A Stranger in my House

Bei Cyber-Attacken wissen Unternehmen oft nicht, wer der Angreifer ist. Die Zahl der Vorfälle steigt immer weiter an. Dagegen helfen nur ganzheitliche Sicherheitskonzepte.

Es klang nach einer gut ausgedachten Cyber-War-Geschichte, und doch war der Vorfall Ende vergangenen Jahres wahr. Die US-Filmstudios Sony Pictures wollten einen kritischen Film über den nordkoreanischen Machthaber Kim Jong Un in die amerikanischen Kinos bringen. Pjöngjang legte wütenden Protest ein. Als Sony auch noch Opfer einer Hacker-Attacke wurde und wenig später das Internet in ganz Nordkorea für einige Stunden komplett ausfiel, glaubten viele an einen echten Cyber-Krieg. Wer wirklich hinter den jeweiligen Angriffen steckte, wird vielleicht niemals endgültig geklärt werden.

Doch klar ist: Die Bedrohung durch das Netz wächst. Das bestätigt auch eine Umfrage von KPMG, die die Wirtschaftsprüfungsgesellschaft seit ein paar Jahren von Emnid durchführen lässt: Der Anteil der Unternehmen, die in den vergangenen Jahren Opfer von Cybercrime wurden, ist stark gestiegen. 2013 waren erst 26 %, Anfang 2015 bereits 40 % der Firmen betroffen. Befragt wurden 500 Unternehmen in Deutschland, repräsentativ über alle Branchen und alle Größen hinweg.

Die Gründe für Hacker-Angriffe sind sehr unterschiedlich. Kriminelle wollen meist Geld. Das zeigt auch ein anderer prominenter Cyber-Fall, der kürzlich durch die Medien ging. Zwei vietnamesische und ein kanadischer Hacker hatten eine Milliarde E-Mail-Adressen gestohlen. An die erbeuteten Adressen verschickten sie Spam-Mails und verdienten dank eines ausgefeilten Systems mehrere Millionen US-Dollar. Der Vorfall, den das US-Justizministerium Anfang März bekannt machte, gilt als der größte Datendiebstahl in der Geschichte des Internets.

Unzufriedene Kollegen als Gefahrenquelle

Geld ist natürlich ein weit verbreitetes Motiv. Doch Angriffe auf eine populäre Spielekonsole während der Feiertage kann ebenso das Werk von ein paar Jugendlichen sein, die eigentlich nur Fun haben wollten. Oft haben Hacker-Angriffe auch politische Motive, wie beispielsweise bei dem mysteriösen Sony-Pic­tures-Fall. Dahinter könnte genauso ein unzufriedener Mitarbeiter stecken.

Durch Industrie 4.0 wird das Cyber-Security-Thema noch 

bedeutender. Branchen wie die Automobil-, Konsumgüter-, Chemie- oder Luftfahrtindustrie nutzen verstärkt digitale Prozesse, um wichtige Daten innerhalb der Firma sowie mit externen Zulieferern auszutauschen und zu speichern. Dies sorgt für schnellere und effizientere Produktionsverfahren, erhöht aber gleichzeitig das Risiko für Unternehmen, Opfer von Online-Attacken zu werden. Entsprechend wird der Datenschutz für Firmen immer komplexer, zeitaufwendiger und teurer.

„Hacker-Angriffe zu bewältigen ist sehr problematisch, da oft verschiedene Bereiche der Wertschöpfungskette eines Unternehmens gleichzeitig angegriffen werden“, erklärt Roland-Berger-Partner Manfred Hader. „Klassische IT-Sicherheitsbereiche haben aber meist nur die Busi­-

ness-IT im Blick, etwa Kommunikationssysteme oder Geschäftsanwendungen. Firmen sollten daher die Problematik der Cyber Security ganzheitlich angehen.“

Die erste Voraussetzung, um Cyber-Kriminalität erfolgreich zu bekämpfen, ist, kritische Assets und mögliche Bedrohungsszenarien transparent zu machen. Denn die Bedrohung der Online-Angriffe betrifft nicht nur die klassische Business IT, sondern auch in Produkten verbaute Software, Architekturen und Produktions-IT sowie die Vernetzung dieser Produkte, sei es in der Maschinenbau-, Flugzeug- oder Automobilindustrie oder bei kritischen Infrastrukturen. „Eine gute Schutzstrategie setzt eine ganzheitliche Bestandsaufnahme voraus“, erklärt Carsten Rossbach, Partner von Roland Berger Strategy Consultants. „In unserer immer stärker vernetzten Welt darf Cyber Security im Unternehmen nicht mehr in Silos verankert sein.“

Permanente Weiterentwicklung

Zum Schutz gegen Online-Kriminalität sollten Firmen außerdem die vorhandenen Strukturen, Prozesse und Systeme ständig weiterentwickeln: Die Sicherheitssysteme sollten an mögliche Bedrohungen angepasst werden – ohne das Geschäftsmodell aus den Augen zu verlieren. Bestandteile klassischer Informationssicherheitsmanagementsysteme (ISMS) können dabei auf andere Wertschöpfungsschritte übertragen werden. Und schließlich sollte das Thema Sicherheit eine wichtige Säule der Unternehmenskultur werden. Da die Netzkriminalität jeden Unternehmensbereich betreffen kann, sollten alle Mitarbeiter für diese Gefahren sensibilisiert werden. Gezielte Trainings können Firmenmitarbeitern dabei helfen, Schwachstellen eigenständig und frühzeitig zu erkennen.

Ein weiterer nicht zu vernachlässigender Aspekt der Thematik: Systemausfälle oder Datenverluste können die Bonitätsbewertung einer Firma verschlechtern und so zu Finanzierungsproblemen führen. Dies kann im Extremfall das Überleben eines Unternehmens gefährden. Außerdem planen einige Länder eine Veröffentlichungspflicht, wenn Firmen Opfer von Cyber-Angriffen werden. Unternehmen sollten daher handeln, um ihre Daten und Produkte vor Cyber-Attacken zu schützen – sowohl für ihre Wettbewerbsfähigkeit als auch zum Schutz ihrer Kunden.

Fünf Schritte gegen die Cyber-Kriminalität

Um externen Angriffen in Unternehmen vorzubeugen, empfehlen die Experten von Roland Berger, auf fünf wesentliche Faktoren zu setzen:

1. Ziele und Prioritäten setzen: Angesichts der vielen sensiblen Stellen im Unternehmen, sollte das Management zunächst kritische Stellen identifizieren und entsprechend festlegen, welche Prozesse und Bereiche prioritär geschützt werden sollten. Dazu gehören vor allem sensible Daten, Systeme, Produkte, Prozesse, Know-how, aber auch geistiges Eigentum wie etwa Prozesswissen und Patente.

2. Mögliche Bedrohungsszenarien definieren: Im zweiten Schritt sollten Firmen für die kritischen Bereiche, die Schutz benötigen, mögliche Bedrohungsszenarien bestimmen und bereits vorhandene Schutzmaßnahmen eruieren.

3. Potenzielle Schäden bestimmen: Anhand von Szenarien sollten Unternehmen sowohl objektiv quantifizierbare Schäden als auch mögliche Konsequenzen – wie etwa Reputationsschäden – ermitteln. Entsprechend sollten sie dann Handlungsoptionen festlegen.

4. Handlungsoptionen vergleichen: Ein 100 %iger Schutz vor Cyber-Attacken ist nicht möglich. Das Management sollte daher akzeptierbare Risikolücken definieren und Sicherheitskonzepte anhand einer Kosten-Nutzen-Analyse auswählen.

5. Cyber Security in der gesamten Wertschöpfungskette verankern: Cyber Security betrifft das gesamte Unternehmen. Deshalb sollten Firmen bereichsübergreifende Schutzmaßnahmen unter Berücksichtigung aller Prozesse und Abläufe planen. Zudem sollten Mitarbeiter frühzeitig in die Planung eingebunden und über mögliche Angriffe offen informiert werden. So können Firmen auch auf neue Bedrohungen schnell und erfolgreich reagieren. Nur Firmen, die Cyber Security als integralen Bestandteil ihres Managementsystems begreifen, können sich gut vor digitalen Bedrohungen schützen.

Quelle: Roland Berger