Neue Technologien sind ein Türöffner, bergen aber auch Risiken. Wie schiebt man einen Riegel vor, wo es sein muss?

Von

Paul van Kessel

EY Global Advisory Cybersecurity Leader

Boardroom cybersecurity discussion leader. Values simplicity in language. Enjoys sports and travel. Proud father of a daughter and a son.

Co-Autoren
2 Minuten Lesezeit 1 September 2018

Wer Risiken minimieren will, muss zweigleisig fahren. Das nötige Rüstzeug kann nur eine zukunftsorientierte Cybersecurity-Strategie bieten. Dazu braucht es erfahrene Experten.

Stellen Sie sich einmal einen Hacker vor. Haben Sie gerade einen dubiosen, in seinem Loft festgewachsenen „Hacktivisten“ vor Augen? Eine Person, die aus irgendeinem ziellosen Anarchiesinn heraus willkürlich Unternehmen angreift?

Oder haben Sie eine große Organisation mit vielen Mitgliedern im Kopf? Denken Sie vielleicht an einen Nationalstaat oder an ein kriminelles Netzwerk, das seine Angriffe schon Monate im Voraus geplant und mit gewaltigen Ressourcen und gut definierten strategischen Zielen umsetzt?

Drehen wir die Uhr einmal zehn Jahre zurück. Damals hätte der Gedanke an den Hacktivisten massive Panikwellen in der IT-Abteilung ausgelöst. Ein Problem, das heute fast lächerlich erscheint. Denn die jüngsten Zwischenfälle haben gezeigt, dass das zweite Szenario die größten Gefahren birgt.

Diese neuartigen Bedrohungen fordern neue Handlungsweisen. Doch was bedeutet das für Unternehmen? Sie müssen Cyberrisiken vom Grunde her neu bewerten und nachhaltig verringern.

Inzwischen zeichnet sich ein Wandel in der Wahrnehmung der Risikofaktoren ab. In unserer Studie zur Global Information Security (GISS) aus dem Jahr 2016/2017 gaben 56 Prozent der 1.735 befragten Unternehmen an, dass die Gefahr am ehesten von Verbrecherkartellen ausginge. Wie kann also die Antwort der Unternehmungsführung auf diese neue Ära der Cyberbedrohung aussehen?

Die Risikolandschaft verändert sich. Für Unternehmen bedeutet dies, dass sie Cyberrisiken fundamental anders betrachten und eindämmen müssen.

Fest steht: Cybersecurity muss für Unternehmen praktisch umsetzbar sein.

Dafür brauchen wir ein Umdenken bei der Unternehmensführung, die die Verantwortung für Cybersecurity nicht mehr nur den IT-Abteilungen zuschreibt, sondern sich selbst in der Verantwortung sieht. Welche Maßnahmen sollen ergriffen werden, um entstehende Bedrohungen unter Kontrolle zu halten? – Nur eine von vielen Fragen, die Entscheidungsträger bedenken müssen.

Um das Cyberrisiko zu begrenzen, braucht es mehr als ein höheres Budget für die IT-Abteilung, damit diese die aktuellste Firewall kaufen kann. Soll das Cyberrisiko ernsthaft verringert werden, betrifft dies unterschiedlichste Bereiche. Die Begrenzung von Cyberrisiken umfasst auch die Kommunikation des Risikoumfangs an Stakeholder im gesamten Unternehmen sowie organisatorische Schritte zur Risikominderung (wie das Listen wichtiger Vermögenswerte und das Vorbereiten von Handlungsplänen für den Notfall).

Zum Schutz der Vermögenswerte im Unternehmen ist folgende Frage zentral: Wer sollte innerhalb des Unternehmens Zugriff auf welche Daten haben und wer nicht? Schließlich meinen 74 Prozent der in der GISS-Studie befragten Unternehmen, dass unvorsichtige Mitarbeiter ihre größte Cyber-Schwachstelle seien.

Die Kronjuwelen beschützen

Zur ganzen Wahrheit gehört auch, dass wahrscheinlich nicht alle Cyberattacken verhindert werden können. Erfolgreiche Angriffe wird es in einem gewissen Maße immer geben. Die Frage lautet nicht, ob es passiert, sondern wann es passiert.

Um das Unternehmen widerstandsfähiger zu machen, sollten die wertvollsten Vermögenswerte allen bewusst sein. Deshalb macht es Sinn, die sogenannten „Kronjuwelen“ aufzulisten. Zu den Kronjuwelen zählen die wertvollsten Vermögenswerte eines Unternehmens. Dinge, die die Cyberverbrecher am dringendsten in ihre Hände bekommen wollen und deren Diebstahl oder Manipulation den größten Schaden für das Unternehmen anrichten würde: sowohl finanziell als auch für dessen Reputation.

Kennen Sie Ihre wertvollsten Vermögenswerte?

Ihre Kronjuwelen können vielfältig sein. Niemanden überrascht es, dass die Zahlungsdetails von Kunden wertvolle Informationen für einen Online-Zahlungsdienst sind. Aber wie sehen beispielsweise die Kronjuwelen eines Pharmaunternehmens aus? Dort sind es vielleicht nicht die chemischen Formeln, sondern vielmehr die hochspezialisierte operative Technik (OT), also die Maschinen, mit denen es seine Produkte herstellt.

Ein gestohlenes Patent ist zweifellos problematisch, aber kann vor Gericht angefochten werden. Ein Computerwurm, der Präzisionsmaschinen sabotiert, kann jedoch die Produktion um Jahre zurückfallen lassen und bringt daher ein enormes Risikopotenzial mit sich.

Daher müssen Unternehmen ihre sensibelsten Vermögenswerte identifizieren und schützen, was mithilfe sogenannter Discovery Tools leicht umzusetzen ist. Diese können die gesamten Vermögenswerte eines Unternehmens und deren Schwachstellen aufstellen und dabei helfen, Risikopotenziale zu kalkulieren und letztendlich zu minimieren.

Einsatz eines Cybermanagementsystems

Wir haben hier vielleicht ein wenig den Teufel an die Wand gemalt (samt Verbrecherkartellen und Mitarbeitern als Risikofaktor, die immer und überall Chaos anrichten). In der Realität besteht jedoch Hoffnung. Unternehmen müssen rechtzeitig auf zwei Ebenen vorsorgen: Zum einen brauchen sie eine zukunftsorientierte Cybersecurity-Strategie und zum anderen erfahrene Experten, um proaktiv Risiken zu begrenzen und die Unternehmensstrategie zu forcieren.

Ein effektives Cybermanagementsystem kann eine Brücke zwischen der internen Cybersecurity-Funktion und einer externen Funktion wie einem Managed Security Operations Center (MSOC) errichten. Die Verantwortung für diesen Bereich darf nicht ausschließlich in der Abteilung für Cybersecurity liegen. Präventive Maßnahmen wie der Einsatz eines MSOC können Cybersecurity ganzheitlich machen und Risikopotenziale effektiver kontextualisieren.

Ziel dieses Ansatzes ist es, funktionsübergreifend zusammenzuarbeiten, um Cyberrisiken unter Kontrolle zu behalten. Dabei ist vor allem Transparenz zwischen den einzelnen Abteilungen gefragt. Denn Unklarheiten über die Bedürfnisse anderer Abteilungen, über deren Risikotoleranz und operativen Anforderungen können zu suboptimalen Sicherheitslösungen führen, die vermeidbare Cyberschwachstellen schaffen.

Die Leiter der OT-Abteilungen sind meist kompetente Ingenieure mit einer großen technischen Expertise. Jedoch teilen sie oftmals nicht das Verständnis von Risikotoleranz, das andere Abteilungen wie die IT haben. Genau an dieser Stelle bietet das Managed Security Operations Center die entsprechende Lösung. Mit seinen Risikominderungsstrategien berücksichtigt es die Interessen aller internen Stakeholder und setzt auf abteilungsübergreifende Zusammenarbeit.

Für die Zukunft sind technologische Innovationen denkbar wie beispielsweise Big-Data-Tools, die die Architektur unserer digitalen Systeme lernen. Diese Funktionen unterscheiden außerdem zwischen legitimen Programmen von IT-Abteilungen und ernsthaft feindlichen Bedrohungen. Das Hauptziel ist jedoch, allen Mitarbeitern in den unterschiedlichen Unternehmensfunktionen bewusst zu machen, dass jeder Einzelne im Falle einer Cyberbedrohung verantwortlich ist, zu reagieren. Die gemeinsame Intention ist dabei, all diese Verantwortlichkeiten in eine schlüssige Strategie einzubinden.

Nicht den Überblick verlieren

Eine stetig wachsende Anzahl von Cyberrisiken fordert ein der Bedrohungslage angemessenes Cyberrisikomanagement. Die „Bösen“ sind heutzutage größer, gefährlicher und besser organisiert denn je – und sie können erheblichen Schaden anrichten.

Die Bedeutung von Cyberrisiken und deren Einfluss nimmt weiterhin zu, aber Unternehmen sind sich des Gefahrenpotenzials immer noch nicht ausreichend bewusst.

Zusammengefasst lässt sich festhalten: Entscheider in Unternehmen müssen verstehen, dass zur Risikobegrenzung mehr gehört als die Aufstockung des IT-Budgets ohne strategischen Fokus. Im gesamten Unternehmen müssen sich die Mitarbeiter darüber bewusst sein, welche Vermögenswerte für Angreifer lukrativ sind, welche den größten Schutz brauchen und wie das Unternehmen Sicherheitsvorfälle verkraftet. Die Verantwortlichkeiten müssen klar auf die einzelnen Mitarbeiter verteilt werden. Der Global Information Security Survey aus dem Jahr 2016/2017 beschreibt, wie das Konzept „Sense, Resist, React“ Unternehmen bei Bedrohungen helfen kann, Cyber-Resilienz zu erreichen. Die Arbeit mit einem externen Managed Security Operations Center (MSOC), zusätzlich zu den internen Cybersecurity-Funktionen, könnte Ihr erster wichtiger Schritt sein, die Kronjuwelen Ihres Unternehmens zu schützen.

Fazit

Unternehmen, die nicht die notwendigen Ressourcen für adäquate Cybersecurity bereitstellen, werden große Probleme dabei haben, entstehende Risiken zu managen. Laut einer von uns durchgeführten Studie ist den Unternehmen dies zunehmend bewusst: 48 Prozent der Befragten sagen entweder, dass sie ihre Strategien und Pläne geändert haben, um Risiken durch Cyberbedrohungen zu berücksichtigen, oder aber, dass sie ihre Strategie in diesem Zusammenhang überdenken wollen.

Über diesen Artikel

Von

Paul van Kessel

EY Global Advisory Cybersecurity Leader

Boardroom cybersecurity discussion leader. Values simplicity in language. Enjoys sports and travel. Proud father of a daughter and a son.

Co-Autoren