wenn sich die Welt auf exponentielles techno- menschlich bleiben, menschliche Qualitäten logisches Wachstum vorbereitet. Wir müssen bewahren und grundlegende Menschenrechte, auch unsere ethischen Rahmenbedingungen neu wie das Recht auf freien Willen und freie Ent- gestalten und stärken. Wir müssen eine globale scheidungs- und Wahlmöglichkeiten, genießen Übereinkunft darüber erzielen, was gut für die will (die wenigen Transhumanisten und ext- Menschheit insgesamt ist und was eindeutig remen Singularitarianer, die übermäßig dar- nicht – und auch, wie wir solche Prinzipien auf bedacht scheinen, so schnell wie möglich durchsetzen wollen. Cyborgs oder Roboter zu werden, lassen wir hier mal außer Acht, auch wenn sie recht viel Lärm In vielerlei Hinsicht könnte diese Aufgabe um sich machen). sogar schwieriger zu bewältigen sein als die vor uns liegenden technologischen Herausforderungen. Wem würde es schon gefallen, wenn seine Auf jeden Fall würde ich vorschlagen, dieses digitale (oder echte) Identität gestohlen oder „Streben zum Mond bei der Ethik“ dem Streben seine DNA verwendet würde, um einen Super- zum Mond bei der Cyber-Sicherheit hinzuzu- soldaten auf der anderen Seite der Welt zu pro- fügen, von dem Mark McLaughlin in seinem grammieren? Will etwa jemand seine Daten und Kapitel spricht. Informationen komplett dem öffentlichen Raum zugänglich machen? Alle genießen schließlich Ethik in der Technologie bzw. digitale die Möglichkeit, ein Leben mit Geheimnissen, Ethik wird sehr schnell zum Thema Fehlern und Privatsphäre zu führen. Nr. 1 in dieser Branche werden Die Formulierung ethischer Standards auf globa- Denkanstoß: ein ethischer Rahmen ler Ebene ist nicht einfach. Es kann sogar unmög- für das digitale Zeitalter lich sein, wenn wir versuchen, sehr detaillierte Ich formuliere nachstehend die allgemeinen Überzeugungen einzubringen, das heißt Werte Prinzipien digitaler Ethik, die den Rahmen für und Anschauungen, die für bestimmte Gesell- ein globales Manifest einer „Ethik in der Tech- schaften, Länder, Regionen oder Religionen nologie“ bilden könnten, eine Art digitale typisch sind. Aber wenn wir ganz oben auf globa- Erklärung der Menschenrechte. Ich schlage im ler Ebene bleiben, glaube ich, dass wir tatsächlich Übrigen fünf zentrale Menschenrechte vor, die einige entscheidende ethische Normen für Men- die Grundlage eines zukünftigen Manifests zur schen festlegen können. Der Schlüssel wird sein, digitalen Ethik bilden könnten: sich auf MENSCHLICHKEIT zu konzentrie- ren und mit dem zu handeln, was die alten Grie- 1. Das Recht, natürlich, das heißt bio- chen Phronesis (praktische Weisheit) nannten, um logisch, zu bleiben. Wir brauchen weiter sicherzustellen, dass jeder technische Fortschritt das Recht, erwerbstätig zu sein, öffentliche zu globalem und gemeinsamem Wohlstand der Dienstleistungen in Anspruch zu nehmen, Menschen führt – was das grundlegende Para- Dinge zu kaufen und in der Gesellschaft zu digma ist, dem wir folgen müssen. agieren, ohne Technologie auf oder in unse- rem Körper einsetzen zu müssen. Zum Thema Religion und Ethik hat Albert Einstein (eine meiner bedeutenden Inspirations- 2. Das Recht, ineffizient zu sein, wenn und quellen) immer wieder darauf hingewiesen, dass wo es unsere grundlegende Mensch- Moral keine göttliche Quelle brauche. Vielmehr lichkeit definiert. Wir müssen die Wahl sei Moral (ein weiterer Begriff, um etwas wie haben, langsamer zu sein als Technologie, Ethik zu beschreiben) eine rein natürliche und und dürfen Effizienz nicht über Mensch- menschliche Angelegenheit und schlichtweg ein lichkeit stellen. Teil des Menschseins. Der Dalai Lama schrieb ein ganzes Buch über seine Überzeugung, dass 3. Das Recht, die Verbindung zu unter- Ethik wichtiger sei als Religion. Das sollten wir brechen. Wir müssen uns das Recht vor- uns merken. behalten, abzuschalten, uns vom Netzwerk zu trennen und Kommunikation, Nachver- Ethik auf einer Meta-Ebene geht beispiels- folgung und Überwachung auszusetzen. weise davon aus, dass so ziemlich jeder Mensch Die Ethik von Technologie und die Zukunft der Menschheit 87
4. Das Recht auf Anonymität. In unserer Fazit zukünftigen hypervernetzten Welt sollten Was sind wir ohne Ethik? Können wir unsere wir immer noch die Möglichkeit haben, Menschlichkeit noch behaupten und bewahren, nicht identifiziert und verfolgt zu werden, zumal wir auf eine Zukunft zurasen, in der uns zum Beispiel bei der Nutzung einer digi- Technologie die Möglichkeit geben wird, die talen Anwendung oder Plattform, wenn Grenzen zwischen dem, was Mensch und was dies kein Risiko oder übermäßige Härte für Maschine ist, zu verwischen? Nur weil wir es andere darstellt. können, sollten wir es auch tun? Und wenn wir es tun, wie werden wir definieren, was der richtige 5. Das Recht, Menschen anstelle von Maschi- Weg ist? nen zu beschäftigen oder zu engagieren. Wir sollten nicht zulassen, dass Unter- Ich glaube, wir müssen diese Heraus- nehmen oder Arbeitgeber benachteiligt forderung dringend angehen, denn die Zukunft werden, wenn sie sich dafür entscheiden, könnte für uns Himmel oder Hölle sein, je nach- Menschen anstelle von Maschinen einzu- dem, welche Entscheidungen wir heute treffen. setzen – auch wenn sie teurer und weniger Technologie kennt keine Ethik, aber Gesell- effizient sind. schaften sind darauf angewiesen. Erinnern wir uns daran, dass Zivilisationen von ihren Techno- logien vorangetrieben und von ihrer Mensch- lichkeit geprägt werden. Technologie ist nicht, was wir suchen, sondern wie wir suchen. 88 Wie Arbeitsanforderungen und ethische Verantwortung ineinandergreifen
EINE KURZE GESCHICHTE DES NÄCHSTEN JAHRZEHNTS VON GERD LEONHARD 2020: Die Welt wird hypervernetzt, automatisiert und unglaublich smart – und alle profitieren davon. Sechs Milliarden Menschen auf der ganzen Welt sind „immer online“, und alle betrachten andere Informationen und Inhalte. Wir inter- agieren mit Plattformen über Augmented Reality, Virtual Reality, holografische Bildschirme oder intelligente digitale Assistenten (IDAs). 2022: Unsere digitalen Egos sind in die Cloud gezogen und entwickeln ein eigenes Leben. Schwärme von IDAs und Software-Bots leben in der Cloud und erledigen Routineaufgaben. Keine Suche mehr nach Restaurants oder Hotels; keine Benachrichtigung der Ärzte mehr über das, was nicht in Ordnung ist. Unsere Bots kennen uns und unsere Wünsche und können wesentlich besser kommunizieren als wir, wenn wir Fragen in einen Computer eingeben. 2024: Abschied von Datenschutz und Anonymität. Wir sind ständig mit Maschinen verbunden, die immer besser darin werden, unsere Gedanken zu lesen. Technologie ist so schnell, leistungsstark und allgegenwärtig geworden, dass wir es nicht vermeiden können, immer und überall verfolgt, beobachtet, aufgezeichnet und überwacht zu werden. 2026: Automatisierung ist weit verbreitet, gesellschaftliche Normen werden neu gefasst. Vorbei sind die Zeiten, in denen Routineaufgaben – ob von Arbeitern oder Angestellten, mit den Händen oder dem Kopf – von Menschen erledigt werden. Maschinen haben gelernt, Sprache, Bilder, Emotionen und Anschauun- gen zu verstehen. Maschinen können auch sprechen, schreiben, zeichnen und menschliche Emotionen simulieren. Sie können nicht sein, aber denken. 2028: Freier Wille und freie Wahl sind ausschließlich für die Privilegierten. Unsere Leben werden nachverfolgt, gesteuert und kuratiert. Da alles, was wir tun, sagen, sehen – und zunehmend auch fühlen und denken – nachverfolgt und gemessen werden kann, scheint die Bedeutung des freien Willens abzuneh- men. Wir können nicht mehr so einfach von dem abweichen, was das System für uns am besten hält, weil alles beobachtet wird. Dies ermöglicht ein gesünderes und verantwortungsbewussteres Leben, senkt die Kosten der medizinischen Versorgung und ermöglicht eine nahezu perfekte Sicherheit. Dennoch sind viele von uns sich nicht sicher, ob das der Himmel oder die Hölle ist. 2030: 90 ist das neue 60. Da wir die DNA von Milliarden vernetzter Menschen mittels Cloud-Biologie und Quanteninformatik analysiert haben, können wir nun mit großer Verlässlichkeit feststellen, welches Gen genau für das Auslösen welcher Krankheit verantwortlich ist. In etwa noch einmal fünf Jahren werden wir in der Lage sein, Krebs zu verhindern. Die durchschnittliche Lebensdauer ist enorm angestiegen, was auch unsere Sozialsysteme völlig verändert. Die Ethik von Technologie und die Zukunft der Menschheit 89
TEIL 2 Lektionen aus der modernen digitalen Welt
Teil 2 — Einleitungen
13 Sie arbeiten in Sachen Cyber-Sicherheit nicht mit der Konkurrenz zusammen? Dann nehmen Sie sich in Acht: Kriminelle sind Ihnen weit voraus! Sherri Ramsay – Cyber-Sicherheitsberaterin; ehemalige Leiterin des US-Geheimdienstes NSA/CSS Threat Operations Center Ich habe 33 Jahre lang bei der US Natio- und Erfolgsstrategien. Und zwar mit externen nal Security Agency gearbeitet. Damals wurde Gruppen, sogar mit der Konkurrenz. uns klar, welch bedeutende Ziele das Ver- teidigungsministerium und die übrigen Warum? Weil es das Erfolgskonzept der Regierungsbehörden für Hacker und andere Cyber-Kriminellen ist. Sie tun genau das, rund Cyber-Kriminelle weltweit sind. In jenen Jahren um die Uhr, jeden Tag. habe ich hautnah viele der Probleme kennen- gelernt, mit denen Verantwortliche im privat- Unsere Computer und Netzwerke werden wirtschaftlichen Sektor heute beim Schutz der täglich angegriffen. Angreifer brauchen nur digitalen Unternehmenswelt zu kämpfen haben. wenige Minuten, um ein System zu hacken, und in den meisten Fällen gelingt es ihnen, Ich habe auch erfahren, wie wichtig und unsere wertvollen Daten innerhalb von Tagen wertvoll die Zusammenarbeit ist, wenn es darum oder sogar nur wenigen Stunden zu entwenden. geht, Sicherheitsinformationen auszutauschen Wenn wir den Angriff bemerken – häufig sehr und gemeinsam zu nutzen, um unsere Netz- viel später und manchmal nur aufgrund der werke und Daten zu schützen. Benachrichtigung durch eine externe Stelle wie zum Beispiel eine Strafverfolgungsbehörde –, fra- Eine weitere bedeutende Lektion, die ich gen wir uns, was wir falsch gemacht haben, ob damals gelernt habe und die ich in diesem Kapi- uns dies noch einmal passieren wird und wie wir tel besonders hervorheben möchte, ist, dass den Vorfall hätten verhindern können. Wir han- erfolgreiche Cyber-Sicherheit nicht nur von der deln vollkommen isoliert und unabhängig von eingesetzten Technologie, sondern ebenso – oder anderen Parteien – jeder für sich auf seiner eige- vielleicht sogar noch mehr – von der Führung nen kleinen Insel. Währenddessen beobachten eines Unternehmens abhängig ist. die Kriminellen, wie wir uns bemühen, die Angriffe zu verstehen und zu beschreiben. Ich habe erfahren, dass Cyber-Sicherheit kompetente Führung erfordert – ganz gleich, Ja, sie beobachten uns. Und dann versuchen ob Sie CIO eines Geheimdienstes oder CEO sie es wieder. eines globalen Konzerns sind. Die Führungs- ebene muss über die Selbstsicherheit, den Mut Die Angreifer treffen sich in den dunklen – ja manchmal sogar über echte Kühnheit – ver- Tiefen des Internets, wo sie Exploits, Kenntnisse fügen, um Informationen mit anderen zu teilen: über Schwachstellen, Exploit-Infrastrukturen Tipps, Sicherheitslücken, Beseitigungsmethoden und alle möglichen anderen nützlichen Informa- tionen und Tools teilen und verbreiten, um in 95
unsere Netzwerke einzudringen und sie für ihre Zweck erstellt, gestohlene Daten mit anderen skrupellosen Machenschaften zu missbrauchen. Interessenten auszutauschen. Bisher haben wir über den Austausch von Infor- mationen gesprochen. Wir haben aber bei Wei- Es gibt sogar Foren, die von Cyber-Krimi- tem noch nicht genug dafür getan, um den Spieß nellen erstellt und genutzt werden. Einige von zu unseren Gunsten umzudrehen. ihnen haben vertrauenerweckend klingende Namen wie „Forum für Sicherheitsforschung“. Wenn die „Bösen“ zusammenarbeiten, Die Betreiber werben für diese Foren als legi- warum tun die „Guten“ das nicht auch? Wir sind time Einrichtungen und schalten auf den Web- im Nachteil – warum ändern wir das nicht? Wor- sites Anzeigen, um Kosten zu decken oder sogar auf warten wir noch? Die Lösung wird uns nicht Gewinne zu machen. Cyber-Kriminelle nutzen in den Schoß fallen! diese Foren, um alle Arten von nützlichen Infor- mationen auszutauschen, und genießen dort in Wie und warum tauschen Angreifer der Regel vollkommene Anonymität. Das ist Informationen über Ihre Sicherheit aus? echte Teamarbeit. Die bittere Wahrheit ist, dass die Zusammen- arbeit unter den Cyber-Kriminellen gut funktio- Das Darknet bietet naturgemäß Anonymi- niert. Unter ihnen gibt es nur wenige einsame tät für Nutzer und schafft eine florierende Unter- Wölfe. Dies gilt für das gesamte Spektrum an grundwirtschaft. Hier finden Cyber-Kriminelle Bedrohungsakteuren: Nationalstaaten, Krimi- alles, was sie brauchen, um in unsere Netzwerke nelle, Hacktivisten und Terroristen. Selbst ein einzudringen – und das zu erstaunlich niedrigen einzelner Hacker ist nicht wirklich allein. Preisen. Sie möchten es genauer wissen? Wür- mer sind für lediglich 10 US-Dollar, Key-Logger Warum arbeiten sie zusammen? Warum für 20 US-Dollar und bekannte Ransomwa- tauschen sie sich aus? Die Antwort ist ein- re-Exemplare für 30 bis 50 US-Dollar erhältlich. fach. Es spart Zeit und Geld. Nach Meinung Sogar ein vollständiges Outsourcing des gesam- von Etay Moor, Senior Strategist bei IBM, ist ten Exploits ist heute möglich – von der Ent- „Informationsaustausch eine feste Komponente wicklung der Malware bis zu deren Verteilung im Darknet“. Dies ist einer der Hauptgründe, und der eigentlichen Durchführung des Angriffs. warum die durchschnittlichen Kosten für die Durchführung eines Angriffs kontinuierlich sin- Und diese Angreifer nehmen auch Ihre ken und sich Angriffe Jahr für Jahr schneller über Unternehmensnetzwerke und -daten ins Visier! Netzwerke verbreiten. Warum Unternehmen Sicherheitsinforma Die meisten Informationen, die Cyber-Kri- tionen nicht teilen – und welchen Einfluss minelle teilen, sind leicht und mühelos zugäng- dies auf die Cyber-Kriminalität hat lich. So nutzen sie beispielsweise einfach Im Lauf der Geschichte haben wir strategi- Suchmaschinen, um nach Tabellen zu suchen, sche Allianzen genutzt, um unsere Feinde zu die das Schlüsselwort „Kennwort“ beinhalten. bezwingen und drängende Probleme zu lösen – Auf diese Weise gelangen sie an Listen mit von der Bewältigung geopolitischer Konflikte bis Standardkennwörtern für verschiedene Geräte, zur Stabilisierung von Finanzmärkten und dem die für sie von Interesse sind. weltweiten Kampf gegen den Hunger. Manche sagen, dass sich die wahre Größe einer Zivilisa- Cyber-Kriminelle nutzen außerdem eine tion darin zeigt, wie gut Menschen zusammen- unserer größten Schwächen aus: menschliches arbeiten, um schwierige und scheinbar unlösbare Versagen. Viele im Internet verfügbare Infor- Probleme zu bewältigen. Cyber-Sicherheit ist mationen sind möglicherweise unbeabsichtigt sicherlich so ein Problem. oder von Personen veröffentlicht wurden, denen nicht klar war, dass diese Daten zu kriminellen Leider lassen derzeitige Lösungsansätze Zwecken missbraucht werden könnten. Dar- jedoch keineswegs die Bildung von Allian- über hinaus gibt es zahlreiche Informationen, zen erkennen. Informationen zu „Beinahevor- die gestohlen oder gehackt und dann auf recht- fällen“ und erfolgreichen Angriffen werden mäßigen Websites veröffentlicht wurden. Häu- sorgsam unter Verschluss gehalten. Nur sehr sel- fig werden solche Websites nur zu dem einzigen ten tauschen Unternehmen solche kritischen 96 Teil 2 — Einleitungen
Informationen untereinander aus, arbeiten zur Führung. So wie wir den Wandel von frühen Schadensbegrenzung zusammen oder warnen Sicherheitsmodellen wie den Schutz am Netzwerk- andere möglicherweise gefährdete Unternehmen rand zu unserem heutigen Ansatz mit Schwer- frühzeitig. Diese Strategie taugt nicht. punkt auf Sicherheitsinformationen, schneller Bedrohungserkennung und Reaktion vollzogen Wir sind im Nachteil – warum ändern wir haben, müssen wir uns nun von unserem bis- das nicht? Es gibt drei Gründe, warum sich herigen Einzelkämpfermodell verabschieden Unternehmen nur zögerlich an Initiativen zum und zu einer kollaborativen, gemeinsamen Ver- Austausch wichtiger Informationen beteiligen. teidigung übergehen. Echte Fortschritte werden • Viele der heutigen Melde- und Austausch- wir nur erzielen, wenn wir relevante Informa- tionen gemeinsam nutzen, unsere Expertise und mechanismen stehen im Zusammenhang unser Know-how bündeln und unsere Reaktionen mit staatlichen oder bundesstaatlichen vernetzen. Regierungsbehörden. Unternehmen sind daher besorgt, dass der Austausch mit Be- Andernfalls müssen wir uns auf schlimme hörden zu einer verstärkten Regulierung und Konsequenzen gefasst machen. Kontrolle führt. Sie haben Bedenken, dass sie als regierungsnah wahrgenommen werden Das Problem mit Gemeinschaftssinn und sich damit Chancen auf dem globalen und Crowdsourcing anpacken Markt verbauen könnten. Bei der Entwicklung eines neuen Cyber-Sicher- • Im privatwirtschaftlichen Sektor befürchten heitsmodells auf Basis einer kollaborativen, Unternehmen, dass Enthüllungen straf- oder gemeinsamen Verteidigung können wir uns am zivilrechtliche Verfahren nach sich ziehen Konzept des Crowdsourcing orientieren. könnten. Erinnern Sie sich an den Wirbel rund um den Millennium-Bug und die Ängs- Crowdsourcing bedeutet, benötigte Dienst- te vor möglichen rechtlichen Konsequenzen? leistungen oder die Entwicklung von Ideen und • Der wichtigste Grund für den mangelnden Inhalten an eine große Gruppe von Menschen, Informationsaustausch unter Unternehmen also die „Crowd“, auszulagern, insbesondere an sind Bedenken hinsichtlich einer Beein- eine Community von Internetnutzern. Crowds- trächtigung der Marktchancen und des guten ourcing hat bereits zu klaren Verbesserungen Rufs. Selbst ein kleineres, durch eine tech- beim Autofahren geführt. Vor nicht allzu lan- nische Panne oder menschliches Versagen ger Zeit fuhren wir nach den Anweisungen verursachtes Problem lässt bereits auf Daten- unserer GPS-Geräte, ohne dabei über mög- bzw. IT-Infrastrukturprobleme oder schlech- liche Gefahrenstellen, Unfälle usw. auf unse- tes Management schließen. Ein tatsächlicher rer Route informiert zu sein. Heute nutzen wir Angriff sorgt dann für zusätzliche Unsicher- Informationen, die mithilfe von Crowdsour- heit und Aufsehen. cing erfasst und in Echtzeit in unsere GPS-An- Leider versagen wir hier. Jede neue Schlagzeile wendungen integriert werden. Damit sind wir im Zusammenhang mit einem Cyber-Sicher- über Gefahren und Staus informiert und kön- heitsvorfall sollte als Warnung dienen, dass kein nen entsprechend reagieren, um ihnen auszu- Unternehmen immun gegen diese Angriffe ist. weichen. Die Anwendungen bieten uns sogar Jeder neue Vorfall scheint verheerendere Folgen Alternativrouten an. Wir können beim Fah- zu haben als der vorherige. Nichts ist mehr sicher ren daher bessere Entscheidungen treffen, weil – von der Unternehmenskommunikation über wir über nützliche Informationen und Lösungs- medizinische Geräte bis zu unseren Autos. Der möglichkeiten in Echtzeit verfügen. einsame Kampf gegen Netzwerkeindringlinge und herkömmliche Unternehmenssicherheitslösungen Gemeinschaftliches Denken und Handeln haben ausgedient und taugen nicht mehr. in Form von erfolgreichem Crowdsourcing zur Der Ausweg aus dieser Misere erfordert ein Stärkung unserer kollektiven Cyber-Sicher- grundlegendes Umdenken. Und eine kompetente heitsmaßnahmen ist also eine hervorragende Strategie. Cyber-Sicherheit wird damit zur gemeinsamen Herausforderung – ein Prob- lem, das uns alle angeht und zu dessen Lösung Sie arbeiten in Sachen Cyber-Sicherheit nicht mit der Konkurrenz zusammen? ... 97
alle beitragen können. Wir werden eine starke privatwirtschaftlichen Sektor hätte im Wege Führung brauchen, um diese Vision eines gut stehen können – nämlich die Angst, mit staat- funktionierenden und schnellen Austauschs rele- lichen Gesetzen und Vorgaben in Konflikt zu vanter Informationen umzusetzen. geraten –, wurde durch die Verabschiedung des Cybersecurity Act im Jahr 2015 aus dem Weg Als langjähriges Hauptangriffsziel von geräumt. Dieses wichtige Gesetz fördert den frei- Cyber-Kriminellen erkannte die US-Regierung willigen Austausch von Hinweisen auf Cyber-Be- früh, dass Zusammenarbeit und Informations- drohungen und geeigneten Abwehrmaßnahmen austausch ein entscheidender Faktor für zwischen privatwirtschaftlichen Unternehmen, Cyber-Sicherheit sind. ohne dass diese gesetzliche Haftung, öffentli- che Enthüllungen oder kartellrechtliche Kom- Im Jahr 1998 beauftragte die Regierung jeden plikationen fürchten müssen. Das Gesetz bietet wichtigen Infrastrukturbereich mit der Ein- nicht nur Schutz für Unternehmen, die Informa- richtung eines Information Sharing and Analysis tionen mit der staatlichen Regierung teilen, son- Center (ISAC). Diese Gruppen wurden gebildet, dern auch für Unternehmen, die untereinander um Eigentümern und Betreibern wichtiger Informationen über Cyber-Sicherheitsvorfälle Infrastrukturen zu helfen, ihre Einrichtungen, austauschen – ob mit oder ohne Einbeziehung Mitarbeiter und Kunden vor Cyber-Angriffen, der Regierung. Für CEOs und CISOs besteht physischen Sicherheitsbedrohungen und ande- der größte Vorteil dieses Gesetzes darin, dass ren Gefahren zu schützen. ISACs bieten eine es Mitgliedern des privatwirtschaftlichen Sek- zentrale Stelle zum Sammeln und Austauschen tors ermöglicht, eine konstruktive Zusammen- von Cyber-Sicherheitsinformationen und Best arbeit auf dem Gebiet der Cyber-Sicherheit zu Practices zum Thema Netzwerksicherheit. Sie initiieren und auszubauen. Der privatwirtschaft- sind Ausgangspunkt für Crowdsourcing-Pro- liche Sektor kann diese Gelegenheit nutzen, um jekte zum Entwickeln einer gemeinsamen, ver- den Austausch und die gemeinsame Nutzung netzten Abwehr. von Informationen neu zu definieren und ein Framework zu erstellen, das auf die spezifischen Die Comprehensive National Cybersecurity Anforderungen zugeschnitten ist. Initiative (CNCI) wurde im Januar 2008 von US-Präsident George W. Bush gegründet und Es gibt bereits zahlreiche erfolgreiche Bei- war eine bedeutende politische Entwicklung, spiele, die diesen neuen Geist der Offenheit insbesondere wenn wir das damalige Verständ- und Zusammenarbeit im privaten Sektor wider- nis von Cyber-Sicherheit im entsprechenden spiegeln. Eins davon ist das Columbus Col- Umfeld betrachten. Die CNCI beabsichtigte laboratory in Ohio, ein Zusammenschluss den Aufbau einer „Verteidigungsfront“ gegen privatwirtschaftlicher Unternehmen aus unter- direkte Cyber-Bedrohungen und setzte sich für schiedlichen Branchen, vom Gesundheits- eine Stärkung des gemeinsamen Bewusstseins sektor über Finanzdienstleistungen bis zur für Netzwerksicherheitslücken, Bedrohungen Energieversorgung und Verbrauchsgüter- und Ereignisse wie Sicherheitsverletzungen ein. industrie. Columbus Collaboratory nutzt auf Die CNCI verfolgte das Ziel, Cyber-Sicherheit einer gemeinschaftlichen Basis fortschrittliche unter den verschiedenen Regierungsstellen kol- Analysetechniken, künstliche Intelligenz und laborativer und effizienter zu gestalten. Dafür maschinelles Lernen, um Cyber-Bedrohungen wurden relativ gut ausgestattete Cyber-Center zu erkennen und abzuwehren. eingerichtet, deren Expertise und Know-how auf den gesamten staatlichen Sektor übertragen Die Cyber Threat Alliance ist ein weite- werden sollte – durch Teamwork zwischen staat- res Beispiel dafür, wie es mutigen Führungs- lichen und lokalen Behörden. Diese Initiative kräften gelang, allen emotionalen Hürden und ist nach wie vor eines der besten Beispiele für Bedenken hinsichtlich der Zusammenarbeit mit engagierte staatliche Führung, die landesweit Wettbewerbern zum Trotz doch gemeinsam den einen Ansatz für den gemeinsamen Kampf gegen Kampf gegen Cyber-Bedrohungen anzugehen. Cyber-Kriminalität eingeführt hat. Schaut man sich die Liste der Mitwirkenden an, so wird ersichtlich, dass viele von ihnen direkte Ein mögliches großes Hindernis, das einer verstärkten Zusammenarbeit im 98 Teil 2 — Einleitungen
Konkurrenten auf ihren Märkten sind. Wie Erwähnt man das Wort „Informationsaus- hart auch immer die Führung auf dem Markt tausch“ im Zusammenhang mit Cyber-Sicher- umkämpft ist, alle beteiligten CEOs sind sich heit, werden viele Geschäftsführer nervös. Wir letztendlich einig, dass gemeinsames Vorgehen müssen unsere Gefühle und Ängste in dieser und Zusammenarbeit der Schlüssel zum Erfolg Angelegenheit jedoch überwinden und die zahl- sind, wenn es um Cyber-Sicherheit geht. reichen Vorteile sehen, die Crowdsourcing für den Aufbau einer gemeinsamen Verteidigung Auch TruSTAR, die Organisation, in der bietet. ich als Beraterin tätig bin, zeigt auf eindrucks- volle Weise, dass sich ein kollaboratives Crowds- Welche Anforderungen muss eine solche ourcing-Modell tatsächlich auszahlt. Bei gemeinsame Verteidigung erfüllen? TruSTAR unterstützt eine Plattform für Sicher- • Datenschutz muss erhalten bleiben. heitsinformationen teilnehmende Unternehmen (darunter viele direkte Konkurrenten) dabei, Zusammenarbeit bei der Cyber-Sicherheit Informationen über Bedrohungen und geeignete darf nicht zu einem Vertrauensverlust bei den Lösungen zu teilen, um gemeinsam das orga- Kunden der teilnehmenden Unternehmen nisierte Verbrechen von Cyber-Kriminellen zu führen. bekämpfen. • Es muss sich ein echter Mehrwert für die teilnehmenden Parteien ergeben. Der Ich bin überzeugt, dass dieser Crowdsour- Informationsfluss darf nicht nur in eine cing-Ansatz nicht nur eine mögliche Alternative Richtung gehen, sondern eine frühzeitige im Kampf gegen Cyber-Bedrohungen ist, son- Weitergabe aussagekräftiger Daten muss für dern vielmehr unabdingbar. Crowdsourcing alle teilnehmenden Parteien konkrete Vor- muss bei der Cyber-Sicherheit in Zukunft weit- teile mit sich bringen. aus häufiger genutzt werden, wenn wir Krimi- • DieVerbindungen zwischen den beteiligten nelle abwehren und unsere Netzwerke und Daten Parteien müssen fließend und dynamisch schützen möchten. Dazu braucht es Führungs- sein. Bei der Definition unserer Kommuni- geschick, Selbstvertrauen und Mut seitens der kations- und Austauschparadigmen dürfen Geschäftsführer und Vorstandsmitglieder, die wir uns nicht starr auf bereits vorhandene dieses Buch lesen. persönliche oder Branchenbeziehungen beschränken. Wir brauchen dynamische Ver- Es ist ein hohes Ziel, aber wir dürfen uns bindungen, die von den betroffenen Zielen nicht mit weniger begnügen. eines Angriffs ausgebaut werden und sich aus den Mitgliedern im Netzwerk zusammen- Aufbau einer gemeinsamen setzen, die zu einer frühen und aktiven Ver- Verteidigung durch den Austausch teidigung beitragen möchten. von Cyber-Sicherheitsinformationen • Das System muss transparent und ver- Die oben genannten Beispiele zeigen, welche trauenswürdig sein. Es darf kein Zwei- Vorteile sich ergeben, wenn wir als Team zusam- fel über die Beweggründe und Motive menarbeiten, um uns vor der zunehmenden der Beteiligten oder der Systembetreiber Zahl von Angriffen gegen Ziele im öffentlichen selbst bestehen. Transparenz hinsichtlich und privaten Sektor zu schützen. Das ist kein der Überprüfung und Zulassung von Mit- Kuschelprogramm für die Zusammenarbeit mit gliedern sowie der Nutzung und des Schut- der Konkurrenz, das uns einlullen soll, sondern zes von Daten sind eine entscheidende ein pragmatischer, sachlicher und aufgeklärter Voraussetzung. Ansatz, der durch Ressourcenbündelung und Und ein weiterer Punkt darf nicht außer Acht verbesserte Einblicke in Bedrohungen und gelassen werden: Welche Informationen werden entsprechende Abwehrmöglichkeiten realisiert ausgetauscht? Mit dem Begriff „Informations- wird. austausch“ verbinden einige unzureichend Gelingt uns das nicht, werden unsere Geg- ner immer die Oberhand behalten – und wir werden weiterhin unendlich viel Geld in unse- ren Schutz investieren, ohne den Kampf jemals zu gewinnen. Sie arbeiten in Sachen Cyber-Sicherheit nicht mit der Konkurrenz zusammen? ... 99
informierte Personen möglicherweise den Aus- andere Parteien dem Risiko aussetzen, Opfer tausch urheberrechtlich geschützter und ver- desselben Angriffs zu werden. Dies ist eine wes- traulicher Informationen. Bei den zu teilenden entliche Verletzung unserer treuhänderischen Informationen handelt es sich jedoch keines- Verantwortung, ganz gleich, ob Sie CEO, Vor- falls um personenbezogene Daten, Krankenver- standsmitglied, CISO oder Regierungsbeam- sicherungsdaten, kontextspezifische Inhalte oder ter sind. Ein echter Austausch im Sinne einer geistiges Eigentum. Vielmehr sind es Informa- gemeinsamen Verteidigung bietet Unternehmen tionen, die es ermöglichen, einen Angreifer im nicht nur die beste Möglichkeit, ihre eigene dig- Netzwerk zu identifizieren und den Angriff abzu- itale Infrastruktur vor Angriffen zu schützen, wehren bzw. zu entschärfen. sondern auch anderen zu einem besseren Ver- ständnis der Bedrohungen zu verhelfen – eine Diese gemeinsame Verteidigung – realisiert echte Win-win-Situation. durch Unternehmen, die für ihre Cyber-Sicher- heit Hand in Hand zusammenarbeiten – wird Informationsaustausch funktioniert am bes- uns allen helfen, neue Bedrohungen sehr viel ten auf freiwilliger Basis anstatt über staatlich auf- schneller zu erkennen, zu analysieren und zu erlegte Meldepflichten. Ein Austausch sorgt für stoppen, als es allein jemals möglich wäre. einen Mehrwert und ermöglicht allen Beteiligten, in Echtzeit Informationen abzugleichen und Damit nutzen wir ein entscheidendes Werk- Risiken zu beseitigen. Lernen wir also aus den zeug aus dem Repertoire der Cyber-Angreifer für Erfahrungen nationaler Geheimdienste und unsere eigene Zwecke. So können wir schließlich anderer Regierungsbehörden. Diejenigen unter den Vorsprung unserer Gegner aufholen und uns, die in staatlichen Cyber-Sicherheitszentren erreichen, dass in Zukunft nicht mehr blamable tätig waren oder sind, können bestätigen: Sicherheitsvorfälle, sondern erfolgreiche Schläge Zusammenarbeit ist nicht nur möglich, sondern gegen Cyber-Kriminelle für Schlagzeilen sorgen. auch überaus wirksam. Und das ist auch höchste Zeit! Technologien entwickeln sich ständig weiter, rechtliche Rahmenbedingungen ändern sich und Zusammenfassung wir, die „Guten“, haben jetzt die Gelegenheit, Lassen Sie es mich noch einmal in aller Deut- wieder an Boden zu gewinnen. Unser wunder lichkeit sagen: Das alte Modell für Cyber-Sicher- Punkt ist die mangelnde effektive Zusammen- heit funktioniert nicht mehr. Es ist unwirksam arbeit unter Organisationen im öffentlichen geworden und kann nicht mehr repariert wer- und privaten Sektor. Und unsere Gegner wer- den. In Zukunft müssen wir wie unsere Gegner den diese Schwachstelle ausnutzen, solange wir zusammenarbeiten – nur noch etwas besser. das zulassen. Stillschweigen über einen Vorfall zu wahren Höchste Zeit also, dieses Problem gemeinsam oder nur wenige Vertraute einzuweihen, kann zu beheben! 100 Teil 2 — Einleitungen
14 Compliance ist keine Cyber-Sicherheitsstrategie RRyan Gillis – Vice President Cybersecurity Strategy and Global Policy, Palo Alto Networks Mark Gosling – Vice President, Internal Audit, Palo Alto Networks In vielen Vorstandsetagen auf der ganzen Welt Ansatz ein Unternehmen beim Cyber-Risikoma- erstatten derzeit verantwortliche Chief Informa- nagement verfolgt. Wenn Sie die nötigen Maß- tion Security Officers (CISOs) den Vorstands- nahmen ergreifen, um Ihre kritischen Daten mitgliedern Bericht über den aktuellen Status in all Ihren Netzwerken, Cloud-Umgebungen der Initiativen zum Erfüllen einer ganzen Reihe und auf Endpunkten zu schützen, und durch von Sicherheits- und Datenschutzvorgaben, bei regelmäßige Mitarbeiterschulungen eine gute deren Nichteinhaltung beträchtliche Bußgelder Cyber-Sicherheitshygiene sicherstellen, ist Ihr drohen. Vorstandsmitglieder nehmen ihre Lei- Unternehmen in Sachen Compliance bereits gut tungsverantwortung zweifellos ernst. Sie hinter- aufgestellt. fragen daher vieles, um zu beurteilen, welchem regulatorischen Risiko das Unternehmen mögli- Es ist daher wichtig zu beachten, dass Com- cherweise ausgesetzt ist und ob die erforderliche pliance in einem idealen Szenario die Grundlage Compliance mit gesetzlichen Verordnungen ord- für die Cyber-Sicherheitsinitiativen Ihres Unter- nungsgemäß nachgewiesen werden kann. nehmens darstellt, nicht das oberste Ziel. Compliance ist unbestritten ein wichtiges Der Nachweis von Compliance mit gesetz- Thema. Unternehmensvorstände sollten dabei lichen Vorgaben ist für Unternehmen sicherlich jedoch nicht das größere und eigentliche Prob- von großer Bedeutung. Für die Unternehmens- lem, nämlich die Bewältigung von Cyber-Sicher- führung darf Compliance jedoch nicht das Ein heitsrisiken, aus dem Blick verlieren. und Alles sein. Vorstandsmitglieder sollten sich daher weder von den neuesten Entwicklun- Zwischen Sicherheitsrisiken und Compli- gen und Trends im Bereich Compliance ablen- ance gibt es kein Entweder-oder. Unternehmen ken lassen noch Cyber-Sicherheitsrisiken als und ihre Vorstände müssen konsequent sowohl unüberwindbares Problem sehen, das mit jeder auf das eine als auch auf das andere achten. Den neuen Schlagzeile über Datenschutzvorfälle noch größten Erfolg haben die Unternehmen, die die bedrohlicher zu werden scheint. enge Wechselbeziehung zwischen beiden The- men verstehen – selbst angesichts zunehmender Stattdessen sollten Vorstandsmitglieder ihre Cyber-Bedrohungen – und entsprechende Bud- Unternehmen darin unterstützen, sich auf das gets, Personalressourcen und den Fokus der Vor- Gesamtbild der Cyber-Sicherheit zu konzen- standsarbeit danach ausrichten. trieren: Es geht darum, Sicherheitsrisiken zu mindern, Geschäftschancen zu erweitern und Compliance und Sicherheit schließen sich wertvolle Ressourcen intelligent und strategisch nicht gegenseitig aus – ganz im Gegenteil! Ide- einzusetzen. alerweise kann Compliance Metriken doku- mentieren und bereitstellen, die zeigen, welchen Gespräche über Cyber-Risiken erfor- dern heute von Vorstandsmitgliedern mehr 101
Zeit, Energie und Aufmerksamkeit. Und ange- PCI-DSS-Audit bestanden?“, sollten Vorstands- sichts der großen Menge an Informationen über mitglieder eher danach fragen, ob wichtige Cyber-Risiken und gesetzliche Vorgaben kann es Unternehmensziele durch Sicherheitsprobleme manchmal schwierig sein, all diese Angaben zu gefährdet sein könnten. verstehen. Das gemeinsame Ziel und der Schwer- • Auf welchen Kanälen könnte unser neuestes punkt aller Vorstandsmitglieder, Unternehmen, Mitarbeiter, Kunden, Partner, Regierungsbehör- geistiges Eigentum aus dem Unternehmen den und Regulierungsstellen sollte jedoch klar sickern? sein: das Reduzieren von Cyber-Risiken. Initiati- • Wie stellen wir sicher, dass unsere Kunden- ven hierfür beruhen leider allzu häufig auf verein- datensätze nicht gestohlen, manipuliert oder zelten aufsehenerregenden Datenschutzvorfällen gelöscht werden? oder Bußgeldern im Zusammenhang mit Com- • Haben wir Gewissheit, dass unsere E-Mails pliance-Verstößen und anderen Rechtsverletzun- im Rahmen der Übernahmeverhandlungen gen. Ein sinnvoller Ansatz sollte jedoch vielmehr mit einem möglichen Akquisitionspartner die langfristige Vitalität, Wettbewerbsfähigkeit nicht bei unserem größten Konkurrenten auf und solide finanzielle Grundlage des Unterneh- dem Bildschirm erscheinen? mens sicherstellen. Darüber hinaus kann das Zu bedenken ist außerdem, dass selbst mit überzeugende Sicherheitskonzept Ihres Unter- besten Absichten eingeführte Compliance-Auf- nehmens ein entscheidender Wettbewerbsvorteil lagen reale und äußerst unattraktive Konse- sein und das Vertrauen Ihrer Kunden festigen. quenzen haben können, wenn sie nicht in einem weit gefassten Framework zur Reduzierung von Behalten Sie Ihr Ziel im Auge Cyber-Risiken entwickelt wurden. Weltweit rücken neue Regelungen und Verord- Neue Compliance-Regelungen können zu nungen im Zusammenhang mit den Heraus- Verwirrung, Konflikten und Ineffizienz füh- forderungen der Digitalisierung zunehmend ren. Cyber-Risiken werden möglicherweise noch ins Zentrum der Aufmerksamkeit – von Geset- erhöht statt verringert, da wertvolle Ressour- zen zum Datenschutz bis zu Vorgaben zum cen aus der Bedrohungserkennung und -abwehr Schutz kritischer Infrastrukturen. Geschäftliche auf die Bereiche Reporting und Kostenrech- und technische Entscheidungsträger haben mit nung verlagert werden. Ein Beispiel ist hier die der Unterstützung ihrer Vorstände bedeutende Implementierung des ursprünglichen U.S. Fede- finanzielle und personelle Ressourcen bereitge- ral Information Security Management Act im stellt, um entsprechende Richtlinien zu erstellen, Jahr 2002. Diese Regelung forderte, dass staat- unbeabsichtigte Folgen zu vermeiden und Com- liche US-Behörden Ordner führen, in denen pliance nachzuweisen. sie auf Papier Nachweise über den Sicherheits- status ihrer Netzwerke zusammenstellen. Die Den Unternehmen, die sich lediglich auf die ohnehin unterbesetzten IT- und Sicherheitsab- Einhaltung von Regelungen und Gesetzen kon- teilungen waren daraufhin gezwungen, sich tat- zentrieren und dabei das eigentliche Problem sächlich weniger mit dem eigentlichen Schutz – nämlich die Reduzierung von Cyber-Risiken – der Netzwerke zu beschäftigen, um den vermehr- aus dem Blick verlieren, wird es sehr schwer fal- ten Protokollierungspflichten nachzukommen. len, ihre Sicherheitsverfahren an die wichtigsten Es handelte sich dabei also eher um eine Übung geschäftlichen Anforderungen anzupassen. im Abhaken von Pflichten, als um eine effektive Regelung zur Verbesserung der Netzwerksicher- Zwar möchte kein Unternehmen nach einer heit. Das zeigt einmal mehr, dass Compliance Datenschutzverletzung Bußgelder zahlen oder nicht unbedingt Sicherheit bedeutet. stundenlange Klärungsgespräche und Verhand- Diese Erfahrung lehrt uns, dass es beim Redu- lungen mit Regulierungsstellen führen, doch zieren von Cyber-Risiken und bei der Bedro- ist es für jedes Unternehmen entscheidend, vor hungsabwehr entscheidend ist, die allgemeinen allem den definierten Geschäftsanforderungen Ziele aller beteiligten Parteien – Vorstände, treu zu bleiben. Und dabei spielen Vorstandsmit- glieder eine zentrale Rolle. Statt Fragen zu stellen wie „Haben wir das 102 Teil 2 — Einleitungen
Geschäftsführung, Kunden, Handelspartner, • Die technologische Infrastruktur zum Schutz Branchengruppen, Regulierungsstellen und der kritischsten Unternehmensdaten wurde Regierungen – möglichst genau zu ermitteln und überprüft (74 %). zu berücksichtigen. Denn „sicher sein“ ist kein statisches Endergebnis, das sich durch unflexible • Zusammen mit dem Management wurde be- Compliance-Checklisten erzielen lässt. Sicher- sprochen, welche Kennzahlen zur Cyber-Si- heit erfordert eine kontinuierliche Einschätzung cherheit auf Vorstandsebene erforderlich sind des aktuellen Cyber-Risikos unter Berücksich- (70 %). tigung der sich schnell entwickelnden Bedro- hungslandschaft. • Der Plan des Unternehmens für die Reaktion auf Cyber-Vorfälle wurde überprüft (61 %). Zur Ihrer Lektüre des zweiten Teils von Weg- „Überprüfen“ und „Besprechen“ sind sicher- weiser in die digitale Zukunft möchten wir Ihnen die folgenden Worte von Danny Mc Pherson, lich wichtige Punkte, reichen jedoch nicht Executive Vice President von Verisign, ans Herz aus, um die besten Methoden zum Reduzie- legen, mit denen er das Problem kurz und doch ren von Cyber-Risiken zu identifizieren und überaus treffend beschreibt: entsprechende Maßnahmen zu ergreifen. Dies gilt insbesondere bei einer präventionsorien- „...Compliance ist definitiv NICHT Ihr Ziel – tierten Strategie. Vorstandsmitglieder benöti- oder sollte zumindest nicht im Mittelpunkt gen genauere Kenntnisse darüber, wie die mit Ihres Cyber-Sicherheitsprogramms stehen. der Reduzierung von Cyber-Risiken beauftrag- Denn eins ist klar: ten Führungskräfte Bedrohungen identifizieren, noch bevor diese Schaden anrichten können. Als Compliance bedeutet nicht zwangsläufig echte Partner sollten sich die Vorstandsmitglie- auch Sicherheit.“ der dann gemeinsam mit diesen Führungskräften dafür einsetzen, ihre Pläne zur Bedrohungsab- Wesentliche Auswirkungen wehr zu stärken. für Unternehmensvorstände Natürlich werden Vorstandsmitglieder weiterhin Das bedeutet auch, dass sich Vorstandsmit- schwierige und zum Teil unbequeme Fragen an glieder schneller über Cyber-Risiken fortbilden alle Senior Executives – also auch an ihre CISOs – sowohl allgemein als auch speziell bezogen und CIOs – stellen müssen. Insbesondere sollten auf ihr Unternehmen. In der NACD-Befragung sie dabei ihre Fragen zur Cyber-Sicherheit mög- von Geschäftsführern gaben 73 % der Befrag- lichst bald von Formulierungen wie „Erfüllen ten an, dass die Vorstandsmitglieder über „etwas wir Compliance-Vorgaben?“ in „Wie sieht unser Wissen“ zu Cyber-Sicherheitsrisiken verfüg- derzeitiges Risikoprofil aus?“ ändern. ten. Um ihrer treuhänderischen Verantwortung als Geschäftsführer nachzukommen und Rück- Vorstandsmitglieder müssen also von einem stände im Hinblick auf das Verständnis und die eher passiven, distanzierten Ansatz in der Sicher- Unterstützung ihrer Führungskräfte bei der Risi- heitsaufsicht zu einem aktiveren, engagierten ko-Prävention aufzuholen, müssen sich Vor- Ansatz übergehen. Betrachten wir beispielsweise standsmitglieder in Sachen Cyber-Risiken und die Ergebnisse einer von der National Associa- der Identifizierung geeigneter Lösungen, die spe- tion of Corporate Directors (NACD) durchge- ziell auf die einzigartigen Anforderungen ihres führten aktuellen Studie zu Cyber-Risiken. Auf Unternehmens zugeschnitten sind, offensicht- die Frage „Welche der folgenden Methoden zur lich besser informieren. Cyber-Risiko-Aufsicht hat der Vorstand in den letzten 12 Monaten angewandt?“ waren die Hierzu gibt es verschiedene Möglichkeiten. nachstehenden vier Antworten die häufigsten: Der Vorstand kann beispielsweise die Dienst- • Der aktuelle Unternehmensansatz zum leistungen externer Cyber-Sicherheitsberater in Anspruch nehmen, einen Cyber-Sicherheitsex- Schutz der kritischsten Daten wurde über- perten als Mitglied in den Vorstand aufnehmen prüft (82 %). oder andere geeignete Maßnahmen umsetzen. Dies liegt ganz in der Hand und vor allem in Compliance ist keine Cyber-Sicherheitsstrategie 103
der Verantwortung der Vorstände – einer Ver- nehmen zu identifizieren und Vorsorge zu antwortung, der unbedingt nachzukommen ist. treffen, bevor es zu einem Vorfall kommt. Eine von der NASDAQ durchgeführte Studie zeigte, dass 91 % der Vorstandsmitglieder nicht • Welche Änderungen sind nötig, um die in der Lage sind, einen Cyber-Sicherheitsbericht Schulungsprogramme des Unternehmens zu interpretieren.1 zur IT-Sicherheit besser an die heutigen Cyber-Risiken anzupassen? Sollten vor- So kann es nicht weitergehen. handene Fortbildungsprogramme für Nut- zer, Partner und sogar Kunden modernisiert, Einige Fragen zu den überarbeitet oder vollkommen neu ent- Aufsichtspflichten des Vorstands worfen werden, um neue Risiken und die Um eine stabile und effektivere Strategie zur zukünftigen Bedrohungen besser zu berück- Reduzierung von Cyber-Risiken zu ermöglichen, sichtigen? müssen Vorstände in Zukunft eine Reihe neuer Fragen stellen. Dadurch verstehen sie aktuelle • Kennen die zuständigen Rechts- und Com- und mögliche Risikostufen besser und erlangen pliance-Beauftragten alle Vorschriften im fundiertes Wissen, um über geeignete Sicher- Zusammenhang mit Cyber- und Infor- heitsmaßnahmen zum Schutz vor aktuellen und mationssicherheit und wissen sie, welche neuen Bedrohungen zu entscheiden. neuen Verordnungen und Auflagen derzeit zur Diskussion stehen bzw. gerade in der • Welche Mitarbeiter, Prozesse und Techno- Entwicklung sind? Wie werden sich diese logien sind derzeit im Einsatz, um unsere neuen Anforderungen und Pflichten auf das Netzwerke zu schützen? CIO und CISO Bedrohungsprofil Ihres Unternehmens aus- müssen Sie darüber aufklären können, wel- wirken? Und sollten sich die Vertreter Ihres che Maßnahmen im Unternehmen bereits Unternehmens stärker am Ausarbeiten der durchgeführt werden, um Risiken zu erken- Rahmenbedingungen solcher geplanter Auf- nen, bevor es zu einem Vorfall kommt, und lagen beteiligen, um sicherzustellen, dass sie wo ihrer Meinung nach in Zukunft mögliche tatsächlich zu einer Reduzierung des Risikos Angriffe auftreten können. Diese Informa- beitragen, statt einfach nur ein weiterer ab- tionen müssen in ein sorgsam durchdachtes, zuhakender Punkt auf der Compliance-Che- offenes Gespräch einfließen, bei dem geklärt ckliste zu werden? wird, wie, wo und wann Ressourcen für die notwendigen Prozesse zur Bedrohungserken- • Sind bei jedem Meeting zur Unterneh- nung und -abwehr bereitgestellt werden. mensplanung Vertreter des Sicherheits- teams anwesend? Diese Frage beschreibt • Welche zusätzlichen Ressourcen in Form eine sehr wichtige Veränderung in der Denk- von Personal, Prozessen und Technologien weise von Unternehmen: Vorstände müssen sind erforderlich, um Risiken zu begren- bei dieser Transformation eine Vorreiterrolle zen? Natürlich stellt niemand dem CISO einnehmen und sich vom alten Grundsatz einfach einen Blankoscheck aus. Stellen Sie „Sicherheit im Nachhinein“ verabschieden, also genaue Fragen, um zu bestimmen, wo um zu „Sicherheit durch Technikgestaltung“ die größte finanzielle Effizienz durch intelli- überzugehen. Dies schließt sämtliche Berei- gente – und nicht notwendigerweise größere che ein: von der Entwicklung neuer Produk- – Investitionen erzielt werden kann. te und dem Lieferkettenmanagement bis zu Marketing-Programmen und Kundenbin- • Welche Sicherheitsinformationsservices dung, das heißt also nicht nur die Aspekte nutzt das Unternehmen zur Bedrohungs- Compliance und Kontrolle über Daten. erkennung und wie werden diese Services ausgeführt? Es ist entscheidend zu wissen, • Wie sehen Ihre Pläne aus, um mit dem welche nachweisbare Wirkung diese Services ständigen Wandel Schritt zu halten? Dies dabei haben, Cyber-Risiken für das Unter- ist tatsächlich eine der wichtigsten Fragen 104 Teil 2 — Einleitungen
überhaupt. Indem Sie bevorstehende Verän- trägt langfristig zum Erreichen von Complian- derungen vorhersehen, sind Sie besser dar- ce-Zielen bei. auf vorbereitet, deren Auswirkungen auf Ihr Unternehmen und die Infrastruktur zu ver- Vorstandsmitglieder, die ihre Führungs- stehen und die damit verbundenen Risiken kräfte aktiv darin unterstützen, Schwachstellen einzuschätzen. Das versetzt Sie in die Lage, si- zu reduzieren und ein angemessenes Gleichge- cher und schnell auf Wandel zu reagieren und wicht zwischen Risiken und Geschäftschancen erforderliche Anpassungen vorzunehmen. herzustellen, haben enormen Einfluss auf den Unternehmenserfolg – allerdings nur, wenn sie Fazit bedenken, dass Compliance ein Nebenprodukt Um sicherzustellen, dass die Ressourcen Ihres dieser Bemühungen und nicht das oberste Ziel Unternehmens für Cyber-Sicherheit möglichst ist. wirksam und effizient eingesetzt werden, müs- sen Unternehmensvorstände unablässig und Dieses Kapitel basiert auf einer Bearbeitung des konsequent darauf achten, dass Maßnahmen Artikels „How Can Board Members Help Turn zur Reduzierung von Cyber-Risiken mit den Cyber Risk Reduction from a Goal into a Reality“ Geschäftsprioritäten abgestimmt werden. Dies aus der Januar-Ausgabe 2018 von NACD Direc- torship, dem offiziellen Magazin der National Association of Corporate Directors. 1 „Grading global boards of directors on cybersecurity“, Harvard Law School Forum on Corporate Governance and Financial Regulation, 2016 Compliance ist keine Cyber-Sicherheitsstrategie 105
Cyber-Sicherheitsbewusstsein, Verständnis und Leadership
15 Die Transformation der Sicherheit als unternehmerische Notwendigkeit John Scimone – Senior Vice President und Chief Security Officer, Dell Trotz bester Absichten und bedeutender die finanzielle Hürde für Hacker, „ins Ge- Investitionen in Budget, Arbeitskräfte und Unter- schäft einzusteigen“. nehmensinitiativen geraten Unternehmen aller • Es bleibt nach wie vor schwierig, die Quelle Branchen und Regionen im erbitterten Kampf von Cyber-Angriffen sicher und eindeutig zu um den Schutz ihrer digitalen Werte vor Cyber- identifizieren. Das schafft eine Umgebung, in Bedrohungen ins Hintertreffen. Woran liegt das? der Kriminelle nicht zur Rechenschaft gezo- gen werden. Während die Gründe natürlich von Unter- Das Ergebnis: Cyber-Angriffe sind mög- nehmen zu Unternehmen variieren, sind einige licherweise das bedeutendste Geschäft mit gerin- allgemeingültige Tatsachen recht schnell offen- gem Risiko und hohem Profit in der Geschichte sichtlich. Zum Beispiel: der Menschheit. • Unternehmen brauchen sehr viel länger, um Machen Sie sich bereit für die raffinierte Eindringversuche zu erkennen, als Transformation der Sicherheit Cyber-Kriminelle für Ihre Angriffe benötigen. Der beschriebene Sachverhalt stellt ein gravieren- • Hacker können unendlich oft versuchen, in des Risiko für moderne Unternehmen dar und ein System einzudringen, und brauchen es erfordert ein konsequentes Management. Offen- nur einmal zu schaffen. Unternehmen da- sichtlich reichen die Maßnahmen unserer Unter- gegen müssen sich Tag für Tag rund um die nehmen nicht aus. Und zwar bei Weitem nicht. Uhr erfolgreich schützen. Herkömmliche Ansätze können das Vordringen • Die schiere Menge an bekannten IT- der Cyber-Kriminalität noch nicht einmal ver- Schwachstellen nimmt schwindelerregend zu langsamen – geschweige denn wirklich stoppen. – nicht auszudenken, wie viele unerkannte es Kein Vorstandsmitglied, CEO oder CISO sollte darüber hinaus geben mag. sich mit diesem Status quo zufriedengeben. • Unternehmen treiben die Digitalisierung ihrer Geschäftsabläufe rasant voran. Das verstärkt Stattdessen ist es Zeit, dass Unternehmens- ihre Abhängigkeit von genau der Infrastruk- führer allgemein, also nicht nur CISOs und tur, die zunehmend anfälliger für Schwachstel- CIOs, zu einer neuen Ära übergehen – zur Trans- len und damit auch für Angriffe wird. formation der Sicherheit. Im Bereich Sicherheit ist • Hacker-Tools entwickeln sich technologisch ein radikales Umdenken fällig, eine echte Trans- weiter und sind immer leichter zugänglich. formation. Dieser Ansatz hängt übrigens gar nicht Sinkende Marktpreise senken darüber hinaus einmal so sehr von modernsten Sicherheitstools, 109
erheblichen finanziellen Investitionen oder der Als Geschäftsführer sollten Sie Ihre Sicherheits- Rekrutierung von erfahrenem Fachpersonal ab, kräfte dazu anhalten, mit höchster Dringlich- obwohl all diese drei Faktoren sicherlich zu einem keit die Verfügbarkeit wesentlicher Ressourcen gewissen Grad erforderlich sind. sicherzustellen, um Probleme zu vermeiden und geschäftlichen Erfolg zu gewährleisten. Dies geht Was aber Vorstandsmitglieder und Geschäfts- weit über bloße Compliance hinaus. führer (einschließlich CISOs und CIOs) am dringendsten brauchen, ist der Mut und die Das Cyber-Risikomanagement lässt sich in Fähigkeit, herkömmliche Cyber-Sicherheits- drei Komponenten untergliedern: ansätze hinter sich zu lassen. Die Transformation der Sicherheit muss von uns allen mit Enthusias- 1. Bedrohungsmanagement mus begrüßt und motiviert umgesetzt wer- 2. Schwachstellen-Management den. Schließlich wissen wir inzwischen, dass 3. Folgenmanagement Cyber-Kriminelle ein Unternehmen jederzeit – tagtäglich rund um die Uhr – mit verheerenden Leider können wir beim Bedrohungs- Folgen angreifen können und dass ein solches management wirklich nur sehr wenig tun. Wenn Risiko statistisch gesehen schon längst nicht Sie nicht gerade einer Strafverfolgungsbehörde mehr als unwahrscheinlich abgetan werden darf. oder einer ähnlichen Organisation angehören, Dies erfordert eine gewisse aggressive Einstellung die befugt ist, gegen Verdächtige zu ermitteln gegenüber den Angreifern und ein entsprechend und sie festzunehmen, sind die Möglichkeiten, beherztes Vorgehen – etwas, was der derzeit eher die Bedrohungen am Beginn der Angriffskette zu zögerlich geführte Dialog noch vermissen lässt. beeinflussen, arg beschränkt. Transformierte Sicherheit – Resilienz Aus der Perspektive des Schwach- und Abwehr gleichermaßen fokussieren stellen-Managements tragen uneingeschränkte Im gleichen Maße, wie wir uns bemühen, einen Mobilität, Cloud-Computing, persönliche Cyber-Angriff zu verhindern, sollten wir uns auch Anwendungen und die faszinierende Welt des auf einen derartigen Angriff vorbereiten. Wie Sie Internets der Dinge zu einer größeren Cyber-An- sich vorstellen können, liegen zwischen diesen griffsfläche und damit zu einem höheren Risiko- beiden Ansätzen Welten. Ein Schlüsselelement profil bei. Als Folge hat sich die Anzahl der bei der Vorbereitung auf einen Cyber-Angriff öffentlich gemeldeten Schwachstellen im Jahr ist das Konzept der Resilienz. Selbstverständlich 2017 mehr als verdoppelt.1 Für die meisten ist Geschäftsführern und Vorstandsmitgliedern Unternehmen sind diese Risiken zwar absolut bewusst, dass Systeme, Anwendungen und akzeptabel. Und tatsächlich wäre es heute für Technologieinvestitionen wertlos sind, wenn die Mehrheit der Unternehmen fatal, die Digi- sie nicht verfügbar oder die darin gespeicherten talisierung nicht voranzutreiben. Wir dürfen das Daten nicht zuverlässig sind. Aber tatsächlich dadurch steigende Cyber-Risiko nur nicht außer droht bei einem Systemausfall oder zweifelhafter Acht lassen. Datenintegrität sogar noch Schlimmeres: Verlust von Umsätzen und Wettbewerbsfähigkeit, weil CISOs konzentrieren sich daher zu einem wir uns im Kreis drehen beim Versuch, immer Großteil ihrer Arbeitszeit auf Schwachstellen – neue Probleme zu beheben, anstatt Mehrwert für auf deren Behebung und Beseitigung und auf unsere Kunden zu schaffen. Möglichkeiten, wie sie von Anfang an zu ver- meiden sind. Es ist nicht überraschend, dass CISOs wurden bisher vorwiegend aus damit nur noch wenige Ressourcen für das Compliance-Gründen mit dem Herstellen resi- Folgenmanagement zur Verfügung stehen. lienter Strukturen beauftragt, um Klagen im Zusammenhang mit Serviceunterbrechungen An diesem Punkt wird die Bedeutung von zu vermeiden. Resilienz ist jedoch weit mehr als Resilienz deutlich. Wenn wir erkennen, dass das Bestehen von Audits oder das Vermeiden Angreifer in der aktuellen Umgebung weiterhin von Vertragsforderungen und Bußgeldern, die unbeirrt ihr Ziel verfolgen und dass Schwach- aufgrund mangelnder Compliance fällig werden. stellen allgegenwärtig sind und das in abseh- barer Zukunft auch bleiben werden, ist es entscheidend, dass wir unseren Fokus verstärkt 110 Cyber-Sicherheitsbewusstsein, Verständnis und Leadership
darauf richten, wie ein tatsächlicher, erfolg- Eine weitere Transformationsmöglichkeit reicher Angriff und seine Folgen zu bewältigen im Bereich Sicherheit besteht im Abrücken von sind. In Anbetracht der Tatsache, dass ein solcher Best Practices. Es mag beruhigend für Geschäfts- Angriff zunehmend unausweichlich erscheint, führer sein, von ihren CISOs zu hören, dass müssen sich Unternehmen darauf konzentrieren, sie die Sicherheitsprozesse im Unternehmen an wie sie sich möglichst effektiv durch einen Vor- bewährten Best Practices ausgerichtet haben. fall hindurchkämpfen können. Dazu ist es für Die unangenehme Wahrheit ist jedoch, dass Best Unternehmen unerlässlich, sich gleichermaßen Practices im Kontext moderner Unternehmen der Verbesserung von Sicherheitsprozessen und und deren Risikoerwartungen nicht wirklich der Vorsorge zur Geschäftskontinuität wie auch effektiv sind. (Andernfalls würden wir nicht so der Integration zusätzlicher Sicherheitstools häufig über neue Datenschutzvorfälle bei füh- zu widmen. renden Konzernen hören.) Darüber hinaus kann das Konzept der Best Practices die Tatsache ver- Transformierte Sicherheit schleiern, dass Sicherheit nicht länger ein all- – maßgeschneiderte, auf Risiken ausgeri gemeingültiges Paradigma ist. CISOs haben chtete Programme und Investitionen erkannt, dass jedes Unternehmen über eine Angesichts sich ständig ändernder Geschäfts- individuelle Sicherheitsstrategie verfügen muss, umgebungen und -bedingungen, fließender basierend auf der jeweiligen Unternehmens- operativer Initiativen und vor allem der von strategie, Risikotoleranz und Einschätzung der Angreifern kontinuierlich weiterentwickelten zu schützenden Unternehmenswerte. Taktiken müssen wir auch unsere Methoden ändern, wie wir Sicherheit planen, verteilen und Transformierte Sicherheit verwalten. – die Struktur zählt Geschäftsführer sollten außerdem grund- Herkömmliche Ansätze sind in einer Zeit, in legende Vorstellungen davon entwickeln, wel- der digitale Werte im Zentrum der Geschäftsab- che Änderungen hinsichtlich der strukturierten läufe stehen, von monolithischen Rechenzentren Sicherheitsverantwortung innerhalb des Unter- und herkömmlichen Anwendungen bis zu „ver- nehmens vorzunehmen sind. Früher berichteten netzten Unternehmen“ nicht länger wirksam. CISOs meistens an CIOs oder andere Senior Nach den meisten veralteten Ansätzen – und dies Technical Officers. Diese organisatorische Struk- muss nicht notwendigerweise bedeuten, dass ein tur ist sinnvoll, wenn Sicherheit als eine Techno- solcher Ansatz seit Jahrzehnten angewendet wird, logieinitiative des Unternehmens gesehen wird sondern vielmehr, dass er jetzt nicht mehr zeit- und nicht als eine unternehmensweite Risiko- gemäß ist – ist Sicherheit hauptsächlich binär: managementfunktion. Hierbei ist jedoch zu Entweder ist Ihr Unternehmen sicher oder nicht. bedenken, welchen Herausforderungen IT-Or- ganisationen derzeit gegenüberstehen, wie Erfahrungen aus früheren Vorfällen haben beispielsweise Schatten-IT, in Technologie uns jedoch gelehrt, dass Sicherheit besser anhand bewanderte Endnutzer, die ihre eigenen virtu- einer Risikoskala zu bemessen ist. Wie bereits ellen Maschinen starten, oder erschwingliche erwähnt versuchen wir nicht, Sicherheitsver- öffentliche Cloud-Dienste für Unternehmens- letzungen vollständig zu vermeiden, sondern anwendungen und unzählige, nicht verwaltete sie vorherzusehen und möglichst effektiv darauf Endpunkte von Smartphones bis zu tragbaren zu reagieren, sodass wir die Auswirkungen eines Computern. Was die Transformation der Sicher- Vorfalls auf ein akzeptables Maß reduzieren heit angeht, können CISOs das Unternehmen können. Da in der heutigen überaus komplexen dann am besten wirkungsvoll schützen, wenn und für Schwachstellen anfälligen Technologie- sie in der Position sind, sämtliche Cyber-Risiken landschaft nicht alle Bedrohungen abgewehrt unternehmensweit zu überblicken statt lediglich werden können, müssen Sie einen klaren Sinn die von der IT-Organisation des Unternehmens für Prioritäten entwickeln und in gleichem Maß verursachten Risiken. CISOs sollten außerdem sowohl in die Bedrohungsabwehr als auch in die über schlichtes reaktives Risikomanagement Entwicklung eines resilienten Systems in den priorisierten Bereichen investieren. Die Transformation der Sicherheit als unternehmerische Notwendigkeit 111
hinausgehen und nach digitalen Verbesserungs- Aufmerksamkeitsstufe, Investitionen, Tools, möglichkeiten Ausschau halten. Diese Aufgabe Fähigkeiten und Kompromissen bei Unter- ist am besten zu erfüllen, wenn sie einen Über- nehmensprozessen geradezu jämmerlich blick über alle digitalen Aktivitäten innerhalb ungeeignet ist, um Cyber-Risiken zu bewältigen. des Unternehmens haben und in direktem Aus- Der nächste Schritt besteht darin, Stärke und tausch mit anderen Führungskräften stehen. Engagement zu beweisen und die erforderlichen Veränderungen zur Behebung dieses Missstands Transformierte Sicherheit – Sicherheit in einzuleiten. einer Welt ohne Netzwerkgrenzen Die Transformation von Sicherheit erfordert, Umsetzung: Fragen, die Unternehmens- dass Cyber-Sicherheit weit über herkömmliche vorstände und C-Level-Führungskräfte Maßnahmen wie die Abwehr von Angreifern ihren CISOs stellen sollten am Netzwerkrand und den Schutz der wert- Als CEOs, COOs, CFOs oder Vorstands- vollen Daten innerhalb der Netzwerkgrenzen mitglieder müssen Sie aktiv werden und mit hinausgeht. Stattdessen benötigen wir heute Ihren CISOs besprechen, welche Maßnahmen einen besser informierten und geschäfts- sie zur Transformation von Sicherheits- zentrierten Cyber-Sicherheitsansatz, der neue protokollen- und -prozessen durchführen bzw. digitale Modelle berücksichtigt, einschließ- planen. Hiermit ist jedoch nicht die technische lich der gesteigerten Mobilität, verschiedener Frage gemeint, welches neue Tool zur Erkennung Cloud-Plattformen und erhöhter Risikofaktoren von Eindringversuchen angeschafft wurde oder durch Dritte. Damit verlagert sich der Schwer- welches Programm zum Beseitigen komplexer, punkt von den Geräten und Plattformen auf den hartnäckiger Bedrohungen eingeführt wurde. Schutz und die Verteidigung der digitalen Identi- Solche Gespräche sollten sich vielmehr auf täten und der Daten, die für das Unternehmen Möglichkeiten konzentrieren, wie die Sicher- von größtem Wert sind. heitstransformation von der technischen Ebene auf die geschäftliche, unternehmensweite Ebene Ein Beispiel für die Transformation von übertragen werden kann. Sie sollten sich darü- Sicherheit in Unternehmen ist das Konzept, ber hinaus einen Eindruck davon verschaffen, ob dass Sicherheit kein binärer Wert, sondern das erforderliche Maß an Entschlossenheit und anhand einer Risikoskala zu bewerten ist, oder Dringlichkeit in allen Aspekten des Programms auch die Erkenntnis, dass Sicherheitsprogramme erkennbar ist. nicht primär oder ausschließlich durch Com- pliance-Vorgaben gesteuert, sondern stattdessen Ich empfehle Ihnen daher, Ihren CISOs die unter Berücksichtigung der jeweiligen Unter- folgenden Fragen zu stellen: nehmensprioritäten wie operative Effizienz, Markenreputation oder Wettbewerbsfähig- • Wie wahrscheinlich ist es, dass ein so spek- keit individuell zugeschnitten werden sollten. takulärer Datenverlust, wie er neulich in Wir sollten beginnen, Cyber-Sicherheit nicht Unternehmen Y aufgetreten ist, auch unser als einzelne Komponente des IT-Risikos, son- Unternehmen trifft? dern als Funktion zu sehen, die unternehmens- weit die Risiken mindert. Darüber hinaus ist • Wenn es in unserem Unternehmen zu einem es entscheidend, dass sich Cyber-Sicherheits- derartigen Vorfall kommt, mit welchen programme auf priorisierte Daten und Identi- rechtlichen und operativen Folgen bzw. mit täten konzentrieren, deren Schutz entscheidend welchen Folgen hinsichtlich Markenschädi- ist – unabhängig davon, wo sich diese in der gung und Compliance-Verstößen müssten dynamischen technologischen Landschaft von wir dann rechnen? heute und den Umgebungen Dritter befinden. Die wichtigste Voraussetzung für die Sicherheits- • Wie transformieren wir unsere Sicherheits- transformation ist jedoch, zu verstehen und zu protokolle und -verfahren, um Fehler und akzeptieren, dass der aktuelle Ansatz hinsichtlich Missstände zu vermeiden, die in Unterneh- men Y und anderen Unternehmen unserer Branche vorgekommen sind? 112 Cyber-Sicherheitsbewusstsein, Verständnis und Leadership
• Können wir davon ausgehen, dass unsere Ein solches Gespräch wird hoffentlich zei- unternehmensweite Risikotoleranz klar defi- gen, dass Ihr CISO einen transformierten niert ist und dass unser Cyber-Sicherheitsan- Cyber-Sicherheitsansatz, der Ihre Geschäfts- satz entsprechend ausgerichtet ist? Falls nicht, strategie und -ziele unterstützt, versteht und sich was müssen wir tun, um die nötige Klarheit engagiert für dessen Umsetzung einsetzt. und Ausrichtung zu erreichen? Sollten Ihnen die Antworten, die Sie erhalten, • Welches ist die eklatanteste Schwachstelle in jedoch nicht gefallen, fordern Sie Ihren CISO unserem heutigen Cyber-Sicherheitskonzept, dazu auf, seine Strategie noch einmal zu über- und wo wird sie wahrscheinlich in drei Jahren denken – radikal, falls erforderlich. Denn wenn liegen? Welche Pläne haben wir zum Beheben Ihr CISO in veraltete Best Practices investiert, der beiden genannten Schwachstellen und die bei den meisten Unternehmen Ihrer Bran- wie sieht der zeitliche Rahmen dafür aus? che als Maßstab gelten, läuft Ihr Unternehmen Gefahr, das nächste Opfer eines Angriffs mit ver- • Besteht eine Risiko-Governance-Struktur, heerenden Folgen zu werden. Das liegt daran, die die Unternehmensrollen und Verant- dass der Status quo heute für die meisten Unter- wortlichkeiten hinsichtlich Identifizierung nehmen ein ineffektives Sicherheitsprofil ist, und Management von Cyber-Sicherheitsrisi- wie die ständigen Meldungen über aufsehen- ken klar definiert? Verstehen die Beteiligten erregende Datenverluste belegen. Für moderne im Unternehmen ihre Rollen und führen sie Unternehmen ist die Transformation der Sicher- diese effektiv aus? Werden Verantwortliche, heit in enger Ausrichtung auf die Transformation die ihre Aufgaben und die an sie gestellten der übrigen Geschäftsbereiche und der Digitali- Erwartungen nicht erfüllen, zur Rechen- sierung unerlässlich, um dauerhaft wettbewerbs- schaft gezogen? fähig und erfolgreich zu sein. 1 CVSS Severity Distribution Over Time, National Vulnerability Database, NIST Die Transformation der Sicherheit als unternehmerische Notwendigkeit 113
16 Die Bedeutung von Vorbereitung und Führungsstärke bei der Cyber-Sicherheit Stephen Moore – Vice President und Chief Security Strategist, Exabeam Wie die meisten anderen Unternehmen verfügt An vorderster Front Ihres wahrscheinlich auch über einen Plan zur Es ist unmöglich, alle Ereignisse während eines Reaktion auf Vorfälle, der Ihren Teams bei den Angriffs darzustellen, den Ernst einer solchen Durchführung der erforderlichen Maßnahmen Lage. Nehmen wir an, ein Manager auf mittlerer im Falle eines Cyber-Angriffs helfen soll. Die- Führungsebene wird plötzlich mit der Aufgabe ser Plan deckt die technischen und nicht tech- betreut, die technische Reaktion zu leiten. Da- nischen Schritte zur Reaktion auf Vorfälle ab. rüber hinaus erwartet man von ihm, mit höhe- Er hat verschiedene Audits erfolgreich bestan- ren Führungskräften, Kunden und Mitarbeitern den und wurde unzählige weitere Male geprüft im gesamten Unternehmen zu kommunizieren, und überarbeitet, um die Einhaltung von Vor- die in die Reaktion auf den Vorfall eingebun- schriften sicherzustellen. Insgesamt sind Sie also den sind. Kaum jemand ist auf eine derart dras- stolz auf dieses Dokument und können behaup- tische Zunahme von Stress und Verantwortung ten: „Ja, wir sind auf einen Angriff vorbereitet.“ vorbereitet. Dann tritt der Ernstfall ein. Glauben Sie mir: Es ist unmöglich, sich auf Und was, glauben Sie, passiert? Genau! Sie den heftigen Strudel einer Datensicherheitsver- sind doch nicht vorbereitet. Ganz gleich, wie viel letzung vorzubereiten, in den man bei solchen Zeit und Mühe Ihre Teams in den Plan zur Reak- Vorfällen gerät, insbesondere bei weitreichenden. tion auf Vorfälle investiert haben – die enormen Zum Beispiel wird die Zeit völlig unterschätzt. Auswirkungen, die eine gravierende Daten- Menschen, die niemals selbst einen Datensicher- schutzverletzung auf Ihr Unternehmen und Ihre heitsvorfall durchlebt haben, sind wahrschein- Mitarbeiter hat, sind einfach nicht vorhersehbar. lich der Meinung, dass die Auswirkungen und Meine Erfahrungen haben mich gelehrt, was Folgen binnen einiger Monate überwunden sein im Falle eines Angriffs auf ein Unternehmen zu werden. Da kann ich nur sagen: „Schön wär’s!“ tun ist und was man besser unterlassen sollte. Ein Unternehmen braucht Jahre, um sich eini- Ich kenne die Vorbereitungsschritte, mit denen germaßen von einem Datensicherheitsvorfall Unternehmen sicherstellen können, dass sie eine zu erholen. Datensicherheitsverletzung besser bewältigen. Einige wesentliche Ideen und Gedanken dazu Der Vorfall wird sich auf jeden Aspekt Ihres möchte ich hier mit Ihnen teilen. Vor allem habe Unternehmens auswirken: die Bindung vor- ich mich nach Kräften bemüht zu lernen, was handener und die Gewinnung neuer Kunden, eine kompetente Führungspersönlichkeit aus- Ihre Mitarbeiter und die Unternehmenskultur, macht und wie den Beteiligten auch in Krisen- den Ruf des Unternehmens, auch als Arbeit- zeiten Zuversicht vermittelt werden kann. geber. Ihnen stehen wahrscheinlich mehrere 115
Untersuchungen, Audits, Ermittlungen von Re- vorbereiten, das wahrscheinlich außerhalb jegli- gulierungsbehörden, die Kommunikation mit cher Vorstellungskraft liegt? Es scheint aussichts- der Presse und die Erneuerung Ihrer technolo- los. Denn wie soll man sich auf eine Situation gischen Infrastruktur bevor. Ganz zu schweigen vorbereiten, auf die man letztlich nicht vorberei- von bevorstehenden Gerichtsverfahren. All dies tet sein kann? wird sich über Jahre hinziehen und kontinuier- lich erhebliche Ressourcen binden. Mit der Zeit Seltsamerweise geht das. Ich habe ver- werden alle Bereiche und Aspekte Ihres Unter- schiedene Ideen entwickelt, die Personen und nehmens durch den Datensicherheitsvorfall Unternehmen meiner Überzeugung nach hel- beeinflusst. fen, Mitarbeiter besser darauf vorzubereiten, die weitreichenden Folgen eines Cyber-Angriffs Der menschliche Aspekt zu meistern – ohne ständig gezwungen zu sein, Die Auswirkungen auf Ihre Mitarbeiter können Übermenschliches zu leisten. Im Folgenden habe Sie nicht messen, vorhersagen oder auch nur an- ich diese Gedanken für Sie näher ausgeführt: nähernd einschätzen, bis Sie die Situation tat- sächlich durchleben. Der Druck, der dann auf 1. Verfassen Sie die Mitteilung Ihren Mitarbeitern lastet, ist enorm. Die wenigs- über eine Sicherheitsverletzung, ten Unternehmen verfügen über Führungskräfte bevor Ihr Unternehmen tatsächlich mit der erforderlichen Erfahrung, das notwendi- einen Angriff erleidet ge Maß an Schulungen oder das Fachpersonal, Wenn Unternehmen keine Erfahrung in Daten- um mit einer erheblichen Datensicherheitsver- sicherheitsvorfällen haben, sollten sie voraus- letzung umzugehen – weder direkt während des arbeiten, indem sie eine Vorabversion für das Vorfalls noch über die lange Zeit der „Nachsor- Meldungsschreiben erstellen. Setzen Sie sich in ge“ hinweg. den höchsten Positionen des Unternehmens zu- sammen – also Senior Management, CISO, viel- Selbst wenn Ihr Unternehmen über die ge- leicht sogar Vorstandsmitglieder – und verfassen eigneten Reaktions- und Kommunikationspläne Sie unter der Anleitung juristischer Berater einen verfügt, benötigen Sie darüber hinaus genügend Entwurf für das entsprechende Dokument. In- qualifizierte Mitarbeiter, um diese Pläne auszu- teressanterweise werden hierbei schon einige führen. Bei Eintreten eines Vorfalls wird eine zentrale Probleme aufgedeckt, die sich im Falle Art Kommunikationstrichter erstellt und die einer Datensicherheitsverletzung für Ihr Unter- meisten Informationen fließen über eine kleine nehmen ergeben. Ich halte diese Trockenübung Gruppe von Personen, die die Untersuchung lei- unter den obersten Führungskräften für ausge- ten. Diese Gruppe ist dafür verantwortlich, die sprochen hilfreich, da dabei wichtige Fragen jeweils relevanten Informationen für die ent- aufgeworfen und wertvolle Ergebnisse erzielt sprechenden Personen oder Zielgruppen zu- werden. Wenn Sie sich zusammensetzen, um die sammenzufassen, wie Vorstandsmitglieder, Mitteilung über eine Sicherheitsverletzung zu Führungskräfte auf Geschäftsleitungsebene, Au- entwerfen, das eines Tages möglicherweise welt- ditoren, Kunden, die Presse, Partner und andere weit veröffentlicht wird, ist es zunächst entschei- beteiligte Parteien. dend, die richtigen Fragen zu stellen: Dies ist eine wahre Kunst und in den wenigs- • Wer soll das Schreiben verfassen? ten Fällen sind die Personen, denen diese Rolle zugeteilt wird, gut darauf vorbereitet. Sie müssen • Welcher Tonfall ist angebracht? dazulernen – und zwar rasch. • Wessen Namen werden im Schreiben ge- Notwendige Schritte, um besser nannt? Der des CIO? Des CEO? Oder des vorbereitet zu sein CISO? Ein Cyber-Sicherheitsvorfall und seine drama- tischen Auswirkungen stellen Ihr Unternehmen • Wer wird als Sprecher vor die Presse treten? und Ihre Mitarbeiter also vor immense Her- ausforderungen. Wie können Sie sich auf etwas • Welche Inhalte sollen in das Schreiben auf- genommen werden? 116 Cyber-Sicherheitsbewusstsein, Verständnis und Leadership
• Sicherlich gibt es feststehende, grundlegende 2. Begeben Sie sich an die Quelle der Punkte und Phrasen wie: „Wir haben externe Wahrheit – ins Security Operations Experten hinzugezogen und die Strafverfol- Center (SOC) gungsbehörden benachrichtigt.“ Haben wir Wen würden Sie im Falle einer Datensicherhe- da schon Kontakte? Falls nein, wäre es nicht itsverletzung intern zuerst anrufen? Und wen an der Zeit? würde diese Person wiederum als Nächstes kon- taktieren? Wer würde Führungskräfte auf schwi- • Wie gut sind die Mitarbeiter innerhalb des erige Kreuzverhöre und Fragen von Kunden Unternehmens auf die anfallenden Aufgaben vorbereiten? vorbereitet? Sind sie entsprechend geschult? Arbeiten Sie sich bis zu den ungefilterten • Was würde es kosten, eine externe PR-Agen- Antworten der Personen vor, die normalerwei- tur zu beauftragen? Welche Art von Füh- se unbemerkt und innerhalb Ihres IT-Sicher- rungskräfte-Coaching bieten die Agenturen heitsteams eher im Hintergrund arbeiten – den an? Mitarbeitern Ihres Security Operations Cen- ter (SOC). In deren Händen liegen zweifellos • Wie können wir Informationen sicher aus- der Ruf Ihres Unternehmens und Ihre zukünf- tauschen und kommunizieren, wenn die tige berufliche Sicherheit. Haben Sie sie über- Datensicherheit während eines Angriffs nicht haupt schon einmal getroffen? Kennen Sie ihre gegeben ist? täglichen Arbeitsabläufe, Probleme und Schwie- rigkeiten? Wie gut können sie ihre Untersu- • Wer übernimmt die Pressearbeit? Wer schult chungsprozesse formulieren? diese Personen, bevor sie Pressekonferenzen geben? Es ist wichtig, dass ihre Probleme und er- kennbaren Risiken priorisiert und gegebenenfalls • Wie benachrichtigen wir Kunden? Per An- mit externer Unterstützung angegangen werden. schreiben auf dem Postweg? Oder telefo- Warten Sie nicht damit, sich mit diesen Mit- nisch? Per E-Mail? Über die Website? arbeitern zu beraten, bis Sie keine andere Wahl mehr haben. Ihr SOC sollten Sie auf keinen Fall • Wo hosten wir unsere Website mit Informa- vernachlässigen. tionen zum Sicherheitsvorfall? Was passiert, wenn auch diese Website von dem Angriff 3. Optimieren Sie Ihren Plan zur betroffen ist? Reaktion auf Vorfälle, um im Ernstfall richtig zu handeln • Sollten wir einen Kredit-Monitoring-Service Ein nicht getesteter, nicht kommunizierter oder nutzen? Wie viel würde das kosten? Lohnt gänzlich ohne Erfahrung erstellter Plan ist wenig sich das? sinnvoll und führt lediglich dazu, dass die nega- tiven Folgen seines Scheiterns ebenfalls behoben • Und vor allem, wo finden wir glaubwürdige werden müssen. Antworten auf Ermittlungsfragen? Werden die entsprechenden Personen nicht bereits Eingangs habe ich schon erwähnt, dass ich sehr ausgelastet sein? Wie häufig sollten Standardplänen zur Reaktion auf Vorfälle skep- wir diese Gesprächspunkte aktualisieren? tisch gegenüberstehe, da sie von den meisten Können wir all diese Fragen heute intern Unternehmen lediglich eingesetzt werden, um beantworten? das oberste Management oder externe Auditoren Ich könnte noch eine Reihe weiterer Fragen zufriedenzustellen. Und offen gestanden habe ich noch nicht erlebt, dass einer dieser Pläne im aufführen, aber sicherlich ist Ihnen inzwischen Ernstfall tatsächlich effektiv war. Meist decken klar, worauf ich hinausmöchte. Solche Fragen solche Pläne technische Aspekte ab. Punkte wie stellen sich Unternehmen in der Regel erst bei Zuständigkeiten oder Kommunikation werden Eintritt eines Sicherheitsvorfalls. Doch dann ist dagegen überhaupt nicht behandelt. Darüber hi- es zu spät. Das Kind ist schon in den Brunnen naus werden Datensicherheitsvorfälle darin nicht gefallen. Die Bedeutung von Vorbereitung und Führungsstärke bei der Cyber-Sicherheit 117
als mehrjährige Prozesse eingeschätzt, was sie tat- Transparenz beseitigt technische blinde Fle- sächlich aber häufig sind. cken – in der Regel durch Datenseen, in denen Ereignisdaten und Analysen gespeichert werden, Ein effektiverer Reaktionsplan behandelt um Bedrohungen zu verstehen und den zeitli- die relevanten Fragen, die sich beim Verfassen chen Verlauf von Angriffen darzustellen. Bei der des Meldungsschreibens bereits ergeben haben. Reaktion geht es dann schließlich um die Berei- Wer sind die verantwortlichen Personen? Was nigung Ihrer Systeme. Beachten Sie, dass ohne ist die Grundhaltung des Unternehmens? Wel- eine vollständige Zeitachse des Angriffsverlaufs cher Tonfall ist angemessen? Wie weitreichend keine vollständige Reaktion möglich ist. und bedeutend ist der Sicherheitsvorfall? Wie viele Datensätze oder Systeme sind betroffen? Aus logistischer Perspektive stellt sich die Planen Sie, wie die Berichterstattung verlaufen Frage, ob ausreichend Platz vorhanden ist, um soll. Bevorzugen Sie es, distanziert zu berich- zusätzliche Hardware unterzubringen, während ten? Ausführlich oder kurz und knapp? Möch- Sie die vorhandene Infrastruktur bereinigen. ten Sie offen sein und so viele Informationen wie Verfügen Sie über genügend Regale, Kabel und möglich bekannt geben? Soll der Vorfall früh- Stromanschlüsse für all die zusätzlichen Gerä- zeitig öffentlich gemacht werden, noch bevor te? Und haben Sie schon einmal daran gedacht, alle Details bekannt sind, oder möchten Sie lie- diese Ressourcen im Voraus einzurichten? ber bis zur letzten Minute warten? Ich empfehle Unternehmen, möglichst schnell und aufrich- Darüber hinaus ist es empfehlenswert, einen tig Informationen bekannt zu geben und im Empfangs- und Arbeitsbereich für externe Perso- Laufe der Ermittlungen weitere Erkenntnisse zu nen einzurichten, die Sie zur Beratung und Hilfe veröffentlichen. hinzuziehen. Wo wird sich die sichere Komman- dozentrale befinden, und ist der Ort für die Mit- 4. Planen Sie die Lösung von arbeiter praktisch gelegen? Problemen rund um Reaktionsfähigkei- ten, Technologie, Infrastruktur und 5. Schulen Sie Ihre Mitarbeiter gründlich verfügbaren physischen Raum Ihre Mitarbeiter – darunter viele technische Ma- Wenn Sie eine Datensicherheitsverletzung er- nager auf mittlerer Führungsebene – werden im litten haben, wird voraussichtlich Ihre gesam- Falle einer Datensicherheitsverletzung mit öf- te technische Infrastruktur untersucht. Ihre fentlichkeitsnahen Aktivitäten betraut. Sind sie IT-Teams werden neue Technologien anschaf- darauf vorbereitet? Wurden sie entsprechend ge- fen, während sie noch dabei sind, die vorhan- schult? Trauen Sie ihnen zu, Gespräche mit Ihren dene Umgebung zu bereinigen. Darüber hinaus wichtigsten Kunden zu führen? Verfügen Sie werden Sie wahrscheinlich externe Berater hin- über einen Plan B und C? zuziehen, darunter nicht nur Technologieexper- ten, sondern auch Berater für sämtliche anderen Es könnte sein, dass Sie 25 Sprecher mehr be- Bereiche. nötigen. Sind diese Mitarbeiter geschult, um vor die Öffentlichkeit zu treten, Interviews zu geben Beachten Sie in diesem Zusammenhang und einen Auditor oder zuständige Ermittlungs- auch, dass Ihrem Mehrjahresplan, etwaigen Pi- beamte zu betreuen? Dies geht über die gewöhn- lotprojekten und offenen Budget-Anträgen dann lichen Aufgaben Ihrer Öffentlichkeitsabteilung wahrscheinlich grünes Licht erteilt wird. Sie be- hinaus, da viele Angelegenheiten und Fragen nötigen drei wichtige technische Funktionen: technischer Natur sind. Natürlich können Sie Transparenz, Analysen und eine automatische externe Unterstützung hinzuziehen. Solcherart technische Reaktion. Stellen Sie sicher, dass Sie Beauftragte werden jedoch wahrscheinlich Stan- bereits vor Eintritt eines Sicherheitsvorfalls über dardformulierungen und Antworten aus einem diese Funktionen verfügen oder sie zumindest vorgefertigten Skript verwenden. Ist das das möglichst schnell danach erwerben können. Ich Bild, das Sie Ihren Kunden, Partnern und der empfehle jedoch, diese Funktionen zu priorisie- Öffentlichkeit von Ihrem Unternehmen vermit- ren, bevor ein Problem auftritt. Das spart enorm teln wollen? Krisen bleiben in der Regel nicht an viel Geld. der Oberfläche. 118 Cyber-Sicherheitsbewusstsein, Verständnis und Leadership
Es gibt auch nicht nur nach außen gerichtete Ein Datensicherheitsvorfall schafft anhalten- Verantwortlichkeiten und Pflichten. Auch intern de Schwierigkeiten für diejenigen, die für den müssen Probleme überwunden werden. Techni- Umsatz des Unternehmens sorgen. Es ist also sche Manager auf mittlerer Führungsebene müs- entscheidend, dass Sie die Probleme des Vertriebs sen mit allen Beteiligten klar und verständlich verstehen. Sie werden angenehm überrascht sein, reden. Dies gilt insbesondere für neu eingesetz- dass sich damit eine wichtige Tür im Unterneh- te Mitglieder der Führungsebene. men für Sie öffnet und Sie sich außerdem selbst beliebt machen. Dies macht einen Teil der versteckten Kos- ten bei einem Sicherheitsvorfall aus. Es ist ganz Vielleicht sind Sie der Meinung, dass Ihre natürlich, sich zunächst über Umsatzeinbußen, Aufgabe einzig und allein darin besteht, Schur- rückläufige Aktienkurse und Markenschädigung ken abzuwehren. Geschäfte zu ermöglichen ge- Gedanken zu machen. Datensicherheitsverlet- hört aber auch dazu. Ich habe gelernt, eine zungen bringen jedoch auch personalbezoge- starke Beziehung zu den Vertriebsteams zu ent- ne Kosten mit sich, die ebenfalls berücksichtigt wickeln. Damit habe ich unglaublich an Ein- werden müssen. Wenn Sie einen Teil dieser Kos- fluss und Durchsetzungskraft gewonnen. Indem ten im Voraus einplanen und Ihre Mitarbeiter ich mir bewusst Zeit nahm, ein Vertrauensver- darin schulen, verschiedene Rollen erfolgreich hältnis zum Vertriebsteam aufzubauen, und Ver- auszuüben, verbessern Sie Ihre Chance, eini- triebsmitarbeitern und ihren Anliegen Vorrang ge der Probleme zu vermeiden, die bei Eintritt einräumte, setzte ich gleichzeitig positive Im- eines Datensicherheitsvorfalls nebenbei entste- pulse für meine berufliche Laufbahn. Meine hen und drohen, Ihr Unternehmen betriebsun- Gesprächspartner innerhalb des Unternehmens fähig zu machen. änderten sich und auch die Art, wie man sich mir gegenüber verhielt und in welche Gespräche und 6. Bauen Sie eine starke Beziehung Diskussionen ich einbezogen wurde. zum Vertriebsteam auf Diesen Rat richte ich vor allem an CISOs und 7. Verlassen Sie sich nicht ausschließlich andere Sicherheitsverantwortliche. Es kommt auf „übermenschliche Kräfte“ uns zwar unwahrscheinlich vor, doch sind Unter- Mitarbeiter sind keine Superhelden. Wenn sich nehmensvorstände und das oberste Führungs- Ihr Plan also vornehmlich auf übermenschli- team häufig vor allem auf ein Ziel fokussiert: che Anstrengungen stützt, wird er aller Wahr- die Bindung vorhandener und die Gewinnung scheinlichkeit nach scheitern. Auf der anderen neuer Kunden. Davon hängt alles andere ab, be- Seite sollten Sie Menschen die Möglichkeit bie- ginnend bei der Wahrnehmung der Unterneh- ten, außergewöhnliche Leistungen zu erbringen. mensmarke. Bei einem Datensicherheitsvorfall Den Weg dorthin ebnen die geeignete Form von bekommen Sie Fragen gestellt wie: „Gefährdet Mitarbeiterführung und die Unternehmenskul- unsere derzeitige Situation irgendwelche ausste- tur, die Sie pflegen. henden Geschäfte?“ und „Welche Kunden könn- ten abspringen?“. Mitarbeiter, die ständig in Angst und unter Druck handeln, entwickeln keine Innovationen, Kunden und Interessenten werden jede übermenschlichen Kräfte oder den Willen und Menge Fragen haben, und Ihre Antworten sind die Fähigkeit zum Markenbotschafter. In einer entscheidend für die Zukunft des Unternehmens. derartigen Kultur fehlt es an wertvollen Beiträ- Auch hier ist es von größter Bedeutung, dass Ihre gen, Ideen und Vordenkern. Angst führt schnell Mitarbeiter zuversichtlich sind und sicher auftre- zu Teilnahmslosigkeit. Das Ausmaß dieser man- ten. In Gesprächen mit CISOs frage ich oft, ob gelnden Motivation steht häufig in direktem sie schon Präsentationen bei Vertriebskonferen- Zusammenhang mit einem schlechten Ma- zen abgehalten haben, beispielsweise im Rahmen nagement. Führungskräfte müssen den Druck vierteljährlicher Geschäftsprüfungen, oder ob sie von außen abfangen, damit ihre Teammitglie- überhaupt Kontakt zum Vertriebsteam haben. der die Möglichkeit haben, Außergewöhnliches Seltsamerweise habe ich noch nie eine positive zu leisten. Sie müssen die positive Stimmung Antwort bekommen. Ändern wir das! und die Motivation aufrechterhalten und Ihren Die Bedeutung von Vorbereitung und Führungsstärke bei der Cyber-Sicherheit 119
Mitarbeitern die Angst nehmen zu scheitern. Vorfeld einschätzen, wer von ihnen in der Lage Entwickeln und fördern Sie das Prinzip der die- sein wird, im Krisenfall die erforderliche Stärke nenden Führung. und Führungskraft aufzubringen. Führungskräfte sollen vor allem führen. In So stellen Sie sicher, dass das Unternehmen Krisenzeiten erleben wir dagegen häufig, dass sie insgesamt vorbereitet ist, und verringern das Ri- sich vermehrt mit der technischen Umsetzung siko, dass die für die Reaktion auf den Vorfall befassen. Das zeigt deutlich, dass die Führungs- verantwortlichen Personen in der Krisensitua- kraft dem Team nicht das notwendige Vertrauen tion überfordert sind. Sie können dafür sorgen, entgegenbringt. Sobald Ihnen Führungsverant- dass eine angemessene Führungsdichte vorhan- wortung übertragen wird, müssen Sie die tech- den ist. Nehmen Sie sich ruhig die Zeit, einige nische Umsetzung der Entscheidungen anderen Dinge bereits vorab zu erledigen. Entwerfen Sie überlassen. Wenn Sie viel Zeit damit verbringen, die Meldung über einen Sicherheitsvorfall, be- selbst an einer Konsole herumzubasteln, sind Sie antworten Sie typische Fragen und weisen Sie keine Führungskraft. Ressourcen zu, um die nötigen Stärken bereits in die Unternehmenskultur und Infrastruktur Fazit zu integrieren. Ich empfehle Ihnen außerdem, Die Reaktion auf eine Datensicherheitsver- Ihrem SOC einen Besuch abzustatten. letzung erfordert andere Fähigkeiten als die Vermeidung eines solchen Vorfalls. Dies gilt Als Unternehmen werden Sie wahrschein- insbesondere für die meisten Mitglieder Ihres lich weniger danach beurteilt, ob Sie Opfer eines technischen Teams. Tatsächlich müssen Sie die- Cyber-Angriffs geworden sind, als vielmehr da- sen Mitarbeitern im Ernstfall zutrauen, dass sie nach, wie Sie auf einen solchen Vorfall reagiert an Größe gewinnen und die erforderliche Füh- haben. Je besser Sie und Ihr Team vorbereitet rungsstärke zeigen. sind, umso besser werden Sie in der Lage sein, angemessen auf einen Datensicherheitsvorfall zu Ihre Führungskräfte und Sprecher müssen reagieren. Natürlich lässt sich nicht jedes Szena- in alle Richtungen Sicherheit ausstrahlen und rio vorhersehen, aber eine gute Vorbereitung und zuversichtlich auftreten. Sie können diese Mit- kompetente Führung werden Ihnen helfen, das arbeiter entsprechend vorbereiten und bereits im Unerwartete souverän zu meistern. 120 Cyber-Sicherheitsbewusstsein, Verständnis und Leadership
17 Datenmanipulation, Strafverfolgung und unsere Zukunft: Vertrauen in unsere digital vernetzten Systeme aufbauen Dr. Philipp Amann – strategische Leitung, Europäisches Zentrum zur Bekämpfung der Cyberkriminalität, Europol Bisher haben wir unter Datenmanipulation Daten oder zum Verbergen von Command-and- das Ändern von Dokumenten und ande- Control-Befehlen bedeuten.1 ren Informationen verstanden. Diese Defini- tion ist jedoch im Wandel. Wenn wir heute von Für jene unter uns, die versuchen, kriminelle Datenmanipulation reden, ist das Ändern von Aktivitäten online zu bekämpfen, Vertrauen auf- Dokumenten und Informationen, und zwar zubauen und das Leben im digitalen Zeitalter zu mit krimineller Absicht, ein wesentlicher und schützen, ist Datenmanipulation zu einem dyna- zunehmend bedrohlicher, aber keineswegs der mischen, kaum zu fassenden Problem geworden. einzige Aspekt. Denn darüber hinaus denken Gegner, die Daten in böser Absicht manipu- wir dabei an Dinge wie Fake News, Social Engi- lieren, entwickeln ständig neue Taktiken und neering durch diskretes Auswerten von Daten Angriffsmethoden, um in unserer zunehmend aus sozialen Medien und das Nutzen von Daten digitalen Welt jede erdenkliche Schwachstelle zu als Werkzeug oder gar Waffe, um die Gedanken, ihrem Vorteil zu nutzen. Hierzu zählen Aktivi- Ideen und Meinungen von Menschen zu beein- täten von Kriminellen, die ihre Identität ver- flussen – und so letztlich ihre Handlungen. bergen, ihren Standort maskieren und ihre finanziellen Transaktionen verschleiern. Der Europol-Bericht „Annual Internet Orga- nised Crime Threat Assessment“ betont, dass Wie sich die Rolle der Daten weiterhin heiße Ware für Cyber-Krimi- Strafverfolgung weiterentwickelt nelle bleiben. Sie schlagen daraus jedoch nicht Wie können wir gegen Datenmanipulation vor- mehr ausschließlich direkten finanziellen Profit, gehen? Der Schwerpunkt für die Strafverfolgung sondern nutzen, manipulieren oder verschlüsseln besteht in der Untersuchung krimineller Taten Daten zunehmend, um komplexere Betrugs- und der Verfolgung der dafür verantwortlichen versuche zu unternehmen, wie Ransom-An- Personen. Hinsichtlich bestimmter Aspekte der griffe oder unmittelbare Erpressungen. Das Datenmanipulation und der damit häufig ver- illegale Aneignen oder Manipulieren von geisti- bundenen kriminellen Nutzung von Informa- gem Eigentum kann für die betroffenen Unter- tionstechnologien konnten wir in letzter Zeit nehmen den Verlust jahrelanger Forschungen bedeutende Fortschritte erzielen. Beispielsweise und erheblicher Investitionen bedeuten. In die- gelang es, eine Reihe von Kriminellen zu ermit- sem Zusammenhang kann Datenmanipulation teln und strafrechtlich zu verfolgen sowie illegale auch das Nutzen von Verschleierungsmethoden Aktivitäten zu stoppen. Hier einige Beispiele: wie Steganografie zum Herausschleusen von 121
AlphaBay und Hansa: Im Juli 2017 gaben damit unter das Strafverfolgungsmodell Behörden in Europa und den USA, darunter zur Ermittlung und Verfolgung krimi- das FBI, die US-amerikanische Behörde zur neller Taten. Da sich Cyber-Kriminalität Bekämpfung von Drogenhandel und die nieder- und mutwillige Datenmanipulation jedoch ländische Polizei, in Zusammenarbeit mit Euro- weiterentwickeln, wird nicht jeder Vorfall pol und anderen Strafverfolgungsbehörden die durch Gesetze oder Verordnungen definier- Abschaltung von AlphaBay, dem damals größten bar sein. Damit wird die Vermeidung, Darknet-Markt, sowie von Hansa, dem dritt- Abwehr, Ermittlung und erfolgreiche Ver- größten Markt im Darknet, bekannt. Sowohl folgung der Vergehen und der jeweiligen auf AlphaBay als auch auf Hansa wurden unter Täter erschwert. Cyber-Kriminellen enorme Mengen an illegalen 3. In beiden Fällen zeichneten sich die Drogen und gestohlenen und gefälschten Aus- Strafverfolgungsstellen eher durch eine weisdokumenten gehandelt sowie Zugriffsgeräte, reaktive als durch eine präventive Rolle Malware und Unterstützung bei betrügerischen aus. Unser oberstes Ziel ist es jedoch, beide Machenschaften, die zum Einsatz bei Daten- Rollen auszuüben. Strafverfolgung muss manipulationsvergehen gedacht waren.2 Ressourcen auf der ganzen Welt erfolg- reich nutzen – nicht nur um auf Ver- Operation „Power Off“: Im April 2018 brechen zu reagieren, sondern auch um sie wurden die Administratoren des verteilten Deni- zu verhindern und aktiv dafür zu sorgen, al-of-Service-(DDoS)Marktplatzes webstresser.org dass kriminelle Taten erst gar nicht passie- im Zuge der Operation „Power Off“ verhaftet – ren. Strafverfolgungsbehörden müssen in eine komplexe Ermittlungsinitiative unter der Zukunft also mehr Initiative zeigen. Leitung der niederländischen Polizei und der National Crime Agency des Vereinigten König- Diese Beispiele werfen außerdem Licht auf reichs, unterstützt durch Europol und ein Dut- den hohen Grad an Professionalität, Zusammen- zend weiterer Strafverfolgungsbehörden auf der arbeit und Industrialisierung der Unter- ganzen Welt. Webstresser.org war vermutlich der grundwirtschaft, in der Dienste und Tools zur weltweit größte Marktplatz für DDoS-Dienste. Unterstützung der gesamten „cyberkriminellen Mithilfe dieser Dienste konnten Cyber-Krimi- Wertschöpfungskette“ online erhältlich sind und nelle Datenmanipulation nutzen, um ungefähr auch von technisch weniger versierten Nutzern vier Millionen Angriffe zu starten, die vor- direkt verwendet werden können. wiegend gegen wichtige Onlineservices von Banken, Regierungsbehörden und der Polizei Stören, Abschrecken, gerichtet waren.3 Umlenken und Abwehren Es gibt noch eine ganze Reihe weite- Hinsichtlich mutwilliger Datenmanipulation rer erwähnenswerter Beispiele für erfolgreiche und Internetkriminalität wird von Strafver- Strafverfolgungsbemühungen. Die beiden von folgungsbehörden erwartet, dass sie zusammen mir genannten Fälle weisen jedoch bestimmte mit allen relevanten Partnern und im Ein- gemeinsame Merkmale auf: klang mit ihrem Mandat eine weitreichendere und einander ergänzende Rolle bei der Abwehr, 1. Sie zeigen eine koordinierte, weltweite Unterbrechung und Abschreckung illegaler Zusammenarbeit verschiedener Straf- Aktivitäten spielen, noch bevor diese Schäden verfolgungsbehörden, unterstützt durch und Verluste verursachen können. Prävention Regierungen, regulatorische Gremien und die Stärkung des Problembewusstseins sind und privatwirtschaftliche Unternehmen. daher wesentliche Themen, insbesondere im Dies ist eine unabdingbare Voraussetzung Zusammenhang mit der massenhaften Klein- für das erfolgreiche Vorgehen gegen Inter- kriminalität über das Internet. netkriminalität, einschließlich moderner Datenmanipulation. Die Strafverfolgung ist in einer besonderen Position. Wir verstehen nicht nur bestimmte Modi 2. Die genannten Verbrechen umfassen Operandi und Methoden der Cyber-Kriminali- eindeutig illegale Aktivitäten. Sie fallen 122 Cyber-Sicherheitsbewusstsein, Verständnis und Leadership
tät, sondern wir überwachen auch kontinuierlich abzuhalten, indem man ihnen positive Alter- Trends und Bedrohungen. Gleichzeitig ana- nativen bietet.4 Wir sehen darin nicht nur die lysieren wir die sich verändernden Motive, die Möglichkeit, solche Talente zu sinnvollen, posi- Angreifer antreiben. tiven Aktivitäten zu bewegen, sondern auch dem Mangel an IKT-Fachkräften entgegenzuwirken. Dennoch gelingt es uns insbesondere im Falle von Datenmanipulation manchmal nicht, Kooperieren, Zusammenarbeiten so effektiv gegen Verbrechen vorzugehen, wie und Vernetzen wir es gerne täten. Ein Grund hierfür liegt darin, Wenn wir in den letzten Jahren eines über die dass nicht alle Formen der Datenmanipulation moderne Cyber-Umgebung gelernt haben, per Gesetz eindeutig als Straftat definiert sind. dann das: Wir stecken alle drin. Wir können Mit anderen Worten: Selbst bei böswilliger Stärke aufbauen, indem wir uns zusammen- Absicht handelt es sich nicht notwendigerweise schließen und unser Wissen, unsere Erfahrung um eine kriminelle Handlung. Darüber hinaus und unsere Ressourcen gemeinsam nutzen. Dass fehlt es an einem einheitlichen, abgestimmten wir im digitalen Zeitalter alle miteinander ver- rechtlichen Rahmen beziehungsweise an der bunden sind, wird so oft gesagt, dass es schon Nutzung bereits vorhandener rechtlicher Rah- platt wirkt. Wenn nun unsere Widersacher ver- men und Vorgaben. Eine Aktivität kann daher suchen, unsere extreme Vernetzung zu miss- in einer Rechtsordnung als kriminell gelten, in brauchen – warum sollten wir sie nicht nutzen, einer anderen jedoch nicht. um uns gegen die Angreifer zu wehren? Ein weiteres Problem besteht in fehlen- Dies berührt auch die Frage nach Schutz- den Zugriffsmöglichkeiten. Nicht jedes Unter- maßnahmen und Regelungen im Zusammen- nehmen bezieht Strafverfolgungsbehörden ein, hang mit Datenmanipulation sowie nach wenn ein Problem auftritt. Hierfür gibt es ganz entsprechenden Verantwortlichkeiten. Sollte die verschiedene Gründe. Ich möchte Geschäfts- Verantwortung für Probleme rund um Data-Mi- führer jedoch dringend dazu anhalten, bereits ning, Datenschutz und Datenmanipulation ganz im Vorfeld über eine Zusammenarbeit mit den den Technologieanbietern und deren Selbst- Strafverfolgungsbehörden nachzudenken – regulierung überlassen werden? Oder sollten in noch vor Eintritt eines Problems. Durch eine die Diskussion nicht alle Beteiligten, einschließ- aktive Partnerschaft mit der Strafverfolgung wer- lich Industrie und Gewerbe, Strafverfolgungs- den Sie besser gerüstet sein, um Bedrohungen behörden und der Öffentlichkeit, einbezogen abzuwehren und eine starke und wirkungsvolle werden? Ich plädiere für den letzteren Ansatz. Reaktion im Falle eines Angriffs zu ermöglichen. Regulatorische und rechtliche Rahmen- Doch selbst in Fällen, in denen uns Zugriff bedingungen sind nur ein Beispiel. Wenn wir gewährt wird, besteht das Risiko des Daten- das gesamte Spektrum der Cyber-Sicherheit verlusts und des Verlusts von Standortdaten, betrachten, stellen wir fest, dass jeder Aspekt ein was die Ermittlungen erheblich behindert. Es gewisses Maß an Kooperation und Zusammen- besteht auch die dringende Notwendigkeit, arbeit beinhaltet – von nahtlos kooperierenden standardisierte Regeln für die Zusammenarbeit Technologieplattformen bis zu Strafverfolgungs- und Einbeziehung der Privatwirtschaft aufzu- behörden, die nicht nur zusammenarbeiten, um stellen. Damit könnte das mögliche Ausmaß der bereits erfolgte kriminelle Taten zu untersuchen, Kooperation zwischen uns und privatwirtschaft- sondern auch um diese frühzeitig aufzudecken, lichen Unternehmen klar definiert werden. Täter davon abzuhalten und auf andere Bahnen zu lenken beziehungsweise Opfer zu schützen. Was die junge Generation mit ihren guten Fähigkeiten und Kenntnissen in Informati- Das Projekt „No More Ransom“ ist ein groß- ons- und Kommunikationstechnologien (IKT) artiges Beispiel für eine gemeinsame Initiative angeht, unterstützen wir Projekte wie die „Deter- von Strafverfolgungsbehörden und Industrie, die ring Youngsters Initiative“, die zusammen mit nicht nur die Prävention von Straftaten und eine Partnern aus Hochschulen und Industrie das Stärkung des Risikobewusstseins zum Ziel hat, Ziel verfolgen, junge Menschen von einem sondern auch die Unterstützung von Opfern.5 möglichen Weg in die Cyber-Kriminalität Datenmanipulation, Strafverfolgung und unsere Zukunft: ... 123
Die gemeinsame Plattform ist derzeit in über gegen das Gesetz verstoßen, sondern lediglich 30 Sprachen verfügbar und wird von mehr als ihre fundierten Kenntnisse über Social Media 120 Partnern unterstützt. Opfer von Ransom- und Suchmaschinen-Algorithmen nutzen, um ware haben hier kostenfreien Zugriff auf über 50 Daten zu manipulieren. verschiedene Entschlüsselungstools. Vertrauen ist letztlich auch ein Schlüssel- Transparenz, Aufsicht element für erfolgreiche öffentlich-private und Vertrauen schaffen Partnerschaften und Zusammenarbeit. Um den Grad an Zusammenarbeit zu erreichen, der es ermöglicht, erfolgreich gegen Daten- Fortschritte erzielen manipulation vorzugehen, müssen wir unsere Datenmanipulation entwickelt sich zu einer der Mitarbeiter, Prozesse und Technologien ge- bedeutendsten kriminellen Tätigkeiten über- meinsam nutzen und dazu vertrauensvolle Be- haupt. Strafverfolgung spielt eine entscheidende ziehungen zwischen Industriepartnern und Rolle dabei, wie wir eine durchschlagende und Strafverfolgungsbehörden aufbauen. Das be- aktive Kraft gegen kriminelle Aktivitäten auf- deutet auch, dass wir Probleme aus dem Weg bauen, nicht nur eine Reaktion darauf. Die räumen müssen, die infolge mangelnder ganze Gesellschaft profitiert von einem ganzheit- Transparenz und Aufsicht bestehen. Dies gilt lichen, adaptiven und komplementären Ansatz, insbesondere angesichts von Systemen und Um- der alle beteiligten Partner einbezieht – also ein gebungen, die aufgrund kontinuierlicher techno- Ansatz, bei dem Unternehmen die Fähigkeiten logischer Neuerungen zunehmend komplexer und Möglichkeiten nutzen können, die von und dynamischer werden. Strafverfolgungsbehörden bereitgestellt werden. Zum Beispiel: Die Entwicklung von Big-Data-Analysen und • Mit priorisierten und koordinierten ge- automatisierten Prozessen zur Entscheidungs- findung werfen neue Probleme bezüglich Trans- meinsamen Aktionen gegen bedeutende parenz, Aufsicht und damit auch gegenseitigem Cyber-Bedrohungen – unterstützt durch Vertrauen auf. Diese Herausforderungen könn- geeignete Gesetze – können wir die Risiken ten durch die weitere Verbreitung von maschi- für Cyber-Kriminelle verschärfen und echte nellem Lernen und künstlicher Intelligenz noch Konsequenzen einführen. verschärft werden. Wenn wir automatisierte Ent- • Durch effektive Prävention und störende scheidungen basierend auf Algorithmen nutzen, Aktivitäten bewirken wir weitere Schäden können wir möglicherweise nicht klar erkennen, und Nachteile für Kriminelle. Hierzu nutzen ob die Daten oder der Algorithmus manipuliert wir Kooperationen und Partnerschaften zwi- wurden. Dieses Problem wird bei Algorithmen schen Strafverfolgungsbehörden, Regierun- mit integriertem Bias noch verstärkt. Das erhöht gen und der Privatwirtschaft. das Risiko und erschwert es, das Ergebnis der- • Fortschrittliche Technologien und offene artiger Datenverarbeitungsprozesse zu prüfen Plattformen ermöglichen uns das gemeinsame oder zu verifizieren. Nutzen von Sicherheitsinformationen, ma- schinellem Lernen und automatisierten Ent- Vertrauen ist auch ein zunehmendes Problem scheidungsprozessen, um Risiken zu senken hinsichtlich Fake News. Dabei geht es nicht nur und die Reaktion auf Bedrohungen zu ver- um die Erstellung von Fake News und die Mani- bessern. So können wir manuelle Prozesse pulation wahrer Nachrichten. In einigen Fällen vermeiden und Software zur Bekämpfung von werden nur gewisse Teilinformationen weiter- Malware einsetzen, während wir gleichzeitig gegeben. So entsteht eine plausible Darstellung, strenge Datenschutzvorgaben einhalten. die jedoch nicht auf allen verfügbaren Infor- • Durch intensivere Zusammenarbeit und mationen basiert. Dahinter steckt die Absicht, gemeinsame Nutzung von Ressourcen und anstatt einer genauen Beschreibung der Ereig- Informationen können wir uns verbünden nisse eine bestimmte Vorstellung zu vermitteln. Das Problem wird dadurch noch verschärft, dass Täter in diesem Fall nicht notwendigerweise 124 Cyber-Sicherheitsbewusstsein, Verständnis und Leadership
und mit vereinten Kräften den Kampf Cyber-Sicherheitsrisiken schützen. Auch för- gegen die Datenmanipulation antreten. Die dert und unterstützt es das Prinzip „Security by Cyber-Branche hat auf diesem Gebiet große Design“, nach dem Sicherheitskomponenten Fortschritte durch die Einrichtung von Platt- direkt bei der Entwicklung in Produkte und Ser- formen wie Cyber Threat Alliance (CTA) vices integriert werden. erzielt – einer gemeinnützigen Organisation, die es Unternehmen und Organisationen Aus einem weiteren Blickwinkel ist die im Bereich Cyber-Sicherheit ermöglicht, DSGVO eine Verordnung, die die Geschäfts- wertvolle Informationen über Cyber-Be- und Managementmethoden von Unternehmen drohungen nahezu in Echtzeit zu teilen und verbessert, indem Kerngeschäftsprozesse besser gemeinsam zu verwenden. Ein weiteres groß- verstanden und die Werte eines Unternehmens artiges Beispiel für erfolgreiche Zusammen- sowie das entsprechende Risikoprofil klar identi- arbeit, bei dem Strafverfolgungsbehörden ein fiziert werden. Die DSGVO ist sicherlich eine entscheidender Partner sind, ist die Cyber wichtige und sinnvolle Rechtsvorschrift. Seit Defence Alliance. Darüber hinaus haben wir ihrem Inkrafttreten am 25. Mai 2018 gibt aber bedeutende Fortschritte bei der Zusammen- auch die WHOIS-Datenbank auf Anfrage arbeit mit den Mitgliedern unsere eigenen nur noch sehr begrenzte Informationen her- Beratungsgruppen erzielt. aus. Das hat wesentliche Auswirkungen auf die Cyber-Sicherheit, nicht nur für Strafverfolgungs- Blick nach vorn richten behörden, sondern für die gesamte Internet- Wie können wir diese Vision einer verstärkten sicherheitsbranche. Dieser Konflikt verdeutlicht Zusammenarbeit in die Realität umsetzen? Euro- die Notwendigkeit, ein Gleichgewicht zwi- pol und das European Cybercrime Centre (EC3) schen Datenschutz und dem Schutz der Grund- sowie zahlreiche Partner aus Strafverfolgung, rechte und -freiheiten auf der einen Seite und Wirtschaft und Hochschulen sind schon ein Vor- allgemeiner Sicherheit auf der anderen Seite zu zeigebeispiel für die Effektivität und Stärke einer finden. vernetzten Reaktion auf die massiv anwachsende Cyber-Kriminalität. Wir müssen bestehende Technologie: Cyber-Kriminelle entwickeln Partnerschaften laufend verbessern, neue Alli- ständig neue Ansätze, um Daten noch bes- anzen bilden, unser Kooperationsnetz durch ser zu manipulieren und kriminelle Hand- weitere Partner ausbauen und unser Vorgehen lungen über das Internet durchzuführen. Wenn kontinuierlich anpassen. Außerdem sollten wir sie daran hindern wollen, müssen wir aktu- wir Bereiche wie Regulierung und Technologie elle und innovative Technologien effektiv nut- genau ins Auge fassen, um kriminelle Aktivitäten zen. Das erfordert das gemeinsame Nutzen von schneller zu erkennen und zu verstehen, unsere Sicherheitsinformationen, offenen Plattformen, Vorbereitung darauf zu optimieren und unsere KI, maschinellem Lernen und mehr. Darü- gemeinsame Reaktion besser zu koordinieren: ber hinaus müssen wir die Vorteile innovativer Entwicklungen wie der Blockchain-Techno- Verordnungen: Die europäische Daten- logie weiter erforschen und einsetzen, um eine schutz-Grundverordnung (DSGVO) demons- Umgebung zu schaffen, die mehr Transparenz, triert die Vorteile, die eine aktive Regulierung Verlässlichkeit und Resilienz bietet. durch eine starke Cyber-Sicherheitsverordnung bietet. Die DSGVO zwingt Unternehmen zu Big-Data-Analysen, maschinelles Lernen verstehen, welche Daten sie erfassen, wo diese und KI ermöglichen eine bessere Bedrohungs- gespeichert sind, wer sie bearbeitet, wer sie erkennung und -vorhersage, die Erfassung von manipulieren kann und wie diese wertvollen Sicherheitsdaten und entsprechende Analysen Werte geschützt werden. Das setzt ein effekti- sowie eine beschleunigte Reaktion. Damit kön- ves Qualitäts- und Informationsmanagement nen wir Cyber-Sicherheit bedeutend verbessern. voraus und erfordert, dass Unternehmen klar Effektives Nutzen von Informationen ermög- definieren, wie sie ihre laufenden Geschäfte vor licht den gezielteren Einsatz knapper operativer Ressourcen. So können wir genau dort ansetzen, wo Probleme, Vergehen und Bedrohungen zu erwarten sind. Es ist jedoch wichtig, dass wir Datenmanipulation, Strafverfolgung und unsere Zukunft: ... 125
derartige Tools umsichtig, verhältnismäßig und Sicherheitsinformationen ermöglichen. in Übereinstimmung mit geltenden Gesetzen Führen Sie verpflichtende unternehmens- und Vorschriften nutzen. weite Schulungen und Fortbildungen durch: Ein Beispiel für gemeinsames und effektives Wir alle müssen geschult werden, um die Risi- Nutzen von Technologien und Informationen ken der Datenmanipulation besser zu ver- findet sich in dem von der CTA entwickelten stehen und zu begreifen, warum eine verbesserte Programm „Adversary Playbooks“. CTA-Mit- Cyber-Sicherheit unerlässlich ist. Häufig ist es glieder verwenden eine automatisierte Plattform sinnvoll, mit diesen Schulungen auf der obersten zur gemeinsamen Verwendung aussagekräftiger Führungsetage zu beginnen, da diese Führungs- Informationen, um „Adversary Playbooks“ zu kräfte die Risiken kennen und verstehen müs- erstellen, die einen einheitlichen Rahmen zur sen, um die richtigen Investitionen zu tätigen Identifizierung übergreifender Bedrohungs- und kluge strategische Entscheidungen zu tref- indikatoren und gegnerischer Engpässe bieten. fen. Dies gilt ebenso für IT-Sicherheitsmit- Diese Playbooks beinhalten gewöhnlich mehrere arbeiter – heutzutage Mangelware. Bieten Sie wesentliche Elemente: technische Profile, typi- Ihrem IT-Sicherheitspersonal also die erforder- sche Abläufe, empfohlene Aktionen und techni- liche Inspiration sowie attraktive Anreize und sche Indikatoren. Prämien, damit diese wichtigen Mitarbeiter kontinuierlich aufmerksam und informiert blei- Vorschläge für Geschäftsführer ben. Als Führungskräfte müssen wir außerdem und Vorstände dafür sorgen, dass Fortbildungs- und Schulungs- Neben der Konzentration auf Schwerpunkte wie inhalte sowohl in Fortbildungen als auch an allen Verordnungen und Technologie liegt es in der Arbeitsplätzen bekannt gemacht werden, damit Verantwortung von Geschäftsführern und Vor- Nutzer sich der Risiken bewusst sind und sie ständen, sich den dynamischen Problemen der minimieren können, wenn sie online gehen. Datenmanipulation zu stellen. Sie müssen die Cyber-Sicherheitsprogramme ihrer Unterneh- Setzen Sie einen ganzheitlichen Ansatz men festlegen und Entscheidungen über erfor- konsequent durch: Cyber-Sicherheit sollte Teil derliche Investitionen in Personal, Prozesse und eines umfassenden Ansatzes sein, der in alle Pro- Technologien treffen. Die folgenden Vorschläge zesse integriert ist. Geschäftsführer und Vor- für mögliche Schritte und Maßnahmen kön- stände müssen eine Cyber-Sicherheitskultur nen Geschäftsführer und Vorstandsmitglieder entwickeln und fördern, in der sich alle Mit- dabei unterstützen, dieser Verantwortung nach- arbeiter ihrer Verantwortung bewusst sind und zukommen. „Security by Design“ ein wesentliches Prinzip ist, das Sicherheit und Datenschutz als grund- Entwickeln Sie ein Verständnis der sich legende Komponente berücksichtigt. Da Men- wandelnden Denkweise von Cyber-Krimi- schen häufig das schwächste Glied in der Abwehr nellen: Vorstände und Geschäftsführer kön- darstellen, sind Fortbildungen und die Stär- nen Initiativen unterstützen, die den Aufbau kung des Risikobewusstseins unerlässliche Maß- einer aktiven Partnerschaft des Unternehmens nahmen zum Schutz vor Cyber-Kriminalität und mit Strafverfolgungsbehörden fördern. So Datenmanipulation. erzielen Sie Einblicke in die Motive, Techno- logien, Methoden und Geschäftsmodelle von Fazit Cyber-Kriminellen. Diese Erkenntnisse hel- fen Ihnen, die erforderlichen Schritte festzu- Die Welt verändert sich zusehends. Sowohl legen, die Ihr Unternehmen zur Verbesserung Vertraulichkeit als auch Integrität und Ver- der Abwehr von Cyber-Angriffen durchführen fügbarkeit von Daten sind in Gefahr. Krimi- kann. Versuchen Sie außerdem, mit Organi- nelle unterlaufen die Vertraulichkeit von Daten, sationen wie CISP (Cyber Security Informa- indem sie sich unbefugten Zugriff auf Informa- tion Sharing Partnership) zusammenzuarbeiten, tionen verschaffen und diese an Dritte weiter- die eine sichere gemeinsame Nutzung von geben. Durch Manipulation verletzen sie die Integrität von Daten, und kriminelle Vergehen 126 Cyber-Sicherheitsbewusstsein, Verständnis und Leadership
wie Ransomware-Angriffe führen dazu, dass sind wir alle miteinander verbunden. Unsere kritische Informationen nicht verfügbar sind. verbundenen Netzwerke ermöglichen es uns, Daten sind längst ein wichtiges und wertvolles koordiniert und gemeinsam gegen Daten- Gut und rücken daher zunehmend ins Visier manipulation und Cyber-Kriminalität vorzu- von Cyber-Kriminellen. Angreifer nutzen unter gehen. Werden wir das notwendige Vertrauen anderem Datenmanipulation, infizierte Prozesse untereinander aufbauen und die erforderlichen und die wachsenden technischen Möglichkeiten, Prozesse und Technologien einführen können, um wichtige Infrastrukturdienste unserer Gesell- um diese Bedrohungen zu bewältigen? Wir schaft zum Erliegen zu bringen. haben gar keine andere Wahl – wir können und werden es schaffen. Zum Glück sind wir nicht allein. Tatsächlich 1 “Criminal Use of Information Hiding (CUIng) Initiative,” http://cuing.org/ 2 „Massive Blow to Criminal Dark Web Activities After Globally Coordinated Operation“, Europol, 20. Juli 2017 3 „World’s Biggest Marketplace Selling Internet Paralysing DDOS Attacks Taken Down“, Europol, 25. April 2018 4 „Cyber Crime vs Cyber Security: What will you choose?“ Europol, https://www.europol.europa.eu/activities-services/ public-awareness-and-prevention-guides/cyber-crime-vs-cyber-security-what-will-you-choose 5 „No More Ransom project helps thousands of ransomware victims“, ZDNet, 27. Juli 2017 Datenmanipulation, Strafverfolgung und unsere Zukunft: ... 127
Die Konvergenz und Divergenz von Compliance und Cyber-Sicherheit
18 Warum sichere Verfügbarkeit und nicht Compliance das Ziel jedes Unternehmensleiters sein sollte Danny McPherson – Executive Vice President und Chief Security Officer, Verisign Compliance kostet Unternehmen übermäßig umfassenden Programms für das Cyber-Risiko- viel Zeit, Geld und Personalressourcen. Dies gilt management besteht außerdem in der Auf- insbesondere im Zusammenhang mit der Bereit- listung der wichtigsten Werte und Prioritäten stellung eines sicheren Zugriffs auf IT-Ressour- des Unternehmens. cen und dem kontinuierlichen und effektiven Schutz geschäftskritischer Daten. Um es klar auszudrücken: Ich behaupte nicht, dass Compliance unwichtig wäre. Nie- Mein Anliegen ist es, obersten Führungs- mand riskiert gerne Bußgelder, Auflagen oder kräften und Vorständen – und sogar vielen von Schlagzeilen wegen Compliance-Verstößen. Und uns CSOs – klarzumachen, dass wir zu viel niemand möchte Mitglieder unserer Geschäfts- Wirbel um die falsche Sache machen. Bei der führungen für eine schwerwiegende Daten- Zuweisung von IT-Sicherheitsressourcen werden sicherheitsverletzung an den digitalen Pranger noch immer die Anforderungen zur Erfüllung gestellt sehen. der naturgemäß eher reaktiven Complian- ce-Ziele berücksichtigt, statt das Cyber-Risiko- Cyber-Sicherheitsprobleme haben dazu management für das gesamte Unternehmen im geführt, dass Compliance heute für die oberste Blick zu haben. So laufen wir Gefahr, unsere Führungsriege ein ständiger Anlass zur Sorge wichtigsten Werte unzureichend zu schützen! ist. Es ist sicherlich unnötig und zeitlich ohne- hin unmöglich, hier sämtliche Datenschutzver- Das Cyber-Gesamtrisiko eines Unternehmens letzungen unserer Branche aufzuzählen. Einigen lässt sich (teilweise) berechnen, indem die von wir uns einfach darauf, dass all diese Daten- motivierten und fähigen Gegnern ausgehenden sicherheitsvorfälle, Datenverluste und Compli- Bedrohungen (um mutwillige oder fahrlässige ance-Verstöße enorme Kosten in verschiedenen Insider einzubeziehen), die entsprechende Unternehmensbereichen wie Finanzen und Ope- Schwachstelle des Unternehmens und die sich dar- rations verursachen – ganz zu schweigen von aus ergebenden direkten und langfristigen Folgen rechtlichen Folgen, Schäden an der Marken- (Auswirkungen auf Vertraulichkeit, Integrität reputation und sonstigen langfristigen Aus- oder Verfügbarkeit) berücksichtigt werden. wirkungen auf die Betroffenen. Ein erster wichtiger Schritt in Richtung eines RISIKOcyber = Bedrohung (Fähigkeit, Absicht) × Schwachstelle × Folgen 131
Ich bin sicher, dass der bloße Gedanke an CEO zum CSO: eine Schlagzeile mit dem Namen Ihres Unter- Wie ist das HIPAA-Audit verlaufen? nehmens in Verbindung mit einem Datensicher- heitsvorfall Sie erschaudern lässt. So geht es mir CSO: jedenfalls. Großartig, wir haben mit Bravour bestanden. Aber Compliance ist definitiv nicht Ihr Ziel – Antwort des CEO: oder sollte zumindest nicht im Mittelpunkt Ihres Das hör ich gern. Gut gemacht! Cyber-Sicherheitsprogramms stehen. Denn eins ist klar: Gedanke des CEO: Erledigt, darüber brauche ich mir erst nächstes Compliance bedeutet nicht zwangsläufig auch Sicherheit. Jahr wieder Gedanken zu machen. Der Nachweis von Compliance, entweder Tatsächlich trägt Compliance nur wenig durch eine externe Regulierungsstelle oder eine oder gar nicht dazu bei, dass Ihre kritischen Sys- interne Funktion, ist gewöhnlich eine Status- teme jederzeit verfügbar sind – und ein Ausfall prüfung zu einem bestimmten Zeitpunkt. Wir der Systeme gefährdet all Ihre Geschäfte. Ange- sollten uns durch den erfolgreichen Nachweis sichts einer wachsenden Anzahl von Cyber-Be- aber nicht verleiten lassen zu glauben, dass die drohungen müssen Sie daher die richtigen Verfügbarkeit unserer Systeme und Daten auch Schritte priorisieren, um die zuverlässige Ver- über diesen Zeitpunkt hinaus gewährleistet wäre. fügbarkeit wesentlicher Services und Schlüssel- Selbst eine unterbrochene Systemverfügbarkeit ressourcen sicherzustellen. Dann – und nur von nur wenigen Minuten kann Millionen Euro dann – haben Sie die Chance, operative Integri- kosten, das Vertrauen von Kunden erschüttern tät kontinuierlich zu erhalten und in dem extrem und dem Ruf eines Unternehmens schaden. vernetzten Internet-Ökosystem von heute Com- Ein Cyber-Angriff kann jederzeit: pliance zu erzielen. Dafür gibt es verschiedene • das Trinkwasserversorgungssystem einer Gründe. Stadt lahmlegen • die Wide-Area-Network-Infrastruktur eines Warum Verfügbarkeit zählt und wieso Internet-Dienstanbieters stören sie zuverlässig gewährleistet sein muss • das DLS-System eines Onlinehändlers Unternehmen investieren heute viel Aufmerk- umgehen samkeit, Kosten und Energie in den Nachweis • die Robotik-basierte Fertigungslinie einer von Compliance. Dabei ist jedoch zu beachten, Produktionsanlage zum Stillstand bringen dass es mit Compliance allein nur beschränkt • das Online-Wahlsystem einer Gemeinde möglich ist, die Sicherheit wesentlicher Systeme ausschalten und Daten zu gewährleisten. Wenn eins dieser Systeme (oder eine ande- re kritische Anwendung) durch einen Cyber-An- Compliance-Vorgaben sind tendenziell eher griff außer Funktion gesetzt wird, verliert ein reaktiv und beziehen sich auf spezielle und bestandenes Compliance-Audit, auf das Sie so gezielte Bereiche, je nach Branche, geografischer stolz waren, schlagartig alle Bedeutung. Region oder Art der zu schützenden Daten. Erfreulicherweise wird diese Tatsache immer Diese Anforderungen konzentrieren sich häufig mehr Geschäftsführern bewusst, da sie ihnen in erster Linie auf die Vertraulichkeit und dar- immer wieder von besorgten CIOs oder CSOs über hinaus auf die Integrität von Daten. Das vor Augen geführt wird – oder von einer Unter- sind sicherlich zwei wichtige Punkte. Sie tra- nehmensleitung, die erkennt, dass Compliance gen jedoch wenig oder gar nicht zur allgemeinen Resilienz von Systemen bei, also dazu, dass geschäftskritische Systeme und Daten bei Bedarf stets für Mitarbeiter, Partner und Kunden ver- fügbar sind. Geschäftsführer sehen den Nach- weis von Compliance außerdem häufig als ein Ereignis oder eine einmalig zu nehmende Hürde, wie das folgende Gespräch deutlich macht: 132 Die Konvergenz und Divergenz von Compliance und Cyber-Sicherheit
nur erzielt werden kann, indem das Gesamt- dem Internet verbunden werden – nicht nur bild, also eine zuverlässige Verfügbarkeit und untereinander, sondern häufig auch mit unse- Resilienz, priorisiert wird. Geschäftsführer und ren wichtigsten Unternehmenssystemen und Vorstände kommen zunehmend zu der Ein- IT-Infrastrukturen –, erhöhen sich die Risiken sicht, dass zuverlässige Verfügbarkeit die Grund- für eine zuverlässige Verfügbarkeit und damit voraussetzung für Compliance ist. Es gibt daher wiederum auch für die Compliance. immer häufiger differenziertere Gespräche mit Geschäftsführern und in Vorstandssitzungen, Ein weiteres zweischneidiges Schwert ist die die weit über rein Compliance-orientierte Pro- zunehmende Nutzung von Self-Service-Techno- bleme wie Vertraulichkeit und Datenintegrität logien für Kunden, wie Online-Banking, Omni- hinausgehen. channel-Shopping oder die Beantragung und Verwaltung kommunaler Dienstleistungen über Es ist nicht überraschend, dass Unternehmen ein digitales Gerät oder einen Public-Cloud-Ser- mit einer Kultur, die die Zusammenarbeit zwi- vice. Unbestreitbar werden damit unzählige neue schen geschäftlichen und technischen Leitern in Dienste ermöglicht und die Kundenbindung den Mittelpunkt stellt, kompetente Führung zei- durch eine verbesserte Interaktion und Service- gen, indem sie zuverlässige Verfügbarkeit prio- leistung gestärkt. Gleichzeitig führt dieser Trend risieren und Compliance als ein Resultat davon jedoch auch zu unzähligen nicht verwalteten sehen. Dagegen laufen solche CEOs und Vor- Endpunkten und unzureichend geschützten Ein- standsmitglieder, die Cyber-Sicherheit als ein trittspunkten in unsere digitalen Infrastrukturen, rein technisches Problem abtun und es aus- in denen Systeme bei einer Unterbrechung der schließlich dem SecOps-Team überlassen oder Verfügbarkeit ausfallen oder wirkungslos werden. durch eine bloße Aufstockung des Informations- sicherheitsbudgets zu lösen versuchen, Gefahr, Mobilität, Cloud, Virtualisierung und dass ihr Unternehmen als nächstes in die Schlag- andere Technologien führen außerdem zur Ent- zeilen gerät. wicklung neuer Personal- und Arbeitsmodelle, wie Teams an verschiedenen Standorten, vir- Ein ernüchternder Gedanke: Neue tuelle Zusammenarbeit oder die Frage, wann, Unternehmensinitiativen vergrößern wo und wie Mitarbeiter arbeiten und Infor- häufig Ihr Cyber-Risikoprofil und ge- mationen gemeinsam nutzen. Einerseits bie- fährden die Compliance ten diese Modelle Mitarbeitern mehr Flexibilität In diesem Buch und in vielen anderen Dis- und Möglichkeiten. Auf der anderen Seite ver- kussionen werden Sie zweifellos viel über die in- ursachen sie jedoch auch enorme Sicherheits- teressanten Möglichkeiten lesen und hören, die probleme, da kostbare Unternehmenswerte sich für Unternehmen durch die Implemen- damit noch verstreuter und sehr viel schwieriger tierung neuer Technologien in alltägliche Ge- zu schützen sind. schäftsprozesse und Routineabläufe ergeben. Jeder dieser neuen Trends beinhaltet einen Trends wie das Internet der Dinge, wesentlichen Risikofaktor, der zu Proble- Cloud-Computing, Unternehmensmobilität men bei gesetzlichen oder internen Complian- und die digitale Transformation ermöglichen ce-Vorgaben führen kann. Wesentlich schwerer Unternehmen mehr Effizienz und eine bes- als diese Compliance-Probleme wiegen jedoch sere Marktpositionierung durch kürzere Ein- die Probleme, die auftreten, wenn infolge von führungszeiten neuer Produkte und Services. Sicherheitslücken oder fehlender Netzwerk- konnektivität irgendwo innerhalb des digitalen Gleichzeitig machen diese technischen Neue- Ökosystems neue Produkte und Services nicht rungen unsere Unternehmen und ihre gesamten verfügbar sind. Ökosysteme jedoch auch anfälliger für Schwach- stellen und Bedrohungen. Schlussfolgerung: Stellen Sie Verfügbarkeit durch einen Ein Beispiel ist das IoT mit den wohl auf- dreistufigen Ansatz sicher regendsten und vielversprechendsten Techno- Wie ich bereits in diesem Kapitel betont habe, logieanwendungen seit Jahrzehnten. Wenn wird Compliance idealerweise durch einen jedoch Milliarden von Alltagsgegenständen mit Warum sichere Verfügbarkeit und nicht Compliance das Ziel jedes Unternehmensleiters sein sollte 133
weitsichtigeren, strategischen Ansatz erzielt, Voraussetzungen, um eine zuverlässige Verfüg- nämlich in erster Linie durch Konzentration auf barkeit sicherzustellen und Compliance-Pflich- eine zuverlässige Verfügbarkeit unter Berück- ten nachzukommen. Aber wenn Sie diese sichtigung des allgemeinen Cyber-Risikos des wesentlichen Anforderungen nicht erfüllen, Unternehmens. Der Weg zu einer zuverlässigen müssen Sie damit rechnen, dass Behörden oder Verfügbarkeit erfordert jedoch Geduld, prak- andere regulatorische Stellen gegen Sie vorgehen tische Erfahrung und einen definierten Pro- und jederzeit ein teurer und schädigender Sicher- zess, der mehr auf Unternehmenszielen als auf heitsvorfall als Folge einer Datensicherheitsver- Technologien basiert. letzung oder eines Datenverlusts eintreten kann. In den vergangenen Jahren habe ich mit Tun, was Sie geplant und angekündigt zahlreichen Branchenkollegen zusammen- haben. Hierbei geht es um die konsequente und gearbeitet, um Cyber-Sicherheitsprobleme zu engagierte Durchsetzung des Plans – und zwar identifizieren und zu bewältigen und dazu bei- in jeder Hinsicht, also vertraglich, rechtlich und zutragen, dass auf diesem Weg gleichzeitig auch bezüglich interner Richtlinien oder auch ethi- Compliance-Ziele erfüllt werden. Das Ergeb- scher Grundsätze. Dieser Punkt sollte Teil des nis unserer Bemühungen ist ein Framework zur Governance-Programms Ihres Unternehmens Gewährleistung einer zuverlässigen Verfügbar- sein, das gemeinsam von Unternehmensleitung, keit, das sich aus drei wesentlichen Komponen- IT- und Sicherheitsteams sowie Rechtsberatern ten zusammensetzt: erarbeitet wurde. Auch hier besteht das oberste Ziel darin, eine zuverlässige Verfügbarkeit sicher- • Tun, was getan werden muss. zustellen. Das Erfüllen von Compliance-Zie- len ist ein erfreulicher Nebeneffekt. Unsere • Tun, was Sie geplant und angekündigt Governance-Programme müssen also über gute haben. Richtlinien und das Richtlinienmanagement hinausgehen und auch die entsprechende Durch- • Kontinuierlich optimieren und anpassen an setzung forcieren – so wie in Unternehmen heute neue Erkenntnisse und Methoden, die als bereits Personal- und Finanzrichtlinien selbstver- „gut“ beurteilt werden. ständlich und konsequent durchgesetzt werden. Das Reporting muss einheitlich, transparent und Voraussichtlich werden Unternehmen die- so gestaltet sein, dass die Informationen auch in ses Framework je nach Zielen, Risikobereitschaft, den oberen Etagen des Unternehmens verstanden Stärken und Vision auf ganz individuelle Weise werden. Darüber hinaus ist es natürlich wichtig, entwickeln und anwenden. Jedes Unternehmen, dass Richtlinien und Durchsetzungsprozesse im das eine zuverlässige Verfügbarkeit anstrebt, wird gesamten Unternehmen mithilfe von Initiati- dabei jedoch auf dieselben Fragen und Probleme ven zur Förderung des Sicherheitsbewusstseins stoßen, die jede dieser drei Säulen mit sich bringt. und gezielten Schulungsprogrammen kommu- niziert werden. Wenn Sie zum Beispiel über eine Tun, was getan werden muss. Dies ist der Data-Loss-Prevention-(DLP-)Richtlinie ver- Ausgangspunkt für alle Unternehmen. Schließ- fügen, Ihre Mitarbeiter aber nicht darin schulen, lich muss auch Ihr Unternehmen die Gesetze wie Daten gekennzeichnet, sicher geteilt, über- und rechtlichen Bestimmungen der unter- tragen und gespeichert werden oder wie lange schiedlichen Rechtsordnungen einhalten, in und wo Daten aufbewahrt werden dürfen, wer- denen es Geschäfte betreibt. Hierzu zählen Pro- den Sie große Schwierigkeiten bekommen und bleme rund um personenbezogene Daten unter sehr damit zu kämpfen haben, einen kontinuier- Ihrer Verwaltung und geltende Datenschutzver- lichen Compliance-Status zu erzielen. ordnungen. Darüber hinaus müssen Sie sicher- stellen, dass Sie verantwortungsvoll mit den Kontinuierlich optimieren und anpassen Ihnen von anderen Personen oder Parteien zur Verfügung gestellten Daten umgehen und diese an neue Erkenntnisse und Methoden, die als zuverlässig schützen. Sie denken wahrschein- „gut“ beurteilt werden. Glücklicherweise gibt lich, dass das so elementare Anforderungen es eine Reihe sinnvoller und bewährter Stan- sind, dass man sie gar nicht mehr zu erwähnen dards zum Schutz von Systemen und digitalen bräuchte. Tatsächlich sind das grundlegende 134 Die Konvergenz und Divergenz von Compliance und Cyber-Sicherheit
Werten, insbesondere wenn diese über das Inter- zu erfassen und zu teilen, ohne Gefahr zu lau- net übertragen oder dort gespeichert werden. fen, gegen kartellrechtliche Bestimmungen Zweifellos ist Ihrem CSO und den IT-Führungs- zu verstoßen. Anders als wir nutzen Angreifer kräften das National Institute of Standards and Asymmetrien aus und passen ihre Takti- Technology (NIST) Cyber Security Framework ken und Methoden kontinuierlich an. Ohne (CSF) bekannt, ein freiwilliges Bezugssystem mit den angemessenen Austausch von Informatio- Modellen basierend auf den Prinzipien „Priori- nen und ohne Zusammenarbeit werden Unter- sierung, Flexibilität und Wiederholbarkeit“. Das nehmen möglicherweise dazu verleitet, sich in Center for Internet Security veröffentlicht außer- Sicherheit zu wiegen und zu glauben, dass ihr dem eine Liste mit den 20 besten Sicherheits- Sicherheitsstatus viel höher und die Verfügbar- lösungen. Diese Liste bietet eine hervorragende keit ihrer Services und Produkte viel sicherer ist, Unterstützung bei der Auswahl geeigneter und als es tatsächlich der Fall ist. effektiver Informationssicherheitsinvestitionen. Natürlich müssen Geschäftsführer hinter die- Mögliche sinnvolle Schritte für sen und anderen anwendbaren Strukturen ste- Geschäftsführer und Vorstände hen, die dem Unternehmen helfen, wesentliche Sobald ein Unternehmen erkannt hat, dass zuver- Sicherheits- und Resilienzziele zu identifizieren lässige Verfügbarkeit – und folglich auch der und entsprechende Metriken einzuführen. Nachweis von Compliance – eher ein geschäft- Mithilfe dieser Metriken lässt sich außerdem liches als ein technisches Problem darstellt, ist beurteilen, inwieweit das Unternehmen in der die erste Hürde auf dem Weg zum Ziel bereits Lage ist, eine zuverlässige Verfügbarkeit sicher- genommen. Außerdem gibt es effiziente Mög- zustellen und damit eine Grundlage für Compli- lichkeiten für Geschäftsführer, aus den Erfah- ance zu schaffen. rungen anderer zu lernen, um entsprechende Bemühungen und Initiativen im Unternehmen Noch bis vor Kurzem neigten Techniker zu unterstützen. dazu, Verfügbarkeit anhand von Internetzugriff und Service Level Agreements (SLAs) zu mes- Zunächst sollte sich Ihr Unternehmen mit sen. Es war keine Katastrophe, wenn die Inter- bekannten und bedeutenden Datensicherheits- netverbindung für Unternehmensanwender oder vorfällen näher beschäftigen und nach eventu- Privatnutzer ein paar Stunden oder sogar einen ellen Parallelen und Gemeinsamkeiten mit der ganzen Tag lang unterbrochen war. Inzwischen eigenen Situation suchen. Welche Schwach- haben wir jedoch bedeutende Fortschritte darin stellen hat der Sicherheitsvorfall ans Tages- erzielt, die Geschäftsauswirkungen von Unter- licht gebracht, und könnten diese auch für Ihr brechungen der Service-Verfügbarkeit zu mes- Unternehmen und seine Abläufe relevant sein? sen. Heute stehen Sie vor einem wirklich Wie haben andere Unternehmen reagiert, um ernsthaften Problem, wenn Sie kritische Ser- den Schaden sowohl in technischer als auch in vices nicht ununterbrochen für Mitarbeiter, kommunikativer Hinsicht zu beseitigen? Wie Kunden und Partner bereitstellen können. Wir sieht Ihr Plan im Falle eines derartigen Vorfalls dürfen unsere Unternehmen also nicht an den aus? Welche Auswirkungen hatte der Vorfall Punkt bringen, wo systemische Abhängigkeiten auf die Betriebsabläufe des betroffenen Unter- den Ausfall unserer Systeme verursachen und nehmens, und wie gefährdet ist Ihr eigenes unseren Zugriff auf kritische Daten und Ser- Unternehmen? vices verhindern. Dazu ist es entscheidend, dass wir zusammenarbeiten, um uns ein umfassendes Des Weiteren ist es absolut unerlässlich, und detaillierteres Bild von Risiken, ihren direk- dass Sie über einen Ablaufplan im Falle mög- ten Auswirkungen und den langfristigen Folgen licher DDoS- und Ransomware-Angriffe ver- zu verschaffen. fügen. Solch ein Plan ist von entscheidender Bedeutung, da täglich mehr Unternehmen auf In den USA macht es der Cyber Secu- derartige Weise angegriffen werden. Warum rity Act aus dem Jahr 2015 Unternehmen mit auch nicht? Angriffe dieser Art lassen sich ohne informationsgesteuerten Sicherheitsprogrammen große Kosten durchführen und die Täter sind sehr viel einfacher, Cyber-Sicherheitsindikatoren intelligent genug, ihre Opfer entweder unter Warum sichere Verfügbarkeit und nicht Compliance das Ziel jedes Unternehmensleiters sein sollte 135
enormen Druck zu setzen oder Lösegelder zu for- vierteljährliche Offenlegungsberichte, Reports dern, die gering genug sind, um von Geschäfts- zu internen Risiken, Compliance-Dokumente führern und Vorständen als „lästiges Ärgernis“ und -Audits und dergleichen zusammenzucken. abgetan zu werden. Eine gute Vorbereitung auf Mit der Zeit lernte ich jedoch, diese und andere derartige Angriffe wird Sie darüber hinaus in die Gelegenheiten dafür zu nutzen, Cyber-Risiken, Lage versetzen, eine ganze Reihe weiterer schädi- Bedrohungen, Auswirkungen und vorbeugende gender Malware und Angriffe zu identifizieren, Schritte mit meinen Kollegen im Unternehmen zu verhindern beziehungsweise gegebenenfalls zu und den Vorstandsmitgliedern zu besprechen, erkennen und darauf zu reagieren sowie eventu- und zwar aus einer ganzheitlichen Unternehmens- elle Auswirkungen und Folgen zu beseitigen. In perspektive. Ich sehe diese Gespräche inzwischen Abbildung 1 auf Seite 137 erhalten Sie einen ent- als Chance, die Alarmglocken zu läuten und auf sprechenden Überblick. wichtige Cyber-Risiken aufmerksam zu machen, bevor etwas Schlimmes passiert. Sitzungen wie Der Reaktionsablauf im Falle eines Angriffs diese bieten außerdem die Möglichkeit, wich- muss sorgfältig geplant und präzise ausgeführt tige Stakeholder über aktuelle Veränderungen werden. An dieser Stelle sind Erfahrung und zu informieren und ihnen zu erläutern, welche Führungsgeschick der Unternehmensleitung Maßnahmen und Schritte durchgeführt wur- und des Vorstands äußerst hilfreich. Sicher- den, um die Verfügbarkeit der wichtigsten Werte lich werden Sie von Mitgliedern der obersten – und natürlich die kontinuierliche Compliance Führungsriege auch in einigen Sitzungen und mit geltenden Bestimmungen – sicherzustellen. Konferenzen aufgefordert, Rede und Antwort zu stehen. Sie sollten diese Gespräche jedoch nicht Letzten Endes sollten wir uns weniger fürchten, sondern sie selbstsicher und sinnvoll Gedanken über zu bestehende Audits und den nutzen. Wenn Sie Ihre Hausaufgaben gemacht zu erbringenden Nachweis eines momentanen haben und gut vorbereitet sind, können Sie in Compliance-Status machen als vielmehr über die diesen Gesprächen sicherstellen, dass Ihre Ver- Grundlagen der Cyber-Sicherheit: Verfügbar- teidigungsstrategien auf die Geschäftsprioritäten keit, Vertraulichkeit und Integrität. abgestimmt sind. Ihr Chief Compliance Officer mag dies für Und drittens sollten Sie gesetzliche Auf- einen ketzerischen Gedanken halten, aber Ihr lagen und Governance-Anforderungen als Fokus auf zuverlässige Verfügbarkeit bewirkt weit eine Möglichkeit sehen, den internen Dia- mehr, als nur Regulierungsbehörden zufrieden- log und die detaillierte Planung zu fördern. zustellen. Er stellt sicher, dass Ihr Unternehmen Lange Zeit ließ mich der bloße Gedanke an auch morgen noch existiert. 136 Die Konvergenz und Divergenz von Compliance und Cyber-Sicherheit
Search
Read the Text Version
- 1
- 2
- 3
- 4
- 5
- 6
- 7
- 8
- 9
- 10
- 11
- 12
- 13
- 14
- 15
- 16
- 17
- 18
- 19
- 20
- 21
- 22
- 23
- 24
- 25
- 26
- 27
- 28
- 29
- 30
- 31
- 32
- 33
- 34
- 35
- 36
- 37
- 38
- 39
- 40
- 41
- 42
- 43
- 44
- 45
- 46
- 47
- 48
- 49
- 50
- 51
- 52
- 53
- 54
- 55
- 56
- 57
- 58
- 59
- 60
- 61
- 62
- 63
- 64
- 65
- 66
- 67
- 68
- 69
- 70
- 71
- 72
- 73
- 74
- 75
- 76
- 77
- 78
- 79
- 80
- 81
- 82
- 83
- 84
- 85
- 86
- 87
- 88
- 89
- 90
- 91
- 92
- 93
- 94
- 95
- 96
- 97
- 98
- 99
- 100
- 101
- 102
- 103
- 104
- 105
- 106
- 107
- 108
- 109
- 110
- 111
- 112
- 113
- 114
- 115
- 116
- 117
- 118
- 119
- 120
- 121
- 122
- 123
- 124
- 125
- 126
- 127
- 128
- 129
- 130
- 131
- 132
- 133
- 134
- 135
- 136
- 137
- 138
- 139
- 140
- 141
- 142
- 143
- 144
- 145
- 146
- 147
- 148
- 149
- 150
- 151
- 152
- 153
- 154
- 155
- 156
- 157
- 158
- 159
- 160
- 161
- 162
- 163
- 164
- 165
- 166
- 167
- 168
- 169
- 170
- 171
- 172
- 173
- 174
- 175
- 176
- 177
- 178
- 179
- 180
- 181
- 182
- 183
- 184
- 185
- 186
- 187
- 188
- 189
- 190
- 191
- 192
- 193
- 194
- 195
- 196
- 197
- 198
- 199
- 200
- 201
- 202
- 203
- 204
- 205
- 206
- 207
- 208
- 209
- 210
- 211
- 212
- 213
- 214
- 215
- 216
- 217
- 218
- 219
- 220
- 221
- 222
- 223
- 224
- 225
- 226
- 227
- 228
- 229
- 230
- 231
- 232
- 233
- 234
- 235
- 236
- 237
- 238
- 239
- 240
- 241
- 242
- 243
- 244
- 245
- 246
- 247
- 248
- 249
- 250
- 251
- 252
- 253
- 254
- 255
- 256
- 257
- 258
- 259
- 260
- 261
- 262
- 263
- 264
- 265
- 266
- 267
- 268
- 269
- 270
- 271
- 272
- 273
- 274
- 275
- 276
- 277
- 278
- 279
- 280
- 281
- 282
- 283
- 284
- 285
- 286
- 287
- 288
- 289
- 290
- 291
- 292
- 293
- 294
- 295
- 296
- 297
- 298
- 299
- 300
- 301
- 302
- 303
- 304
- 305
- 306
- 307
- 308
- 309
- 310
- 311
- 312
- 313
- 314
- 315
- 316
- 317
- 318
- 319
- 320
- 321
- 322
- 323
- 324
- 325
- 326
- 327
- 328
- 329
- 330
- 331
- 332
- 333
- 334
- 335
- 336
