Sie sind hier: Home » Markt » Hinweise & Tipps

Wenn Sicherheitslücken klaffen


Jetzt schwimmen oder später untergehen: Die Führungsetage muss sich an die neue regulatorische Rechenschaftspflicht anpassen
Die jüngsten Vorschriften zur Cybersicherheit einschließlich NIS2 und DORA verankern die Rechenschaftspflicht von Unternehmen in Rechtsklauseln



Von Rick Vanover, Vice President of Product Strategy, Veeam Software

Die Führungsetage hat die Themen Datenresilienz und Cybersecurity lange Zeit den Sicherheits- und IT-Teams überlassen. Es galt das Motto "Das lassen wir die Experten machen", und für die längste Zeit fuhr man mit dieser Philosophie gut. Unternehmen sind zunehmend von Technologie abhängig und Sicherheitsvorfälle sind eine Frage des "Wann" statt des "Ob". Cybersicherheit ist zu einem Thema geworden, das ausnahmslos die gesamte Belegschaft und jede Abteilung im Unternehmen angeht.

Die jüngsten Vorschriften zur Cybersicherheit (einschließlich NIS2 und DORA) spiegeln dies wider und verankern die Rechenschaftspflicht von Unternehmen in Rechtsklauseln. Die gesamte Führungsebene, und nicht nur der CISO, kann nun im Falle eines Verstoßes zur Verantwortung gezogen werden. Sie sind direkt für das Management und die Schulung zu Cybersicherheitsmaßnahmen verantwortlich und müssen bei Nichteinhaltung mit Strafen rechnen.

Führungskräfte werden sich nun langsam aber sicher der Tatsache bewusst, dass es jetzt ein Risiko darstellt, einfach davon auszugehen, dass ihre Sicherheitsteams und Drittanbieter alles im Griff haben. Wenn Sicherheitslücken klaffen oder sie als Verantwortliche die Transformationsprozesse hin zu stärkerer Datenresilienz nicht ausreichend unterstützen, steht ihr Ruf auf dem Spiel. Der Ball liegt in Sachen IT-Sicherheit also im Feld der Führungsriege und das bedeutet, dass diese sich proaktiv einbringen und selbst mit den Prozessen befassen muss.

Die Führungsetage im Fokus: vom Beobachter zum Entscheider
Natürlich ist es realitätsfern, zu erwarten, dass die meisten Führungskräfte Experten für Cybersicherheit und -resilienz sind. Viele von ihnen setzen sich im Zuge der sich verändernden Rechtslage womöglich das erste Mal überhaupt mit Plänen für Datenresilienz und die Reaktion auf Vorfälle auseinander und hinterfragen diese. Angesichts zunehmender Cyber-Bedrohungen und strengerer Vorschriften müssen Führungskräfte nicht nur hinnehmen, dass Sicherheitsvorfälle unvermeidlich sind, sondern auch proaktive Maßnahmen ergreifen, um ihre Verteidigung zu stärken und die Einhaltung von Gesetzen sicherzustellen.

Die C-Suite ist nun also für die Sicherheitsstrategie, das Risikomanagement und die Risikominderung in der Organisation sowie für Maßnahmen zur Meldung von Vorfällen verantwortlich. Darüber hinaus müssen sich Führungskräfte, die gegen die Vorschriften verstoßen, auf eine persönliche Haftung und potenzielle Geldbußen von bis zu 7 Millionen Euro oder 1,4 Prozent des weltweiten Jahresumsatzes für wichtige Unternehmen einstellen, je nachdem, welcher Betrag höher ist.

Die konkreten Konsequenzen im Detail
>> Persönliche Haftung: Nicht mehr nur der CISO steht im Fokus
>> Finanzielle Risiken: Strafen von bis zu 7 Millionen Euro oder 1,4 Prozent des Jahresumsatzes
>> Umfassende Verantwortung: Jedes Vorstandsmitglied muss Cybersicherheit aktiv verstehen und managen

Der Druck ist entsprechend hoch. Die C-Levels müssen die Widerstandsfähigkeit und die Bereitschaft zur Reaktion auf Vorfälle in ihre Organisation integrieren. Es braucht sowohl Investitionen in Sicherheit und Schulungen als auch die Umsetzung der Rechenschaftspflicht interner Interessengruppen.

Hier fällt das entscheidende Wort: Rechenschaftspflicht.
Vorschriften wie NIS2 beziehen die oberste Führungsebene jedoch nicht in die Rechenschaftspflicht ein, damit man ihnen im Ernstfall die Schuld in die Schuhe schieben kann. Die NIS2-Vorschriften verpflichten die Führungskräfte als Entscheidungsträger. Sie sind diejenigen im Unternehmen, die die Entscheidungsgewalt haben, um sicherzustellen, dass jeder seiner Verantwortung nachkommt.

Verantwortliche im C-Level müssen diese Rechenschaftspflicht auch auf wichtige Partner und Lieferanten ausdehnen. Von Partnern in der Lieferkette bis hin zu IT- und Sicherheitsanbietern und BaaS-Anbietern (Backup-as-a-Service), können entscheidende Glieder in der Kette der Datenresilienz und -wiederherstellung nicht ignoriert werden.

Drittanbieter auf dem Prüfstand
Laut einer EY-Umfrage zum globalen Risikomanagement von Drittanbietern erwarten 44 Prozent der Unternehmen, dass sie in den nächsten fünf Jahren verstärkt mit Drittanbietern zusammenarbeiten werden. Da sich dieser Trend fortsetzt, ist davon auszugehen, dass Führungskräfte ihre Drittanbieter-Partner genauer unter die Lupe nehmen und jeden Aspekt ihrer Maßnahmen zur Datenresilienz und Reaktion auf Vorfälle untersuchen werden. Früher reichte eine Vereinbarung oder Zertifizierung aus, um der Führungsebene ausreichend Vertrauen zu vermitteln. Da die Rechenschaftspflicht von Unternehmen nun jedoch ein Faktor ist, wird die Forderung nach einer stärkeren Rechenschaftspflicht von Dritten lauter werden.

Konkret könnte das bedeuten: von Neuverhandlungen von Service Level Agreements (SLAs) bis hin zu eingehenderen Untersuchungen, bei denen Führungskräfte versuchen, die Kontrollkette im Sinne der Datenresilienz zu sichern und jeden Schritt des Prozesses zu untersuchen. Es ist zwar unmöglich, das Risiko und die Verantwortung an Dritte auszulagern, aber Führungskräfte benötigen Transparenz von ihren Drittanbietern. So kann im Falle eines Verstoßes der Fehlerpunkt identifiziert und umgehend gehandelt werden, um Strafen zu vermeiden.

Der Sprung ins kalte Wasser
Die Umsetzung der genannten Maßnahmen wird sicherlich die allgemeine Datenresilienz erhöhen. Dennoch ist es unmöglich, das Risiko eines Verstoßes vollständig zu eliminieren. Das verlangen Vorschriften wie NIS2 und DORA aber auch gar nicht. Stattdessen geht es darum, so viele Risiken wie möglich zu minimieren und vor allem darauf vorbereitet zu sein, auf Vorfälle zu reagieren, wenn sie auftreten – und das werden sie.

Selbst mit allen möglichen Vereinbarungen und Technologien bleibt eines entscheidend: Tests sind unerlässlich. Dies ist der wichtigste Schritt zur Verbesserung der Widerstandsfähigkeit. Die Führungsebene sollte alle erforderlichen Untersuchungen durchführen, um das Vertrauen in ihre Datenlieferkette durch die Lieferanten zu stärken.

Und sie muss dieses Vertrauen auf die Probe stellen. Konsistente, umfassende Tests, die Ihre Maßnahmen bis an die Grenzen bringen, und das nicht nur unter perfekten Bedingungen. Ein Verstoß kann jederzeit auftreten. Man sollte die Sicherheitsstrategie zum ungünstigsten Zeitpunkt Tests unterziehen, beispielsweise wenn die Sicherheitsteams beschäftigt oder bestimmte Interessengruppen im Urlaub sind.

Im Grunde geht es darum, über bloße hypothetische Szenarien und starre Pläne hinauszugehen. Man lernt nicht schwimmen, indem man ein Buch darüber liest. Der einzige Weg zu lernen, ist es, es zu versuchen. Natürlich kann es sein, dass man direkt in der Lage ist, den Kopf über Wasser zu halten. Aber man kann auch untergehen. Und es ist besser, das auszuprobieren, wenn man ein paar Schwimmflügel zur Hand hat, als während des Ernstfalls. (Veeam Software: ra)

eingetragen: 14.05.25

Veeam: Kontakt und Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.


Meldungen: Markt / Hinweise & Tipps

  • Compliance, die gelebt wird

    Trotz strikterer Cybersecurity- und Compliance-Vorgaben behandeln viele KMU die Dokumentation ihrer IT-Infrastruktur noch stiefmütterlich. Dabei birgt fehlende oder unvollständige Dokumentation das Risiko von ineffizientem Troubleshooting und teuren Fehlentscheidungen. Ohne verlässliche Informationen zu Netzstrukturen, Systemabhängigkeiten oder Rechten wird jeder Incident zur Blackbox.

  • Echtzeitüberweisungen gemäß IPR

    Zahlungsdienstleister stehen unter Druck: Bis Oktober dieses Jahres müssen sie die Verification of Payee (VOP) umgesetzt haben und die Versendung von Echtzeitüberweisungen (Instant Payments) möglich machen. NTT Data erklärt die größten Hürden - und wie sie bis zur Deadline überwunden werden können.

  • PCI-DSS und Sichtbarkeit

    Als anerkanntes Security Framework ist der Payment-Card-Industry-Data-Security-Standard (kurz: PCI-DSS) für Anbieter von Kreditkartentransaktionen ein absolutes Compliance-Muss. Tiho Saric, Senior Sales Director bei Gigamon, verrät, wie die Einhaltung des Sicherheitsstandards dank Netzwerksichtbarkeit zum Kinderspiel wird.

  • Resilienz kritischer Infrastrukturen stärken

    Mit dem neuen KRITIS-Dachgesetz steht die deutsche Wirtschaft vor einer sicherheitspolitischen Zäsur. Ziel des juristischen Rahmenwerks ist es, die Resilienz kritischer Infrastrukturen zu stärken - und das über alle Sektoren hinweg: von Energie, Wasser und Telekommunikation über Gesundheit und Ernährung bis hin zum Transportwesen. Neben Konzernen geraten nun zunehmend auch mittelständische Betreiber in den Fokus.

  • E-Mails mit geschäftskritischen Inhalten

    Unternehmen, die ein falsches Bild von der grundsätzlichen Aufbewahrung von E-Mails mit geschäftskritischen Inhalten haben, laufen Gefahr, gesetzliche Vorgaben der GoBD oder DSGVO zu missachten. Folglich müssen sie dann mit juristischen und finanziellen Konsequenzen rechnen. Umso erstaunlicher ist es, dass zahlreiche Unternehmen ihrem Schutz noch immer nur wenig Bedeutung beimessen.

E-Mails mit geschäftskritischen Inhalten NIS2: Risikomanagement ein Hauptmerkmal

Wir verwenden Cookies um unsere Website zu optimieren und Ihnen das bestmögliche Online-Erlebnis zu bieten. Mit dem Klick auf "Alle akzeptieren" erklären Sie sich damit einverstanden. Erweiterte Einstellungen