Wenn es zu einem Cybervorfall kommt, lautet die erste Frage, die sich Unternehmen oft stellen, "wer ist verantwortlich?". Die wichtigere Frage ist jedoch: "Wer ist rechenschaftspflichtig?".
Sicherheitsteams können die technische Reaktion leiten, und externe Anbieter können hinzugezogen werden, um bei der Untersuchung und Eindämmung der Bedrohung zu helfen. Wenn jedoch die Aufsichtsbehörden anrufen, Kunden Antworten verlangen oder der Vorstand prüft, was schief gelaufen ist, liegt die Verantwortung eindeutig bei der Unternehmensleitung.
Moderne Vorschriften, sich entwickelnde Bedrohungsmethoden und die zunehmende Abhängigkeit der Unternehmen von digitalen Systemen haben dies unvermeidlich gemacht. Cyber-Vorfälle sind nicht mehr nur technische Fehler. Es handelt sich um Unternehmenskrisen, die eine Entscheidungsfindung unter Druck erfordern.
Verantwortung und Rechenschaftspflicht werden oft synonym verwendet, aber bei einem Cybervorfall handelt es sich um sehr unterschiedliche Dinge.
Operationelle Teams sind für die Erkennung von Bedrohungen, die Analyse von Aktivitäten, die Eindämmung von Angreifern und die Wiederherstellung von Systemen verantwortlich. Sie führen die Reaktion aus.
Die Führungsebene hingegen ist für die Ergebnisse verantwortlich. Dazu gehören die getroffenen Entscheidungen, die in Kauf genommenen Risiken und die Art und Weise, wie die Organisation ihren rechtlichen und behördlichen Verpflichtungen nachkommt.
In der Praxis bedeutet die Rechenschaftspflicht, dass die Leitung in der Lage sein muss, Fragen zu beantworten wie:
- Welche Geschäftsfunktionen wurden beeinträchtigt und warum?
- Warum wurden bestimmte Systeme isoliert oder am Laufen gehalten?
- Wann hat das Unternehmen von dem Vorfall erfahren?
- Wurden Aufsichtsbehörden und Kunden korrekt und rechtzeitig benachrichtigt?
- Welche Schritte wurden unternommen, um eine Wiederholung zu verhindern?
Diese Fragen lassen sich nicht wegdelegieren, selbst wenn die Reaktion ausgelagert ist.
In ganz Europa und im Vereinigten Königreich hat die Regulierung jede Unklarheit darüber beseitigt, wo die Verantwortlichkeit liegt.
Die NIS2 überträgt den Führungsgremien die direkte Verantwortung für die Genehmigung von Maßnahmen des Cybersicherheitsrisikomanagements, die Überwachung ihrer Umsetzung und die Gewährleistung ihrer Wirksamkeit. Sie führt auch mögliche persönliche Konsequenzen ein, wenn Organisationen ihren Verpflichtungen nicht nachkommen.
DORA verstärkt dies für Finanzunternehmen, indem es klar feststellt, dass die Verantwortung für das IKT-Risikomanagement letztlich beim Leitungsorgan verbleibt. Die Auslagerung von Dienstleistungen entbindet nicht von dieser Verantwortung.
Im Vereinigten Königreich richten sich sowohlder Cyber Governance Code of Practice als auch die NCSC-Leitlinien direkt an Vorstände und leitende Angestellte und betonen, dass Cyber-Risiken ein Governance-Thema sind, nicht nur ein IT-Thema.
Die Botschaft, die sich durch all dies zieht, ist einheitlich. Sie können den Betrieb auslagern. Die Verantwortlichkeit kann man nicht auslagern.
Während eines Vorfalls konzentriert sich die Verantwortlichkeit der Führungskräfte in der Regel auf vier Bereiche.
Führungskräfte müssen mit unvollständigen Informationen schnelle, folgenreiche Entscheidungen treffen. Dazu gehören die Abwägung zwischen Eindämmung und Betriebsunterbrechung, die Festlegung von Prioritäten für kritische Dienste und die Entscheidung, wie viel Risiko das Unternehmen kurzfristig in Kauf zu nehmen bereit ist.
Die Unternehmensleitung muss sicherstellen, dass die Meldepflichten erfüllt, die Beweise gesichert und die gesetzlichen Bestimmungen beachtet werden. Verspätete oder ungenaue Berichterstattung ist eines der häufigsten Versäumnisse, die von Aufsichtsbehörden nach Zwischenfällen festgestellt werden.
Die Kommunikation mit Kunden, Partnern, Mitarbeitern und den Medien liegt in der Verantwortung der Unternehmensleitung. Unklare Botschaften oder Schweigen können ebenso viel Schaden anrichten wie der Vorfall selbst.
Die Genehmigung externer Unterstützung, die Inanspruchnahme von Disaster Recovery, die Genehmigung von Ausgaben für Notfälle und die Neuzuweisung interner Teams erfordern die Verantwortung der Geschäftsleitung.
Die Sicherheitsteams leisten ihren Beitrag, aber die Führung hat das Sagen.
Hier spielt Managed Detection and Response eine entscheidende Rolle, nicht nur als Sicherheitsservice, sondern auch als Motor für eine effektive Governance.
MDR verwandelt Rohwarnungen in validierte Vorfälle mit Kontext. Anstatt dass die Führungskräfte mit technischem Rauschen überflutet werden, erhalten sie klare Erklärungen darüber, was passiert ist, was betroffen ist und wie sicher die Einschätzung ist. Dies ermöglicht schnellere, besser informierte Entscheidungen.
Die Aufsichtsbehörden erwarten von den Unternehmen, dass sie nachweisen, was sie wussten, wann sie es wussten und welche Maßnahmen sie ergriffen haben. MDR-Dienste führen detaillierte Zeitpläne, Protokolle und Reaktionsaufzeichnungen, die die Berichterstattung an die Aufsichtsbehörden und die Überprüfung nach einem Vorfall unterstützen.
In einem ausgereiften MDR-Programm werden Schwellenwerte für den Schweregrad und Eskalationspfade im Voraus definiert. Die Führungskräfte werden benachrichtigt, wenn es nötig ist, und zwar nicht zu spät und nicht erst bei einem Alarm auf niedriger Ebene. Dies unterstützt eine ruhige, kontrollierte Entscheidungsfindung unter Druck.
MDR-Teams mit Erfahrung in der Reaktion auf Vorfälle können dabei helfen, technische Erkenntnisse in leicht verständliche Briefings für Führungskräfte, Vorstände und Krisenteams zu übersetzen. Auf diese Weise werden Missverständnisse vermieden und sichergestellt, dass alle Beteiligten von demselben Risikoverständnis ausgehen.
Am wichtigsten ist vielleicht, dass MDR die Verantwortlichkeit der Führungskräfte unterstützt, lange bevor ein Zwischenfall eintritt. Tabletop-Übungen, auf das Geschäftsrisiko abgestimmte Berichtsmetriken und die kontinuierliche Optimierung der Erkennungsfunktionen helfen den Führungskräften, ihre Gefährdung und ihre Entscheidungsverantwortung im Voraus zu verstehen.
Wenn ein Vorfall eintritt, ist es zu spät, um zu entscheiden, wer für welche Entscheidungen verantwortlich ist, wer mit den Aufsichtsbehörden spricht oder wie die Eskalation funktioniert. Die Verantwortlichkeit der Führungskräfte wird sowohl nach der Vorbereitung als auch nach der Reaktion beurteilt.
MDR ersetzt nicht die Verantwortung der Führungskräfte. Vielmehr gibt es den Führungskräften die Sichtbarkeit, den Nachweis und die Unterstützung, die sie benötigen, um diese Verantwortung unter hohem Zeitdruck und mit realen Konsequenzen effektiv wahrzunehmen.
Für Unternehmen, die sich einer zunehmenden Kontrolle durch die Behörden und immer raffinierteren Angriffen ausgesetzt sehen, ist MDR nicht mehr nur eine technische Kontrolle. Sie ist ein entscheidender Bestandteil der modernen Cyber-Governance.
Wenn Sie verstehen möchten, wie MDR Ihr Führungsteam vor, während und nach einem Cybervorfall unterstützen kann, sprechen Sie mit Integrity360 über den Aufbau einer MDR-Fähigkeit, die auf Governance, Regulierung und Geschäftsrisiko abgestimmt ist.