Die Rolle der Cybersicherheit für ESG
19.12.2023
Ein Gastbeitrag von Sven Bagemihl, Regional Sales Director CEMEA bei Logpoint
Environment-, Social- und Governance-Richtlinien (ESG) bedeuten, dass Unternehmen ethische Praktiken implementieren, um ihr Engagement gegenüber Stakeholdern, Kunden und der Gesellschaft im Allgemeinen zu demonstrieren. Diese Richtlinien sind jedoch in der Regel stärker mit der Reduzierung des CO2-Fußabdrucks oder der Förderung der Gleichberechtigung zwischen Mitarbeitern verbunden als mit Cybersicherheit. Dieser Ansatz ändert sich nun, denn immer mehr Stimmen fordern die Einbeziehung der Cybersicherheit in die ESG. Während des Weltwirtschaftsforums wird die Rolle, die Cybersicherheit für die Weltwirtschaft spielt, in den letzten Jahren prominenter herausgearbeitet und dies hat drei Gründe, die eine Einbeziehung in die ESG-Kriterien nötig macht.
Daten sind nicht nur schützenswert, sondern heutzutage ein kritisches Asset und das Rückgrat vieler Unternehmen. Das Risiko einer Datenkompromittierung nimmt aufgrund des Anstiegs automatisierter Angriffe, organisierter krimineller Aktivitäten und politisch motivierter, von Staaten gesponserter Angriffe stetig zu. Das hat zur Entstehung von Angeboten wie Ransomware-as-a-Service (RaaS) und teilweise verheerenden Angriffen auf Lieferketten geführt. Laut einer Umfrage von PWC übersteigen Cyberangriffe mittlerweile die wahrgenommene Bedrohung durch eine globale Rezession oder einer weiteren Pandemie. Darüber hinaus sind 25 Prozent der CEOs der Ansicht, dass ihre Unternehmen in den nächsten fünf Jahren extrem oder sehr stark von Cyberrisiken betroffen sein werden. Ein Risiko, das Inflation, makroökonomische Schwankungen, Klimawandel und geopolitische Konflikte bei weitem übertrifft.
Die Datensicherung liegt natürlich im geschäftlichen Interesse eines jeden Unternehmens, ESG sieht das jedoch in einem größeren Zusammenhang. Durch die Absicherung des Ökosystems von Partnern und Kunden wird wirtschaftliche Stabilität gewährleistet und somit auch die Gesellschaft geschützt. An dieser Stelle greifen beispielsweise Initiativen wie die Ausweitung der Sicherheit der Lieferkette auf Partner jeder Ebene ein.
Der dritte und letzte Grund betrifft die Art und Weise, wie Risiken heutzutage abgemildert werden. Zwar verfügen viele Unternehmen über Governance-, Risiko- und Compliance-Richtlinien (GRC), doch dienen diese in der Regel zur reinen Erfüllung von Compliance-Anforderungen. Andere verlassen sich auf das Sicherheitsnetz einer Cyber-Versicherungspolice, müssen aber immer höhere Investitionen aufbringen und technische Schutzmaßnahmen nachweisen, um noch als versicherbar zu gelten.
Investoren prüfen verstärkt, im Rahmen Ihrer DueDiligences dass Unternehmen konkrete Cyberschutz Maßnahmen ergreifen, denn es besteht ein enger Zusammenhang zwischen Cyber- und Finanzrisiken. Vor 2015 deuteten alle Anzeichen darauf hin, dass sich Cyberverletzungen nur selten auf den Aktienkurs auswirkten, aber das ist nun nicht mehr der Fall. Ein schwerwiegender Cyberangriff kann zu einem Einbruch des Aktienkurses führen und sogar die Überlebensfähigkeit des Unternehmens infrage stellen. Der Angriff auf SolarWinds führte dazu, dass der Aktienkurs des Unternehmens um 23 Prozent fiel, nachdem der Cyberangriff öffentlich bekannt wurde.
Es ist anzunehmen, dass Investoren in Zukunft neben finanziellen und ethischen Aspekten auch die Cybersicherheit in ihre Investitionsüberlegungen einbeziehen werden, da bedeutende Cyberangriffe erhebliche Schockwellen und finanzielle Konsequenzen auslösen. Es wird erwartet, dass die Abdeckung von Cybersicherheitsrisiken und -Resilienz als Teil von ESG in den USA im Finanzsektor zur gesetzlichen Anforderung werden.
Tatsächlich werden einige Investoren künftig vermehrt in Unternehmen investieren, die nachweisen können, dass sie eine ESG-Richtlinie haben oder dokumentierte ethische Praktiken verfolgen, wie sie in den nachhaltigen Entwicklungszielen der Vereinten Nationen (SDGs) festgelegt sind. Diese umfassen bereits Elemente der Cybersicherheit im ESG. Ein Beispiel hierfür ist SDG 9, das die Bedeutung des Aufbaus robuster Infrastrukturen betont, sowie SDG 16, das sich auf die Schaffung effektiver, verantwortungsvoller und inklusiver Institutionen und die Gewährleistung des öffentlichen Zugangs zu Informationen konzentriert.
Wie sollten Organisationen also vorgehen, um Cybersicherheit in ihre ESG-Richtlinien zu integrieren? Es ist nicht so aufwendig, wie es klingen mag, da die meisten Unternehmen bereits viele der erwarteten Maßnahmen durchführen. Dazu gehört die Ernennung eines leitenden Mitarbeiters zur Überwachung von Cyberrisiken, regelmäßige Berichterstattung über Cyberrisiken an das Board und die Einhaltung bewährter Praktiken bei der Offenlegung. Bestimmte Compliance-Vorschriften wie PCI DSS oder die DSGVO eignen sich ebenfalls für ESG.
Unternehmen müssen mehr tun und eine proaktive statt reaktive Haltung einzunehmen. Es ist ratsam, Vorfälle aktiv zu identifizieren und zeitnah darauf zu reagieren. Darüber hinaus sollte auch die proaktive Suche nach potenziellen Bedrohungen mithilfe von Verwundbarkeitsscans oder Penetrationstests in Betracht gezogen werden. Eine umfassende Prozessautomatisierung kann durch Module wie SOAR (Security Orchestration, Automation and Response) ergänzt werden, um Unternehmen in die Lage zu versetzen, Angriffe in Echtzeit rund um die Uhr weitgehend automatisiert abzuwehren.
Fazit
Obwohl dies nur einige Beispiele darstellt, können Technologien aus dem gesamten Sicherheitsarsenal verwendet werden, um zu zeigen, dass Unternehmen ihre Daten, Systeme und Benutzer gewissenhaft schützen. Das Hauptproblem besteht darin, all diese Beweise zusammenzuführen, weshalb Konvergenz jetzt entscheidend ist. Die Fähigkeit, Ereignisdaten zusammenzutragen und mit kontextbezogenen Indikatoren im SIEM schnell zu analysieren, beschleunigt die Entscheidungsfindung und Berichterstattung. Noch wichtiger ist allerdings, dass die Unternehmensleitung dadurch einen Überblick über das Risikoprofil des Unternehmens erhält und feststellen kann, wie gut es seine ESG-Ziele erfüllt.
Die Rolle der Cybersicherheit für ESG
19.12.2023
Ein Gastbeitrag von Sven Bagemihl, Regional Sales Director CEMEA bei Logpoint
Environment-, Social- und Governance-Richtlinien (ESG) bedeuten, dass Unternehmen ethische Praktiken implementieren, um ihr Engagement gegenüber Stakeholdern, Kunden und der Gesellschaft im Allgemeinen zu demonstrieren. Diese Richtlinien sind jedoch in der Regel stärker mit der Reduzierung des CO2-Fußabdrucks oder der Förderung der Gleichberechtigung zwischen Mitarbeitern verbunden als mit Cybersicherheit. Dieser Ansatz ändert sich nun, denn immer mehr Stimmen fordern die Einbeziehung der Cybersicherheit in die ESG. Während des Weltwirtschaftsforums wird die Rolle, die Cybersicherheit für die Weltwirtschaft spielt, in den letzten Jahren prominenter herausgearbeitet und dies hat drei Gründe, die eine Einbeziehung in die ESG-Kriterien nötig macht.
Daten sind nicht nur schützenswert, sondern heutzutage ein kritisches Asset und das Rückgrat vieler Unternehmen. Das Risiko einer Datenkompromittierung nimmt aufgrund des Anstiegs automatisierter Angriffe, organisierter krimineller Aktivitäten und politisch motivierter, von Staaten gesponserter Angriffe stetig zu. Das hat zur Entstehung von Angeboten wie Ransomware-as-a-Service (RaaS) und teilweise verheerenden Angriffen auf Lieferketten geführt. Laut einer Umfrage von PWC übersteigen Cyberangriffe mittlerweile die wahrgenommene Bedrohung durch eine globale Rezession oder einer weiteren Pandemie. Darüber hinaus sind 25 Prozent der CEOs der Ansicht, dass ihre Unternehmen in den nächsten fünf Jahren extrem oder sehr stark von Cyberrisiken betroffen sein werden. Ein Risiko, das Inflation, makroökonomische Schwankungen, Klimawandel und geopolitische Konflikte bei weitem übertrifft.
Die Datensicherung liegt natürlich im geschäftlichen Interesse eines jeden Unternehmens, ESG sieht das jedoch in einem größeren Zusammenhang. Durch die Absicherung des Ökosystems von Partnern und Kunden wird wirtschaftliche Stabilität gewährleistet und somit auch die Gesellschaft geschützt. An dieser Stelle greifen beispielsweise Initiativen wie die Ausweitung der Sicherheit der Lieferkette auf Partner jeder Ebene ein.
Der dritte und letzte Grund betrifft die Art und Weise, wie Risiken heutzutage abgemildert werden. Zwar verfügen viele Unternehmen über Governance-, Risiko- und Compliance-Richtlinien (GRC), doch dienen diese in der Regel zur reinen Erfüllung von Compliance-Anforderungen. Andere verlassen sich auf das Sicherheitsnetz einer Cyber-Versicherungspolice, müssen aber immer höhere Investitionen aufbringen und technische Schutzmaßnahmen nachweisen, um noch als versicherbar zu gelten.
Investoren prüfen verstärkt, im Rahmen Ihrer DueDiligences dass Unternehmen konkrete Cyberschutz Maßnahmen ergreifen, denn es besteht ein enger Zusammenhang zwischen Cyber- und Finanzrisiken. Vor 2015 deuteten alle Anzeichen darauf hin, dass sich Cyberverletzungen nur selten auf den Aktienkurs auswirkten, aber das ist nun nicht mehr der Fall. Ein schwerwiegender Cyberangriff kann zu einem Einbruch des Aktienkurses führen und sogar die Überlebensfähigkeit des Unternehmens infrage stellen. Der Angriff auf SolarWinds führte dazu, dass der Aktienkurs des Unternehmens um 23 Prozent fiel, nachdem der Cyberangriff öffentlich bekannt wurde.
Es ist anzunehmen, dass Investoren in Zukunft neben finanziellen und ethischen Aspekten auch die Cybersicherheit in ihre Investitionsüberlegungen einbeziehen werden, da bedeutende Cyberangriffe erhebliche Schockwellen und finanzielle Konsequenzen auslösen. Es wird erwartet, dass die Abdeckung von Cybersicherheitsrisiken und -Resilienz als Teil von ESG in den USA im Finanzsektor zur gesetzlichen Anforderung werden.
Tatsächlich werden einige Investoren künftig vermehrt in Unternehmen investieren, die nachweisen können, dass sie eine ESG-Richtlinie haben oder dokumentierte ethische Praktiken verfolgen, wie sie in den nachhaltigen Entwicklungszielen der Vereinten Nationen (SDGs) festgelegt sind. Diese umfassen bereits Elemente der Cybersicherheit im ESG. Ein Beispiel hierfür ist SDG 9, das die Bedeutung des Aufbaus robuster Infrastrukturen betont, sowie SDG 16, das sich auf die Schaffung effektiver, verantwortungsvoller und inklusiver Institutionen und die Gewährleistung des öffentlichen Zugangs zu Informationen konzentriert.
Wie sollten Organisationen also vorgehen, um Cybersicherheit in ihre ESG-Richtlinien zu integrieren? Es ist nicht so aufwendig, wie es klingen mag, da die meisten Unternehmen bereits viele der erwarteten Maßnahmen durchführen. Dazu gehört die Ernennung eines leitenden Mitarbeiters zur Überwachung von Cyberrisiken, regelmäßige Berichterstattung über Cyberrisiken an das Board und die Einhaltung bewährter Praktiken bei der Offenlegung. Bestimmte Compliance-Vorschriften wie PCI DSS oder die DSGVO eignen sich ebenfalls für ESG.
Unternehmen müssen mehr tun und eine proaktive statt reaktive Haltung einzunehmen. Es ist ratsam, Vorfälle aktiv zu identifizieren und zeitnah darauf zu reagieren. Darüber hinaus sollte auch die proaktive Suche nach potenziellen Bedrohungen mithilfe von Verwundbarkeitsscans oder Penetrationstests in Betracht gezogen werden. Eine umfassende Prozessautomatisierung kann durch Module wie SOAR (Security Orchestration, Automation and Response) ergänzt werden, um Unternehmen in die Lage zu versetzen, Angriffe in Echtzeit rund um die Uhr weitgehend automatisiert abzuwehren.
Fazit
Obwohl dies nur einige Beispiele darstellt, können Technologien aus dem gesamten Sicherheitsarsenal verwendet werden, um zu zeigen, dass Unternehmen ihre Daten, Systeme und Benutzer gewissenhaft schützen. Das Hauptproblem besteht darin, all diese Beweise zusammenzuführen, weshalb Konvergenz jetzt entscheidend ist. Die Fähigkeit, Ereignisdaten zusammenzutragen und mit kontextbezogenen Indikatoren im SIEM schnell zu analysieren, beschleunigt die Entscheidungsfindung und Berichterstattung. Noch wichtiger ist allerdings, dass die Unternehmensleitung dadurch einen Überblick über das Risikoprofil des Unternehmens erhält und feststellen kann, wie gut es seine ESG-Ziele erfüllt.