IT-Risikomanagement

Bessere Chancen im Cyberkrieg dank Risk Management


Bessere Chancen im Cyberkrieg dank Risk Management News

Kein Tag ohne Angriffe, Verluste oder Diebstähle. Was wie ein Kriegsszenario klingt, ist in vielen Unternehmen die Realität. Attacken auf das zentrale Nervensystem von Organisationen – die IT – sowie die explosionsartige Zunahme an Datendiebstählen in Unternehmen. Dass diese Bedrohungen realer sind als gedacht, zeigte sich spätestens im vergangenen Jahr mit der neu entdeckten Schadsoftware "Stuxnet". Ein Virenprogramm, das gezielt gegen automatisierte Produktions- und Steuerungsprozesse im Industrieumfeld eingesetzt werden kann. Für betroffene Unternehmen kann ein Befall mit Stuxnet in einem Desaster enden. Ausgang ungewiss. Umso dringlicher ist es, mit einem übergreifenden Risikomanagement mögliche Gefahrenpotenziale zu minimieren.

Von mangelnder Strategie zur neuen Virendimension

Computerviren. Fast jeder kennt sie. Sei es durch leidvolle Erfahrung auf dem eigenen PC oder aufgrund der steigenden Medienpräsenz durch immer neue Angriffe auf wirtschaftliche und politische Organisationen. Tendenz steigend. So kommt die Wirtschaftsprüfungsgesellschaft KPMG in ihrer "e-Crime-Studie 2010" zu dem Schluss, dass jedes vierte Unternehmen in den letzten drei Jahren von "elektronischen Verbrechen" betroffen war. Und das nicht ohne Grund. Fehlen doch nach Aussagen der Beratungsgesellschaft PricewaterhouseCoopers zum "Risk-Management-Benchmark 2010" in vielen Organisationen die Werkzeuge, um eine systematische Gesamtrisikosituation aufzustellen. Allerdings ist eine solche Strategie wichtig und entscheidend im Kampf um klare Risikomanagementstrukturen. Auch in Bezug auf schärfere rechtliche Anforderungen, wie zum Beispiel durch das Bilanzrechtsmodernisierungsgesetz (BilMoG), das erweiterte Überwachungspflichten für Aufsichtsräte definiert.

Die Qualität der Schadsoftware hat mit Stuxnet eine neue Dimension erreicht. Aufgrund der komplexen Programmierung im Industriesteuerungsbereich mit seiner eigenen IT-Welt gilt der Virus als Paradebeispiel für den hohen technischen Einsatz und das Fachwissen der Entwickler. Sicherheitsexperten schätzen einen Zeiteinsatz von mehreren Monaten für Entwicklung und Tests.

Mit anderen Worten: Hier war ein ganzer Mitarbeiterstab mit der Virenentwicklung beschäftigt. Zum Einsatz kam der Virus unter anderem bei bestimmten Steuerungsanlagen des iranischen Atomprogramms. Bedenklich, kann Stuxnet von seiner Wirkungsweise auch problemlos gegen Industrieunternehmen – von der Automobilindustrie bis hin zu Chemie- und Pharmaunternehmen – eingesetzt werden.

Das Fatale: Die Viren nutzen Schwachstellen in Steuerungssystemen von Industrieanlagen aus und manipulieren sie. Diese Systeme können in der Regel nur schwer gepatcht werden und sind daher nicht ausreichend gegen Angriffe geschützt. Also quasi eine offenes Tor für staatliche Saboteure oder Wirtschaftskriminelle. Wie drängend das Problem wirklich ist, gab das Bundesinnenministerium jüngst mit dem Verweis auf Nachahmer des Stuxnet-Programms zu.

Szenarioanalysen und Stresstests sind gefragt

Grundsätzlich lässt sich sagen, dass eine vollständige Vermeidung von Risiken nicht durchführbar ist. Dies würde bedeuten, sämtliche Aktivitäten zu unterlassen. Die Aufgabe des Risikomanagements liegt vielmehr darin, die bestehenden Risiken unter Berücksichtigung wirtschaftlicher Aspekte und Nutzenabwägungen mithilfe technischer und organisatorischer Maßnahmen zu verringern. Hierzu wird eine klare Strategie bei den internen Prozessen und der Wahl der richtigen Methoden der Risikoüberwachung und -bewertung vorausgesetzt. So verlangt ein durchgängiges Risikomanagement zunächst einen hohen Reifegrad der Prozesse und eine dementsprechende Verlässlichkeit der Prozessqualität. Aus diesem Grund sind Programme zur Verbesserung der Prozessqualität in der Gesamtorganisation ein wichtiger Schritt.

Auch die Wahl der Methode zur Risikobewertung ist entscheidend. Es empfehlen sich Szenarioanalysen und so genannte Stresstests. Mit ihrer Hilfe lassen sich potenzielle Entwicklungen erarbeiten und transparent darstellen. In einer Art Simulation können mögliche Risikoszenarien durchgespielt und auf die Gesamtorganisation und das mögliche Gefährdungspotenzial übertragen werden. Gerade an dieser Stelle lässt sich in der Praxis oft eine fehlende Integration des Risikomanagements in die Unternehmensplanung und das Controlling feststellen. Für einen ökonomisch sinnvollen Umgang mit Risiken müssen diese in den Kontext der Unternehmensplanung gestellt werden. Im Klartext bedeutet das: Risikomanagement muss zentraler Bestandteil eines fundierten Unternehmenssteuerungskonzepts werden. Eine solche Risikoorientierung steigert zudem die Akzeptanz beim Management und führt zu einer besseren Unterstützung durch die Führungsebene.

Um eine solche zukunftsorientierte Risikobewertung voranzutreiben, bedarf des grundsätzlichen Verständnisses interdisziplinärer Arbeitsweisen sowie neuer Methoden. Ein klarer Auftrag an Entscheider, die den Prozess im Unternehmen initiieren müssen. Und das unter Berücksichtigung gesetzlicher Vorgaben sowie der Einbindung der gesamten Mitarbeiterschaft.

Risiken minimieren dank starker Unternehmenskultur

Um Gefahrenpotenziale zu verringern, ist ein durchgängiges Verständnis zu Risiken und deren Vermeidung unumgänglich beziehungsweise setzt in letzter Konsequenz eine starke Unternehmenskultur voraus. Und die muss in einer Organisation wachsen und von allen Unternehmensbereichen verinnerlicht werden. Initiiert und getragen von der Firmenleitung bis hin zu jedem einzelnen Mitarbeiter, der sich als Teil des Ganzen verstehen sollte.

Für Unternehmen ergeben sich daraus bestimmte Parameter, an denen ausgerichtet eine organisationsinterne Struktur wachsen sollte. Zum einen ist eine stärkere Awareness im Umgang mit sensiblen Daten und Informationsträgern aufzubauen. Dies klingt zunächst simpel, ist aber in der Praxis ein vielfach unbeachtetes Feld, wie der Fall Stuxnet zeigt. Hier wird vermutet, dass die erste Infektion mit dem Wurm über den Einsatz eines USB-Speicherrmediums erfolgte. Neben der oft unzureichenden Priorisierung des Themas Risikomanagement auf Entscheiderebene macht vielen Unternehmen der sorglose Umgang mit Hardware, Handykameras, USB-Sticks & Co. zu schaffen. So kursiert unter IT-Security-Experten schon seit langem eine simple Methode, wie man einen Virus in ein Firmennetzwerk einschleusen kann: Man "verliert" in der Unternehmenstiefgarage einfach einen USB-Stick und speichert darauf verseuchte Dateien mit interessanten Namen wie etwa "Gehaltsabrechnung Vorstand" oder "Video Betriebsfeier". Mit größter Wahrscheinlichkeit wird der Finder der Versuchung nicht widerstehen können, die Dateien zu öffnen und der Virus kann sein zerstörerisches Werk beginnen.

Hilfreich sind in diesem Zusammenhang technische Rahmenbedingungen (zum Beispiel strikte Berechtigungsverfahren oder Schnittstellenschutz) sowie klare Verhaltensregeln im Umgang mit sensiblen Firmendaten und potenziellen Risiken. Dies setzt eindeutige Verhaltensregeln im Umgang mit der IT und Daten voraus. Aber auch regelmäßige Awareness-Programme für alle Mitarbeiter, um über den Sinn und Zweck durchgängiger Risikomanagementstrategien aufzuklären. Im Falle von Stuxnet würde das bedeuten, dass man sich vor Augen führt, welche Konsequenzen der Ausfall bestimmter Prozesse aufgrund eines Befalls mit Schadsoftware hätte. Wie dies möglicherweise verhindert werden könnte, welche Maßnahmen im Ernstfall eingeleitet werden müssten und welche Kosten hierfür entstehen. Wichtig ist es zudem, eventuell bereits bestehende Schutzvorkehrungen immer wieder kritisch zu hinterfragen und zu überprüfen.

Beispielsweise ist es in vielen Unternehmen üblich, dass zwischen den Steuerungsrechnern der Produktion und der "normalen" IT-Infrastruktur keine Verbindung besteht. Neben technischen Vorkehrungen macht dies aber auch umfangreiche organisatorische Regelungen erforderlich: Denn was nützt die Trennung der kritischen Netze, wenn diese von einem Mitarbeiter mit USB-Sticks überbrückt werden kann?

Bei all diesen Maßnahmen empfiehlt es sich, die Mitarbeitervertretung frühzeitig in den internen Denkprozess einzubinden. Gekoppelt mit einer Art Sanktions- und vor allem auch Belohnungssystem für jeden Mitarbeiter kann eine wirkungsvolle und vor allem durchgängige Unternehmenskultur wachsen – mit transparenten Verhaltensregeln. Im Idealfall verinnerlichen alle Mitarbeiter eines Unternehmens (von der Führungsebene bis zum Angestellten) diese Werte und sehen sich als Teil dieser Kultur.



Zum Autor

Dr. Roland Franz Erben ist Vorsitzender des Vorstands der Risk Management Association (RMA) e. V.



[Bildquelle: iStockPhoto]


Kommentare zu diesem Beitrag

Herbert /21.06.2011 07:38
Das Entscheidende ist einmal mehr der Mitarbeiter, der das Thema Ernst nimmt und ein Chef, der ein Vorbild ist. Ansonsten sind alle Investitionen und Bemühungen für die Katz ...
Pannemann /21.06.2011 09:56
Was nützt alle Theorie und perfekte Sicherheit wenn sie die Mitarbeiter im operativen Doing maßgeblich behindert und diese dann irgendwann frustriert gleich alle Sicherheitsmaßnahmen außer Kraft setzen.

Die meisten Vorkehrungen sind doch für die Füße, behindern und frustrieren bei der täglichen Arbeit, kosten deutlich mehr Zeit und Wege... aber wenn es mal darauf ankommt sind sie für böswillige Profis sowieso kein Hindernis.

Das da oben ist alles akademischer / theoretischer Beraterquatsch und hat mit der Praxis nur sehr entfernt was zu tun!
Stuxnett /22.06.2011 17:27
Nicht umsonst empfehlen einige Experten mittlerweile, die in viele Bereiche von Unternehmen und Behörden schnell und unüberlegt eingeführte IT wieder abzuschaffen.
Die neusten Angriffe auf z.B. Sony und FBI-nahe Unternehmen ausgehend von der Cracker-Gruppe LulzSec zeigt, dass gerade in großen Firmennetzen Daten nie wirklich sicher sind.
Außerdem zeigen die von der Gruppe veröffentlichten Passwortlisten auch, dass viele Internetuser zu sorglos mit Passwörtern umgehen, diese zu einfach wählen oder mehrfach verwenden für Email-Konto, Facebook, Amazon, Paypal etc.

Es muss ein Bewusstsein dafür entstehen, dass Daten im Zweifel erst einmal unsicher sind und so wenig wie möglich kritische Daten überhaupt gespeichert werden dürfen.
WhiteHat /24.06.2011 12:37
@Pannemann: Kann ich nur bestätigen. Völlige Theorie und allgemeines Geblubber. Im Kern geht es um ein gelebtes Bewusstsein über potenzielle Schwachstellen. Leider wächst dort aber gerade eine Cybergesellschaft heran, die völlig blauäugig mit dem Thema umgeht ;-((
CorpRM /05.07.2011 07:47
Die Unternehmen investieren seit vielen Jahren Unmengen Geld in die Verbesserung der IT-Security und in Awareness-Kampagnen u.ä. Hier handelt es sich aber um einen klassichen Hase und Igel Lauf und die Welt der Hacker hat sich in den vergangenen Jahren irre professionalisiert und kommezialisiert. Wir müssen da wohl eher von einem Cyberkrieg reden. Nettes Zureden und ein höheres Bewusstsein bei den Mitarbeitern ist da das kleinste Übel. Wenn man das Thema als Unternehmen in den Griff bekommen möchte, muss man sich wohl abkapseln und das Internet abschalten ...
Risk Academy

Die Intensiv-Seminare der RiskAcademy® konzentrieren sich auf Methoden und Instrumente für evolutionäre und revolutionäre Wege im Risikomanagement.

Seminare ansehen
Newsletter

Der Newsletter RiskNEWS informiert über Entwicklungen im Risikomanagement, aktuelle Buchveröffentlichungen sowie Kongresse und Veranstaltungen.

jetzt anmelden
Lösungsanbieter

Sie suchen eine Softwarelösung oder einen Dienstleister rund um die Themen Risikomanagement, GRC, IKS oder ISMS?

Partner finden
Ihre Daten werden selbstverständlich vertraulich behandelt und nicht an Dritte weitergegeben. Weitere Informationen finden Sie in unseren Datenschutzbestimmungen.