Von CEO zu CEO: 3 IT-Security-Tipps, die wirklich zählen

Als CEO solltest du die Cybersecurity zur Führungssache machen, klare Prioritäten setzen und persönlich dazu stehen. In diesem Beitrag teile ich 3 konkrete Tipps, wie das gelingt. Nur so bekommt die Sicherheit das Gewicht, das sie in deinem Unternehmen braucht. Nur so entsteht die Sicherheitskultur, die das wahre Fundament für Resilienz ist.

Viele denken bei IT-Security zuerst an Firewalls oder Antivirenprogramme. Aber der wichtigste Hebel ist die Kultur im Unternehmen. Hier sind drei ganz konkrete Tipps dafür, die ich jedem CEO ans Herz lege, unabhängig von Branche oder Firmengrösse.

Den Begriff «ans Herz legen» verwende ich nicht leichtsinnig: Nimm' es dir wirklich zu Herzen. Ein schwerer Cybervorfall kann das Ende deines Unternehmens bedeuten.

1. IT-Sicherheit beginnt im C-Level

IT-Sicherheit ist heute Chefsache. Nicht nur für CIOs, CISOs oder externe Anbieter, sondern auch für uns CEOs. Denn wer sein Unternehmen digital führen will, trägt die Verantwortung dafür, es auch digital zu schützen.

Ich bin kein Techniker. Aber ich habe in vielen Gesprächen mit Kunden, Partnern und unserem eigenen SOC-Team eines gelernt: Gute Security beginnt nicht mit Tools, sondern mit Haltung.

Zur Haltung steht nie etwas im Geschäftsführer-Stellenbeschrieb, doch es ist eine wichtige Aufgabe von uns: Eine Haltung einnehmen und diese für die Kolleginnen, Kollegen und Mitarbeitenden sichtbar und vor allem glaubwürdig vorleben.

Auf die tägliche CEO-Arbeit heruntergebrochen bedeutet dies,

• dass die Security als permanenter Punkt auf der Agenda der Führungsebene. Nicht nur dann, wenn es zu Vorfällen kommt. Es soll proaktiv über die grössten Risiken diskutiert und laufend Massnahmen zur Erhöhung der Resilienz getroffen werden. Das zieht selbstverständlich das Schaffen der entsprechenden Stellen mit AKVs, Prozessen und Budgetierung nach sich, worauf ich hier nicht in Detail eingehe.
• dass die Security als wiederkehrendes Thema in der Kommunikation an das Unternehmen. Denn so wird die Haltung und die Wichtigkeit des Themas für die Mitarbeitenden sichtbar. Konkret mache ich das unter anderem so, dass ich Blogbeiträge wie genau diesen hier schreibe und dann im internen Newsfeed einen persönlichen Post dazu mache. Die Leute sehen, dass ich mich persönlich um das Thema kümmere und die Kommunikationskanäle dazu nutze.
• dass du als CEO das Thema vorlebst und genau darum geht es im Kapitel 2. 

2. Investiere in Awareness, nicht nur in Technik

Der Mensch ist das stärkste und gleichzeitig das schwächste Glied. Die besten Systeme helfen nichts, wenn ein Mitarbeiter oder eine Mitarbeiterin auf einen Phishing-Link klickt.

Und nicht nur deine Mitarbeitenden klicken auf schädliche Links, das tun auch C-Level-Personen mit erhöhten Systemrechten.

Ich möchte darum mit Nachdruck betonen: Regelmässige, lebensnahe Awareness-Schulungen sind Pflicht! Und genau hier kommt deiner Vorbildrolle als CEO erneut eine wichtige Rolle zu.

Bei uns läuft das konkret so ab:

• Mehrfach pro Jahr wird ein Security-Thema an die Mitarbeitenden vermittelt, welche dieses im «Selbststudium» behandeln
• Pro Thema gibt es einen kleinen Test, um das Gelernte anzuwenden
• 1x pro Jahr wird ein Thema vertieft vermittelt in einer Präsenzveranstaltung
• Mehrfach pro Jahr werden Angriffe und Phishingversuche simuliert, um den echten Umgang zu trainieren
• Die simulierten Angriffe werden ausgewertet: Wie viele haben den Braten gerochen und die fingierte Mail gemeldet? Wie viele liessen sich täuschen und haben geklickt?

Du als Führungsperson nimmst an diesen Trainings teil, wie jede und jeder andere auch.

Das macht zwei Dinge: Du lebst die Sicherheitskultur vor, die du im Unternehmen etablieren willst und du erhöhst aktiv den Schutz deines Unternehmens. Denn gerade dein CEO-Useraccount ist besonders wertvoll für Angreifer.

Die Wirksamkeit dieser Trainings ist belegt: sowohl bei uns intern als auch bei den Kundenunternehmen, die unsere Awareness-Trainings nutzen.

Darum: Selbst eine Stunde im Jahr kann Vorfälle verhindern, die hunderttausende CHF Kosten verursachen würden.

3. Bereite dich auf den Ernstfall vor

Vorbereitung ist der halbe Schutz, darum plane unbedingt für den Ernstfall. Wer weiss, wen er oder sie im Notfall anruft, was zu tun ist und wie kommuniziert wird, ist klar im Vorteil.

Ein erprobter Incident-Response-Plan schützt nicht nur Daten, sondern auch Entscheidungsfähigkeit und im Endeffekt die Reputation. 

Für die Praxis bedeutet dies:

• Verantwortlichkeiten klären: Wer ist sofort zu informieren, wie organisieren wir uns, wer entscheidet, wer führt aus?
• Kommunikation definieren: Wann wird kommuniziert, was wird kommuniziert? Welche Anspruchsgruppe soll wie viele Informationen erhalten, welche Weisungen geben wir an die Mitarbeitenden aus?
• Vorgehen und Abläufe festlegen: Welche Schritte durchlaufen wir im Ernstfall?

Das ist aber nur die halbe Miete: Ein Incident-Response-Prozess ist immer nur so gut wie seine Vorbereitung. Darum lohnt es sich, den Ablauf gemeinsam zu üben. 

Denn nichts ist schlimmer als Chaos in der Krise. 

Ein äusserst seltener Blick hinter die Kulissen eines echten Incident-Rsponses gewährt uns die NZZ: Im März 2023 wurde die sie Opfer eines Ransomware-Angriffs. Sofort wurde ein Krisenstab geformt, der nächtelang durcharbeitete. Wie dieser Stab vorgeht, das schildert die NZZ in einem detaillierten Artikel.

Fazit

IT-Sicherheit ist ein Leadership-Thema. Wer als CEO Verantwortung für Wertschöpfung und Reputation trägt, sollte auch Verantwortung für digitale Resilienz übernehmen.

Wenn du wissen willst, wie wir das bei der first frame networkers ag genau umsetzen, oder wie du dein Unternehmen Schritt für Schritt sicherer machen kannst, melde dich gerne.

Von CEO zu CEO.