Industrie 4.0 und Digitalisierung ist in aller Munde. Land auf, Land ab, befeuern Wirtschaftsvertreter, Lobbygruppen und Politiker das Thema. Der Grundtenor: Wer nicht mitmacht bei der großen Digitalisierung hat verloren. Auf der anderen Seite steht das Thema Cybersecurity. Das Britische Versicherungsunternehmen Lloyd schätzt, dass Cyberangriffe Kosten in Höhe von 400 Milliarden US- Dollar bei den Unternehmen verursachen. Juniper Research schätzt, dass die Kosten durch Datenpannen weltweit bis 2019 bis zu 2,1 Billionen US-Dollar betragen werden. Zusätzlich besorgniserregend ist die Tatsache, dass diese Statistik nur die registrierten Angriffe erfasst. Das World Economic Forum (WEF) sagt, dass ein signifikanter Anteil von Cyberkriminalität unerkannt bleibt. Dies gilt insbesondere für den Bereich der Industriespionage, da bei weitem nicht alle Angriffe bemerkt oder gemeldet werden. Die Redaktion von FIRM sprach in diesem Kontext mit dem Tom Köhler, international anerkannter Strategie-Experte für Cybersecurity und Advisory Partner bei EY über seine Einschätzungen zur Digitalisierungswelt. Damit eng verbunden: Die Chancen und Risiken im Umfeld der Cybersicherheit.
Die Digitalisierung ist für Unternehmen zu einem elementaren Erfolgsfaktor geworden. Nahezu jedes Unternehmen hat sich so gesehen zu einem IT-Unternehmen weiterentwickelt. Sie haben in Ihrem letzten Vortrag auf der RiskNET darauf hingewiesen, dass in vielen Punkten ein Risikomanagement 1.0 der digitalen und eng vernetzten Welt hinterherhinkt. Wo müssen Risikomanager dringend umdenken?
Tom Köhler: Die Digitalisierung konfrontiert Risikomanager wie kaum ein anderes Thema mit Komplexität und Unsicherheiten. In der Tat hat der Einsatz von Informationstechnologien Unternehmen in ihrer Aufbau- und Ablauforganisation stark verändert. Hinzu kommt, dass sich der Innovationszyklus für Hardware, Software und Services permanent beschleunigt. Diese Entwicklungen machen selbstverständlich keinen Halt beim Cybersecurity und Risikomanagement. Die Digitalisierung vernetzt auch Risiken, sodass Risikomanager innovative Ansätze im Umgang mit dynamischen Risiken benötigen. Risikomanager benötigen mehr als jemals zuvor eine engere domänenübergreifende und agilere Zusammenarbeit mit den Kollegen aus den Bereichen Strategie, Governance, Informationstechnologie und Cybersecurity, um vernetzte Risiken der Digitalisierung schneller zu erkennen und präventive Maßnahmen treffen zu können. Einfacher gesagt, es braucht einen neuen systemischen Ansatz, um den Sicherheitsfragen der vernetzen Welt gerecht zu werden.
Auf Unternehmensseite hat man nicht selten das Gefühl, dass Cybersecurity ein Thema ist, was einen nur bedingt direkt tangiert. Es ist eher ein Thema "der Anderen". Wie ist Ihre Einschätzung?
Tom Köhler: Durch die permanente Berichtserstattung von Cybesecurity-Vorfällen sind Unternehmen, die noch nicht selbst betroffen waren, bereits hoch sensibilisiert. Die brennendere Frage ist, wie sind Unternehmen auf den Worst-Case vorbereitet? Laut BITKOM verfügen nur 51 Prozent der Unternehmen über einen Notfallplan, um innerhalb kurzer Zeit auf den Abfluss sensibler Daten, digitale Wirtschaftsspionage oder Sabotage reagieren zu können. Unternehmen, die die Potenziale der Digitalisierung nachhaltig nutzen wollen, müssen zwangsläufig auch den Worst-Case in Betracht ziehen. Cyberangriffe sind ein integraler Bestandteil der Digitalisierung und müssen in der strategischen Unternehmensplanung mit berücksichtigt werden. Für die Unternehmenspraxis bedeutet das, dass szenario-basierende Simulationen von Cyberangriffen in regelmäßigen Abständen geübt werden sollten – damit nicht erst im Krisenfall die vermeintlichen Fehler in den Abstimmungs- und Kommunikationsprozessen sichtbar werden.
Welches Umdenken benötigen wir in einer Welt einer durchgängigen Digitalisierung und Vernetzung im Kontext Sicherheitsdenken? Inwieweit verlagert sich Cyber-Kriminalität heute in das "Internet der Dinge"?
Tom Köhler: Festzustellen ist, dass sich die organisierte Kriminalität im Darknet wesentlich besser vernetzt hat, um agile, hochentwickelte und komplexe Cyberangriffe zu orchestrieren. Unternehmen sind mit ihren Abwehrmaßnahmen im Vergleich dazu sehr ineffizient. Aufgrund hierarchischer Unternehmensstrukturen und der limitierten Kooperationsmechanismen innerhalb der Industrie sind die Kosten für hochautomatisierte Cyberangriffe geringfügig und die kriminellen Gewinne sehr hoch, sodass die Cyber-Kriminalität sicherlich weiter steigen wird. Wir benötigen eine Sicherheitskultur, die ebenso agil ist wie die der Angreifer und besser orchestriert ist. Ziel muss es sein die Kosten für Cyberangriffe bereits durch "Security by Design" in die Höhe schießen zu lassen und gleichzeitig vernetzte Systeme besser zu überwachen.
Wie bewerten Sie den Risikofaktor Mensch sowie eine adäquate Risikokultur in diesem Kontext?
Tom Köhler: Menschen haben schon immer interessante Überlebensstrategien entwickelt. Oft aber überschätzen wir unser Kontrollvermögen und unterschätzen die Risiken. Einfache Faustregeln für den Umgang mit Unsicherheiten in einer vernetzten digitalen Welt haben wir noch nicht entwickelt. Diese werden aber zwingend benötigt, wenn wir eine präventive Sicherheitskultur im Zeitalter der Digitalisierung erreichen wollen. Vor rund fünf Jahren entwickelte ich gemeinsam mit der Ludwig-Maximilians-Universität München den Internet Risk Behaviour Index. Ziel war es ein sichereres Verhalten der Benutzer beim Umgang mit Online-Risiken zu erwirken. Mit dem Prototypen eines Cyberrisiko-Simulators konnten wir Benutzer mit realen Cyberbedrohungen konfrontieren und gleichzeitig sein Verhalten messen. Damit erreichten wir, dass er Risiken, die durch sein persönliches Verhalten verursacht wurden, nachvollziehen konnte und lernt diese zu vermeiden. Leider wurde das Projekt nicht weiter finanziert. Ich bin überzeugt, dass dieser Ansatz heute mehr denn je gebraucht wird, wenn das vernetzte Denken beim Benutzer und der souveräne Umgang mit Cyberrisken gefördert werden soll. Hier gilt: "Übung macht den Meister".
Und an welchen Stellen sehen Sie den größten Nachholbedarf?
Tom Köhler: Der Mensch ist nur begrenzt in der Lage, komplexe Zusammenhänge, insbesondere unter Zeitdruck zu erfassen. Mit der fortschreitenden Digitalisierung und der damit verbundenen Zunahme an Komplexität sind damit auch traditionelle Sicherheitsansätze nur noch bedingt wirksam. Aus meiner Sicht liegt der größte Nachholbedarf bei der Entwicklung eines systemischen Ansatzes, bei dem Risiken vernetzt betrachtet werden. Dies gilt insbesondere für zukünftige kritische IT-Infrastrukturen, wie beispielsweise eine hochautomatisierte Verkehrsleitzentrale für die Steuerung von autonom fahrenden Automobilen. Bei dieser Art von Infrastrukturen greifen verschiedene hochkomplexe Systeme, wie Geolokationssatelliten, Bodenstationen, Fahrzeugelektronik, Datennetze und Softwarekomponenten ineinander. Eine Cyberangriff auf nur eine der Systemkomponente kann verheerende Auswirkungen auf die Sicherheit des Systems haben und somit auf das Leben der Nutzer von "Connected Cars". Vielleicht erscheint dieses Beispiel dem einen oder anderen noch zu weit entfernt in der Zukunft zu liegen, doch existieren bereits heute stark vernetzte Infrastrukturen, wie beispielsweise Air-Traffic-Management Systeme oder Smart Grids.
Dieses Beispiel zeigt die hohe Relevanz die Cybersecurity in der Informationsgesellschaft einnimmt. Aber wo konkret besteht Nachholbedarf bei Unternehmen im Allgemeinen?
Tom Köhler: Konkret sehe ich fünf Schwerpunkte für Unternehmen. Zunächst die Identifizierung der "echten", sprich relevanten Cyberrisiken: Elementar für ein effektive Cybersecurity-Strategie ist die Top-Down-Definition des Risikoappetits und der kritischen Informations-Assets. Zudem braucht es den Laserfokus auf reale "Worst-Case" Szenarien: Unternehmen müssen davon ausgehen bereits gehacked worden zu sein.
Unternehmen benötigen eine höhere Resilienz gegen Cyberangriffe, sprich sie müssen ihre Controls und Prozesse besser auf die Identifizierung, den Schutz, die Response und der Business Recovery von Cyberangriffen ausrichten. Wichtig ist zudem die Governance Performance. Policies zu haben ist gut, sie agiler zu monitoren ist besser. Unternehmen benötigen einen aktuellen Blick auf ihr Governance Performance und Risikoposition. Für die Unternehmensführung ist es elementar aktuelle Indikatoren über die vernetzen Risiken, sprich Business und IT-Infrastruktur, zu erhalten. Die Optimierung der Investitionen ist ein weiter Punkt. Unternehmen müssen Risiken akzeptieren, wenn kein Budget verfügbar ist. Budget könnte in vielen Fällen aber durch eine Umschichtung verfügbar gemacht werden. Dies setzt ein Assessment der aktuellen Investitionen in Cybersecurity und ihrer Wirksamkeit voraus. Somit könnten Investitionsentscheidungen, beispielsweise zum Kauf von Cybersecurity-Versicherungen oder für Investitionen in innovative Cybersecurity-Initiativen, auf der Führungsebene nachhaltiger getroffen werden. Und letztendlich braucht es eine präventive Sicherheitskultur als Business Performance Enabler. Cybersecurity ist nicht nur ein technisches Thema, sondern auch eine Frage der präventiven Sicherheitskultur im Unternehmen. Wie gehen Mitarbeiter mit sensiblen Daten um? Wie verhalten sich Mitarbeiter, wenn sie vermeintliche Cyberrisiken erkennen? Die Verantwortung für Cybersecurity muss bei allen Mitarbeitern verankert werden. Eine präventive Sicherheitskultur ist eine gute Ausgangbasis um neue Technologie und Ansätze wie beispiel Bring your Own Device, kurz BYOD, risikobewusster in Unternehmen einzuführen.
Sie setzten sich täglich mit den negativen Auswirkungen des Cyberraum auseinander. Herr Köhler, wie gehen Sie mit Cyberrisiken um?
Tom Köhler: Ich bin nach wie vor von der Innovation im Bereich der Technologien sehr fasziniert und nutze viele der Möglichkeiten, um meinen Arbeitsalltag zu optimieren. Sicherlich, sehe ich auch mehr als der Durschnitt was alles so schief gehen kann. Aber ich sehe auch, mit welchen geringen Mitteln, beispielsweise klaren Verhaltensregeln, ich mein persönliches Risiko im Cyberbereich minimieren kann. Manchmal hilft eines ganz Besonders: "Einfach mal ausschalten!"
Tom Köhler ist international anerkannter Cybersecurity Strategie Experte und Advisory Partner bei EY. Er blickt auf eine über 20-jährige Karriere im Bereich der Informations- und Kommunikationstechnologie zurück. Seine Expertise entwickelte er in verschiedenen Management-Positionen bei international führenden ITK-Herstellern, u. a. bei RSA, bei Microsoft, VeriSign und SafeNet. Tom Köhler verantwortete innerhalb der Airbus Defence & Space in einer Doppelrolle als Chief Strategy Officer bei der Cassidian Cybersecurity die Strategie für Europa und als CEO Deutschland das operative Geschäft der Cassidian Cybersecurity GmbH. Darüber hinaus ist Köhler Mitglied in verschiedenen Gremien, unter anderem in der Permanent Stakeholder Group der European Union Agency for Network and Information Security (ENISA).