Cyber-Attacken nehmen zu, werden raffinierter und kosten Unternehmen inzwischen Milliarden. Herkömmliche Sicherheitskonzepte sind zunehmend machtlos. Die Digitalisierung vieler Branchen sowie die Themen Internet of Things und Industrie 4.0 verschärfen die Notwendigkeit nach wirksamen und praktikablen Sicherheitslösungen. Wer sich schützen will muss umdenken, so RiskNET-Autor Peter Rost (Rohde & Schwarz Cybersecurity) in einer RiskNET Kolumne im Dezember 2016. Rund die Hälfte aller deutschen Unternehmen ist laut einer Bitkom-Umfrage aus dem Jahre 2015 innerhalb der vorangegangenen zwei Jahre Opfer von Computer-Kriminalität (Datendiebstahl, Wirtschaftspionage oder Sabotage) geworden. Der dadurch entstandene Schaden für die gesamte deutsche Wirtschaft wird dabei auf rund 51 Milliarden Euro pro Jahr geschätzt.
Cyberrisiken und der religiöse Terrorismus sind die dominierenden gesellschaftlichen Bedrohungen für des 21. Jahrhunderts, so die Autoren in ihrem Vorwort. "Die Digitalisierung und Automatisierung von immer mehr Lebens- und Wirtschaftsbereichen ist in den letzten Jahren so weit fortgeschritten, dass nicht nur Chancen, sondern auch Risiken entstanden sind. […] Ohne eine zuverlässige Cybersicherheit werden die Chancen der Digitalisierung zum Vorteil von Straftätern, Terroristen, informationshungrigen Staaten oder totalitären Regimen ausgenutzt."
In den letzten Jahren sind Qualität und Quantität der Cyberangriffe massiv angestiegen, so die Autoren weiter. Cyberangriffe stellen nicht nur ein technisches Problem dar, sondern beinhalten auch nichttechnische Aspekte. Daher können Cyberrisiken und Bedrohungen nicht nur mit technischen Sicherheitsmaßnahmen bekämpft werden, sondern müssen zwingend auch nichttechnische, wie physische, personelle und organisatorische Mittel beinhalten.
Vor diesem Hintergrund wird auch recht schnell deutlich, dass Cybersicherheit primär eine Management-Verantwortung darstellt. Die Autoren ergänzen: "Ein Abwälzen auf die IT-Abteilung hilft da nur bedingt. IT-Abteilungen denken in Funktion, Innovation und Kosten und richten ihre Sicherheitsarchitekturen dementsprechend danach aus."
Cybersicherheit sollte für die Zukunft und in einer Welt von digitalen Geschäftsmodellen eines der wichtigsten strategischen Ziele des Unternehmens sein und ein integraler Bestandteil der Unternehmensstrategie. "Zur Abklärung, ob ein Unternehmen potenziell Ziel eines Cyberangriffes werden wird, sollte es seine kritischen Prozesse und Infrastrukturen sowie das cyberrelevante Umfeld kennen und eruieren, wie abhängig die jeweiligen Geschäftsfelder von der Digitalisierung und Vernetzung sind", so das Autorenduo weiter.
Die Autoren beschreiben in dem kompakten, 124 Seiten dicken Ratgeber, wie eine Cybersicherheitsstrategie entwickelt und umgesetzt wird. Dabei beleuchten sie die geopolitischen Einflüsse wie auch die organisatorischen und technischen Rahmenbedingungen. Das Buch ist in insgesamt 12 Kapitel untergliedert. Nach einem kompakten Management Summary (für den Vorstand oder Aufsichtsrat) folgen in Kapitel 2 bis 7 Hintergrundinformationen zur Cyber-(Un)Sicherheit, zur Bedrohungslage, zu Tätern und zur Täterorganisationsstruktur, zum Schadenspotenzial und den Kosten, zur Komplexität der IT-Systeme sowie zur globalen und individuellen Bedrohungslage. Das anschließende Kapitel 8 skizziert einen umfassenden und risikoorientierten Lösungsansatz. In Kapitel 9 werden staatliche Lösungsansätze (IT-Sicherheitsgesetz, NIS-Richtlinien) beschrieben und diskutiert. Die Grundsätze zur Entwicklung einer Cyberstrategie werden in Kapitel 10 zusammenfassend dargestellt. Mit der Entwicklung und Umsetzung von Maßnahmen zur Erhöhung der Cybersicherheit setzt sich Kapitel 11 auseinander. Das abschließende zwölfte Kapitel wagt einen Blick in die Zukunft und zeigt in einer kompakten Tabelle mögliche Szenarien, die in der Folge einer digitalen Transformation vieler Geschäftsmodelle und der Vernetzung unserer privaten Lebensbereiche zu erwarten sind.
Was ist die Kernaussage des Buches? Wichtig ist, dass die Geschäftsleitung das Gesamtrisiko aus potenziellen Cyberattacken und die kritischen Prozesse und Infrastrukturen des Unternehmens kennt. Daraus kann sie geeignete Sicherheitsmaßnahmen zur Minimierung des Risikos ableiten und implementieren. Doch wie geht man hier konkret vor? Cyberangriffe laufen typischerweise nach dem gleichen Muster ab. Ein Unternehmen sollte daher – so die Autoren – zuerst analysieren, wie ein Cyberangriff abläuft, um geeignete Maßnahmen zu entwickeln und deren Umsetzung zu koordinieren. Ein Cyberangriff lässt sich in die folgenden Phasen unterteilen: Vorbereitungsphase, Angriffsphase sowie Nutzungs- und Tarnphase. In der Vorbereitungsphase wird der Angreifer versuchen, alle notwendigen Informationen für die spätere Durchführung des Angriffs zu beschaffen.
In der Angriffsphase werden technische Mechanismen benutzt, die den Zugang zu IT-Systemen des Opfers ermöglichen. In den meisten Fällen sind dies Trojaner, die über USB-Sticks, E-Mails oder sonstige Medien in das System eingebracht werden. In der Nutzungs- und Tarnphase nimmt der Angreifer im IT-System eine Administrator-Rolle ein und kann dadurch auf alle Informationen von außen zugreifen.
Die Autoren unterscheiden drei generische Phasen der Cybersicherheit: die Präventionsphase, die Reaktionsphase und die Wiederherstellungsphase. Für jede Phase müssen die richtigen Verantwortlichen und Beteiligten identifiziert und definiert und geeignete Maßnahmen und Meilensteine entwickelt werden. So sollten Unternehmen die folgenden Themen auf ihre Agenda setzen:
- Awareness und szenariobasiertes Training (etwa mit Planspielen oder Szenarioanalysen)
- Detektion von Angriffen
- Organisatorische- und technische Maßnahmen zur Verbesserung der IT-Sicherheit
- Lagebeurteilung und Risiko-/Bedrohungsanalysen
- Risiko-/Verwundbarkeitsanalysen der kritischen Geschäftsprozesse und Systeme
- Organisatorisches und technisches Incidentmanagement
- Adäquates Krisenmanagement und Krisenkommunikation
- Kooperation (gesetzliche Vorgaben, Meldepflicht, polizeiliche und weitere staatliche Schnittstellen)
- Business Continuity Management (BCM, Betriebskontinuitätsmanagement)
- "Lessons Learned" und nachhaltige Weiterentwicklung der Sicherheitsarchitektur zur Vermeidung ähnlicher Angriffe (organisatorisch und technisch)
- Forensik und Anpassung der Cyberstrategie, damit die neusten Erkenntnisse einfließen können.
Das äußerst kompakte und praxisorientierte Buch kann allen Lesern und Unternehmen empfohlen werden, die Ideen und einen Rahmenkonzept für die Entwicklung einer Cyberstrategie benötigen. Die Autoren weisen darauf hin, dass es bei der Recherche zum Buch äußerst schwierig war, Best Practice zu finden oder konkrete Praxisbeispiele mit aufzunehmen. In der Regel wollen Unternehmen, die Opfer von Cyberangriffen geworden sind, anonym bleiben oder betrachten eine solide Cyberstrategie als Wettbewerbsvorteil auf dem Weg zu einem cyberresilienten Unternehmen.