43 Milliarden Euro in Deutschland und 575 Milliarden US-Dollar weltweit – in dieser Höhe beziffert das Center for Strategic and International Studies den Schaden durch Cyber-Kriminalität im Jahr 2013. Dabei wird es vermutlich nicht bleiben. Seit 2010 nehmen Cyber-Attacken jährlich um 20 Prozent zu. Zusätzlich besorgniserregend ist die Tatsache, dass diese Statistik nur die registrierten Angriffe erfasst. Tatsächlich gehen Experten von weitaus höheren Zahlen aus, da bei weitem nicht alle Angriffe bemerkt oder gemeldet werden.
Damit ist Cyber-Kriminalität eine der zentralen Bedrohungen für Unternehmen und gehört längst auf die Vorstandsagenda. Dies bestätigt auch der "Global Risks-Report 2014" des World Economic Forum, der jährlich in Zusammenarbeit mit Oliver Wyman und weiteren Partnern erstellt wird. Der Zusammenbruch der grundlegenden Informationsinfrastruktur rangiert hier auf dem fünften Platz der Risiken mit den potenziell größten Auswirkungen auf die Weltwirtschaft. Ebenfalls auf Rang fünf der weltweit wahrscheinlichsten Risiken finden sich die gefürchteten Cyber-Attacken.
Die Bedrohungsszenarien für Unternehmen sind vielschichtig und können sogar existenzgefährdende Ausmaße annehmen. Sie reichen vom unsachgemäßen Umgang mit Unternehmensinformationen über Datendiebstahl und -fälschung bis hin zur Computersabotage und Spionage-Aktivitäten. Dies verlangt nach einer umfassenden Strategie, die nicht mehr allein von der IT-Abteilung entwickelt und umgesetzt werden kann. Das Thema ist Aufgabe des gesamten Unternehmens.
Oliver Wyman hat Schlüsselkriterien identifiziert, die für ein erfolgreiches Information Security Management entscheidend sind. Die RiskNET-Redaktion hat mit Claus Herbolzheimer, Partner im Bereich Strategic IT & Operations bei Oliver Wyman, über aktuelle und zukünftige Herausforderungen im Bereich Cyber-Kriminalität gesprochen.
Im Global Risk Report rangiert der Zusammenbruch der grundlegenden Informationsinfrastruktur seit vielen Jahren auf den vorderen Plätzen der Risikolandkarte. Das Besondere an diesem Risiko ist, dass Auswirkungen auf die Weltwirtschaft als extrem hoch eingeschätzt werden. Auf Unternehmensseite hat man allerdings das Gefühl, dass Cyber-Kriminalität ein Thema ist, was einen nur bedingt direkt tangiert. Wie ist Ihre Einschätzung?
Claus Herbolzheimer: Die Vorfälle der letzten Wochen und Monate zeigen deutlich, dass keine Industrie und kein Unternehmen – egal welcher Größe – vor Cyber-Angriffen gefeit sind. Wo Geschäftsprozesse oder relevante Back-Office-Funktionalitäten zunehmend digital werden, ergeben sich auch vermehrt Angriffsmöglichkeiten und Bedrohungen. Teilweise durch mehr oder weniger professionell agierende Kriminelle, aber auch durch nationale Dienste, die an spezifischen Informationen interessiert sind.
Müsste das Risiko nicht stärker supranational analysiert und aktiv gesteuert werden? Oder sprechen unterschiedliche Interessen gegen eine globale Initiative?
Claus Herbolzheimer: Hier muss sicherlich differenziert werden: Während es natürlich Bereiche gibt, in denen nationale Interessen überwiegen und die entsprechend isoliert betrachtet werden, existieren in Bezug auf international agierende Cyber-Banden oder hinsichtlich potenzieller Bedrohungen durch Cyber-Terrorismus selbstverständlich länderübergreifende Kooperationen der Sicherheitsbehörden oder von Industrieverbänden und Regulatoren. Außerdem gibt es internationale Richtlinien und Standards, die zu einem höheren Maß an Professionalisierung, Vergleichbarkeit und letztendlich auch in Summe zu Anpassungen des Schutzniveaus führen wie dies zum Beispiel bei den Sicherheitsstandards ISO2700x und ISA/IEC-62443 der Fall ist.
Welche Szenarien haben Sie und andere Experten im Kontext Cyber-Attacken konkret auf dem Radar?
Claus Herbolzheimer: Das ist industriespezifisch unterschiedlich: Während kritische Infrastrukturen, wie Energie- oder Telekommunikationsnetze, unter Umständen auch Ziele terroristisch motivierter Cyber-Angriffe sein können, ist es in der Finanzindustrie oder im Handel doch eher der klassische Versuch, sich zu bereichern, Kundendaten abzuschöpfen und missbräuchlich zu verwenden oder virtuell die Kasse zu leeren. In technischen Industrien hingegen geht es häufig um Zugriff auf Intellectual Properties, wie beispielsweise auf Baupläne oder Stücklisten – also im Wesentlichen um Industriespionage. Je nach Art der Attacken sind diese dann auch mehr oder weniger sorgfältig versteckt. Gerade im Bereich der Industriespionage geht es ja vor allem darum, über einen möglichst langen Zeitraum unentdeckt Zugriff auf Informationen zu bekommen.
Cyber-Kriminalität ist ein Milliarden-Geschäft. Können die Risikomanager und Cyber-Experten sowie die Strafverfolgung das Katz-und-Maus-Spiel im Bereich der Cyber-Kriminalität gewinnen?
Claus Herbolzheimer: Wie immer im Leben gewinnt und verliert man manchmal. Einen hundertprozentigen Schutz gibt es nicht. Man kann sich allerdings zum einen auf den potenziellen Schadensfall gut vorbereiten und dadurch die Auswirkung deutlich reduzieren. Zum anderen kann man durch entsprechende Vorsorge besser verstehen, was die tatsächlich wichtigen schützenswerten Informationsobjekte in einem Unternehmen sind. Wenn das bekannt ist, ist es deutlich leichter, die verfügbaren Ressourcen zur Angriffsabwehr zu fokussieren und sich auf die wirklich wichtigen Bereiche zu konzentrieren.
In Bezug auf Strafverfolgung ist es nach wie vor ein Problem, dass bei der Behebung von Schadensfällen häufig Fehler gemacht werden. Wie bei einem "normalen" Einbruch müssen auch hier Beweise gesichert und gerichtsfest aufgenommen werden. Häufig wird hierbei heute noch viel zerstört – dies steht dann einer erfolgreichen Strafverfolgung natürlich entgegen.
Wie bewerten Sie den Risikofaktor Mensch sowie eine adäquate Risikokultur im Kontext Cyberrisiken?
Claus Herbolzheimer: Wichtig für ein umfassendes und erfolgreiches Cyber Risk Management ist, dass es eine entsprechende Kultur im Unternehmen gibt und das Thema den entsprechenden Stellenwert in der Organisation hat. Die Absicherung der technischen Infrastruktur ist ein wichtiger Schritt, aber alleine bei weitem nicht ausreichend. Es geht hier auch um die proaktive Gestaltung von Prozessen, die Auswahl und Schulung von Mitarbeitern, Entscheidungsstrukturen und mehr. Der Mensch ist ein erheblicher Risikofaktor – ein guter Teil der in der letzten Zeit publik gewordenen erfolgreichen Datendiebstähle ist entweder von aktiven oder früheren Mitarbeitern, durch deren Mithilfe oder durch Dienstleister mit Zugriff auf relevante Systeme durchgeführt worden.
Hat sich seit den Enthüllungen von Edward Snowden die Einstellung zum Thema Cyberrisiken geändert? Gehen Unternehmen und Nutzer allgemein sensibler mit ihren Daten um?
Claus Herbolzheimer: Das Thema ist auf jeden Fall stärker ins Bewusstsein gerückt. Ob es zu einer breiten Veränderung im Umgang mit Daten geführt hat, lässt sich so noch nicht sagen.
Inwieweit verlagert sich Cyber-Kriminalität heute in das "Internet der Dinge"?
Claus Herbolzheimer: Auch hier gilt: Was "online" ist, kann potenziell angegriffen werden. Das Internet der Dinge wird sicherlich zu einem wichtigen Spielfeld – vor allem, weil es viele neue Angriffsmöglichkeiten und -wege bietet. Ein Trojaner kann dann beispielsweise über den "smarten" Kühlschrank, der mit dem Smartphone kommuniziert, auf den persönlichen Rechner gelangen. Im Bereich Industrie 4.0 können Trojaner zum Beispiel über kommunizierende Maschinen und Produkte andere Produkte infiltrieren oder entlang der Wertschöpfungskette von Fabrik zu Fabrik "wandern".
Was sind die Schlüsselkriterien, die für ein erfolgreiches Information Security Management entscheidend sind?
Claus Herbolzheimer: Für ein erfolgreiches Information Security Management sind verschiedene Kriterien entscheidend. Dazu gehört in erster Linie die ganzheitliche Risikobewertung über alle Funktionen und Ebenen hinweg. Diese sollte potenzielle Ziele ebenso berücksichtigen wie Bedrohungen und Maßnahmen. Wichtig ist außerdem, sich Klarheit über die wichtigsten Informationswerte und Daten des Unternehmens zu verschaffen – d.h. Informationen, Produkte, Bereiche, Prozesse oder Systeme, die für das Unternehmen von strategischer Relevanz und daher unbedingt zu schützen sind. Zugleich sollte man immer im Blick haben, wie sich deren Stellenwert durch die digitale Transformation oder die Entwicklung des Geschäftsmodells verändern wird. Was heute irrelevant ist, kann morgen sehr wichtig sein – und umgekehrt.
Darüber hinaus gilt es, sich mögliche Schädigungsszenarien zu vergegenwärtigen, die Risikobereitschaft festzulegen und zentrale Maßnahmen für den Informationsschutz zu verankern. Diese reichen von der Definition einer Strategie zum Schutz aller relevanten Unternehmensinformationen über den Aufbau entsprechender Governance-Strukturen bis hin zu regelmäßigen Audits sowie Prozesskontrollpunkten, die es ermöglichen, das Ausmaß der Bedrohungen jederzeit abschätzen zu können.
[Die Fragen stellte Frank Romeike, verantwortlicher Chefredakteur beim Kompetenzportal RiskNET]
Dr. Claus Herbolzheimer ist Partner im Beratungsbereich Strategic IT & Operations bei der Managementberatung Oliver Wyman in Berlin.
Herbolzheimer ist seit 2009 bei Oliver Wyman und als Experte für funktionale IT insbesondere in den Branchen Finanzdienstleistungen, Energie, Transport und Telekommunikation tätig. Neben der Steuerung und Sanierung großer IT-Programme unterstützt er Unternehmen insbesondere bei der strategischen Planung und Optimierung von IT-Prozessen und -Strukturen sowie bei Effizienzsteigerungsprogrammen in der CIO- und CTO-Organisation.
Darüber hinaus arbeitet er an IT-nahen Spezialthemen wie strategischer Technologieschutz und Sicherheit. Herbolzheimer ist Magister für Business Process and Project Management der FH Vorarlberg und promovierte an der Technischen Universität Berlin.