es offensichtlich.

Sowohl die globale Finanzkrise im Jahr 2008 als auch die aktuelle Pandemie waren extrem störende Ereignisse, deren Folgen durch eine bessere Risikoeinschätzung oder indem wir früher auf die Kreditrisikomanager und Gesundheitsexperten gehört hätten, vermieden oder zumindest abgeschwächt werden können.

Junger Geschäftsmann zeigt das Wort: Risikomanagement

Mangelt es der Unternehmenskultur an Risikowahrnehmung?

Die Art und Weise, wie wir Risiken berücksichtigen, ist auch oft unlogisch und unvorhersehbar. Wir haben eine massive Umstellung auf Heimarbeit erlebt, die einen neuen Angriffsvektor für opportunistische Cyberkriminelle eröffnet hat. Man würde erwarten, dass Unternehmen sich auf die Sicherheit ihrer Cloud-Anwendungen konzentrieren, aber allzu oft wird angenommen, dass sich der Cloud-Anbieter mit der Sicherheit befasst, während in Wirklichkeit falsch konfigurierte Cloud-Instanzen eine der häufigsten Quellen für Datenverstöße sind.

Obwohl Sie Ihre Cloud oder Ihren Laptop niemals ohne ein Passwort oder Schutz lassen würden, delegieren Organisationen die Beschaffung von IoT-Geräten und einfachen Gegenständen wie USB-Sticks häufig an ihre Einkaufsabteilung. Die erwerben dann zwangsläufig die preisgünstigsten Geräte, die es gibt, anstatt für Extras wie Verschlüsselung etwas mehr zu bezahlen. War Ihr USB-Stick, den Sie zuletzt benutzt haben, verschlüsselt und passwortgeschützt? Wenn die Antwort „Nein“ lautet, müssen Sie dringend Ihr Cyberrisiko überprüfen.

Das Versäumnis, Risiken zu berücksichtigen ist nicht nur kulturell bedingt – vom Selfie-Fotografen bis zum Einkaufsleiter schätzen wir das Risiko nicht immer korrekt ein – sondern dies ist auch eine Folge der Art und Weise, wie Unternehmen arbeiten.

Wer ist für Cyberrisiken verantwortlich?

Datenschutz und Cybersicherheit auf virtueller Schnittstelle

Banker vernachlässigten das Kreditrisiko, da ihre Leistung ausschließlich auf der Grundlage von Umsatz und Gewinn gemessen wurde. Alle Abteilungen in fast allen Organisationen nutzen Umsatz und Gewinn als Leistungsmetrik, anhand der sie gemessen und belohnt werden. Hierbei handelt es sich um Return on Investment (ROI) - Maßnahmen. Solange auf diese Weise Anreize gesetzt und Organisationen geführt werden, wird es keine oder nur wenig wirksame Risikobewertung geben.

Der einzige leitende Manager, der sich nicht auf den ROI, sondern auf Return on Risk (ROR) konzentriert, ist der CISO*. Auf der Grundlage der Risikobereitschaft des Unternehmens und des Budgets unternimmt der CISO alles, um Cyberrisiken zu mindern und Cyberangriffen entgegenzuwirken. Leider bedeutet eine mit dem Rest des Managementteams nicht übereinstimmende Perspektive, dass der CISO häufig nicht nur isoliert wird (was ich als CISOlation bezeichne), sondern manchmal auch zum Sündenbock gemacht werden kann, selbst wenn ein Datenmissbrauch als Folge von Maßnahmen des CMO** oder eine Sicherheitsverletzung als Folge von Maßnahmen des CIO*** auftritt und die Warnungen des CISO ignoriert wurden.

Es ist, als ob die Mitglieder der Geschäftsleitung alle mit einem Fernseher fernschauen, auf dem nur zwei der drei Farben funktionieren (Einnahmen und Gewinn). Sie können ungefähr sehen, was im gesamten Unternehmen passiert, aber sie erhalten nicht das Gesamtbild. Wenn größere Risiken auftreten, oft aus heiterem Himmel, sind sie für den CISO sichtbar, aber nicht für die anderen, und wenn die Warnungen dann trotzdem ignoriert werden, kann dies zu einer Katastrophe führen.

Drei Kernpunkte sollten immer berücksichtigt werden

Es ist zu hoffen, dass die jüngsten Vorkommnisse uns alle viel risikobewusster machen. Unternehmensführungen müssen die Art und Weise ändern, wie sie Anreize schaffen, ihre Teams managen und sicherstellen, dass ihre Perspektive alle drei Kernpunkte umfasst: Umsatz, Gewinn UND Risiko. Einkaufsleiter müssen Risiken einschätzen und verstehen, wie Kaufentscheidungen von relativ kostengünstigen Geräte (verschlüsselte Laufwerke kosten nicht viel mehr) bis hin zu größeren komplexen Systemen unter Berücksichtigung der Cybersicherheit getroffen werden müssen.

Angesichts einer risikobewussten Kultur ist es eine vernünftige Investition, für alles eine kleine Cyberrisikoprämie zu zahlen, von sicheren, verschlüsselten Geräten bis hin zu komplexen Multi-Cloud-Systemen. Dann würden CISOs auch wissen, dass sie Alarm auslösen können, ohne ignoriert zu werden.

Kollegen treffen sich, um ihre Finanzpläne zu besprechen

Kultureller Wandel ist vonnöten

Als Gesellschaft waren wir noch nie so vernetzt oder so abhängig von der Technologie wie jetzt und daher so verwundbar – insbesondere angesichts der sich ständig weiterentwickelnden und wachsenden Bedrohungslandschaft.

Führung ist erforderlich, um das Verhalten des Führungsteams und aller ihm unterstehenden Personen zu verändern, und diese Art des kuturellen Wandels hin zu einem höheren Risikobewusstsein muss von ganz oben erfolgen. Eine Kultur der digitalen Ethik (einschließlich Datenschutz und -sicherheit) muss alle Ebenen – von oben bis unten – durchdringen. Organisationen, die über diese Kultur der digitalen Ethik verfügen und risikobewusst sind, weisen nicht nur eine geringere Wahrscheinlichkeit auf, eine Datenverletzung zu erfahren, sondern können auch besser reagieren, wenn es zu einer solchen kommt.

Anreize, dies richtig zu machen, gibt es überall

Großansicht einer vollständig angekreuzten Liste mit Kontrollkästchen

Wenn Bußgelder der DSGVO, die gesetzliche Sanktion, das Recht auf Datenverarbeitung zu verlieren, Rechtsstreitigkeiten und der Reputationsschaden durch falsche Datenverarbeitung nicht ausreichen, gibt es eine echte Belohnung für denjenigen, der es richtig gemacht hat. Genauso wie Verbraucher und Investoren jene Marken verlassen, deren Ruf durch Cyberangriffe und Missbrauch der Privatsphäre beschädigt wurde, sind sie auch bereit, einen Aufpreis für vertrauenswürdige Marken zu zahlen, die mit digitaler Ethik in Verbindung gebracht werden.

Kunden in allen Bereichen, nicht nur im technischen Bereich, werden immer anspruchsvoller und kritischer. Untersuchungen darüber, was sie eher von Unternehmen als von Regierungen erwarten, haben ergeben, dass Datensicherheit und Datenschutz sogar Vielfalt und Nachhaltigkeit übertroffen haben. In der Tat sind Sicherheit und Datenschutz heute die wichtigsten Punkte, von denen Verbraucher erwarten, dass Unternehmen dazu Stellung beziehen, und sie werden es Ihnen nicht verzeihen, wenn Sie etwas falsch machen. Es lohnt sich also wirklich, das Richtige zu tun!

Ask an Expert

Kingston kann Ihnen eine unabhängige Beratung anbieten, ob die Konfiguration, die Sie derzeit verwenden oder die Sie verwenden möchten, für Ihr Unternehmen geeignet ist.

Selbstverschlüsselnde SSDs

Wir beraten Sie, welche Vorteile SSDs für Ihre spezifische Speicherumgebung haben und welche SSD für Ihre Mitarbeiter im mobilen Einsatz am besten geeignet ist, damit sie auch unterwegs sicher arbeiten können.

Fragen Sie einen SSD Experten

Verschlüsselte USB-Sticks

Wir beraten Sie, welche Vorteile die Verwendung von verschlüsselten USB-Sticks für Ihr Unternehmen hat und welcher Stick für Ihre Geschäftsanforderungen am besten geeignet ist.

Fragen Sie einen USB Experten

Erfahren Sie mehr über Kingstons Produktlinie an verschlüsselten Speicherlösungen

Für Informationen darüber, wie sich COVID-19 auf unsere Geschäftstätigkeit ausgewirkt hat, klicken Sie hier.