Was haben Poodle und Zeus miteinander zu tun? Viel, denn bei beiden handelt es sich um Angriffe in der Cyberwelt. Während Poodle als einer der größten Hacks aller Zeiten gilt, erwirtschafteten die Hintermänner von Zeus mit dem Ausspähen von Finanzdaten rund 100 Millionen US-Dollar Gewinn – sprich Cybercrime ist money. Beide Beispiele zeigen, wie verwundbar die digitale Welt ist, welchen Schaden sie nehmen kann. Und doch stürzen sich immer mehr Anwender in die Digitalisierung. In Zahlen ausgedrückt heißt das, die weltweite Internet-Gemeinde stieg von 2,4 Milliarden im Jahr 2012 auf über 3 Milliarden bis heute. Alleine Asien verzeichnet ein Wachstum von 1076 auf 1563 Millionen im gleichen Zeitraum. Die Dimension oder "Gigantonomie" portraitiert auch ein anderer Vergleich. Das "Digitale Universum" steigt von 1,8 ZB im Jahr 2011 auf 44 ZB im Jahr 2020 (Anmerkung der Redaktion: Zettabyte (ZB) 1021Byte =1.000.000.000.000.000.000.000 Byte). Und bis 2020 rechnen Analysten mit 50 Milliarden Geräten, die mit dem Internet verbunden sind.
Diese Ergebnisse präsentierte Tom Köhler, Leiter des Geschäftsbereichs Infokom bei der IABG Industrieanlagen-Betriebsgesellschaft mbH, im Rahmen des RiskNET Summit. 50 Milliarden Endgeräte bis ins Jahr 2020 werden von Experten prognostiziert und damit steigt die Komplexität. Sei es durch autonomes Fahren, neue Entwicklungen in der Energiewirtschaft, bei der Automatisierung durch Industrie 4.0 oder durch Bring Your Own Device (BYOD). Bei all diesen Themen stellt sich die grundsätzliche Frage: Wie weit sind die Businessmodelle noch in der Hand der Unternehmen oder wie können diese das Thema systematisch angehen, um die Kontrolle zurückzubekommen?
Gesamtprozess, digitaler Aktenkoffer und Risikomanagement 1.0
Ein Blick in die Praxis zeigt, woran es hapern kann. Der europäische Luftraum verzeichnet aktuell 33.000 Flüge pro Tag. Dahinter stehen 37 sogenannte "Air navigation service provider" und 60 Kontrollzentren, was zu einem fragmentierten Luftraum beiträgt. Und das birgt Gefahren und Einfallstore für Saboteure und Hacker. Bei einem Blick auf das komplexe Gesamtsystem des Fliegens müssen alle Systeme, Prozesse und Bereiche unter die Lupe genommen werden. Das heißt, wer die potenziellen Risikofelder Aircraft, Internet oder den Ground Service betrachtet, muss auch eine Bodenstation einbeziehen. Denn ein Hackerangriff auf diese kommunikative Schalt- und Schlüsselzentrale kann bei einem übervollen Luftraum schnell in einem Desaster enden.
Die sprunghafte Nutzung von Smartphones stellt ein weiteres Risikofeld dar. Von Köhler, als das "dritte Auge" bezeichnet, gibt es aktuell rund zwei Milliarden Smartphone-Nutzer – Tendenz steigend. Die Chancen der digitalen Technologien inklusive einer zunehmenden Vernetzung bieten für alle Wirtschaftsbereiche große Potenziale und Chancen. Gleichzeitig dürfen die Risiken im Umgang mit mobilen Endgeräten nicht vergessen werden. Und die lauern in Form von Einfallstoren für Angreifer.
Rund 100 Milliarden Applikation befinden sich aktuell auf Apple-Endgeräten. Jüngst wurde bekannt, dass der Apple-Store von Hackern angegriffen wurde.
Tom Köhler, renommierter Experte für Cybersecurity
Die Folgen solcher Angriffe auf Applikationsplattformen können immens sein. Gerade aufgrund der Tatsache, dass viele Anwender das Endgerät als digitalen Aktenkoffer nutzen, mit allen sensiblen Unternehmensinformationen versehen.
In vielen Punkten hinkt ein Risikomanagement 1.0 der digitalen und eng vernetzten Welt hinterher. Köhler stellte in diesem Kontext die Frage, ob die jeweilige Risk-Map – in der Risiken zweidimensional nach Eintrittswahrscheinlichkeit und Schadensausmaß abgebildet werden – überhaupt noch ausreiche? Wohl kaum. Vielmehr müssen digitale Zusammenhänge und die Vernetzung der Businesswelt stärker in den Fokus der Diskussionen rücken. Im Umkehrschluss folgert Köhler: "Das Sicherheitsniveau kommt erst voran, wenn es agiler wird." Denkt man diesen Prozess weiter, sind schnell zusätzliche Themenfelder betroffen. Sprich neben der eigentlichen Cybersecurity müssen Wissensmanagement und Trendanalysen in die Überlegungen eingebunden werden. Und diese münden im Idealfall in möglichen Bedrohungsszenarien; wertvolle Informationen für Risikomanager und die gesamte Organisation. Prozesse, die eine klare Methodik erfordern.
Blackout von Systemen …
Cyberrisiken nehmen auch im Energieumfeld zu. Hacker und Saboteure haben es mittlerweile auf die kritischen Infrastruktureinrichtungen abgesehen, wozu auch die Energieversorgung zählt. Im Sommer 2014 attackierte eine Hacker-Gruppe mit dem Namen "Dragonfly" Energieversorger mit der Schadsoftware "Havex", um explizit industrielle Steuerungssysteme von Energieanlagen anzugreifen. Und ein Hacker-Team testete 2014 einen Angriff auf die Stromversorgung eines Versorgers mit dem Ergebnis, dass die Steuersoftware der Leitstelle beeinflusst wurde. Solch ein Szenario im reellen Leben mit Erfolg durchgeführt und Kriminelle sowie Saboteure haben leichtes Spiel mit dem kappen der Energieversorgung. Auch weil vielfach veraltete Systeme zum Einsatz kommen, die für Cyberangriffe anfällig sind. Die Folgen eines Stromausfalls vermittelte Kurt Meyer, Head of Risk Management, Chief Risk Officer, Swissgrid AG, am Beispiel eines Blackout. Die Kernfrage hierbei: Was würde passieren, wenn über mehrere Tage der Strom ausfällt? Es zeigt sich, die komplette Infrastruktur bricht ohne Stromversorgung zusammen – vom Verkehr über Kommunikationsnetze bis zum Ausbruch von Seuchen. Kritisch auch, weil die Notfallsysteme nur für 48 Stunden ausgelegt sind. Nicht umsonst wurden Strommangellagen als Top-Risiko im "Swiss Government Risk Report 2015" verankert. Nicht nur, weil die komplette Infrastruktur von Ausfällen betroffen ist, sondern auch weil die Kosten eines Stromausfalls rund zwei bis vier Milliarden Schweizer Franken pro Tag bedeuten. Diese Dimensionen machen ein schnelles und zugleich schlüssiges Handeln unumgänglich.
Kurt Meyer, Chief Risk Officer bei der Swissgrid AG
… und Menschen im Gesamtprozess
Doch Papier und Menschen sind geduldig. In der Welt des Risikomanagements werden vielfach unschlüssige Prozesse im Umgang mit Cyberrisiken aufgesetzt. Neben der unterschiedlichen Wahrnehmung im Umgang mit Risiken in den Organisationsbereichen.
Im Grunde fehlt vielfach die Verknüpfung der einzelnen Bereiche, es kommt zu einem nur schleppenden Feedback, ganz abgesehen von einem fehlenden Lagebild.
Das ist kritisch, denn Entscheider müssen in der Krise ad-hoc entscheiden. Im Falle eines Energieversorgers bleiben nach Aussagen von Kurt Meyer nur 20 bis 30 Minuten, um das System wieder zum Laufen zu bringen. Um das umzusetzen, braucht es valide Informationen und klare Prozesse. Ein weiterer Prozessknackpunkt liegt zudem in Informationen, die Unternehmen fluten. Tom Köhler hierzu: "Wer ist für die Datenflut in der Organisation verantwortlich, um sie in brauchbare Aussagen zu verwandeln."
Mehr noch werden Denk- und Verhaltensfehler nicht für die weitere Arbeit korrigiert. "Leider fehlt in vielen Unternehmen der Lernprozess in puncto Cybersicherheit. Zum einen werden viele Organisationen erst dann aktiv, wenn es einen Vorfall gibt und andererseits werden Cybervorfälle aus Angst vor Reputationsschäden unter der Decke gehalten", weiß Claus Engler, Leadauditor für Qualitäts- und Risikomanagementsysteme, TÜV Süd. Mehr noch akzeptieren viele Entscheider keine schlechten Nachrichten. Ein Trugschluss ist, dass ein Risikomanagement nicht für die Sonnentage gemacht wird, sondern es zielt auf die stürmischen Zeiten in Organisationen ab.
Von rechts nach links: Claus Engler (TÜV Süd) im Dialog mit Andreas Eicher (RiskNET GmbH)
Wichtig ist in diesem Kontext eine offene Unternehmenskultur mit einem nach vorne gerichteten Sicherheitskonzept, das in ein modernes Risikomanagement eingebunden ist. Innerhalb des Unternehmens Swissgrid arbeiten Meyer und seine Kollegen daran, die Mitarbeiter in der Organisation stärker zu sensibilisieren und ihnen klarzumachen: "Jeder sollte sein eigener Risikomanager sein", so Meyer. Und er ergänzt: "Es zeigt sich leider immer wieder, dass Unternehmen in die Awareness-Falle tappen. Sprich, vielen Unternehmensvertretern ist nicht klar, welche Chancen die Sensibilisierung der eigenen Mitarbeiter im Umgang mit Risiken für die eigene Organisation bietet." In eine ähnliche Richtung denkt Claus Engler vom TÜV Süd: "Am Ende steht immer der Mensch im Mittelpunkt des Handelns. Darüber müssen sich Entscheider im Klaren sein und ihre Schulungen stärker in Richtung Awareness-Ausbau der eigenen Mitarbeiter treiben."
Für Experten wie Tom Köhler braucht es für eine vorausschauende Sicht konkrete Szenarioanalysen. Hierzu gehören Überlegungen, was vernetzte Risiken sein können sowie Einflussgrößen, Trends und Grenzwerte. Im Umkehrschluss müssen sich Organisationen vom linearen Denken verabschieden und zu einem ganzheitlichen Systemverständnis kommen, interdisziplinär ausgerichtet. Wichtig ist es, Systemreaktionen permanent zu testen. Unterstützend können im Gesamtprozess Risikomanagementlösungen wirken. Ein Beispiel wäre eine Governance-, Risk- und Compliance-Lösung, kurz GRC. "Richtig und nachhaltig eingeführt, entlasten GRC-Lösungen Prozessbeteiligte vor wiederkehrend manuellen Tätigkeiten und ermöglichen mehr Zeit für wichtigere Aufgaben, beispielsweise der Analyse der Risikolandkarte", weiß Daniel Holzinger, COO der avedos business solutions gmbh. Und dies ist ein wesentlicher Punkt für Unternehmen, denn die Risikolandkarte wird auch im Cyberumfeld größer und hierzu braucht es Zeit die Risiken aufzunehmen und in Chancen zu wandeln, denn "Time is cash, Cybercrime is money".
Daniel Holzinger, COO der avedos business solutions gmbh
Interaktion, Kommunikation und Orientierung standen beim RiskNET Summit 2015 im Mittelpunkt