Under Attack?
Wenn es zu einem Cybervorfall kommt, lautet die erste Frage, die sich Unternehmen oft stellen, "wer ist verantwortlich?". Die wichtigere Frage ist jedoch: "Wer ist rechenschaftspflichtig?".
Sicherheitsteams können die technische Reaktion leiten, und externe Anbieter können hinzugezogen werden, um bei der Untersuchung und Eindämmung der Bedrohung zu helfen. Wenn jedoch die Aufsichtsbehörden anrufen, Kunden Antworten verlangen oder der Vorstand prüft, was schief gelaufen ist, liegt die Verantwortung eindeutig bei der Unternehmensleitung.
Moderne Vorschriften, sich entwickelnde Bedrohungsmethoden und die zunehmende Abhängigkeit der Unternehmen von digitalen Systemen haben dies unvermeidlich gemacht. Cyber-Vorfälle sind nicht mehr nur technische Fehler. Es handelt sich um Unternehmenskrisen, die eine Entscheidungsfindung unter Druck erfordern.
Rechenschaftspflicht versus Verantwortung während eines Vorfalls
Verantwortung und Rechenschaftspflicht werden oft synonym verwendet, aber bei einem Cybervorfall handelt es sich um sehr unterschiedliche Dinge.
Operationelle Teams sind für die Erkennung von Bedrohungen, die Analyse von Aktivitäten, die Eindämmung von Angreifern und die Wiederherstellung von Systemen verantwortlich. Sie führen die Reaktion aus.
Die Führungsebene hingegen ist für die Ergebnisse verantwortlich. Dazu gehören die getroffenen Entscheidungen, die in Kauf genommenen Risiken und die Art und Weise, wie die Organisation ihren rechtlichen und behördlichen Verpflichtungen nachkommt.
In der Praxis bedeutet die Rechenschaftspflicht, dass die Leitung in der Lage sein muss, Fragen zu beantworten wie:
- Welche Geschäftsfunktionen wurden beeinträchtigt und warum?
- Warum wurden bestimmte Systeme isoliert oder am Laufen gehalten?
- Wann hat das Unternehmen von dem Vorfall erfahren?
- Wurden Aufsichtsbehörden und Kunden korrekt und rechtzeitig benachrichtigt?
- Welche Schritte wurden unternommen, um eine Wiederholung zu verhindern?
Diese Fragen lassen sich nicht wegdelegieren, selbst wenn die Reaktion ausgelagert ist.
Die Regulierung hat die Verantwortlichkeit der Führungskräfte deutlich gemacht
In ganz Europa und im Vereinigten Königreich hat die Regulierung jede Unklarheit darüber beseitigt, wo die Verantwortlichkeit liegt.
Die NIS2 überträgt den Führungsgremien die direkte Verantwortung für die Genehmigung von Maßnahmen des Cybersicherheitsrisikomanagements, die Überwachung ihrer Umsetzung und die Gewährleistung ihrer Wirksamkeit. Sie führt auch mögliche persönliche Konsequenzen ein, wenn Organisationen ihren Verpflichtungen nicht nachkommen.
DORA verstärkt dies für Finanzunternehmen, indem es klar feststellt, dass die Verantwortung für das IKT-Risikomanagement letztlich beim Leitungsorgan verbleibt. Die Auslagerung von Dienstleistungen entbindet nicht von dieser Verantwortung.
Im Vereinigten Königreich richten sich sowohlder Cyber Governance Code of Practice als auch die NCSC-Leitlinien direkt an Vorstände und leitende Angestellte und betonen, dass Cyber-Risiken ein Governance-Thema sind, nicht nur ein IT-Thema.
Die Botschaft, die sich durch all dies zieht, ist einheitlich. Sie können den Betrieb auslagern. Die Verantwortlichkeit kann man nicht auslagern.
Wofür Führungskräfte während eines Cybervorfalls rechenschaftspflichtig sind
Während eines Vorfalls konzentriert sich die Verantwortlichkeit der Führungskräfte in der Regel auf vier Bereiche.
Strategische Entscheidungsfindung
Führungskräfte müssen mit unvollständigen Informationen schnelle, folgenreiche Entscheidungen treffen. Dazu gehören die Abwägung zwischen Eindämmung und Betriebsunterbrechung, die Festlegung von Prioritäten für kritische Dienste und die Entscheidung, wie viel Risiko das Unternehmen kurzfristig in Kauf zu nehmen bereit ist.
Regulatorische und rechtliche Situation
Die Unternehmensleitung muss sicherstellen, dass die Meldepflichten erfüllt, die Beweise gesichert und die gesetzlichen Bestimmungen beachtet werden. Verspätete oder ungenaue Berichterstattung ist eines der häufigsten Versäumnisse, die von Aufsichtsbehörden nach Zwischenfällen festgestellt werden.
Kommunikation und Vertrauen
Die Kommunikation mit Kunden, Partnern, Mitarbeitern und den Medien liegt in der Verantwortung der Unternehmensleitung. Unklare Botschaften oder Schweigen können ebenso viel Schaden anrichten wie der Vorfall selbst.
Mobilisierung von Ressourcen
Die Genehmigung externer Unterstützung, die Inanspruchnahme von Disaster Recovery, die Genehmigung von Ausgaben für Notfälle und die Neuzuweisung interner Teams erfordern die Verantwortung der Geschäftsleitung.
Die Sicherheitsteams leisten ihren Beitrag, aber die Führung hat das Sagen.
Wie MDR die Verantwortlichkeit der Führung unterstützt
Hier spielt Managed Detection and Response eine entscheidende Rolle, nicht nur als Sicherheitsservice, sondern auch als Motor für eine effektive Governance.
Verkürzung der Entscheidungslatenz
MDR verwandelt Rohwarnungen in validierte Vorfälle mit Kontext. Anstatt dass die Führungskräfte mit technischem Rauschen überflutet werden, erhalten sie klare Erklärungen darüber, was passiert ist, was betroffen ist und wie sicher die Einschätzung ist. Dies ermöglicht schnellere, besser informierte Entscheidungen.
Bereitstellung von vertretbaren Beweisen
Die Aufsichtsbehörden erwarten von den Unternehmen, dass sie nachweisen, was sie wussten, wann sie es wussten und welche Maßnahmen sie ergriffen haben. MDR-Dienste führen detaillierte Zeitpläne, Protokolle und Reaktionsaufzeichnungen, die die Berichterstattung an die Aufsichtsbehörden und die Überprüfung nach einem Vorfall unterstützen.
Durchsetzung der Eskalationsdisziplin
In einem ausgereiften MDR-Programm werden Schwellenwerte für den Schweregrad und Eskalationspfade im Voraus definiert. Die Führungskräfte werden benachrichtigt, wenn es nötig ist, und zwar nicht zu spät und nicht erst bei einem Alarm auf niedriger Ebene. Dies unterstützt eine ruhige, kontrollierte Entscheidungsfindung unter Druck.
Unterstützung der Führungskommunikation
MDR-Teams mit Erfahrung in der Reaktion auf Vorfälle können dabei helfen, technische Erkenntnisse in leicht verständliche Briefings für Führungskräfte, Vorstände und Krisenteams zu übersetzen. Auf diese Weise werden Missverständnisse vermieden und sichergestellt, dass alle Beteiligten von demselben Risikoverständnis ausgehen.
Verbesserung der Bereitschaft vor dem Eintreten eines Vorfalls
Am wichtigsten ist vielleicht, dass MDR die Verantwortlichkeit der Führungskräfte unterstützt, lange bevor ein Zwischenfall eintritt. Tabletop-Übungen, auf das Geschäftsrisiko abgestimmte Berichtsmetriken und die kontinuierliche Optimierung der Erkennungsfunktionen helfen den Führungskräften, ihre Gefährdung und ihre Entscheidungsverantwortung im Voraus zu verstehen.
Rechenschaftspflicht kann nicht improvisiert werden
Wenn ein Vorfall eintritt, ist es zu spät, um zu entscheiden, wer für welche Entscheidungen verantwortlich ist, wer mit den Aufsichtsbehörden spricht oder wie die Eskalation funktioniert. Die Verantwortlichkeit der Führungskräfte wird sowohl nach der Vorbereitung als auch nach der Reaktion beurteilt.
MDR ersetzt nicht die Verantwortung der Führungskräfte. Vielmehr gibt es den Führungskräften die Sichtbarkeit, den Nachweis und die Unterstützung, die sie benötigen, um diese Verantwortung unter hohem Zeitdruck und mit realen Konsequenzen effektiv wahrzunehmen.
Für Unternehmen, die sich einer zunehmenden Kontrolle durch die Behörden und immer raffinierteren Angriffen ausgesetzt sehen, ist MDR nicht mehr nur eine technische Kontrolle. Sie ist ein entscheidender Bestandteil der modernen Cyber-Governance.
Wenn Sie verstehen möchten, wie MDR Ihr Führungsteam vor, während und nach einem Cybervorfall unterstützen kann, sprechen Sie mit Integrity360 über den Aufbau einer MDR-Fähigkeit, die auf Governance, Regulierung und Geschäftsrisiko abgestimmt ist.
