RHERSTELLEN IDENTIFIZI EREN REAGIEREN WIEDE SCHÜTZEN FRAMEWORK FÜR CYBER-SICHERHEIT VERSION 1.1 ERKENNEN Abbildung 1: Fünf Phasen des NIST Cyber Security Framework (CSF) 1.1. Quelle: N. Hanacek/NIST Warum sichere Verfügbarkeit und nicht Compliance das Ziel jedes Unternehmensleiters sein sollte 137
19 Die digitale Revolution in Europa ermöglichen: eine effektive Cyber-Sicherheitsstrategie durch Vertrauen und Zusammenarbeit aufbauen Michal Boni – Mitglied des Europäischen Parlaments Wir stehen am Übergang zu einer neuen, auf- Vertrauen aufbauen regenden Phase des digitalen Zeitalters. Die Vertrauensbildung ist vielleicht der wichtigste 5G-Infrastruktur wird neue Möglichkeiten eröff- Faktor, um die bevorstehende digitale Revoluti- nen; neue personalisierte digitale Dienste werden on zu ermöglichen – vielleicht noch wichtiger als Innovationen und Erfindungen fördern; wir wer- die Technologie selbst. Der Aufbau von Vertrau- den Daten mit noch höheren Geschwindigkei- en erfordert zwei wesentliche Dinge: ten übertragen können; neue Geschäftsmodelle 1. das Bewusstsein für die Notwendigkeit von werden Industry 5.0 ermöglichen; das Internet der Dinge wird mit Milliarden von vernetzten Cyber-Sicherheit und einem effektiven Geräten ein beispielloses Ausmaß annehmen. Schutz personenbezogener Daten 2. die Entwicklung eines geeigneten rechtli- Gleichzeitig treten wir in eine neue Ära chen und institutionellen Rahmens für Cy- der Zusammenarbeit zwischen Mensch und ber-Sicherheit und Datenschutz Maschine ein, die dank der Nutzung von Wie können wir dies erreichen? Was können Algorithmen und künstlicher Intelligenz unbe- wir tun, um das Bewusstsein für Cyber-Sicher- grenzte Möglichkeiten für die Datenverarbei- heit zu stärken? Welche praktischen Maßnah- tung bietet. Darüber hinaus erleben wir eine men können wir ergreifen, um unsere digitale schnelle Weiterentwicklung von High-Perfor- Welt zuverlässig zu schützen? Wie schaffen wir mance-Computing-(HPC-)Netzwerken und das erforderliche Maß an Vertrauen, damit sich eine kontinuierliche Optimierung der zugrun- Anwender bei der Nutzung der fortschrittli- de liegenden Technologien für Cloud- und chen Technologien des digitalen Zeitalters sicher Storage-Lösungen. fühlen? Drei Dinge sind dazu zwingend erforderlich. All diese Fortschritte versprechen revoluti- Zunächst einmal müssen wir die Hürden und onäre Veränderungen in unserer Arbeitswelt, Grenzen überwinden, die sich uns hinsichtlich Kommunikation, Freizeit sowie unserer Schul- Cyber-Sicherheit auf innereuropäischer Ebene und Weiterbildung. Wie können wir an der stellen. Zweitens müssen wir durchsetzbare Cy- Schwelle zu dieser neuen digitalen Transformati- ber-Sicherheitsrichtlinien einführen, die auf Ri- on als Führungskräfte in unseren Bereichen – ob sikoanalysen und -management basieren. Und in staatlichen Institutionen oder in der Privat- wirtschaft – für die Sicherheit unserer digitalen Welt sorgen? Die Antwort ist einfach: mit Vertrauen. 139
drittens ist die Entwicklung eines Modells der und -aussteller an der MRA teilnehmen. Damit gemeinsamen Sicherheitsverantwortung erfor- können Unternehmen mit nationalem Zertifikat derlich, um Cyber-Sicherheitsrisiken zu beurtei- dies auch in allen anderen teilnehmenden Län- len und zu bewältigen. dern nutzen. Dennoch ist damit keine geeignete langfristige Lösung geschaffen. Als Mitglied des Europäischen Parlaments und damit als aktiver Mitgestalter der Gesetzge- Vielmehr ist die Entwicklung eines gemein- bung auf europäischer Ebene bin ich fest davon samen, einheitlichen Zertifizierungsrahmens überzeugt, dass Dialog und Zusammenarbeit für die Cyber-Sicherheit erforderlich. Im Vor- zwischen politischen Entscheidungsträgern und schlag für eine Verordnung zur Cyber-Sicher- Wirtschaftsakteuren erforderlich sind. Nur so heit (Rechtsakt zur Cyber-Sicherheit), an dem können wir diese Herausforderungen angehen das Europäische Parlament derzeit arbeitet, wird und gemeinsam die richtigen politischen Ant- dies empfohlen. Die Entwicklung und Einfüh- worten entwickeln und umsetzen, um die digi- rung dieses gemeinsamen Rahmens ist ein lang- tale Revolution möglich zu machen. Gelingt es wieriger Prozess, der nach einigen Jahren der uns, diese Probleme und Herausforderungen für Erprobung von dem jetzigen freiwilligen in ein die EU effektiv zu bewältigen, so ebnen wir mei- obligatorisches Modell übergehen muss. ner Ansicht nach damit auch der restlichen Welt den Weg in das neue digitale Zeitalter. Bei der Einführung des Rechtsakts zur Cy- ber-Sicherheit ist eine offene, zukunftsorientier- Kernproblem: Zertifizierungen te Perspektive erforderlich. Diese lässt sich durch Für uns in der EU beginnt die Reise mit dem einen marktgesteuerten Ansatz erzielen, der kei- Einführen allgemeiner, einheitlicher Zertifizie- nen übermäßigen administrativen Druck ausübt. rungen. Bei einer erfolgreichen Umsetzung wird Diese Art von Flexibilität ist entscheidend, um dies auch zur Realisierung unserer gemeinsa- Zertifizierungsschemata zu implementieren, die men globalen Ziele beitragen. Derzeit gibt es in nicht nur den aktuellen Bedrohungen, sondern der EU 28 unterschiedliche nationale Regelwer- auch zukünftigen Gefahren und Risiken gerecht ke für Zertifizierungen, was die Bemühungen werden. zur Verbesserung der Cyber-Sicherheit enorm behindert. Das offen gestaltete Modell für eine einheit- liche europäische Zertifizierung sollte klar und In Europa haben wir daher momentan mit transparent sein und auf diesem branchen- und einem Flickwerk aus verschiedenen Zertifizie- marktgesteuerten Ansatz basieren. Es gibt kei- rungsschemata und -initiativen für Cyber-Si- ne Einheitslösungen, die alle Branchen, Geräte, cherheit zu kämpfen. Auf der einen Seite sind Services, Infrastrukturen, Software und Hard- bereits nationale Zertifizierungsprogramme vor- ware abdecken. handen oder werden gerade eingeführt, die je- doch nicht oder nur unzureichend in anderen Daher ist unbedingt von Fall zu Fall ein in- Ländern anerkannt sind. Andererseits sind nicht dividueller Ansatz erforderlich, damit Cyber-Si- alle EU-Mitgliedstaaten in der Arbeitsgruppe für cherheitsprobleme und -risiken effektiv und die Sicherheit der Informationssysteme (SOG- erfolgreich bewältigt werden können. Darü- IS) vertreten, dem wichtigsten europäischen ber hinaus ist es von entscheidender Bedeutung, Gremium für die gegenseitige Anerkennung dass eine angemessene Risikobewertung durch- von Regelwerken. geführt und danach ein entsprechendes Verfah- ren für Zertifizierungskandidaten vorgeschlagen Die in der SOG-IS getroffene Vereinbarung wird. Dies sollte von den Ergebnissen der Risi- über die gegenseitige Anerkennung (Mutual Re- koanalyse in Verbindung mit entsprechend un- cognition Agreement of Information Technolo- terschiedlichen möglichen Sicherheitsniveaus gy, MRA) gilt zurzeit für zwölf Mitgliedstaaten abhängen. plus Norwegen. Die Vereinbarung definiert ei- nige Sicherheitsprofile für digitale Produkte, Modell zum Erstellen wie zum Beispiel digitale Signaturen und Smart- von Zertifizierungen cards. Mitglieder können als Zertifikatsnutzer Die Europäische Kommission hat drei Risiko- stufen für Zertifikate vorgeschlagen: hoch, mittel 140 Die Konvergenz und Divergenz von Compliance und Cyber-Sicherheit
und niedrig. Wir müssen uns mit diesen Vor- davon, ob mit einem hohen oder eher geringe- schlägen befassen und bestimmen, ob wir genaue ren Maß an verwendeten IT-Lösungen – sollten und strenge Definitionen der verschiedenen Si- damit beginnen, ihre Cyber-Risiken zu analysie- cherheitsniveaus benötigen. Darüber hinaus ren. Jedes Unternehmen muss in der Lage sein, muss die Frage nach dem Konzept der Selbstbe- diese Risiken zu managen. Es ist daher wichtig, wertung beantwortet werden. Wer legt die Ri- dass die verschiedenen Branchen bereit sind, die- siken fest und wie soll dieser Prozess ablaufen? se Verantwortung in zahlreichen Bereichen ge- Was wird der treibende Faktor sein: Bequem- meinsam zu tragen. lichkeit/Selbstbewertung oder klare Anforde- rungen auf der Grundlage der Bedeutung von Darüber hinaus müssen wir als Einzelper- Cyber-Sicherheit? sonen einbezogen werden und uns eigenverant- wortlich vor Cyber-Risiken schützen. Risiken Die Normen, Standards und technischen An- lassen sich häufig durch unser Verhalten und forderungen für Cyber-Sicherheitszertifizierun- unser Wissen über Cyber-Sicherheitsprobleme, gen sollten von Experten und Branchenakteuren unsere alltäglichen Gewohnheiten und unsere besprochen werden. Diese Gespräche sollten zu- persönliche Cyber-Sicherheitshygiene deutlich nächst im Rahmen von Expertenarbeitsgruppen reduzieren. stattfinden, die von der EU-Cybersicherheits- agentur (Agentur der Europäischen Union für Und letztlich ist es unerlässlich, Anwen- Netz- und Informationssicherheit, ENISA) ein- der in diesem Bereich entsprechend zu schulen. gesetzt werden. Aufgabe dieser Gruppen wird Die Grundlagen der Cyber-Sicherheitshygie- sein, die jeweiligen Schemata für die Kandida- ne müssen daher in allen europäischen Ländern tenzertifizierung zu definieren. als wichtiger Teil in Bildungs- und Lehrpläne integriert werden. Wir alle sollten angemessen Dazu ist eine effektive Plattform für die Zu- geschult sein. sammenarbeit an wichtigen Problemen der Cy- ber-Sicherheit besser geeignet als allgemeine, Keine einfache Aufgabe: beratende Ausschüsse. Gleichzeitig sollte der ei- Cyber-Sicherheit koordinieren gentliche Prozess der Erarbeitung optimaler Mo- In der EU ist Cyber-Sicherheit nicht unbedingt delle für Zertifizierungsschemata auf der Ebene zentral gesteuert. Daher ist eine Koordinierung der „Cybersecurity Certification Group“ erfol- dringend erforderlich. Es ist also festzulegen, gen, in der Vertreter nationaler Regulierungsgre- welche Einrichtungen die Richtlinien und Be- mien für die Zertifizierung verantwortlich sind. stimmungen für Cyber-Sicherheit auf europäi- scher Ebene koordinieren sollen. Gelingt uns Die allgemeine, kontinuierliche Arbeit der dies in Europa, können wir möglicherweise ei- Cybersecurity Certification Group wird es ihr er- nen entsprechenden Rahmen bereitstellen, um möglichen, die Zertifizierungsbedingungen zu ähnliche Ziele weltweit zu realisieren. vereinheitlichen. Allein dieses Format ermöglicht einen optimal ausgeglichenen und effektiven An- Zahlreiche Ziele und Anforderungen für satz, um die beiden wesentlichen Interessengrup- eine EU-weite Koordination sind in der Richt- pen zusammenzuführen: die Mitgliedstaaten linie zur Gewährleistung einer hohen Netzwerk- und die Unternehmensgemeinschaft. und Informationssicherheit (NIS-Richtlinie) beschrieben, im ersten, im Jahr 2016 verab- Entscheidender Erfolgsfaktor: schiedeten EU-Rechtsakt speziell zum Thema Cyber-Sicherheitsbewusstsein Cyber-Sicherheit.1 Die NIS-Richtlinie umfasst Warum ist es zur Verbesserung der Cyber-Sicher- drei wesentliche Teile: heit so wichtig, Mitgliedstaaten und die Unter- 1. Nationale Kapazitäten und Funktionen: nehmensgemeinschaft zusammenzubringen? EU-Mitgliedstaaten müssen über bestimm- Wenn wir das Bewusstsein für Cyber-Sicher- te nationale Cyber-Sicherheitskapazitäten heitsrisiken stärken möchten, müssen wir zuerst und -funktionen verfügen, beispielsweise ein alle Partner einbeziehen und ihnen entsprechen- nationales Computer-Notfallteam (Com- de Rollen zuweisen. Alle Unternehmen – ob puter Security Incident Response Team, KMU oder Großunternehmen und unabhängig Die digitale Revolution in Europa ermöglichen: eine effektive Cyber-Sicherheitsstrategie durch Vertrauen 141
CSIRT) ausbauen oder bestimmte Übungen europaweite CSIRT-Netzwerk und die Koope- zur Reaktion auf Cyber-Sicherheitsvorfälle rationsgruppe für strategische Zusammenarbeit durchführen. zu unterstützen. 2. Nationale Aufsicht über kritische Sekto- ren: EU-Mitgliedstaaten müssen die Cyber-Si- Der Zweck ist klar: Ein intensiverer Aus- cherheit kritischer Marktoperatoren im Land tausch von Cyber-Sicherheitsinformationen beaufsichtigen: präventive Aufsicht in kriti- ermöglicht ein besseres Verständnis der verschie- schen Sektoren (Energie, Transport, Wasser, denen Formen und Schemata von Cyber-Angrif- Gesundheit und Finanzen), Ex-post-Kontrol- fen. Diese Erkenntnisse fördern wiederum die len wichtiger Dienstanbieter (Internetknoten, Entwicklung weiterer und optimierter Sicher- Domain Name Systems usw.). Darüber hat heitslösungen zum Schutz unserer Geräte und laut Rechtsvorschrift jedes Land bis spätestens Systeme. Mit dem neuen Mandat gemäß dem Ende des Jahres 2018 Betreiber anzugeben, die Rechtsakt zur Cyber-Sicherheit kommt der ENI- für die Sicherheit der kritischen Infrastruktu- SA die Schlüsselrolle in der Europäischen Union ren verantwortlich sind. als verantwortliche Stelle zur Bewältigung von 3. Grenzüberschreitende Zusammenarbeit: Bedrohungen und Angriffen im Bereich der Cy- Die dritte entscheidende Komponente ist die ber-Sicherheit zu. grenzüberschreitende Zusammenarbeit auf EU-Ebene. Mögliche Beispiele sind ein eu- Es liegt auf der Hand, dass die ENISA mit ropaweites Netzwerk operativer CSIRTs für allen Partnern zusammenarbeiten muss, also eine schnelle Reaktion auf Cyber-Bedrohun- selbstverständlich auch mit Unternehmen, wie gen und -Vorfälle oder die NIS-Kooperati- weiter oben erläutert. Darüber hinaus sollte die onsgruppe zur Förderung der strategischen ENISA mit unterschiedlichen EU-Sicherheits- Zusammenarbeit zwischen Mitgliedstaa- institutionen wie Europol, mit internationalen ten und des Austauschs von Informationen. Partnern wie bestimmten NATO-Einheiten für Gleichzeitig tragen diese Maßnahmen zum den Bereich Cyber-Krieg sowie mit Experten aus Aufbau von Vertrauen und Zuversicht bei. Wissenschaft und Forschung und anderen wich- Dank dieses Rechtsakts hat die Europäische tigen Institutionen zusammenarbeiten. Union deutlich gemacht, wie wichtig es ist, dass alle EU-Länder über Cyber-Sicherheitsstrategien Ein notwendiger Faktor: Forschung verfügen und die Verantwortung und Aufgaben und Innovation in der Cyber-Sicherheit angemessen auf Regierungen, Militär und Wirt- Ohne Maßnahmen, die das Vertrauen und die schaft verteilen. Zusammenarbeit zwischen Branchen unter Ver- wendung allgemeiner, moderner und anhalten- Eine komplexe Reise der Forschung fördern, laufen wir Gefahr, den Sicherlich ist die NIS-Richtlinie jedoch nur der Kampf gegen Cyber-Kriminalität zu verlieren. erste Schritt auf einer komplexen Reise mit dem Ziel, Cyber-Sicherheitsherausforderungen in der Wir benötigen neue Forschungsprojekte, die EU im digitalen Zeitalter zu bewältigen. innovativ und fokussiert an der Implementie- rung des entscheidenden Konzepts arbeiten, das Auf europäischer Ebene sollte die Kapazi- häufig als „Cybersecurity by Design“ bezeichnet tät der ENISA angemessen sein, um neue Maß- wird – also eine aktive, konzeptionsintegrierte nahmen und Aufgaben anzugehen. Die EU Sicherheit. Darüber hinaus ist ein Rahmen für muss die ENISA in ihrer Funktion unterstüt- den Einsatz von KI erforderlich, um Risikoana- zen, Daten über Cyber-Sicherheitsvorfälle zu lysen, die Vorhersagbarkeit von Cyber-Angriffen erfassen. Nur so kann die ENISA der ihr ge- und die Entwicklung neuer Instrumente für das mäß NIS-Richtlinie zugeordneten neuen Rol- Krisenmanagement angemessen zu unterstützen. le gerecht werden –nämlich das oben erwähnte EU-Investitionen sollten die Verbesserung technologischer Lösungen fördern, die we- sentlich für die Cyber-Sicherheit sind. Anfang Mai 2018 gab die Europäische Kommission ei- nen Budgetvorschlag in Höhe von 100 Mrd. € 142 Die Konvergenz und Divergenz von Compliance und Cyber-Sicherheit
für das nächste EU-Rahmenprogramm für eine EU-weite Cyber-Sicherheitsumgebung zu Forschung und Innovation „Horizon Euro- schaffen, die unsere gemeinsamen Interessen ef- pe“ (2021–2027) bekannt. Parallel sollten die- fektiv unterstützt? Hier einige Vorschläge: se Technologieinvestitionen zur Entwicklung • Senden Sie Vorschläge an mich und andere der Cyber-Sicherheitsbranche in Europa genutzt werden. Viele Unternehmen haben ein enor- MdEP sowie an die Europäische Kommissi- mes Potenzial, weltweite Marktführer in der Cy- on und den Europäischen Rat. ber-Sicherheit zu werden. Selbstverständlich • Führen Sie Gespräche mit Ihren nationalen sollte der Cyber-Sicherheitsansatz jedoch nicht Regierungen. nur europäische Ziele verfolgen, sondern auch • Erörtern und definieren Sie, wie Sie mit der globale Perspektiven berücksichtigen. ENISA zusammenarbeiten wollen. • Helfen Sie uns, nach weiteren Möglichkei- Warum wir eine Roadmap ten zu suchen, wie Sie als Einzelperson und für Cyber-Sicherheit brauchen EU-Bürger zu einer Verbesserung der Cy- Alle in diesem Kapitel beschriebenen Probleme ber-Sicherheit beitragen können. stehen im Zusammenhang mit dem Rechtsakt • Lassen Sie uns wissen, was Sie dazu benöti- zur Cyber-Sicherheit. Das Europäische Parla- gen – z. B. gezielte Fortbildungen, Stärkung ment sieht vor, die Erarbeitung des Vorschlags des Risikobewusstseins, Anleitungen, Emp- möglichst schnell abzuschließen und den Dialog fehlungen zu Best Practices oder dergleichen. mit dem Europäischen Rat zu beginnen. • Bringen Sie Ideen aus anderen Ländern ein, einschließlich möglicher Vorschläge zur Damit ist die Arbeit jedoch noch lange nicht Stärkung der Zusammenarbeit auf globaler getan. Wir stehen noch ganz am Anfang bei der Ebene. großen Aufgabe, die realen Probleme und Her- ausforderungen zu bewältigen, die sich unserer Fazit Gesellschaft und den Unternehmen von heu- In der EU verfügen wir über hervorragende te stellen. Es ist daher wichtig, darüber nachzu- Möglichkeiten zur Optimierung der Cyber- denken, welche weiteren Schritte zu welchem Abwehr, um die innovativen Technologien und Zeitpunkt erforderlich sind. So können wir eine Dienste des digitalen Zeitalters vertrauensvoll Roadmap für Cyber-Sicherheit entwickeln und und sicher zu nutzen. Die Herausforderun- alle Interessengruppen auf sämtlichen Ebenen gen und Probleme, denen wir derzeit in der und Prozessen einbeziehen. Unser gemeinsamer Cyber-Sicherheit gegenüberstehen, können wir Erfolg hängt dabei vom Einsatz und Engage- jedoch nur durch den Aufbau von Vertrauen und ment jedes und jeder Einzelnen ab. eine stärkere Zusammenarbeit lösen. Wie können wir die institutionelle Dimen- Vor dieser nächsten Stufe der digitalen Revo- sion einer derartigen Lösung entwerfen? Welche lution müssen wir erkennen, dass unsere Aufgabe Perspektive für eine stärkere Zusammenarbeit in der gemeinsamen Sicherheitsverantwortung zwischen den EU-Institutionen und Mitglied- und Kooperation liegt. Lassen Sie uns also zu- staaten verspricht eine erfolgreiche Implemen- sammen dafür sorgen, dass wir Hindernisse und tierung des Rechtsakts zur Cyber-Sicherheit und Grenzen überwinden und gemeinsam in eine si- der damit verbundenen Ziele? Welche Schritte chere Zukunft gehen. können wir alle gehen, um das Vertrauen aufzu- bauen, das zum Erreichen dieser Ziele notwen- dig ist? Kurz gesagt: Was können wir als Einzelperson und als Gemeinschaft tun, um die Grundlage für 1 NIS Directive, European Union Agency for Network and Information Security (ENISA), enisa.europa.eu Die digitale Revolution in Europa ermöglichen: eine effektive Cyber-Sicherheitsstrategie durch Vertrauen 143
20 Über Compliance hinaus: die menschliche Komponente der Cyber-Resilienz Ria Thomas – Partner und Global Co-Lead for Cybersecurity, Brunswick Group In den letzten Jahren ist eine starke Zunahme risiken und -auswirkungen schützen, die einem bei Datensicherheitsvorfällen zu beobachten ge- Unternehmen durch Cyber-Angriffe drohen. wesen, die in der Öffentlichkeit für großes Auf- sehen gesorgt haben. Regierungen antworten auf Unternehmen können über den blo- diese Entwicklung mit ständig steigenden re- ßen Nachweis von Compliance hinausgehen gulatorischen Anforderungen. Die am 25. Mai und ihren Schutz entscheidend verbessern, 2018 in Kraft getretene Datenschutz-Grundver- indem sie den Faktor Mensch stärker berück- ordnung (DSGVO) der Europäischen Union ist sichtigen. Durch eine Veränderung von Unter- dafür vielleicht das prominenteste Beispiel. nehmenskultur und Verhaltensweisen können sie geeignete Maßnahmen für einen effektiven Die Notwendigkeit einer solchen Ver- Cyber-Sicherheitsansatz ergreifen und damit ordnung und die komplexen Anstrengungen, die ihre wichtigsten Werte und den hart erarbeiteten es Unternehmen kostete, die Anforderungen der guten Ruf des Unternehmens schützen. DSGVO zu erfüllen, haben gezeigt, wie schlecht vorbereitet Unternehmen mitunter sind, wenn Für Sie als Teil der Führungsriege eines Unter- sie bei der Erfüllung ihrer Verpflichtungen auf nehmens – ob Mitglied des obersten Manage- Probleme stoßen. Die DSGVO deckt jedoch ments oder des Vorstands – führt der Weg zu nur einen bedeutenden Aspekt hinsichtlich der einer verbesserten Cyber-Sicherheit über die von Cyber-Risiken von Unternehmen ab – nämlich Ihnen eingesetzten Mitarbeiter, Prozesse, Techno- den möglichen Verlust von personenbezogenen logien und Kulturen. Dabei ist es unerheblich, ob Daten und den von Unternehmen sicher- eine Verordnung dies fordert oder nicht. zustellenden Datenschutz. Eine gute Vorbereitung bedeutet nicht ledig- Wie die DSGVO werden die meisten lich das Erreichen oder kontinuierliche Sicher- Cyber-Sicherheitsverordnungen erstellt, um die stellen von Compliance. Vielmehr geht es dabei Gesellschaft vor Verhaltensweisen zu schützen, die um das Einführen einer Cyber-Sicherheitskultur, Schaden anrichten können. Diese Verordnungen die gewährleistet, dass die Mitarbeiter Ihres beruhen in der Regel auf der Erfahrung vor- Unternehmens – Sie eingeschlossen – gut vor- heriger spezifischer Angriffe und schützen daher bereitet und für alle Eventualitäten gewappnet nicht unbedingt auch vor anderen Problemen. sind. Aktive Verantwortungsübernahme für Erst muss sich allgemein ein Bewusstsein dafür Cyber-Sicherheit auf Geschäftsführungs- und entwickeln, dass bestimmte Vorgehensweisen ge- Vorstandsebene und die unternehmensweite ändert werden müssen. Priorisierung dieses Themas sind entscheidend für den Aufbau einer umfassenden, unter- Compliance mit Verordnungen allein kann nehmensweiten Cyber-Resilienz. daher nicht ausreichend vor den Unternehmens- 145
Die menschliche Komponente Unternehmens. Stattdessen ist sowohl verti- der Cyber-Resilienz kale als auch horizontale Führung und Ko- Cyber-Sicherheit hat in der heutigen Geschäfts- ordination erforderlich. welt sowohl eine menschliche als auch eine system- Vorstandsmitglieder bestimmen die bezogene Komponente und erfordert höchste Governance-Strategie und legen wesent- Aufmerksamkeit und ein starkes Engagement der liche Verantwortlichkeiten und Zuständig- obersten Führungsriege. Zunächst müssen Ent- keiten im Hinblick darauf fest, wie sich scheidungen über die erforderlichen technischen die Unternehmensführung auf eine Cy- Investitionen getroffen werden, nicht nur zum ber-Krise vorbereitet und darauf reagiert. Schutz Ihres Unternehmens, sondern auch um Das oberste Management baut die Kultur zu demonstrieren, dass Sie die technischen Risi- auf, tätigt entscheidende Investitionen und ken erkannt haben und alle angemessenen An- stellt eine Krisenstruktur sicher, die den strengungen unternehmen, sie zu beseitigen. Informationsaustausch im Unternehmen und die Koordinierung der Reaktion regelt. Abgesehen davon ist die Erkenntnis ent- Außerdem trifft es in einer Krise strategische scheidend, dass Cyber-Risiken durch Menschen Entscheidungen. Weder Vorstand noch lei- verursacht werden. Folglich liegt auch die Ab- tendes Management können jedoch ohne wehr von Cyber-Bedrohungen in der Hand die anderen Mitarbeiter des Unternehmens von Menschen. Sie erarbeiten einen effektiven Erfolg haben. Die Führungsriege muss die- Sicherheitsansatz und die Methoden, wie Sie sen Menschen vertrauen, um genauen, zeit- einen Cyber-Angriff verhindern beziehungs- nahen Einblick in die Auswirkungen eines weise darauf reagieren können, am besten, Angriffs zu erhalten, zum Beispiel die tech- indem Sie zunächst verstehen, wer überhaupt in nischen, operativen und finanziellen Fol- einen Angriff involviert ist. Im Zusammenhang gen oder mögliche Rufschädigungen. Zu mit Cyber-Sicherheit können wir zwischen drei diesem wichtigen Kernteam zählen Mit- allgemeinen Kategorien beteiligter Personen- arbeiter aus dem gesamten Unternehmen, gruppen unterscheiden: darunter Zuständige für Cyber-Sicher- heit und IT, Recht, Personalwesen, Unter- 1. Diejenigen, die das Unternehmen an- nehmenskommunikation, Regierungs- und greifen. Dabei handelt es sich um Per- Regulierungsangelegenheiten und so weiter. sonen, die Ihrem Unternehmen schaden Vorbereitet zu sein bedeutet auch möchten, ob aus Profitgier, geopolitischen unternehmensweite Zusammenarbeit – Motiven, aus Freude an grobem Unfug, nicht nur um ein umfassendes Bild der Ge- Lust auf das Anrichten von Chaos oder an- schäftsauswirkungen zu erstellen, sondern deren Gründen. Wie bereits in anderen Ka- auch um eine Reaktion zu koordinieren, piteln dieses Buchs näher erläutert wurde, die die möglichen Folgen eines Angriffs mi- verändern sich die Merkmale, Motive und nimiert. Dabei muss jede einzelne Person Methoden dieser Angreifer kontinuierlich. verstehen, welche Rolle und Verantwort- Vergessen Sie nie: Unabhängig von der Mo- lichkeiten ihr während einer Cyber-Krise tivation, den Methoden oder den jeweili- zugewiesen sind und welche Erwartungen gen Angriffsmechanismen, mit denen sie an sie gestellt werden. fertigwerden müssen, stecken hinter einem 3. Diejenigen, die von dem Cyber-Angriff Angriff immer Menschen und ihre oft un- auf das Unternehmen betroffen sind. Zum vorhersehbaren Aktionen. Aufrechterhalten von Resilienz im Falle eines Cyber-Angriffs ist es entscheidend, dass die 2. Diejenigen, die im Unternehmen auf obere Führungsriege den menschlichen As- einen Vorfall reagieren. Die Fähigkeit, die pekt und die Auswirkungen versteht, die ein möglichen operativen und finanziellen Aus- Angriff auf die Betroffenen hat. Damit sind wirkungen eines Cyber-Angriffs sowie damit nicht nur Menschen im Unternehmen ge- zusammenhängende Rufschädigungen zu meint, sondern auch Externe. minimieren, liegt nicht in den Händen einer einzelnen Person oder Gruppe innerhalb des 146 Die Konvergenz und Divergenz von Compliance und Cyber-Sicherheit
Wenn ein Angriff Auswirkungen auf Geschäftsrisiken und -auswirkungen. Ihre Infrastruktur hat, können Sie Ihren Zum Beurteilen der Bedrohungsumgebung Kunden möglicherweise erst einmal keine Dienstleistungen mehr erbringen. Bei gehört mehr, als nur die technischen Risiken Unternehmen in kritischen Branchen wie zu erfassen. Sie müssen auch verstehen, wie Banken und Finanzen, Versorgungsunter- verschiedene strategische Unternehmensent- nehmen, Gesundheitswesen oder Transport scheidungen das Risiko eines Cyber-Angriffs be- können die Folgen für Einzelpersonen, die einflussen können. Wer könnte beispielsweise die Dienstleistungen des Unternehmens daran interessiert sein, das Unternehmen anzu- brauchen, verheerend sein. Im Einzel- greifen, wenn Sie ein neues Geschäftsvorhaben handel oder in einer anderen kunden- wie eine Übernahme oder Partnerschaft starten, orientierten Branche laufen Unternehmen Ihre Geschäfte auf einen neuen internationalen Gefahr, Umsätze und Kunden zu verlieren. Markt ausweiten oder kritisches geistiges Eigen- Bei einer Datensicherheitsverletzung kön- tum zu einer innovativen Technologie aufbauen? nen personenbezogene Daten von Kun- Welche Ziele könnten die potenziellen Angreifer den in die Hände von Kriminellen und so verfolgen und welchen Schaden könnten sie in das Darknet gelangen. Damit droht die anrichten? Gefahr von Identitätsdiebstahl, finanziellen Verlusten und anderen Folgen. Der nächste Schritt besteht darin, alle wich- tigen Beteiligten des Unternehmens einzu- Es ist daher von höchster Bedeutung, beziehen, die im Ernstfall einen umfassenden dass Sie – als Mitglieder der Führungs- Überblick zu den Auswirkungen eines Angriffs riege – Entscheidungen keinesfalls aus- erarbeiten und zusammen an der Koordinierung schließlich umsatz- und bilanzorientiert einer unternehmensweiten Reaktion arbeiten treffen. Vielmehr sollten Sie zeigen, dass müssen. Sind sich diese Personen darüber im alle Anstrengungen unternommen werden, Klaren, welche Erwartungen die Unternehmens- um die Auswirkungen und Folgen eines führung während einer Cyber-Krise an sie stellt? Cyber-Angriffs für die direkt Betroffenen Kennen sie ihre jeweiligen Rollen und Ver- zu minimieren und zu beseitigen. Dieser antwortlichkeiten? Ist die vorhandene Krisen- Schwerpunkt wird sich letztlich positiv in struktur – formal oder informell – geeignet, Ihrer Bilanz widerspiegeln. um auf einen facettenreichen Cyber-Angriff zu reagieren? Aufbau einer unternehmensweiten Cyber-Sicherheitskultur, die über Im Rahmen von Präventivmaßnahmen bloße Compliance hinausgeht und der Vorbereitung auf eine Cyber-Krise ist Die Einführung zusätzlicher Maßnahmen zum es außerdem wichtig, dass die Unternehmens- Erzielen von Compliance mit einer Verordnung führung unter den Mitarbeitern die Stärkung kann ein entscheidender Wendepunkt dabei des Bewusstseins vorantreibt – sowohl für Cy- sein, wie das Unternehmen das von der Ver- ber-Risiken als auch für das Verhalten, das von ordnung fokussierte Cyber-Risiko angeht. den Mitarbeitern erwartet wird, um das Unter- nehmen vor Cyber-Bedrohungen zu schützen. Es wäre jedoch ein großer Fehler anzu- nehmen, dass Compliance allein Ihr Unter- Die oben genannten Maßnahmen werden nehmen vor den umfangreichen Auswirkungen Ihrem Unternehmen zur erforderlichen Re- von Cyber-Angriffen schützen kann. Der Fokus silienz im Falle einer Cyber-Krise verhelfen, sollte stattdessen auf allen oben erwähnten denn die entscheidenden Menschen, die die menschlichen Aspekten liegen. langfristigen Auswirkungen eines Cyber-An- griffs, insbesondere Rufschädigungen, minimie- Angesichts der vielfältigen dynamischen ren können, sind dann bereits im Unternehmen Cyber-Bedrohungen und -Risiken besteht der und gut vorbereitet. Der Aufbau einer unter- erste wichtige Schritt für die Unternehmens- nehmensweiten Kultur für Cyber-Sicherheit führung – ob Vorstände oder oberstes Ma- und -Resilienz erfordert nicht nur die aktive Be- nagement – darin, sich in Ruhe ein genaues teiligung dieser Menschen, sondern auch ihr vol- Bild von der Bedrohungsumgebung des Unter- les Engagement. nehmens zu machen, einschließlich möglicher Über Compliance hinaus: die menschliche Komponente der Cyber-Resilienz 147
Schließlich sollten Sie während einer Cy- Um diese positive öffentliche Wahrnehmung ber-Krise den Grundgedanken der meisten Ver- zu erreichen, muss Ihr Unternehmen über die ordnungen beachten: Wie stellen Sie sicher, geeigneten Strategien und Richtlinien verfügen, dass Ihre Aktionen und Prioritäten als gezielte die deutlich machen, dass Sie eine koordinierte Schutzmaßnahmen und Unterstützung der Reaktion auf einen Cyber-Angriff sorgfältig ge- Menschen verstanden werden, die am meisten plant und vorbereitet haben, bevor der Vorfall von dem Angriff auf Ihr Unternehmen betroffen eintrat. Unternehmen mit einem derartigen Vor- sind? Hierzu zählen nicht nur Kunden, Partner bereitungsansatz und geeigneter Kultur sind in und Mitarbeiter, sondern auch die allgemeine der Lage, das „institutionelle Gedächtnis“ im Öffentlichkeit. Nach welchen Grundsätzen und Falle einer Cyber-Krise zu nutzen. Es ist nicht Prinzipien leiten Sie Ihr Unternehmen durch möglich, alle Details im Voraus zu bedenken. die Cyber-Krise? Werden damit Ihre Geschäfts- Wenn jedoch die Mitarbeiter Ihres Kernteams abläufe und Unternehmenswerte geschützt? ihre Rollen und Zuständigkeiten kennen, sind Kommt durch Ihre Aktionen und Worte über- Sie sehr viel besser dafür gerüstet, das Richti- zeugend zum Ausdruck, dass Sie das hohe Maß ge zu tun und eine positive Wahrnehmung der an Vertrauen erkennen und wertschätzen, das die Öffentlichkeit zu erzielen. betroffenen Menschen Ihrem Unternehmen ge- schenkt haben? Fazit Compliance mit geltenden Verordnungen allein Es ist möglich, dass ein Cyber-Angriff auf Ihr stellt keine Cyber-Resilienz sicher. Die Fähig- Unternehmen und die entsprechenden Folgen keit Ihres Unternehmens, die unzähligen Folgen nicht in den Geltungsbereich einer bestimmten einer Cyber-Krise zu minimieren und zu be- Verordnung wie der DSGVO fallen. Dennoch seitigen, beginnt vielmehr mit dem Verständnis können die Auswirkungen für die Öffentlich- der unternehmensspezifischen Cyber-Risiken, keit enorm sein. Die Reaktion der Öffentlichkeit der potenziellen Auswirkungen und der not- hängt nur wenig von der Compliance-Leis- wendigen Maßnahmen, um eine derartige Krise tung Ihres Unternehmens ab, sondern vor allem koordiniert zu durchlaufen und zu meistern. davon, wie Ihr Verhalten während der Cy- Diese Anstrengungen können nur Erfolg haben, ber-Krise wahrgenommen wird: Haben Sie alles wenn Sie die Menschen berücksichtigen, die getan, was von Ihnen erwartet wurde? Um es wesentlich mit der Bedrohung, der Reaktion und noch deutlicher auszudrücken: Haben Sie getan, den Auswirkungen in Zusammenhang stehen. was nötig und richtig ist, selbst wenn Sie per Ge- setz nicht dazu verpflichtet waren? IMPLEMENTIERUNG EINES UNTERNEHMENSWEITEN ANSATZES FÜR CYBER-RESILIENZ Wie stellen Sie sicher, dass die Cyber-Sicherheitskultur Ihres Unternehmens über reine Compliance hinausgeht und effektive Resilienz bietet? Im Folgenden sind einige Vorschläge und Fragen aufgeführt, die in Bezug auf Ihren Ansatz für Cyber-Resilienz zu berücksichtigen sind: 1. Cyber-Risiken beurteilen: • Verfügen Sie über ein umfassendes Verständnis der Unternehmens risiken aus technischer, operativer und strategischer Sicht, die von einem möglichen Cyber-Angriff ausgehen? • Wie würden Sie das „Worst Case“-Szenario definieren, also die Dauer einer Unterbrechung der betrieblichen Prozesse, Marktauswirkungen, das Ausmaß an Untersuchungen durch Ermittlungsbehörden, die öffent- liche oder mediale Aufmerksamkeit und dergleichen? 148 Die Konvergenz und Divergenz von Compliance und Cyber-Sicherheit
• Wirken Sie einem möglichen Fachkräftemangel in der Cyber-Sicherheit entgegen? 2. Auswirkungen eines Cyber-Angriffs verstehen: • Welche Prozesse und Verfahren nutzen Sie, um die vielfältigen Auswirkungen auf sämtliche Unternehmenseinheiten zu verstehen, die ein Cyber-Angriff oder eine Kombination aus physischem Angriff und Cyber-Bedrohungen zur Folge hätte? • Wie priorisieren Sie konkurrierende nationale oder internationale regulatorische Anforderungen wie die DSGVO beziehungsweise wie bringen Sie verschiedene Verordnungen in Einklang? • Welche Verbindlichkeiten und Verpflichtungen bestehen gegenüber internen und externen Interessengruppen, einschließlich Mitarbeitern, Kunden, Partnern und Regulierungsbehörden? • Verfügen Sie über ein Programm zur Beurteilung der Auswirkungen eines Angriffs durch einen verärgerten Mitarbeiter mit Zugriff auf kritische Unternehmens- oder Kundendaten oder auf Ihr Netzwerk? 3. Reaktion auf eine Cyber-Krise planen und durchführen: • Gibt es einen unternehmensweiten Managementplan für verschiedene Cyber-Angriffe, der Ihre unternehmensspezifischen Cyber-Risiken berücksichtigt? • Kennen leitende Führungskräfte im ganzen Unternehmen ihre Rollen und Verantwortlichkeiten? Besteht unter ihnen eine Struktur der gegenseitigen Unterstützung, damit sichergestellt ist, dass alle möglichst schnell über erforderliche Informationen verfügen? • Gibt es ein Programm zur Stärkung des Mitarbeiterbewusstseins für Cyber-Bedrohungen und für die Notwendigkeit guter Cyber-Sicher- heitsgewohnheiten, einschließlich Aktivitäten in sozialen Medien? • Wer sind die internen und externen Interessengruppen, die im Falle eines Vorfalls benachrichtigt und/oder gewarnt werden müssen? Wie legen Sie die Prioritäten fest? • Wie sorgen Sie dafür, dass die Informationen, die Ihre verschiedenen Unternehmenseinheiten veröffentlichen, übereinstimmen? Und wie koordinieren Sie, welche und wie viele Informationen von wem und wann weitergegeben werden? 4. Mit internen und externen Interessengruppen kommunizieren: • Beinhaltet Ihr strategischer Kommunikationsplan vorab verfasste und genehmigte Nachrichten in Bezug auf die Cyber-Angriffsszenarien, die für Ihre unternehmensspezifischen Risiken relevant sind? • Gibt es einen Workflow, nach dem Sie Mitarbeiter und externe Interes- sengruppen benachrichtigen – insbesondere wenn wichtige Kommu- nikationssysteme wie Telefon oder E-Mail durch einen Cyber-Angriff beeinträchtigt sind oder ausfallen? • Wer vertritt Ihr Unternehmen bei einem bedeutenden Cyber-Angriff nach außen? Sind diese Personen in Presse- und Öffentlichkeitsarbeit geschult? Sind sie darauf vorbereitet, mit gutem Beispiel voranzugehen? Über Compliance hinaus: die menschliche Komponente der Cyber-Resilienz 149
21 Warum Corporate Governance bei der Cyber-Sicherheit so wichtig ist Paul Jackson, GCFE – Managing Director, Asia-Pacific Leader, Cyber Risk, Kroll In dem hitzigen, kompromisslosen Kampf gegen Cyber-Sicherheit noch immer von einer beängs- Cyber-Angriffe wird viel Aufmerksamkeit und tigend geringen Zahl an Vorständen als Aspekt Energie auf technische Lösungen, Compliance gesehen, der Auswirkungen auf den Geschäfts- und ein angemessenes Gleichgewicht zwischen betrieb haben könnte. Tatsächlich gaben nur Risiken und Geschäftschancen verwendet. 9 % der Vorstandsmitglieder an, dass ihre Vor- stände ein „sehr gutes“ Verständnis der mögli- Doch was ist mit Corporate Governance? chen Auswirkungen von Cyber-Sicherheit auf Welche Rolle spielt die Führungs- und Vorstands- den Geschäftsbetrieb hätten.1 riege in Bezug auf die Cyber-Risikoaufsicht und die Förderung einer unternehmensweiten Sicher- Lassen Sie mich dieses Phänomen anhand heitskultur? Und welche Rolle sollte sie spielen? eines realen Beispiels veranschaulichen: Ein gro- ßes asiatisches Supply-Chain-Unternehmen Die meisten von uns verbinden mit dem beauftragte uns, die Sicherheit seiner Netzwerke Begriff Corporate Governance Geschäfts- mit einem Penetrationstest zu überprüfen. Es funktionen wie finanzielle Integrität, Ein- betrachtete dies lediglich als Routinesache im stellungsverfahren, Rechtssicherheit und Rahmen seiner Sorgfaltspflicht. Wir erkannten Unternehmensstrategie. Die zunehmend kriti- dabei aber, dass eine teure Überwachungslösung schen und komplexen Probleme rund um die nicht die gewünschte Effektivität erzielte und Cyber-Sicherheit haben jedoch inzwischen einen nicht richtig verwaltet wurde. Es wurde schnell Punkt erreicht, an dem sie zu einer Kernkompo- deutlich, dass ein Angreifer die vollständige Kon- nente der Corporate Governance wird. trolle über das Netzwerk hätte übernehmen kön- nen – darunter auch das System des CEO – und Und das gerade noch rechtzeitig! damit die Möglichkeit gehabt hätte, auch die So wird es beispielsweise zunehmend offen- Systeme von Unternehmenspartnern schwerwie- sichtlich, dass für viele Unternehmensvor- gend zu schädigen. Die Unternehmensführung stände die Priorisierung von Cyber-Sicherheit als reagierte geschockt über diese Nachricht und for- wesentlicher Governance-Aspekt einer Aufhol- derte dringend dazu auf, die Cyber-Governance jagd gleichkommt. Eine von McKinsey im Jahr zu überdenken und neu zu strukturieren und 2018 weltweit durchgeführte Umfrage unter nicht mehr nur noch auf das interne IT-Team mehr als 1.000 Vorstandsmitgliedern ergab, zu vertrauen, wenn es um die Bewältigung von dass die Cyber-Sicherheit im Zusammenhang Sicherheitsproblemen geht. mit möglichen Unterbrechungen der Geschäfts- kontinuität nur bei 37 % der Vorstände auf der Die Unternehmensleitung – sowohl Vor- Liste der Tagesordnungspunkte von Sitzungen stände als auch oberstes Management – muss war. Das ist zwar eine Steigerung von fast 50 % daher verstärkte Anstrengungen unternehmen, allein in den letzten beiden Jahren, doch wird 151
um Cyber-Sicherheit zu einer zentraleren Kom- hoch der Reputationsschaden und der Aufwand ponente der Corporate Governance zu machen. aus finanzieller, rechtlicher und regulatorischer Wie kann das gelingen? Sicht war. Meiner Meinung nach gibt es vier wesentliche Das Governance-Modell für Cyber-Sich- Bereiche im Zusammenhang mit Cyber-Sicher- erheit muss daher in einen Top-down-Ansatz heit, in denen eine Weiterentwicklung von Cor- geändert werden. Richtig verstandene Unterneh- porate Governance erforderlich ist: mensführung lässt sich im Wesentlichen folgen- • Umstellung der Führungsverantwortlichkeit- dermaßen definieren: en hinsichtlich Cyber-Sicherheit • Herausforderungen, Probleme und Chancen • Entwicklung, Einführung und Umsetzung verstehen und identifizieren eines geeigneten Cyber-Sicherheitsrahmens • Prioritäten festlegen • Anpassung der Unternehmensstruktur • Fortbildungen auf Führungsebene, damit • Zusammenarbeit und Innovation rund um mögliche Lösungen fördern Vorstände und Geschäftsführung die richti- gen Fragen stellen können • Mit gutem Beispiel vorangehen Umstellung der Führungsverantwortlich- Kompetente Führung erfordert ein umfas- keiten hinsichtlich Cyber-Sicherheit sendes und transparentes Verständnis der Risi- Eins der größten Probleme besteht sicherlich ken sowie der vorhandenen Maßnahmen zum darin, dass Cyber-Sicherheit herkömmlicher- Schutz des Unternehmens, und zwar in Echtzeit. weise auf einem Bottom-up-Ansatz basiert. Ein derartiges Verständnis setzt voraus, dass die Bisher haben daher in der Regel oft einzelne erforderlichen Informationen klar an das oberste IT-Sicherheitsbeauftragte technische Lösungen Management und den Vorstand übermittelt wer- zum Schutz von Infrastruktur, Anwendungen den. Ist das nicht der Fall, muss die Unterneh- und Daten identifiziert. Unternehmen gaben mensführung Wege für eine reibungslose und enorme Summen für Technologie aus, nur um zuverlässige Bereitstellung der relevanten Infor- dann festzustellen, dass das nicht ausreicht, um mationen festlegen – in der Regel übernimmt mit den dynamischen Bedrohungen, zunehmen- diese Aufgabe in heutigen Unternehmen der den Schwachstellen und innovativen Angriffs- CISO oder CIO. Andernfalls muss eine andere methoden Schritt zu halten. Person nominiert werden. Dieser Missstand erinnert an ein beliebtes Bei korrekter Implementierung beseitigt ein amerikanisches Sprichwort: „Wenn dein einziges Top-down-Ansatz für den Governance-Rahmen Werkzeug ein Hammer ist, wirst du jedes Prob- die meisten Bedrohungen und bietet eine reife, lem als Nagel betrachten.“ effektive und flexible Struktur zum Schutz sen- sibler Daten. Darüber hinaus unterstützt die- Das Bottom-up-Prinzip führte zu Richtli- ser Ansatz die Compliance, reduziert rechtliche nien rund um die Erkennung und Abwehr von Risiken und fördert eine gute Cyber-Sicher- Cyber-Bedrohungen sowie zu entsprechenden heitshygiene unter Mitarbeitern, Partnern und Reaktionsplänen, die sich rein auf technische Lieferanten. Werkzeuge konzentrierten, ohne Geschäftsan- forderungen oder mögliche Auswirkungen auf Entwicklung, Einführung und den Geschäftsbetrieb zu berücksichtigen. Es Umsetzung eines geeigneten wurden Kennzahlen entwickelt, die den CSO Cyber-Sicherheitsrahmens darüber informierten, wie viele Angriffe aus wel- Sicherheitsrahmen sind wichtig, weil sie sämtliche chen Quellen abgewehrt wurden. Wichtiger Aspekte berücksichtigen, die eine gute Cyber-Si- wäre jedoch die Frage gewesen, wie viele Angriffe cherheit erfordert: Geschäftsabläufe, rechtliche nicht abgewehrt wurden, welche Teile des Unter- und regulatorische Gesichtspunkte, Risikoma- nehmens von Angriffen betroffen waren und wie nagement und technische Prozesse. Sicherlich gibt es zahlreiche geeignete Frame- 152 Die Konvergenz und Divergenz von Compliance und Cyber-Sicherheit
works, die Unternehmensführungen in Betracht und die für Cyber-Sicherheit verantwortlichen ziehen können. Dabei ist zu beachten, dass all technischen Führungskräfte an, sich auf Aktionen diese Rahmen an die Geschäftsbedingungen, zu konzentrieren, die das Unternehmen optimal Betriebsabläufe und Prioritäten des jeweiligen positionieren, um das spezifische Cyber-Risiko Unternehmens angepasst werden müssen. Das zu bewältigen und Ressourcen in den Bereichen relevanteste und aussagekräftigste ist zweifel- einzusetzen, in denen sie dem Unternehmen von los das Framework des U.S. National Institute maximalem Nutzen sind. of Standards and Technology (NIST). Dieses freiwillige Rahmenwerk ist weltweit allgemein Entsprechende Anpassung akzeptiert und am häufigsten implementiert. Es der Unternehmensstruktur beruht auf fünf wesentlichen Säulen: Es wird häufig behauptet, dass man viel über die • Identifizierung der zu schützenden Werte Prioritäten eines Unternehmens erfahren kann, • Schutz dieser Werte durch geeignete indem man sich dessen Organigramm anschaut. Vor dem Hintergrund des Governance-Modells Sicherheitsmaßnahmen für Cyber-Sicherheit trifft das umso mehr zu. • schnelle, zuverlässige und umfassende Erken- In der jüngsten Zeit unterstützen Unterneh- nung von Vorfällen mensführer zunehmend Veränderungen, indem • geeignete Reaktion auf Vorfälle, die deren sie die Verantwortlichkeiten für Cyber-Sicherheit überdenken, neu zuweisen und die entsprechen- Auswirkungen minimiert den Rollen im Unternehmen neu positionieren. • möglichst schnelle und umfassende Wieder- Ein Beispiel liefert die zunehmend an Popularität gewinnende und vielversprechende Überlegung, herstellung der Betriebsabläufe nach einem dass physische Sicherheit, interne Untersuchun- Vorfall gen und Cyber-Sicherheit zu einer Organisation Es gibt zahlreiche sinnvolle Schritte und Best zusammengelegt werden sollten, die direkt an Practices, die Unternehmen in ihr Governan- den Vorstand berichtet. Eine wichtige Moti- ce-Modell für Cyber-Sicherheit integrieren kön- vation für diesen Ansatz ist natürlich Unabhän- nen und sollten. So ist es beispielsweise ratsam gigkeit. Außerdem ermöglicht er aber auch ein sicherzustellen, dass geeignete Sicherheits-Pat- umfassenderes Sicherheitskonzept, das Mitarbei- ches angewendet, veraltete und nicht mehr aktu- ter, Geschäftsfunktionen, Prioritäten und techni- alisierte Systeme deaktiviert und starke Tools zur sche Faktoren berücksichtigt. Verschlüsselung und Zugriffskontrolle imple- mentiert und genutzt werden. Dies sind jedoch Das Bekanntgeben von Änderungen in technische Lösungen, die in der Regel im Auf- Reporting-Strukturen lässt Beteiligte unweiger- gabenbereich der IT-Organisationen und Sicher- lich aufmerksam werden. Manches davon ist heitsteams liegen. reine Büropolitik, aber bei einem Großteil der Die wahre Stärke des NIST-Modells aus Änderungen lässt sich erahnen, was und wer Governance-Perspektive besteht darin, dass es im Unternehmen an Bedeutung und Einfluss eine Gelegenheit – oder je nach Dringlichkeit – gewinnt. ein flexibles Framework für das obere Manage- ment und Vorstandsmitglieder bietet, interne An anderen Stellen dieses Buchs werden aus- Verpflichtungen zuzuweisen und die entspre- gezeichnete Empfehlungen zum Erkennen und chenden Unternehmenseinheiten zur Rechen- Anwerben von Top-CSOs gegeben, um ein schaft zu ziehen. Das NIST-Framework bietet effektives Governance-Modell für Cyber-Sicher- sich außerdem als ein mögliches Werkzeug zur heit zu erzielen, das geschäftliche und techni- Selbstbeurteilung an, da es Cyber-Sicherheitsziele sche Anforderungen optimal berücksichtigt. Im in Zusammenhang mit den allgemeinen Unter- Kapitel von Heidrick & Struggles, einer auf die nehmenszielen setzt. Die naturgemäße Flexibili- Vermittlung von Führungskräften spezialisier- tät des Frameworks leitet Unternehmensführung ten Personalberatung, geben die Verfasser einen klugen Rat: Warum Corporate Governance bei der Cyber-Sicherheit so wichtig ist 153
„Vorstände müssen heute mit größerer Sorg- für Cyber-Sicherheit allein den technischen Mit- falt denn je darauf achten, wer eingestellt wird, arbeitern überlassen wurde, gehören jedoch der wie die Rollen und Verantwortlichkeiten dieser Vergangenheit an. Verordnungen und Gesetze neuen Führungskräfte strukturiert werden, wo haben die Verantwortung verlagert, denn zu man am besten nach diesen Leute sucht und wel- häufig haben wir erlebt, dass der sorgfältig che Kompromisse angemessen sind, um die best- erarbeitete und über Jahrzehnte mithilfe astro- möglichen Kandidaten an Land zu ziehen.“ nomischer Investitionssummen erworbene gute Ruf eines Unternehmens nach einem Cyber-Si- Und Adobe-CSO Brad Arkin gab Vorständen cherheitsvorfall abrupt zunichtegemacht wurde. und Mitgliedern der Führungsriege diese hilf- reiche Empfehlung: Hören Sie genau hin, wenn Gelegentlich wird sogar empfohlen, dass Ihr Cyber-Sicherheitsleiter über Probleme und in jedem Vorstand mindestens eine Person mit Lösungen spricht. Sein pragmatischer Rat: Wenn Cyber-Sicherheitsexpertise sitzen sollte, um die Sie statt klarer, verständlicher Aussagen und Plausibilität und Glaubwürdigkeit der Aussagen Pläne, die auf definierte Unternehmensziele abge- des CSO besser einschätzen zu können. Dieses stimmt sind, vorwiegend technischen Fachjargon Konzept hat sicherlich eine gewisse Berechti- hören, dann sprechen Sie mit der falschen Person. gung, allerdings impliziert es auch, dass die meis- ten Vorstandsmitglieder und Top-Manager auf Fortbildungen auf Führungsebene, das Wissen und die Einschätzung dieser einzigen damit Vorstände und Geschäftsführung Person mit Cyber-Sicherheitsexpertise im Raum die richtigen Fragen stellen können angewiesen sind. Wie bereits mehrmals in diesem Buch betont wurde, ist Sicherheit eher ein geschäftliches Pro- Geschäftsführer und Vorstandsmitglie- blem als ein technisches. Natürlich benötigen der verlassen sich bei Ausbruch einer finanziel- wir die geeigneten technischen Lösungen, um len Krise nicht einfach blind auf den CFO und Bedrohungen zu erkennen, unsere Unterneh- gehen auch nicht davon aus, dass der Chief Legal menswerte und -netze zu schützen und die Aus- Officer bzw. externe Berater im Falle eines unan- wirkungen von Angriffen zu minimieren bzw. genehmen Rechtsstreits schon alles unter Kon- zu beseitigen. Cyber-Sicherheitsmethoden und trolle hat. In diesen und anderen Szenarien -richtlinien müssen jedoch anhand bestimmter bringen sich die Mitglieder der obersten Füh- Unternehmensbenchmarks geplant, gemessen rungsriege, ob Top-Management oder Vorstand, und gelenkt werden. voll ein und zeigen höchstes Engagement, weil per Definition von Corporate Governance genau Dies erfordert eine engagierte, ausdrückliche, das von ihnen verlangt wird. sichtbare und konstante Unterstützung durch Geschäftsführer und Vorstände. Darüber hinaus Gleiches gilt heute auch für Cyber-Sicherheit. ist es unerlässlich, dass Top-Manager und Vor- Für die oberste Führungsebene empfiehlt es standsmitglieder mehr Energie und Ressour- sich, Cyber-Sicherheitsprobleme aus dem allge- cen darauf verwenden, ihr eigenes Wissen über mein für geschäftliche Angelegenheiten genutz- die Auswirkungen von Cyber-Sicherheit auf das ten Blickwinkel zu analysieren, zu besprechen Unternehmen auszubauen. und entsprechende Maßnahmen einzuleiten. Dies ist eine wichtige Methode, um sachkundi- Denn bedenken Sie: Nur die richtigen Fragen ger zu werden und zu lernen, bessere Fragen zu führen zu den richtigen Antworten. Im Zusam- stellen. Diskussionen mit dem CSO über The- menhang mit diesem Kapitel bedeutet das, dass men wie verteilte Denial-of-Service-Angriffe Sie nicht kompetent führen können, wenn Sie sollten sich beispielsweise darauf konzentrieren, nicht wissen, was eigentlich geführt werden soll. welche geschäftlichen Auswirkungen derartige Angriffe mit sich bringen, wie zum Beispiel Aus- Natürlich erwartet niemand, dass der fallzeiten, Produktivitäts- und Umsatzeinbußen CFO oder der Head of Marketing noch ein- oder Gewinnverluste, und ob Investitionspriori- mal die Schulbank drückt, um einen erweiter- täten in der Cyber-Sicherheit überprüft und neu ten Abschluss in Cyber-Sicherheit zu erlangen, überdacht werden sollten. oder dass jedes Vorstandsmitglied in Zukunft Dabei handelt es sich selbstverständlich nicht eine Zertifizierungsprüfung in „Security+“ um eine „Einbahnstraße“, sondern um einen ablegt. Die Tage, an denen die Verantwortung 154 Die Konvergenz und Divergenz von Compliance und Cyber-Sicherheit
bidirektionalen Prozess. Nicht nur müssen Vor- Cyber-Hygienemaßnahmen einsetzt. So wird die stand und Führungsriege die erforderlichen Bedeutung guter Cyber-Sicherheitsgewohnhei- Schritte unternehmen, um sich zu Cyber-Ri- ten hervorgehoben. siken fortzubilden, sondern CSOs und andere technische Leiter müssen auch neue Konzepte Und schließlich sollten interne und externe erarbeiten, um der Unternehmensführung mög- Ressourcen eingesetzt werden, um regelmä- lichst effektiv relevante und aussagekräftige ßig nach Bedrohungen zu suchen, die mögli- Informationen zu präsentieren. Vieles wird häu- cherweise bereits in Netzwerke eingedrungen fig für selbstverständlich gehalten, zum Beispiel sind, aber noch nicht erkannt wurden. Damit das Layout und Design von PowerPoint-Prä- ist sichergestellt, dass sich die Unternehmens- sentationen des CSO oder die technisch orien- führung nicht ausschließlich auf Kennzahlen zu tierte Erklärung, warum ein Unternehmen seine Sicherheitsereignissen verlässt. Erfahrungen zei- Richtlinie zur Nutzung von Public-Cloud-Ser- gen, dass nach dem Eindringen eines Angreifers vices umstellt. All diese Dinge müssen in in ein Netzwerk häufig Monate ereignislos verge- Zukunft jedoch in einen geschäftlichen Rahmen hen, bevor tatsächlich Schaden angerichtet wird. gesetzt werden, der idealerweise auf die wichtigs- Die Jagd nach solchen verborgenen Angreifern ten Werte und Geschäftsprioritäten des Unter- sollte auf aussagekräftigen Informationen, pra- nehmens ausgerichtet ist. xisnahen Erfahrungen und konkreten Kenntnis- sen über aktuelle Bedrohungen beruhen. Was Vorstände jetzt tun sollten Was können Vorstände tun, um regelmäßige, Fazit relevante Sicherheitskennzahlen für die Überwa- Was Corporate Governance betrifft, vollzieht chung und Erkennung von Cyber-Bedrohungen sich in den letzten Jahren ein bedeutender Wan- zu erhalten? del, angetrieben durch Faktoren wie wachsende regulatorische Anforderungen, aktivere und Dazu ist es zunächst wichtig, dass Vorstands- engagiertere Vorstandsmitglieder und das erfor- mitglieder verstehen, welche Cyber-Risiken in derliche gesunde Maß an Skepsis und Unterstüt- ihrem Unternehmen bestehen. Ein guter Aus- zung in einer zunehmend komplexer werdenden gangspunkt ist daher, einen Bericht einzuholen Unternehmensumgebung. über aktuelle branchenspezifische Cyber-Bedro- hungen und Empfehlungen hinsichtlich entspre- Cyber-Sicherheit wird in den nächsten Jahr- chender Schutzmaßnahmen. Darüber hinaus zehnten möglicherweise als einzige maßgebli- sollte eine vertrauenswürdige und zuverlässige che Komponente diesen Wandel von Corporate Drittpartei damit beauftragt werden, im Darknet Governance bestimmen und prägen. eine Suche nach bereits herausgesickerten Daten wie Kennwörtern, personenbezogenen Daten Leider sind klare und aussagekräftige Rat- sowie vertraulichen oder finanziellen Dokumen- schläge und Empfehlungen, die Unternehmens- ten durchzuführen und gegebenenfalls effektive führungen von Anfang an umsetzen können, Beseitigungsmaßnahmen und -kontrollen zu um den effektiven Schutz des Unternehmens implementieren. und der Daten sicherzustellen, noch immer rar. Ein stärker geschäftszentrierter, ganzheitlicher Des Weiteren ist zu bedenken, dass Mitarbei- Top-down-Ansatz für Corporate Governance ter fast immer im Visier von Angreifern stehen. und Cyber-Sicherheit wird jedoch auf lange Vorstandsmitglieder müssen daher regelmä- Sicht dazu beitragen, dass wir unsere unterneh- ßig über das aktuelle Sicherheitsbewusstsein der mensspezifischen Ziele erreichen. Wenn wir Mitarbeiter ihres Unternehmens informiert wer- Cyber-Sicherheit nicht als isolierte, rein tech- den. Geeignete Möglichkeiten sind zum Beispiel nische Herausforderung sehen, die allein von kontrollierte Übungen zu Phishing-E-Mails. Der technischen Mitarbeitern mithilfe geeigneter Vorstand muss sich darüber hinaus vergewissern, Technologielösungen zu bewältigen ist, sondern dass sich das Management engagiert für solche vielmehr als ein geschäftliches Thema, steigen unsere Erfolgschancen um ein Vielfaches. 1 „A time for boards to act“, McKinsey, März 2018 Warum Corporate Governance bei der Cyber-Sicherheit so wichtig ist 155
TEIL 3 Sicherstellen, dass Sie schon heute gewappnet sind
Teil 3 — Einleitungen
22 Willkommen an der vordersten Front von Geschäftswelt und Cyber-Sicherheit Pablo Emilio Tamez López – Chief Information Security Officer, Tecnológico de Monterrey Digitale Transformation. Das Internet der Die Situation birgt das Potenzial, in naher Dinge. Big-Data-Analysen. Cloud-Computing. Zukunft noch prekärer zu werden, es sei denn, Künstliche Intelligenz. Maschinelles Lernen. In wir handeln jetzt als Vorreiter, indem wir sie gewisser Weise betrachten wir diese Innovationen angehen. Verbraucher und Unternehmen geben inzwischen als die Zukunft, als die bestimmenden immer mehr für IoT und mobile Geräte aus. Technologien der nächsten Weiterentwicklung in Das Wachstum ist exponentiell, wobei alle der Geschäftswelt und als Grundlage dessen, was diese vernetzten Geräte einerseits Informatio- das Weltwirtschaftsforum treffend als die vierte nen produzieren und andererseits für wachsende industrielle Revolution bezeichnet. Angriffsflächen sorgen. CISOs müssen sich die- ses sich dynamisch entwickelnden Risikoumfelds Aber wissen Sie was? Die Zukunft ist jetzt. bewusst sein und wissen, wie sie mit diesen Daten Jede dieser Technologien kommt heute umgehen müssen und ihre Unternehmenswerte bereits in der Praxis zum Einsatz. Geben Sie schützen können. Daher ist es äußerst wichtig, einen Suchbegriff bei Google ein, und Sie sehen anpassungsfähige und skalierbare Technologien sofort Werbeanzeigen, die sich auf diesen Such- zum Eindämmen dieser wachsenden Angriffs- begriff beziehen. Das geschieht automatisch und fläche einzusetzen, entweder in der Cloud oder kommt einem manchmal wie Schleichwerbung in physischen Rechenzentren. vor. Alle grundlegenden Technologien und Geschäftsmodelle, die unsere Welt verändern, Jetzt ist die Zeit zum Handeln wirken wie eine unsichtbare Hand, die fast alles Ich teile die Ansicht, dass es nicht darum geht, steuert, was wir im digitalen Zeitalter tun. Angst zu erzeugen oder Alarm zu schlagen, son- Doch nehmen Sie sich mal eine Sekunde dern dafür zu sorgen, dass wir uns alle der aktu- Zeit, um das Ganze von der anderen Seite zu ellen Realität und Dringlichkeit bewusst sind. betrachten. Aus der Sicht unserer Widersacher, Zur Zielgruppe dieses Buches, Wegweiser in die derjenigen, die uns aus Profitgründen, zur geo- digitale Zukunft, zweite Ausgabe, zählen füh- politischen Kriegsführung, zum Steigern ihres rende Persönlichkeiten aus Wirtschaft, Wissen- Selbstwertgefühls oder auch nur, um Unheil zu schaft und Politik, die nicht nur direkt von der stiften, schaden wollen. Für sie bringen digi- Cyber-Kriminalität betroffen sind, sondern auch tale Transformation, das Internet der Dinge in der Lage sind, etwas dagegen zu unternehmen. (IoT) und Big-Data-Analysen eine noch grö- ßere Angriffsfläche. Für sie sind Cloud-Com- Im ersten Teil dieser Abhandlung haben wir puting, KI und maschinelles Lernen einfach uns auf die Zukunft konzentriert. Im zweiten weitere, raffiniertere Waffen, die sie gegen uns Teil lag der Schwerpunkt auf den Lehren aus einsetzen können. der jüngsten Vergangenheit und der Gegenwart. 161
Im dritten Teil konzentrieren wir uns darauf, Jeder Autor teilt seine persönlichen diese Erkenntnisse umzusetzen, und zwar in Erfahrungen, um gemeinsam einen über- Bezug auf das, was gegenwärtig geschieht, wie zeugenden Leitfaden zu erstellen, der Hand- wir der sich dynamisch entwickelnden aktuellen lungsimpulse, Kommunikation und Innovation Bedrohungslandschaft begegnen und, was viel- auslösen soll. Die Hoffnung ist, dass Unter- leicht am wichtigsten ist, wie wir uns auf das vor- nehmen unabhängig von Größe, Standort und bereiten, was als Nächstes kommt. Branche die im dritten Teil geäußerten Erkennt- nisse und praktischen Ratschläge nutzen können, Unternehmenslenker und Vorstände sind in um besser darauf vorbereitet zu sein, den Heraus- einer besonderen Position, wenn es darum geht, forderungen des digitalen Zeitalters erfolgreich Investitionen zu genehmigen, die Vision für die zu begegnen. Einige der Ideen, die sicher einen digitale Transformation zu gestalten und sich um Nachhall finden werden, sind beispielsweise: die Schaffung eines Umfelds zu bemühen, in • Vertrauen: Wie stellen wir sicher, dass Ver- dem Innovation und Chancen florieren können. Das bedeutet auch, bei der Cyber-Sicherheit an trauen für die Benutzer nicht länger ein Pro- vorderster Front zu stehen. blem darstellt? • Kommunikation: Wie schaffen wir es, Sie müssen kein IT-Experte sein, um die wich- dass Führungskräfte aus den verschiedenen tige Rolle zu verstehen, die die Cyber-Sicherheit Fachbereichen und der Cyber-Sicherheit an in der heutigen Geschäftswelt einnimmt, oder einem Strang ziehen und die gleiche Sprache um eine Führungsrolle in Ihrem Unternehmen sprechen? zu übernehmen. Tatsächlich müssen Sie, wie viele • Verordnungen: Wie können Unter- unserer Autoren ausdrücken, eine Führungsrolle nehmen eng mit Regulierungsbehörden übernehmen. Wenn nicht Sie, wer sonst? zusammenarbeiten? • Technologie: Wie können die Guten techno- Allzu lange, so scheint es, waren uns unsere logische Innovationen nutzen, um die Bösen Gegner einen Schritt voraus. Nun ist es an der zu bekämpfen? Zeit, diesen Trend umzukehren und sie in die • Vorbereitung: Wie können wir uns auf Defensive zu drängen. Wir müssen es für sie Angriffe vorbereiten und den Schaden schwerer, teurer und riskanter machen, unsere begrenzen, wenn ein Angriff erfolgreich war? Daten, Privatsphäre, Wahlen, Infrastruktur, • Den Weg zum Geschäftserfolg ebnen: Wie Geschäftsabläufe und andere Bereiche anzu- können wir Cyber-Sicherheit von einem greifen, in denen sie versuchen, Schwachstellen Geschäftsrisiko in einen Wettbewerbsvorteil auszunutzen. verwandeln? Sicherstellen, dass wir heute Fazit und auch morgen gewappnet sind Wir sind in kurzer Zeit einen weiten Weg Wie können wir das schaffen? Was können wir gegangen, um den kritischen Punkt im digita- jetzt tun, um sicherzustellen, dass wir heute len Zeitalter zu erreichen, der jetzt vor uns liegt. gewappnet sind und zugleich die geeigneten Viele der Unternehmen, die vernetzte digitale Grundlagen für Menschen, Prozesse und Technologien zur Umstrukturierung von Bran- Technologien schaffen, die uns die besten Chan- chen einsetzen, waren noch vor zehn Jahren cen eröffnen, unsere Zukunft zu schützen und nicht einmal im Geschäft. Mittlerweile haben das Versprechen der vierten industriellen Revo- einige von ihnen einen Marktwert von Milliar- lution zu erfüllen? den von US-Dollar. In einer Zeit, in der sich unsere Welt so rasant Viele der Antworten auf diese tiefsinnigen, weiterentwickelt, in der digitale Technologien provokanten und vordringlichen Fragen fin- den sich in den nächsten Kapiteln. Im dritten Teil von Wegweiser in die digitale Zukunft, zweite Ausgabe, hören wir von Führungskräften aus der Cyber-Sicherheit – Geschäftsführer, Regierungs- vertreter, Rechtsexperten, Technologen, Chief Information Security Officers und anderen. 162 Teil 3 — Einleitungen
unser Leben und unsere Arbeit grundlegend wir im digitalen Zeitalter sicher vorankommen verändern, müssen wir dafür sorgen, dass wollen, müssen wir sicherstellen, dass wir heute Cyber-Sicherheit unseren Fortschritt nicht auf- gewappnet sind. Wenn es darum geht, die hält. Deshalb ist heute, dieser Augenblick, ein Herausforderungen der Cyber-Sicherheit zu kritischer Zeitpunkt auf unserem Weg. Wenn meistern, ist unsere Zukunft jetzt. Willkommen an der vordersten Front von Geschäftswelt und Cyber-Sicherheit 163
23 In der heutigen Welt ist jedes Unternehmen ein Cyber-Sicherheitsunternehmen Mark Anderson – President, Palo Alto Networks Das Thema dieses dritten und letzten Teils von ebnen. Außerdem darf dieses Thema nicht nur Wegweiser in die digitale Zukunft, zweite Aus- IT-Experten überlassen werden, denn in unse- gabe, lautet: „Sicherstellen, dass Sie schon rer heutigen Welt ist jeder für Cyber-Sicherheit heute gewappnet sind“. Auf den folgenden Sei- verantwortlich. Insbesondere Unternehmenslen- ten erfahren Sie mehr über Technologien, Ver- ker und Vorstände müssen eine Agenda aufstel- ordnungen, Kommunikationswege, Prozesse len und mit gutem Beispiel vorangehen. und Personen. Sie werden von Führungskräften hören, die Datenschutzverletzungen erlitten, an Ich könnte noch mehr Beispiele nennen. der Ausarbeitung von Verordnungen mitgewirkt, Doch es gibt zahlreiche Kapitel, die diesem Kapi- innovative Lösungen für die Cyber-Sicherheit tel vorausgehen und folgen, die sehr eloquent die entwickelt haben und weiterhin an vorders- Herausforderungen der Cyber-Sicherheit erklä- ter Front stehen, um den Fortschritt in vielerlei ren und beleuchten, mit denen wir alle heute Hinsicht voranzutreiben. konfrontiert sind, und zwar unabhängig davon, ob wir in der Privatwirtschaft, Politik, Verwal- Während Sie vorankommen, sowohl beim tung, Wissenschaft, Technologie oder Cyber-Si- Lesen der restlichen Kapitel dieses Buchs als auch cherheit tätig sind. Ich möchte hingegen einige bei der Bewältigung der Herausforderungen der Gedanken dazu äußern, was Unternehmens- Cyber-Sicherheit, vor denen Sie als Führungs- chefs jetzt tun können, um ihre Unternehmen kraft in Ihrem Unternehmen stehen, möchte ich nach vorne zu bringen und sicherzustellen, dass Sie dringend bitten, eines im Auge zu behalten: sie nicht nur heute gewappnet, sondern auch Wenn Ihre Organisation in veralteten Strukturen bereit sind, sich den Herausforderungen der feststeckt, wenn Sie die Dinge genauso machen Cyber-Sicherheit zu stellen, die sich am Hori- wie vor zwei Jahren oder sogar vor fünf Jahren, zont abzeichnen. ist es an der Zeit, das Ganze neu zu überden- ken. Um sicherzustellen, dass Sie heute wirklich Machen Sie Cyber-Sicherheit geschützt sind, müssen Sie der Zukunft freudig zu einem wesentlichen entgegensehen und nicht auf die Vergangenheit Bestandteil Ihres Geschäfts zurückblicken. Vor einigen Jahren gab es eine Devise, die sich durchgesetzt hat: „Jedes Unternehmen ist ein Cyber-Sicherheit darf keine nachträgliche Softwareunternehmen.“ Es ist an der Zeit, Angelegenheit sein, sondern muss auf unters- genauso über die Cyber-Sicherheit nachzuden- ter Ebene in die Prioritäten des Unterneh- ken. Wie Mark Rasch in seinem noch folgenden mens einfließen. Bei der Cyber-Sicherheit geht Kapitel erläutert, ist jeder Aspekt eines Unter- es nicht bloß um Risikomanagement, son- nehmens mit Cyber-Sicherheit verbunden, da dern darum, den Weg zum Geschäftserfolg zu 165
jeder Aspekt eines Unternehmens von digitalen Durch Innovationen wie das Internet Technologien beeinflusst wird. der Dinge, maschinelles Lernen und künstli- che Intelligenz sind OT- und IT-Teams stär- Cyber-Sicherheit darf kein nachträglicher ker denn je miteinander verflochten, weshalb Einfall, keine Zusatz- und keine isolierte Lösung Cyber-Sicherheit eines der starken Bindeglieder sein. Das sind veraltete Denkweisen, die zu Läh- sein muss, das sie miteinander verknüpft. Wenn mung führen. Denken Sie in Bezug auf die künf- Ihr Unternehmen OT und IT immer noch als tige Situation Ihres Unternehmens. Welche getrennte Silos betrachtet, sind Sie immer noch Resultate sind die wichtigsten? Wofür möchten in einer dieser veralteten Denkweisen verstrickt, Sie Ihre Mittel ausgeben? Welche Art von Unter- die wir bereits angesprochen haben. nehmenskultur wollen Sie schaffen? Silos verhindern den Blick über den Teller- Wenn Sie diese Prioritäten setzen und ent- rand und stehen für eine Strategie, mit der der sprechende Lösungen entwickeln, insbesondere Kampf gegen heutige Cyber-Kriminelle verloren wenn Sie die Cloud im Visier haben oder bereits geht. Sie müssen alle Möglichkeiten der Zusam- auf dem Weg in die Cloud sind, muss Cyber-Si- menarbeit nutzen, sowohl im Unternehmen als cherheit Teil jeder Diskussion und Entscheidung auch außerhalb. Wenn Mitarbeiter innerhalb sein. Sie planen Ihr künftiges Geschäft bestimmt Ihres Unternehmens nicht zusammenarbeiten, nicht ohne Rücksicht auf Vertrieb, Marketing können Sie nicht gewährleisten, dass Sie heute oder Kundenservice. Ist Cyber-Sicherheit von und morgen gegen Unbill gewappnet sind. Brin- untergeordneter Bedeutung für Ihre Zukunft gen Sie das jetzt in Ordnung. und Ihren Erfolg? Sichern Sie sich die Dienste Denken Sie nicht mehr an Cyber-Sicherheit der richtigen Leute, und sorgen im Sinne von Risikomanagement oder Konfor- Sie für die Schulung aller mität, sondern betrachten Sie sie als eine Kern- Sehen Sie sich Ihre Führungskräfte im Bereich kompetenz Ihres Unternehmens, ganz gleich Cyber-Sicherheit genau an. Denken sie zukunfts- in welchem Geschäftsfeld Sie tätig sind. In orientiert? Tauschen sie sich gerne mit anderen der heutigen Welt ist jedes Unternehmen ein Teams und Führungskräften im gesamten Unter- Cyber-Sicherheitsunternehmen. nehmen aus? Legen sie den Schwerpunkt auf Schulung, Sensibilisierung und Offenheit? Spre- Anpassung der Unternehmensstruktur chen sie die Sprache der Fachbereiche? Fühlen sie Damit Cyber-Sicherheit auch tatsächlich zu sich im Vorstandszimmer genauso wohl wie vor einer Kernkompetenz Ihres Unternehmens und einem Computerbildschirm? zu einem potenziellen Wettbewerbsvorteil wird, müssen Sie möglicherweise die Dinge in Ihrem Die heutigen Herausforderungen bei der Unternehmen auf den Kopf stellen. Wiederum Cyber-Sicherheit verlangen eine andere Art geht es darum, veraltete Denkweisen aus dem von Führungskraft als in der Vergangenheit. Weg zu räumen, in denen Informationstechno- Die Angst vor Veränderungen kann tief grei- logie und operative Technologie (OT) typischer- fend sein, aber wir leben in einem Umfeld, in weise voneinander getrennte Silos sind (und dem Veränderungen unvermeidlich sind. Die „Kooperation“ als eine bloße Worthülse emp- heutigen Verantwortlichen für Cyber-Sicher- funden werden kann). heit sollten von Veränderungen begeistert sein, nicht überfordert. Die Fähigkeiten, mit denen Obwohl es stimmt, dass Cyber-Sicherheit ein CISO in der Vergangenheit gut zurecht- in der Verantwortung aller in einem Unterneh- kam, sind möglicherweise nicht die Fähigkei- men liegt, ist es auch richtig, dass bei OT- und ten, die dazu beitragen, Ihr Unternehmen in die IT-Teams weitaus mehr als bei fast allen anderen Zukunft zu führen. auf dem Spiel steht. Sie sind nicht nur Nutzer von IT-Lösungen, sondern auch deren Entwick- Es geht nicht nur um die Leute, die direkt ler. Wenn es ihnen nicht gelingt, die richti- für die Cyber-Sicherheit verantwortlich sind. gen Cyber-Sicherheitsmaßnahmen umzusetzen, Es geht um alle Beteiligten und außerdem um gefährden sie das gesamte Unternehmen. die Schaffung und Aufrechterhaltung einer 166 Teil 3 — Einleitungen
Unternehmenskultur, in der Cyber-Sicherheit • Cyber-Sicherheit als Plattform: Offen- überall gelebt wird. Wenn Cyber-Sicherheit zu heit ist entscheidend, um Innovation in einer Kernkompetenz Ihres Unternehmens wer- der Cyber-Sicherheit voranzutreiben und den soll, müssen Sie sie entsprechend behandeln, mit unseren Widersachern Schritt halten zu und zwar beginnend an der Spitze bis hinunter können. Ein Plattformmodell unterstützt auf alle Unternehmensebenen. eine offene Umgebung und ermöglicht uns, Innovationen erheblich schneller zu nutzen. Sie müssen Schulungen oberste Priorität ein- räumen, Ihren Mitarbeitern die besten Werk- Eine Kultur der Offenheit fördern zeuge zur Verfügung stellen, sie regelmäßig Die Umsetzung eines Modells der „Cyber-Si- testen, die Ergebnisse messen und Ihre Fort- cherheit als Plattform“ ist ein möglicher Aspekt schritte verfolgen. Wenn Sie sich nicht jedes der Ausschöpfung von Offenheit, der jedoch Quartal verbessern, sollte es sich unangenehm auch weitergedacht werden kann. Eine weitere anfühlen. Und Sie sollten anfangen, sich zu fra- Erkenntnis, die in diesem Buch immer wieder gen, ob Ihr Schulungskonzept passt. auftaucht, ist die Vorstellung, dass wir in Bezug auf Cyber-Sicherheit alle gemeinsam betroffen In Sachen Technologie den Blick sind. nach vorn richten Ein Faktor, der Unternehmen wirklich bremsen Wir haben Feinde, die keine Bedenken kann, ist das Festhalten an älterer IT-Technolo- haben, Informationen, Tools und Angriffsme- gie. Wenn die Einstellung lautet: „Wir haben thoden im Darknet mit anderen zu teilen. Sollte dafür bezahlt, warum sollten wir sie nicht nut- es nicht ein vergleichbares „Lightnet“ geben, in zen“, haben Sie ein echtes Problem. Das Fest- dem wir zusammenarbeiten, um Aufschluss dar- halten an veralteten Geräten und Systemen, über zu geben, wie wir alle erfolgreich sein kön- die nicht zur heutigen Bedrohungsumgebung nen, wo wir offen über bewährte Verfahren in passen, ist kostspielig, ineffizient und führt verschiedenen Branchen sprechen und Informa- wahrscheinlich zu einem falschen Sicherheits- tionen in Echtzeit über neue Bedrohungen aus- empfinden und kann Sie zudem einem noch grö- tauschen können? ßeren Risiko aussetzen. Es gibt ein Cyber Threat Alliance (CTA) Wie sieht eine zukunftsorientierte Techno- genanntes Konsortium, dem mehr als 15 Anbie- logievision aus? Dies sind einige Kernelemente: ter von Sicherheitslösungen angehören. Dieses • Automatisierung: In diesem Buch wurde es Gremium wurde im Geiste der Offenheit und des Austauschs geschaffen mit dem Glauben, immer wieder angesprochen: Wir können dass kein einzelnes Unternehmen alles allein zu Maschinen nicht mit Menschen bekämp- leisten vermag. Wir müssen zusammenarbeiten fen. Unsere Gegner treiben die Automatisie- und Strategien und Daten über Bedrohungen rung immer weiter voran, wir müssen das austauschen, um unseren Gegnern immer einen Gleiche tun. Schritt voraus zu sein. Dieses Gremium erstellt • Künstliche Intelligenz und maschinelles Playbooks, Analysen und Berichte, die von allen Lernen: Hier gilt dasselbe wie bei der Auto- Mitgliedern zu deren Vorteil genutzt werden matisierung. Unsere Gegner nutzen diese können. Wenn Ihr Anbieter von Sicherheitslö- Technologien zu ihrem Vorteil, wir müssen sungen Informationen über Bedrohungen nicht sie zu unserer Verteidigung einsetzen. mit der CTA teilt, kann es an der Zeit sein, mit • Ein auf SaaS basierendes Nutzungsmodell: einem Anbieter zusammenzuarbeiten, der offe- Sie können keine neuen Tools kaufen und ner und gewillter ist, auf diese Weise einen Bei- diese aufeinanderstapeln. Wie Nir Zuk in sei- trag zu unseren Communitys zu leisten. nem Kapitel erklärt, muss Cyber-Sicherheit Fazit schnell, einfach und kostengünstig realisiert Die Zeiten, in denen Cyber-Sicherheit als Zusatz- werden. Software-as-a-Service ist ein erfolg- lösung angeflanscht wurde, sind vorbei. Es steht versprechender Ansatz. In der heutigen Welt ist jedes Unternehmen ein Cyber-Sicherheitsunternehmen 167
zu viel auf dem Spiel und die Dinge entwickeln vorausschauenden Planung. Cyber-Sicherheit sich zu schnell, als dass Unternehmen weiter auf muss in der DNA Ihres Unternehmens veran- ältere Modelle für Cyber-Sicherheit setzen könn- kert sein, um die Geschäftsergebnisse zu ermög- ten. Mit Blick auf Menschen, Technologie und lichen, die den Erwartungen Ihrer Kunden, Prozesse besteht die einzige Möglichkeit sicher- Mitarbeiter und Aktionäre in den kommenden zustellen, dass sie heute gewappnet sind, in der Jahren entsprechen. 168 Teil 3 — Einleitungen
24 Wie Sie Ihren Talentpool für Cyber-Sicherheit vergrößern sollten: eine Lektion zu Angebot und Nachfrage Ed Stroz – Gründer und Co-President, Stroz Friedberg, ein Aon-Unternehmen Es geht um Angebot und Nachfrage. Es geht Angebots- als auch auf der Nachfrageseite mehr darum, wie sich kritische Ungleichgewichte bei Talente. In Cyber-Sicherheitskreisen besteht die Ressourcen angesichts der Zunahme des globa- Angebotsseite aus IT-Sicherheitsdienstleistern, len Drucks, der Komplexität und Auswirkungen die Fachwissen in Schlüsselbereichen wie forensi- überwinden lassen. Ich spreche nicht von Ange- sche Analyse, digitale Untersuchungen, Entwick- bot und Nachfrage in Bezug auf Wirtschaftsgü- lung von Tools, Bewertung von Cyber-Risiken ter, sondern in Bezug auf die nächste Generation und Threat-Intelligence anbieten. Dem gegen- von Talenten in der Cyber-Sicherheit. über steht die Nachfrageseite bei Cyber-Sicher- heit, die sich aus den Nutzern dieser Leistungen Fast jeder Leser dieses Buches weiß um die und anderer Sicherheitstools und -dienste zusam- enorme Kluft zwischen den Bedürfnissen inter- mensetzt, einschließlich interner Sicherheitsex- ner Teams von Unternehmen sowie von Anbie- perten, die sowohl mit unternehmensinternen tern von Cyber-Sicherheitsdiensten und der Beteiligten als auch mit externen Anbietern von Verfügbarkeit von intelligenten, kreativen, talen- Cyber-Sicherheitslösungen zusammenarbeiten. tierten Männern und Frauen, um die geschätzte Beide Seiten müssen zu neuen Ufern aufbrechen, Lücke von mehr als zwei Millionen globalen um begehrte Talente zu definieren, zu identifizie- Cyber-Sicherheitstalenten in den nächsten Jah- ren und zu gewinnen. ren zu schließen.1 Cyber-Sicherheit auf der Angebotsseite Zweifellos hat sich Ihr CISO für ein größe- Tatsächlich ist unsere Firma einer dieser Anbieter res Budget zur Suche, Anwerbung, Einstellung von Cyber-Sicherheitsdienstleistungen auf der und Schulung von Cyber-Sicherheitspersonal Angebotsseite. Wir haben das Glück, viele sehr ausgesprochen. Sie haben sich wahrscheinlich kluge, talentierte und engagierte Männer und seine Argumente aufmerksam angehört und Frauen eingestellt zu haben, die geholfen haben, höchstwahrscheinlich zumindest einige seiner unsere Kunden vor möglichen Katastrophen zu Forderungen bewilligt. Die derzeitigen Versuche bewahren. Einige von ihnen sind auch auf der in der Cyber-Sicherheitsbranche, diese Lücke Nachfrageseite in wichtige Positionen in den zu schließen, versprechen jedoch keinen Erfolg, Bereichen Cyber-Sicherheit und Unternehmens- und das Problem wird nicht dadurch gelöst, führung gewechselt. dass wir unsere bisherige Vorgehensweise weiter intensivieren. Aber ich sage es ganz klar: Trotz unserer soli- den Erfolgsbilanz wird es für uns immer schwie- Das ganze Problem hat zwei Seiten: Um riger, mit der Nachfrage nach Talenten Schritt unsere wachsenden Herausforderungen in der zu halten. Wir glauben gerne, dass wir ziemlich Cyber-Sicherheit zu bewältigen und Personalres- sourcen zu stärken, brauchen wir sowohl auf der 169
clever sind, wenn es um die Suche nach neuen notwendigen technologischen Kompetenzen Mitarbeitern und den Prozess geht, den wir verfügen, um eine größere Bandbreite von Pro- durchlaufen, um sie auf ihre Aufgaben vorzube- blemen schneller als je zuvor zu lösen. Das gilt reiten. Deshalb mussten wir uns dahin gehend insbesondere, wenn man die umfassende Integ- neu aufstellen, was wir tun, wie wir es tun und ration der Informationstechnologie in sämtliche welche Art von Menschen wir ansprechen. Das Unternehmensbereiche und bei der Kontrolle sollten Sie auch tun. kritischer Infrastrukturen betrachtet. Doch das reicht nicht aus. Für Unternehmen auf der Angebotsseite wie das unsere hat sich viel verändert, weshalb wir Wir haben unsere traditionellen Denkmuster darüber nachdenken müssen, wie wir eine neue ergänzt und erweitert, um Mitarbeiter zu rek- Generation von Cyber-Sicherheitsexperten ent- rutieren, die Betriebswirtschaft, Volkswirtschaft wickeln und einstellen. Noch vor 20 Jahren war oder Jura studiert haben. Selbst Studenten, die Cyber-Sicherheit ein ziemlich junges Gebiet. keine technischen Fächer studieren, haben Infor- Einzelne Cyber-Sicherheitsexperten konnten matikkurse besucht, und seien wir ehrlich: Die eine ganze Menge tun, um ihren Kunden zu Generation Y ist weitaus technologieaffiner und helfen, denn der Stand der Technik war noch sich der Cyber-Risiken bewusst als diejenigen nicht so fortgeschritten. Vielleicht haben sie ein von uns, die im letzten Jahrhundert ihr Studium digitales forensisches Training absolviert und abgeschlossen haben. Und das ist auch nicht auf vielleicht als Sachverständige an einem Prozess junge Hochschulabsolventen beschränkt. Wir teilgenommen. Für viele Firmen auf der Ange- glauben, dass es von großem Nutzen ist, Men- botsseite waren damit ihre Fähigkeiten maximal schen mit den richtigen „sozialen Kompeten- ausgeschöpft, und es erforderte kein allzu großes zen“, wie z. B. gutes Urteilsvermögen, Neugierde Netz, um die richtigen Leute zu finden. und Neigung zu kreativen, alternativen Lösun- gen, zu gewinnen und sie mit Kollegen mit einer Aber mittlerweile ist Cyber-Sicherheit eine fundierteren IT-bezogenen Ausbildung zusam- ganz andere Nummer. Ich muss Ihnen nichts menarbeiten zu lassen. über das wachsende Bedrohungspotenzial, die zunehmenden Schwachstellen, das intensivierte Selbstredend haben wir einen detaillierten Risikomanagement und die Notwendigkeit Qualifizierungsplan, der nicht nur die IT-bezo- erzählen, Cyber-Sicherheit von einer Kosten- genen Fragen, sondern auch die geschäftlichen stelle in einen Wettbewerbsvorteil für Ihr gesam- Herausforderungen unserer Kunden abdeckt. tes Unternehmen zu verwandeln. Wir mussten Ich kann nur betonen, wie wichtig diese Quali- – vergleichbar mit Anwaltskanzleien und Arzt- fizierung für Unternehmen wie das unsere und praxen – immer mehr Spezialisten einstellen, die auch für diejenigen unter Ihnen auf der Nach- sich um verschiedene Bereiche mit individuellen frageseite ist. Schließlich lässt man keinen frisch- Anforderungen kümmern. Das hat dazu geführt, gebackenen Absolventen der Yale Law School, so dass Unternehmen wie das unsere methodisch talentiert und gut ausgebildet er auch sein mag, geplante Ansätze entwickeln und umsetzen gleich einen Fall vor dem Obersten Gerichtshof mussten, um neue Fachkräfte in das Unterneh- der Vereinigten Staaten verhandeln. men zu holen, damit wir unseren Kunden einen Mehrwert bieten können. Es versteht sich von selbst, dass wir Mit- arbeiter einstellen wollen, deren Fähigkeiten und Aber das heißt nicht, dass wir lediglich Kompetenzen unsere Auswahlkriterien so genau nach mehr Hochschulabsolventen mit einem wie möglich erfüllen. Aber vieles spricht dafür, Abschluss in Cyber-Sicherheit oder Ähnlichem Leute einzustellen, die diesen vielleicht nicht in suchen. Denn so lässt sich die Lücke in einer allen Punkten entsprechen. Zeit mit ständig steigendem Cyber-Risiko ein- fach nicht schließen. Wir brauchen neue und Cyber-Sicherheit auf der Nachfrageseite andere Mitarbeiter. Auf der Nachfrageseite, d. h. von globalen Kon- zernen verschiedener Branchen bis zu kleineren Das heißt nicht, dass wir keine Mitarbeiter Unternehmen mit steigendem Cyber-Sicher- mit fundierten technischen Fachkenntnissen heitsrisiko, ist die Rekrutierung und Qualifi- mehr brauchen. Selbstverständlich erwarten zierung der nächsten Generation von Talenten unsere Kunden zu Recht, dass wir über die 170 Teil 3 — Einleitungen
genauso schwierig, und zwar aus all den Grün- aufbrechen oder automatisierte Überwachungs- den, die ich bereits für die Angebotsseite benannt tools einsetzen können, um komplexe, hartnä- habe. In vielerlei Hinsicht wurden viele interne ckige Bedrohungen auszumachen. Sicherheitsabteilungen wie interne Anbieter von Sicherheitslösungen geschaffen, die die Anwen- Unternehmen auf der Nachfrageseite haben der in den Fachbereichen als „Kunden“ behan- nicht nur mehr Möglichkeiten, nach einer neuen deln. Aspekte wie interne Rückbuchungen und Generation von Cyber-Sicherheitsspezialisten restriktive Sicherheitsrichtlinien und -verfah- mit nicht traditionellem Hintergrund zu suchen, ren fördern zusätzlich die Vorstellung, dass das sondern ich halte dies auch für unbedingt not- Cyber-Sicherheitspersonal irgendwie „anders“ ist wendig. Die bittere Wahrheit ist, dass die meis- als die sonstigen Abteilungen des Unternehmens. ten Geschäftsleute in Unternehmen arbeiten, die schon einmal von einer Datenschutzverletzung, Dies ist eine Denkweise, die weiterentwickelt einem verteilten Denial-of-Service- oder einem werden muss. Und eine der Möglichkeiten ist Ransomware-Angriff betroffen waren. Sie ver- meiner Meinung die Erweiterung des Profils, wer stehen nur allzu gut die Auswirkungen dieser auf der Nachfrageseite der Cyber-Sicherheit rek- und anderer Bedrohungen auf das Unterneh- rutiert, eingestellt, ausgebildet und gefördert wird. mensergebnis. Und sie wissen auch, dass einigen Sicherheitsrichtlinien der notwendige operative Wir müssen uns von den herkömmlichen Kontext fehlt, um den Frust der Benutzer zu ver- Definitionen interner Sicherheitsbetriebsteams ringern und die Agilität des Unternehmens zu als Technikfreaks oder „Sicherheitspolizei“ lösen, verbessern, da jeder verpflichtet ist, seine Kenn- die es für Teams in den Fachbereichen schwieriger wörter monatlich zu ändern. machen, ihre Arbeit zu erledigen, weil wir ihnen immer Grenzen setzen, ihnen sagen, was sie dür- Erinnern Sie sich an das, was ich zuvor über fen und was nicht. Stattdessen müssen wir diese Unternehmen auf der Angebotsseite wie das Mitarbeiter als gleichrangige Kollegen schätzen, unsere gesagt habe? Nämlich dass wir uns von die für die Erreichung von Unternehmenszie- einem zu engen Kriterienkorsett verabschieden len verantwortlich sind. Und wir müssen nach müssen. Und auch auf der Nachfrageseite müs- neuen Arten von Mitarbeitern suchen, zu deren sen die anzulegenden Kriterien weiter gefasst vorrangigen Fähigkeiten neben dem Geschäfts- werden. Tatsächlich zeigen uns Erfahrungen aus sinn auch eine lösungsorientierte Einstellung, die der Praxis, dass ein zu starkes Eintauchen in die Fähigkeit, Risiken und Chancen in Einklang zu technische Seite einer Lösung die Wahrnehmung bringen, und schlicht ein wirklich gutes Urteils- der tatsächlichen Probleme des Unternehmens vermögen gehören. Vielleicht finden Sie das bei verhindern kann. Es ist ein wenig wie in der Ihrem neuesten Cyber-Sicherheits-Absolventen. Medizin. In den letzten Jahren haben Ärzte Kri- Vielleicht aber auch nicht. tik geerntet, weil sie die Symptome behandeln, aber nicht den Patienten. Sie meinen, den Krebs Ähnlich wie auf der Angebotsseite sollte die zu heilen, aber sie müssen auch den Patienten Lücke bei der Cyber-Sicherheit auf der Nach- heilen, der im Bett liegt. frageseite mit mehr Kräften aus anderen Fach- bereichen geschlossen werden. Technische Ich habe auch über die zunehmende Spezia- Fähigkeiten sind natürlich sehr hilfreich und lisierung in der Cyber-Sicherheit gesprochen, so notwendig. Aber ihr Fehlen sollte kein Hin- wie es in Bereichen wie Medizin und Recht der dernis sein, das den potenziellen Talentpool Fall war. Und während das auf der Angebots- einschränkt. Auf der Nachfrageseite verfügen seite zutrifft, denke ich, dass wir auf der Nach- Sie wahrscheinlich bereits über eine Fülle von frageseite mehr Generalisten brauchen. Wenn IT-Talenten, und Sie beauftragen wahrscheinlich ich Generalisten sage, meine ich natürlich keine bereits einige externe Sicherheitsdienstleister mit Maschinenstürmer, sondern vielmehr Leute, die speziellem Fachgebiet. sich mehr darauf konzentrieren, neue Wege zu finden, Probleme zu erkennen und zu lösen, in Unternehmen auf der Nachfrageseite sollten der Regel in enger Zusammenarbeit mit Kolle- einen stärkeren Schwerpunkt auf das Suchen gen aus den Fachbereichen und IT-Spezialisten. und Finden von Problemlösern mit betriebs- wirtschaftlicher Kompetenz legen. Sie können sie jederzeit mit Kräften verstärken, die Botnets Wie Sie Ihren Talentpool für Cyber-Sicherheit vergrößern sollten: eine Lektion zu Angebot und Nachfrage 171
Was also ist zu tun? des Unternehmens benötigen Sie ein Netz aus Als Unternehmenslenker können Sie sich nicht Beziehungen und Fertigkeiten, um die immer einfach zurücklehnen und darauf warten, dass vielfältigeren und immer wieder neuen Heraus- Ihr CISO mit noch einer weiteren Forderung forderungen der Cyber-Sicherheit zu bewältigen. nach größeren Budgets für die Rekrutierung von Die neue Generation von Cyber-Sicherheits- Hochschulabsolventen oder der Genehmigung talenten wird vermehrt aus Fachgebieten wie zur Erhöhung der Mitarbeitergehälter kommt, Jura, Betriebswirtschaft, Statistik, Buchhaltung, um das erfahrene Personal anderer Unterneh- Betriebsführung und Finanzen kommen. Diese men abzuwerben und das eigene bereits vorhan- Fachleute müssen eng mit intelligenten, IT-af- dene Personal zu binden. Stattdessen gibt es eine finen Talenten innerhalb und außerhalb des Vielzahl von Möglichkeiten, die Sie aktiv nutzen Unternehmens vernetzt werden. können und sollten, um sich einen Pool von Cyber-Sicherheitstalenten aufzubauen. Wertschätzen Sie Erfahrung, nicht bloß Fachwissen. Denken Sie daran, wie oft Sie in Unabhängig davon, ob Sie auf Nachfrage- einem Sitzungssaal oder an einem Konferenz- oder Angebotsseite sind, ist es an der Zeit, tisch der Geschäftsleitung gesessen haben, um darüber nachzudenken, welche Mitarbeiter Sie ein Problem zu erörtern. Haben Sie sich nicht oft suchen, um Ihre erhebliche Cyber-Sicherheitslü- zu dem Mann oder der Frau in der Gruppe hin- cke zu schließen, oder wie Sie Nicht-Cyber-Spe- gezogen gefühlt, der/die dieses Problem schon zialisten ausfindig machen und neu qualifizieren einmal durchlebt hat? Diese Art von Erfahrung können, damit sie neue Rollen übernehmen. ist für Cyber-Sicherheit von unschätzbarem Wert. Könnte Ihr Unternehmen etwas von Intelligent einstellen. Stellen Sie nach Mög- jemandem lernen, der in Krisenzeiten bei Sony, lichkeit intelligente Leute ein, auch wenn sie Target oder Equifax tätig war? keine umfassenden IT-Fachkenntnisse haben. Sie können intelligenten Menschen genügend Definieren Sie die Zielkriterien neu. Bitten technische Details beibringen, damit sie fach- Sie Ihre Personalverantwortlichen und Cyber-Si- liche Gespräche mit ihren Kollegen mit mehr cherheitsleiter, sich zusammenzusetzen und sich IT-Kompetenz führen können. Aber Ihr bester alle Stellenbeschreibungen Ihrer offenen Stellen und klügster Sicherheitsspezialist allein kann kei- anzusehen, und lassen Sie sie darüber nach- nen großen Unterschied in Ihrer Bilanz bewirken, denken, wie sie diese Rollen angesichts der sich wenn er weder über grundlegende Geschäfts- schnell verändernden Cyber-Sicherheitsland- kenntnisse noch über einen guten Mentor ver- schaft neu definieren können. Ihr „idealer“ Kan- fügt. Intelligente Menschen werden immer einen didat dürfte heute und in naher Zukunft wohl Weg in die richtige Richtung finden. anders aussehen und handeln als noch vor weni- gen Jahren. Unternehmenskultur zählt. Ihre Unterneh- menskultur ist entscheidend dafür, ob Sie (A) Machen Sie sich keine (oder nicht so Ihre guten Leute halten können, ob Sie (B) gute viele) Sorgen um die Kosten. Das Anwerben Leute von außen anlocken können und ob Sie von Cyber-Sicherheitstalenten ist teuer. Glei- (C) Ihre Cyber-Sicherheitsleute als vertrauens- ches gilt für das Bekämpfen der Folgen einer würdige Kollegen agieren lassen können, die sich Datenschutzverletzung. Um sich eine Rendite um die Verbesserung der Unternehmensleistung zu verschaffen, müssen Sie zuerst investieren. kümmern, anstatt Programmfehler aufzuspüren. Nicht alle schauen bloß auf das Gehalt. Einige Wertschätzen Sie diese Mitarbeiter, belohnen Sie Leute wollen einfach nur sicher sein, dass sie an sie, binden Sie sie frühzeitig in die Geschäftspla- einem Ort arbeiten, wo ihr Einsatz und Beitrag nung ein und behandeln Sie sie so, als wäre ihr geschätzt wird, der ihnen die besten Chancen Beitrag unentbehrlich. Denn das ist er. bietet, ihre Arbeit erfolgreich zu erledigen, und sie stolz macht, Teil des Unternehmens zu sein. Schaffen Sie ein vielfältiges Ökosystem von Talenten und Kompetenzen. Innerhalb 1 „The Fast-Growing Job With a Huge Skills Gap: Cyber Security“, Forbes, März 2017 172 Teil 3 — Einleitungen
Sprache
25 Wie sich der betriebswirtschaftliche Nutzen von Cyber-Sicherheit aufschlüsseln lässt Mark Rasch – Rechtsanwalt für Cyber-Sicherheit und Datenschutz Jeder Aspekt in der heutigen Geschäftswelt hat und Management für Cyber-Sicherheit angeht. eine Verbindung zur IT-Sicherheit. Dies gilt Wenn das Ziel der Cyber-Sicherheit einfach für jede Geschäftsbeziehung, jedes Produkt, darin besteht, eine meldepflichtige Schutzverlet- jede Einstellungsentscheidung und jedes Mar- zung personenbezogener Daten zu verhindern, ketingprogramm. Für jede Kundeninteraktion, wird ein Unternehmen wahrscheinlich nur das Kommunikation, Produktentwicklung und Nötigste tun, um eine solche zu verhindern oder Unternehmensentscheidung. Das lässt sich belie- zu entschärfen. Wenn es nur darum geht, recht- big fortsetzen: Lieferkettenmanagement, Ferti- liche oder regulatorische Vorgaben einzuhalten, gung, Vertrieb, Kundendienst. Und dann gilt es werden wir nicht mehr als das Notwendige tun, auch noch für: Finanzen, Personalwesen, Versi- um dies in gutem Glauben zu erreichen. cherungen, Produktsicherheit, Arbeitssicherheit und Teamarbeit. Im Wettbewerb um knappe Unterneh- mens- oder staatliche Ressourcen – Geldmittel, Tatsächlich wird es wohl jedem Leser dieses Technologie, Mitarbeiter und Aufmerksamkeit Buchs schwerfallen, eine einzige Geschäftsaktivi- – denken wir immer noch nicht an das Poten- tät vorzuschlagen, die nicht in irgendeiner Weise zial der Cyber-Sicherheit zur Stärkung und Dif- mit einem Computer oder Computernetzwerk ferenzierung des Unternehmens. Und wir neigen und somit mit Cyber-Sicherheit verbunden ist. immer noch dazu, unsere Chief Information Security Officers (CISOs) und andere Sicher- Doch in allzu vielen Fällen betrachten wir heitsexperten nicht danach zu bewerten, wie gut Cyber-Sicherheit genauso, wie ein Compliance sie das Geschäft vorangetrieben haben, sondern Officer Cyber-Sicherheit sieht – als notwendiges danach, wie viele Phishing-Angriffe sie abge- Übel. Der Chefjustiziar betrachtet sie als Kos- wehrt haben. tenfaktor, der mit der Einhaltung von Verträ- gen oder anderen Vorschriften verbunden sind. Da muss sich etwas ändern. Wir müssen Der verantwortliche Risikomanager wählt bei unseren Blickwinkel ändern und sicherstellen, den Ausgaben für Cyber-Sicherheit vielleicht dass wir über Cyber-Sicherheit in einer Sprache einen risikobasierten Ansatz. Die Verantwortli- sprechen und denken, die mit den Zielen des chen für Versicherungen oder Schadenspräven- Unternehmens in Einklang steht: Rentabilität, tion betrachten Cyber-Sicherheit und die damit Kundenbindung, Unternehmenskultur, Mar- verbundenen Konzepte zum Schutz von Daten kenreputation und Produktinnovation. Außer- und Privatsphäre als eventuellen Verlust, den es dem müssen wir nach neuen Wegen suchen, wie zu bewältigen gilt. wir die Wirksamkeit unserer Cyber-Sicherheits- teams messen können. Wenn man sich das Kon- Alle diese Ansätze führen zu einer unzu- zept der Cyber-Sicherheit ausschließlich unter länglichen Aufmerksamkeit, was Ressourcen 175
dem Aspekt der Schadensprävention ansieht, Geschäftsprozessablauf, Lieferkettenmanage- kommt man damit auch nicht viel weiter. Was ment, Fertigungsautomatisierung, Marketing, nicht heißen soll, dass Risikobegrenzung etwas Vertrieb, Personalwesen, Personalbeschaffung Schlechtes ist. Doch wenn es um Cyber-Sicher- und Kundenservice. Anstatt zu fragen, wie die heit geht, darf dies nicht der einzige Aspekt sein. Verantwortlichen für die Informationssicherheit die Einhaltung von Vorschriften sicherstellen Was können wir tun, um die Sprache zu können, müssen CISOs sich fragen, wie ver- ändern, die Cyber-Sicherheitskultur anzupas- antwortungsbewusste Sicherheitsverfahren neue sen und unseren Blickwinkel zu verändern? Effizienzsteigerungen, Produkte, Dienstleistun- Wie können wir unsere Betrachtungsweise auf gen und Kunden möglich machen können. Cyber-Sicherheit modernisieren, um für die sich schnell verändernde Welt von heute adäquat auf- Der CISO muss die Kennzahlen und Ziele gestellt zu sein? Ich dachte schon, Sie würden das mit denen des Kerngeschäfts abstimmen. So nie fragen. kann er zeigen, wie eine effektive VPN-Lösung Telearbeit ermöglicht, was Ausfallzeiten reduziert, Blick zurück und nach vorn Effizienz fördert und so zum Verkauf von mehr Vergleichen Sie die Arbeitswelt der 1960er-Jahre Widgets beiträgt. Eine sichere Virtualisierungs- mit der der 2010er-Jahre. Denken Sie an Mad plattform ermöglicht den mobilen Mitarbeitern Men, die US-Fernsehserie, die die alte Ära ori- und Kunden, auf ihre Daten zuzugreifen, was ginalgetreu wiedergibt: Viele schlecht bezahlte, die Kundenzufriedenheit fördert und auch den mäßig ausgebildete Angestellte sind mit dem Verkauf von Widgets vorantreibt. Ein sicheres Verteilen von Post, Tippen, Ablegen und Steno- Zahlungssystem ermöglicht Online-Bestellun- grafieren beschäftigt. Pools von Sekretärinnen, gen und sorgt dafür, dass mehr Widgets verkauft Sachbearbeiter in Schreibtischreihen, Mitarbeiter werden können. Informationssicherheit stärkt in der Poststelle. Vorspulen zum aktuellen Zeit- den Vertrieb, fördert Effizienz und ermöglicht punkt: Diese Arbeitsplätze sind alle weggefallen. Geschäftsprozesse, die Produkte verbessern, Kos- ten senken und zudem Konformität und Risiko- Jetzt gibt es IT- und Sicherheitsexperten, die minderung gewährleisten. Doch hauptsächlich diese Arbeitskräfte faktisch ersetzt haben. IT-Lei- ermöglicht sie den Verkauf von Widgets. ter, CISO, CIO sind alles Funktionen, die es in den 1960er-Jahren noch nicht gab. Anstelle von Dank der in Ihr Unternehmen integrierten 20 Sekretärinnen und 30 Sachbearbeitern, die Technologie können Sie neue Geschäftsmodelle niedrige Löhne beziehen, haben wir jetzt eine verwirklichen. Sie können ein Drittel Ihrer Mit- Handvoll Leute mit höheren Gehältern. Nur sind arbeiter von zu Hause aus arbeiten lassen und wir viel stärker von ihnen und den Technologien dennoch eine kritische Masse an Mitarbeitern, abhängig, die sie uns zur Verfügung stellen. sozialem Engagement und Zusammenarbeit auf- rechterhalten. Sie können Ihren Kunden jeder- Aber dieser Fortschritt hat mitunter zur zeit und überall auf der Welt einen engagierten sogenannten „Tyrannei der Informationstech- Service bieten. Sie können Ihre Lieferketten in nologie“ geführt, die sowohl zu unserem größ- einer stetigen Schleife aus Echtzeitinformatio- ten Aktivposten als auch zu unserer größten nen und detaillierten Analysen miteinander ver- potenziellen Belastung geworden ist. Das Ziel binden. Sie können praktisch alles umsetzen, von Computersicherheit ist nicht, Computer zu was Sie sich vorstellen können. Das haben wir schützen, denn die Absicherung von Computern bei Unternehmen wie Uber und Airbnb gesehen, ist einfach. Trennen Sie sie von der Steckdose die mithilfe vernetzter Technologien jahrzehnte- und schließen Sie sie ab. Das Ziel von Sicherheit alte Geschäftsmodelle umgekrempelt haben. ist Informationssicherheit als Teil des allgemei- nen Informationsmanagements. Und das Ziel In Wirklichkeit können Sie diese Schritte des Informationsmanagements ist es, den Weg jedoch nur dann gehen, wenn Verbindungen zum Geschäftserfolg zu ebnen. und Datenfluss geschützt sind. Das bedeutet, dass Cyber-Sicherheit zu einem Wegbereiter für Wenn Sie Widgets herstellen, benötigen Zusammenarbeit, Effizienz, Produktivität, Agi- Sie die IT für alles – von der Gehaltsabrech- lität, Kostensenkung, Produktentwicklung und nung und internen Kommunikation bis zu 176 Sprache
Innovation wird. Sicherheit ermöglicht es dem US-Börsenaufsichtsbehörde SEC empfehlen, Unternehmen, Umsatz und Gewinn durch die dass Cyber-Sicherheit ein Hauptanliegen des Nutzung von Daten in einer völlig neuen Weise Aufsichtsrats eines Unternehmens sein sollte, zu steigern. Damals, zu Mad Men-Zeiten, war die und dass die für Cyber-Sicherheit Verantwort- harte Arbeit getan, sobald der Abschluss unter lichen direkt an den CEO und den Aufsichts- Dach und Fach war. Heute ist der Abschluss rat berichten sollten, die regelmäßig über den lediglich der Beginn einer Beziehung. Die Erfas- Sicherheitsstatus des Unternehmens informiert sung, Speicherung und Analyse von Daten wird werden sollten. immer wichtiger. Gleiches gilt für Sicherheit. Aber bevor solche Informationsgespräche tat- Cyber-Sicherheit mit sächlich Wirkung zeigen, müssen der CISO und Geschäftszielen abstimmen das Sicherheitspersonal lernen, die Sprache des Wenn es am Ende darum geht, Strategien und CEO und des Aufsichtsrats zu sprechen – oder Investitionen im Bereich der Cyber-Sicherheit sie darin unterrichten, die Sprache der Sicher- mit Unternehmenszielen in Einklang zu brin- heitsverantwortlichen zu beherrschen. gen, sind die meisten Unternehmen noch dabei, herauszufinden, wie sie diesen Sprung schaffen Im Großen und Ganzen haben wir alle können. Ein Teil der Herausforderung sind dabei noch nicht herausgefunden, wie wir bestimmte die Kennzahlen, mit denen wir die CISO-Leis- wesentliche Aspekte der Unternehmensabläufe, tung messen. insbesondere bei der Cyber-Sicherheit, bewerten sollen. Meiner Meinung nach legen die meisten Dies wird zu einem Problem, wenn wir Unternehmen Wert auf Aufgaben wie Daten- unsere Budgets auf Grundlage von Hardware und erfassung, -verarbeitung und -analyse, haben nicht des Mehrwerts kalkulieren – wenn wir die aber Mühe, etwas „Esoterischeres“, wie beispiels- Cyber-Sicherheitsleistung an Kriterien messen, weise den Datenschutz, in den Vordergrund zu die nichts mit dem tatsächlich eingedämmten stellen. Risiko oder dem gebotenen Gesamtnutzen für das Unternehmen zu tun haben. Haben wir unsere Wir schätzen den Datenschutz nicht, weil Arbeit gut gemacht, wenn wir 98 % der Angriffe wir ihm keinen Wert beimessen. Was wir gewiss verhindern, aber die 2 %, die wir übersehen, ver- können, ist, die Kosten einer Datenschutzver- heerend sind? Wenn wir 90 % verhindern, die letzung zu beurteilen. Wir können sagen, dass übrigen 10 % aber keinerlei Auswirkungen haben, eine Datenschutzverletzung uns 15 US-Dol- schneiden wir dann schlecht ab? lar pro Datensatz kosten wird, sodass uns bei 100.000 Datensätzen Kosten in Höhe von 1,5 Wenn es um Budgets und Kennzahlen für Millionen US-Dollar entstehen. Das mag helfen, Cyber-Sicherheit geht, wählen wir oft nicht ist aber unzulänglich. den richtigen Maßstab für die Dinge, die wir als Unternehmen am meisten schätzen. Teil des Wir müssen die richtigen Kennzahlen für die Problems ist, dass bei der Datensicherheit zu Bewertung des Datenschutzes entwickeln, denn viele oder, besser gesagt, zu viele verschiedene wenn wir ihm keinen Betrag zuschreiben, bedeu- Chiefs etwas zu sagen haben. Wir haben einen tet das, dass wir ihn nicht wertschätzen. Wir Chief Privacy Officer, Chief Information Officer, messen Datenschutz auf der Grundlage der Kos- Chief Information Security Officer, Chief Risk ten, die bei einem Verzicht auf den Schutz ent- Officer, Chief Executive Officer usw. Jede die- stehen, und nicht den Wert des Datenschutzes ser Führungskräfte hat ihren eigenen Bereich zu an sich. Echter und nachhaltiger Datenschutz schützen, und zwar oft mit sich überschneiden- fördert Zuversicht. Zuversicht fördert Vertrauen. den Zuständigkeiten. Jede Führungskraft glaubt, Vertrauen fördert Umsatz. Und Umsatz fördert dass ihre Probleme oder Lösungen für das Unter- die Stellung des CISO. nehmen am kritischsten sind. Den Weg zum Geschäftserfolg Der CEO und letztlich der Aufsichts- fokussiert ebnen rat müssen diese konkurrierenden Belange Außerhalb der Cyber-Sicherheit fließt das in Einklang bringen. Jüngste Leitlinien der Ebnen des Weges zum Geschäftserfolg in nahezu jede Entscheidung ein. Angenommen, ein Wie sich der betriebswirtschaftliche Nutzen von Cyber-Sicherheit aufschlüsseln lässt 177
Unternehmen erwägt, ein Werk in einem Land Auswirkungen hat die Erfassung, Speicherung zu eröffnen, in dem es noch nie zuvor geschäft- und Verarbeitung dieser Daten? Wie werden die lich tätig war. Die Geschäftsführung muss sich Daten genutzt? Wie lange werden diese Daten die folgenden Fragen stellen: Was sind die Risi- Bestand haben? Aus sicherheitstechnischer Sicht: ken? Ist die politische Lage stabil? Sind Strom- Wer hat Zugriff auf die Daten? Wie überwache versorgung und Transportwesen ausreichend? ich den Zugriff auf die Daten? Sind die Daten Ist das Angebot an Arbeitskräften groß genug? ganz oder teilweise verschlüsselt oder geschützt? Wie wird sich diese Entscheidung auf unsere Wie kann ich Vertraulichkeit, Integrität und Ver- Rentabilität, unser Ertragswachstum sowie auf fügbarkeit von Daten schützen? unsere Beziehungen zu Kunden und Partnern auswirken? Wenn das Ebnen des Weges zum Geschäfts- erfolg das Ziel ist, müssen wir die Sprache der Cyber-Sicherheit muss in jede dieser Dis- Geschäftsleute sprechen. Sicherheit senkt Kos- kussionen einbezogen werden. Gibt es im ten, weil sie die Effizienz der Datenübermittlung Land Gesetze zur Cyber-Sicherheit? Werden erhöht und Zusammenarbeit ermöglicht. Sicher- Cyber-Kriminelle strafrechtlich verfolgt? Wel- heit beschleunigt die Markteinführung, sodass che Vorschriften gelten für die Datenaufbewah- wir mehr Gewinn erzielen können. Sicherheit rung? Können wir im Internet sicher Geschäfte gibt uns die Möglichkeit, heute routinemäßig abwickeln? Können wir in der Region Cyber-Si- Dinge zu erledigen, wie es uns vor einigen Jah- cherheitsexperten engagieren? Gibt es eine ren nicht möglich war. Sicherheit ermöglicht Rechtsordnung, die die Vertraulichkeit unserer uns, die besten Mitarbeiter einzustellen, da wir Daten schützt? Arbeiten die Strafverfolgungsbe- nicht durch geografische Beschränkungen einge- hörden mit uns zusammen, wenn wir angegriffen engt sind. Sicherheit ermöglicht es Vertrieb und werden? Können wir eine adäquate Versicherung Marketing, Analysen zu nutzen und besser auf abschließen? Sind unsere Partner zuverlässig und Kundenbedürfnisse einzugehen. werden sie unsere Daten schützen? Mit der richtigen Sprache Wir sollten noch einen Schritt weiter gehen zum Geschäftserfolg und Cyber-Sicherheit mit allem verbinden, Wir sollten nicht aufhören, über Risikobegren- was dem Unternehmen einen Mehrwert bietet. zung und die Einhaltung von Vorschriften zu Wenn wir ein neues Produkt entwickeln, müs- sprechen. Denn diese Aspekte werden für den sen wir Entscheidungen darüber treffen, wel- Erfolg unserer Cyber-Sicherheitsteams stets von che Daten gesammelt werden, wie diese Daten Bedeutung sein. Aber wenn CISOs anfangen, den Service durchlaufen, wie sie geschützt und über die Reduzierung des Gesamtrisikos für das überwacht werden, wie wir sichere Zahlungen Unternehmen zu sprechen, werden sie viel effek- abwickeln und welche Risiken mit Datenverlust tiver sein, wenn sie die Sprache der Geschäfts- verbunden sind. leute sprechen. Dasselbe gilt für den Datenschutz. Wir Wie können wir die Gesprächsfüh- behandeln Sicherheit und Datenschutz auf rung ändern? Hier einige Vorschläge für eigene Gefahr als getrennte Belange. Während IT-Sicherheitsexperten: Sicherheit ohne Datenschutz möglich ist (Sie können sicher gegen Datenschutzrechte ver- 1. Die allgemeinen Ziele der Geschäftsfüh- stoßen), ist Datenschutz ohne Sicherheit nicht rung eingehend untersuchen. Finden Sie denkbar. Dies ist der Grundsatz bei den Vorga- heraus, wie die Sicherheitsabteilung mit ben an „Privacy by Design“ (Datenschutz durch dem Geschäftsbetrieb abgestimmt werden Technikgestaltung) im öffentlichen Auftragswe- kann. Entwickeln Sie einen Rahmen für die sen und in Datenschutzgesetzen. Konkretisierung der Rolle, die Cyber-Si- cherheit in wichtigen Geschäftsbereichen Es bedeutet, dass wir uns mit Produkten, spielt: Personalbeschaffung, Betriebsfüh- Dienstleistungen, Lösungen und neuen Tech- rung, Vertrieb, Marketing, Auslieferung usw. nologien befassen und fragen: Welche Daten werden erfasst? Wie werden sie erfasst? Welche 178 Sprache
2. Den Blick nach vorn richten. Wohin Risikominderung effektiv quantifizieren steuert das Unternehmen und wie kann können, sind sie in der Lage, die Gesamt- Cyber-Sicherheit Wegbereiter für geschäft- rendite ihrer Investition klarer und ver- lichen Erfolg sein? Plant das Unternehmen ständlicher zu erläutern. Sie geben dem den Einsatz von Robotik, IoT, künstlicher Gespräch eine andere Richtung, wenn Sie Intelligenz und Big-Data-Analysen? Ist es reelle Zahlen zur Risikominderung vor- auf dem Weg in neue globale Märkte? Viel- bringen und diese mit dem Nutzen kom- leicht gibt es eine neue Sicherheitstechno- binieren, der mit Gewinnen, Verkäufen, logie, die es dem Unternehmen ermöglicht, Schnelligkeit der Markteinführung, Perso- etwas zuvor Unmögliches zu erreichen. nalbeschaffung, Produktentwicklung und Stellen Sie Sicherheit in den Mittelpunkt Verbesserung der betrieblichen Effizienz des Gesprächs. einhergeht. 3. Einen umfassenderen Blick auf geltende Fazit Vorschriften werfen. Vielleicht ist Ihr Dass Cyber-Sicherheit im digitalen Zeitalter den Unternehmen derzeit nicht in der Europäi- Weg zum Geschäftserfolg ebnet, ist nicht bloß schen Union tätig, weshalb Sie sich keine eine Option. Es ist in der Geschäftswelt zur Tat- Gedanken um die DSGVO machen müs- sache geworden. Wenn Sie mit anderen Unter- sen. Aber Sie haben vielleicht Geschäfts- nehmen zusammenarbeiten, werden diese von partner, die in Europa Geschäfte tätigen. Ihnen ein umfassendes Cyber-Sicherheitspro- Sie könnten sich entscheiden, dort Nie- gramm verlangen. Falls Sie das nicht bieten kön- derlassungen zu eröffnen. Sie könnten dort nen, sind Sie aus dem Geschäft. Punkt. Wenn Daten erfassen. Seien Sie aufmerksam, den- Sie jedoch Cyber-Sicherheit lediglich in die ken Sie ganzheitlich und nicht in zu engen Kategorie „Kosten des Geschäftsbetriebs“ oder Grenzen. Betrachten Sie den Datenschutz „Risikominderung“ einstufen, verpassen Sie nicht als eine gesonderte Angelegenheit, möglicherweise Chancen. sondern binden Sie ihn in Ihren Sicher- heitsansatz ein. Bei Cyber-Sicherheit kann und muss es darum gehen, den Umsatz zu steigern, mehr 4. Wie Geschäftsleute reden. Konzentrieren Rentabilität zu erzielen, neue Kunden zu gewin- Sie sich auf Vertrieb, Gewinn, Innovation nen und zu binden, effizienter zu arbeiten, die und Unternehmenskultur. Was wird die Innovationskraft zu stärken, die besten Mitarbei- Unternehmensleitung motivieren, mehr in ter einzustellen und die Arbeitsumgebung zu ver- Sicherheit zu investieren, wenn das Sicher- ändern. Nur wenn wir so über Cyber-Sicherheit heitsteam gute Arbeit leistet und es keine denken, können wir die Möglichkeiten des digi- Sicherheitsverletzungen gibt? Das Kern- talen Zeitalters wirklich ausschöpfen. argument sollte nicht sein, dass nichts passiert ist, sondern dass Sicherheit dem Wenn das Einzige, was wir versuchen zu Unternehmen den Weg geebnet hat, diese erreichen, ist, nicht zu scheitern, bedeutet das spezifischen quantifizierbaren und messba- nicht unbedingt, dass wir erfolgreich sein wer- ren Ergebnisse zu erzielen. den. Es ist an der Zeit, unsere Sprache, Denk- weise und Perspektive zu verändern. Wenn es 5. Den Nutzen der Risikominderung quan- um Cyber-Sicherheit geht – ob wir im Aufsichts- tifizieren. An einem bestimmten Punkt rat, Vorstand oder an der vordersten Front sind wird es im Gespräch unweigerlich um Risi- –, sollten wir alle die Sprache sprechen, die den ken gehen. Wenn CISOs den Nutzen der Weg zum Erfolg frei macht. Wie sich der betriebswirtschaftliche Nutzen von Cyber-Sicherheit aufschlüsseln lässt 179
26 Auf die richtige Ansprache kommt es an: Wie Sie mit Vorständen und Führungskräften sprechen, kann für Ihre Cyber-Sicherheit entscheidend sein James Shira Es ist 4 Uhr morgens an einem ruhigen Sonntag, Was Sie zu den Geschäftsführern Ihres Unter- und Ihre Niederlassung in Hongkong ist plötz- nehmens sagen und wie Sie die Botschaft kom- lich offline. Eine politische Randgruppe hat sich munizieren, muss ihnen die Gewissheit geben, in das lokale Stromnetz gehackt und die Strom- dass Sie: versorgung von Lüftern und Kühlsystemen im • wissen, was geschehen ist lokalen Rechenzentrum lahmgelegt. Alle Pro- • wissen, wie es geschehen ist duktionssysteme sind ausgefallen. • die Auswirkungen auf das Unternehmen be- Das Ergebnis: Sie können Ihre globalen stimmen und messen können Bankdienstleistungen nicht anbieten. Das Sys- • eine klare, vertretbare Empfehlung haben, tem ist tot. Das Unternehmen verliert Geld im Sekundentakt. wie man sicherstellen kann, dass sich so etwas nicht wiederholt Als CISO des Unternehmens erhalten Sie • Und das geht nicht mit einer Litanei von mitten in der Nacht diesen panischen Anruf, von Fachausdrücken und Phrasen wie „Nur dem Sie oft Albträume haben, und das Playbook keine Sorge, ich habe das im Griff“. zur Cyber-Sicherheit, das vor sechs Monaten so sorgfältig entworfen und vorbereitet wurde, tritt Cyber-Sicherheit ist keine Technologie. in Kraft. Bei guter Planung und straffer Umset- Reden Sie also nicht so darüber zung werden die Pläne für Notfallwiederher- Leider kommt das oben skizzierte Szenario allzu stellung und Geschäftskontinuität – hoffentlich oft vor – oft aber ohne Happy End. Zu viele automatisch – aktiviert und alle arbeiten fieber- Unternehmen betrachten Cyber-Sicherheit als haft daran, die Ursache des Problems zu finden, IT-Problem, das idealerweise von IT-Fachleuten es zu beheben und den Schaden zu begrenzen. angegangen wird, die technische Lösungen für technische Bedrohungen umsetzen. Und zu viele Wenn Sie Ihren Chef kontaktieren, um ihn CISOs sprechen mit vielen technischen Fachaus- darüber zu informieren, was passiert ist und dass drücken über Cyber-Sicherheit und nicht so wie eine Katastrophe abgewendet wurde, denken Sie eine angesehene Führungskraft. an Folgendes: Was Sie als Nächstes sagen, kann der wichtigste Schritt sein, um die Sicherheit des Unternehmens zu gewährleisten – ebenso wie Ihre weitere berufliche Laufbahn. 181
Bei Cyber-Sicherheit geht es nicht bloß um Sprache beschreiben. Sie müssen in der Lage Firewalls, Erkennung von Eindringversuchen, sein, diese Ergebnisse zu überwachen, zu mes- Authentifizierung, Schutz vor Schadprogram- sen und zu verbessern. Und es ist Ihre Aufgabe, men oder gar Threat-Intelligence. Wenngleich Cyber-Sicherheit in ein strategisches Thema zu dies alles wichtige Komponenten eines Frame- verwandeln, anstatt mit einer technischen Reak- works für Cyber-Sicherheit sind. Aber CISOs tion auf ein Problem zu kommen, das niemand scheitern oft – und ihre Unternehmen haben die außer Ihnen wirklich versteht. Folgen zu tragen –, wenn sie die Cyber-Sicher- heit ausschließlich durch die Brille der Technolo- Die Worte, die Sie wählen, und wie Sie mit gie betrachten und entsprechend mit Vertretern dem Aufsichtsrat und anderen Führungskräften der Geschäftsführung darüber sprechen. kommunizieren, werden einige der wichtigsten Schritte sein, die Sie unternehmen können, um Stattdessen fordere ich Sie dringend auf den Rang einzunehmen, den die Chefs anderer – nein, ich flehe Sie nahezu an – zu überden- Fachbereiche wie u. a. Finanzen, Betriebsfüh- ken, wie Sie als Brandmauer Ihres Unterneh- rung, Marketing und Recht bereits haben. Wenn mens gegen Cyber-Risiken mit Vorständen und Sie nicht die richtige Sprache sprechen, werden Aufsichtsorganen über Cyber-Sicherheit spre- Sie als CISO nicht erfolgreich sein. chen. Ihre Sprache muss helfen, die Lücke zwi- schen den technischen Gegebenheiten und den Sich mit der Zielgruppe vertraut machen geschäftlichen Auswirkungen zu schließen. Und In der Zusammenarbeit mit vielen CISOs, das Erste, was Sie wissen müssen, ist, dass es sowohl im privaten als auch im öffentlichen nicht in der Verantwortung des CEO oder des Sektor, habe ich gelernt, dass eine gute Kom- Aufsichtsrats liegt, zu Ihnen zu kommen und munikation in der am besten geeigneten Spra- Ihnen zu sagen, was sie wissen wollen. che erheblich erleichtert wird, wenn man einem bekannten Grundsatz folgt: Informieren Sie sich Sie sind am Zug. über Ihre Zielgruppe. Sie müssen den ersten Schritt machen – und den zweiten, dritten und wie viele es auch immer Als CISO müssen Sie mit vielen verschie- braucht, um diese Wissenslücke bei den nicht denen Entscheidungsträgern, Kollegen und technischen Führungskräften zu schließen. Und Impulsgebern in der gesamten Organisation das geht nicht, ohne für die Kommunikation sprechen. Daher hilft es zu verstehen, wie Sie eine gemeinsame Sprache zu finden. Ihre Zielgruppe am besten erreichen können. Lassen Sie uns zum Beispiel auf unser Alb- Eine wichtige Möglichkeit ist, sich zu fragen, ob traumszenario am Anfang dieses Kapitels man mit einem „Leser“ oder „Zuhörer“ spricht. zurückkommen. Wenn der CEO oder ein Auf- sichtsratsmitglied Sie fragt, was passiert sei, ist Ein Leser ist jemand, der Informationen visu- es ratsam, nicht über die unerwartete Heraus- ell aufnimmt, indem er Positionspapiere, Fallstu- schleusung von Daten, Pufferüberladungen oder dien, Situationsanalysen und Statusmeldungen IRC-kontrollierte Botnetze zu sprechen. Statt- vor einer Aufsichtsratssitzung oder einem Tref- dessen sollte sich Ihre Antwort auf die geschäft- fen von Führungskräften liest. Der Leser ist lichen Auswirkungen von Betriebsstörungen auf das Treffen vorbereitet, indem er sich vor- oder technischen Ausfällen konzentrieren, wie her relevante Fakten, Meinungen und Optionen z. B. den Ausfall von Online-Bankdienstleis- verschafft, und ist gewappnet, Optionen und tungen für zwei Stunden, was zu Spitzen in den Konsequenzen zu diskutieren. Callcentern und einer Umsatzeinbuße von 4 % geführt hat. Im Vergleich dazu bevorzugt ein Zuhörer Als CISO müssen Sie Cyber-Sicherheit aus persönliche Gespräche mit dem CISO, oft das geschäftlicher Sicht messbar machen und sollten Einzelgespräch, sodass er Informationen unmit- nicht bei einer rein technischen Sicht verharren. telbar von Ihnen erfährt und Fragen stellt, wäh- Sie müssen die Probleme, mit denen das Unter- rend er verarbeitet, was Sie ihm erzählen. Bei nehmen konfrontiert ist, und deren Auswir- Zuhörern sind persönliche Vorbesprechungen kung auf Geschäftsergebnisse in verständlicher empfehlenswert, damit sie auf die weiterfüh- rende Diskussion mit ihren Kollegen vorberei- tet sind. 182 Sprache
Kennen Sie den Spruch „Politik ist eine Verfügbarkeit von E-Commerce-Anwendungen gänzlich lokale Angelegenheit“? Nun, ein guter durch eine von Ihnen empfohlene Investition CISO sollte daran denken, dass „die gesamte um 20 % erhöhen wird, wodurch sichergestellt Kommunikation persönlich“ ist. Seien Sie also wird, dass das Unternehmen keine Umsatzein- bereit, Ihre Sprache an die Bedürfnisse der Per- bußen wie ein Mitbewerber letzte Woche hin- son anzupassen, die das verarbeitet, was Sie nehmen muss, dessen Bestellplattform für zwei ihr sagen. Stunden ausgefallen war. Oder sprechen Sie dar- über, wie ein modernisierter Datenschutzansatz Die Macht der Sprache es der Rechtsabteilung einfacher macht, Doku- Interessanterweise ist ein Ort, an dem mente während der Ermittlungsphase eines Cyber-Fachleute und nicht technische Füh- Rechtsstreits schneller zu erstellen. rungskräfte diese Anforderung verstanden und wichtige Schritte zur Operationalisierung von Denken Sie schließlich daran, dass Sie Ihre Cyber-Sicherheit durch Sprache unternommen Worte untermauern und Verantwortung zei- haben, das US-Militär. Sicherheit wurde in die gen müssen. Wenn Sie mit Ihrem Aufsichts- normale Befehlskette integriert, sodass sie Teil rat über eine Empfehlung für eine Investition der wesentlichen Aufgaben des US-Militärs ist. in Cyber-Sicherheit oder eine neue Richtlinie Es handelt sich nicht um eine IT-Aktivität, die sprechen, übernehmen Sie die Verantwortung am Rand des operativen Rahmens angesiedelt für die Umsetzung und Rechenschaftspflicht: ist. Anstatt von „Informationssicherung“ ist von „Mit Ihrer Unterstützung bin ich bereit, Fol- „Missionssicherung“ die Rede. gendes zu tun.“ Sie können sich nicht einerseits Gedanken darüber machen, was zu tun ist, und Wie sonst kann der CISO die richtige Spra- andererseits nicht bereit sein, die Verantwortung che im richtigen Kontext gebrauchen, um als tat- zu übernehmen. sächlich mit der Wirtschaft vertrauter Akteur und nicht als technischer Guru angesehen zu werden? Die richtige Ausdrucksweise wird eine Hauptanforderung an CISOs der Zukunft Erfüllen Sie nicht die stereotype Vorstellung Es ist für uns selbstverständlich, im täglichen vieler Führungskräfte vom CISO als IT-Haupt- Geschäftsleben unsere Stärken zur Geltung zu akteur, der vielleicht ein wenig exzentrisch und bringen. Schließlich sind sie es, die uns in unsere wahrscheinlich einseitig in Richtung IT-Lösun- Position gebracht haben. Wenn ein CISO sich gen orientiert ist, die die Unternehmensreali- selbst als technischer Cyber-Sicherheits-Guru tät nicht berücksichtigen. Das heißt, Sie sollten sieht, wird er reden, wie er immer redet, und auf Akronyme weitestgehend verzichten, Über- machen, was er immer macht. treibungen vermeiden, Bandwurmsätze aus- klammern und sich darauf konzentrieren, wie Aber ich kann neue wichtige Trends bei der sich Cyber-Risiken auf den Geschäftsbetrieb Etablierung von CISOs feststellen. Zum Bei- auswirken. spiel erwarte ich durchaus, dass mehr und mehr CISOs aus Top-MBA-Studiengängen und nicht Machen Sie sich zweitens mit dem Unter- aus Informatikstudiengängen stammen werden. nehmensumfeld und den Leitern aller Geschäfts- Ich erwarte auch, dass der CISO intern geschult, bereiche vertraut. Werden Sie sachkundig und betreut und rekrutiert wird, und zwar innerhalb bringen Sie sich in Themen wie Stärken und von Unternehmen aus nicht technischen Fach- Schwächen im Vergleich zu Mitbewerbern, Kun- bereichen wie Finanzen, Betriebsführung und denverhalten, Umsatz- und Gewinnentwick- sogar Vertrieb und Marketing. lung, Vertriebskanäle und markenbezogene Aspekte ein. Das liegt daran, dass der CISO der Zukunft über bessere betriebswirtschaftliche Fähigkei- Bauen Sie drittens mit Einfühlungsvermögen ten und vor allem über mehr Kommunikations- professionelle Beziehungen zu Kollegen auf. Ler- fähigkeiten verfügen muss, um die Koalitionen nen Sie die geschäftlichen Herausforderungen und Kooperationen aufzubauen, die notwen- Ihrer Kollegen kennen und richten Sie Ihre Dis- dig sind, damit die technischen und nichttech- kussionen und Empfehlungen zur Cyber-Sicher- nischen Fachbereiche zusammenwirken können. heit auf sie aus. Sprechen Sie darüber, wie sich die Auf die richtige Ansprache kommt es an: Wie Sie mit Vorständen und Führungskräften sprechen, 183
Ohne sie werden Unternehmen Schwierigkeiten Dann ist noch etwas anderes zu beach- haben, Gefahrenquellen richtig und aktiv auszu- ten, das möglicherweise widersprüchlich ist: machen, die möglichen Lösungen abzuwägen, Viele aktuelle CISOs wie auch Kandidaten für ihre Auswirkungen auf den Geschäftsbetrieb zu diese Position wünschen sich keine betriebliche bewerten und komplexe Entscheidungen über Verantwortung. andere Faktoren als die beste technische Lösung zu treffen. Viele CISOs sehen ihre Rolle nach wie vor in der technischen Leitungsfunktion im Bereich Die Kommunikationsfähigkeiten werden der Informationssicherheit. Ihre Schwerpunkte besonders wichtig sein, da der CISO als „Über- sind Firewalls, komplexe, hartnäckige Bedrohun- setzer“ zwischen der IT- und der kaufmänni- gen und Identitätsmanagement. Zu viele „tradi- schen Seite fungiert und mit dem CEO und tionelle“ CISOs haben ihr Handwerk zu einer Aufsichtsrat kommuniziert, um die geschäftli- anderen Zeit gelernt, als Sicherheitsbedrohun- chen Chancen und Risiken in Einklang zu brin- gen oft bekannt und ihre geschäftlichen Auswir- gen. Damit Wissen zur Macht wird, muss es kungen übersichtlich waren. verständlich gemacht werden. Im Bereich der Sicherheit haben wir es allzu oft unverständlich Das gilt nun nicht mehr. Und jeder CISO, gemacht. Der Mangel an technischem Wissen der sich der betrieblichen Verantwortung und Ihrer Zielgruppe wie dem CEO und Aufsichts- der engen Integration in alle Geschäftsbereiche rat bedeutet, dass diese der Person vertrauen eines Unternehmens entzieht, tut dies auf eigene müssen, die ihnen die technischen Probleme Gefahr. darlegt. Das bedeutet oftmals, dass sie die Gele- genheit versäumen, die richtigen Fragen zu stel- Um ein erfolgreicher CISO zu sein, darf man len, um eine sich abzeichnende Katastrophe nicht vor Macht zurückschrecken. Sie müssen zu verhindern. die Organisation für ein intelligenteres, effekti- veres Gleichgewicht zwischen Risiko und Inno- Im Zusammenhang mit Cyber-Sicherheit vation verantwortlich machen. Und Sie können sind ausgeprägte Kommunikationsfähigkeiten nicht so tun, als wären Sie der Einzige im Raum, erforderlich, um eine bessere, schnellere und der die Bits und Bytes versteht. Sie möch- effektivere Entscheidungsfindung zu fördern. ten nicht als ein CISO angesehen werden, der Die spezifischsten Anforderungen, die ein CISO bequem dem nächsten Hype-Zyklus verfällt. klar und überzeugend zu kommunizieren hat, drehen sich um die Notwendigkeit angemesse- Denken Sie schließlich daran, dass die ner Investitionen, die Forderung nach einer erfolgreichsten CISOs „auf das Warum vorbe- gemeinsamen Verantwortung für Cyber-Fragen reitet“ sind. Bei einer Besprechung in einem und eine Bereitschaft zum Handeln in Krisen- Sitzungssaal oder einem Mittagessen mit dem zeiten. Die Verbesserung der Kommunikations- CEO können Sie sich möglicherweise für neue qualität ist unerlässlich, um die Cyber-Sicherheit Investitionen in Tools, Schulungen oder Perso- von einer reaktiven Angelegenheit zu einer akti- nal einsetzen. Möglicherweise verfügen Sie über ven, strategischen Disziplin zu entwickeln. überzeugende Daten, um ein Problem hervor- zuheben oder die nächste Bedrohung zu anti- Letztendlich muss der CISO der Haupt- zipieren. So wichtig wie diese Punkte auch sein verantwortliche für das gesamte Spektrum der mögen – Sie werden keinen Erfolg haben, wenn Sicherheit sein, d. h. nicht nur für Informa- Sie nicht in der Lage sind, die Gründe zu formu- tionssicherheit, sondern auch für die physi- lieren, warum Ihre Empfehlung sinnvoll ist. Und sche Sicherheit. Auch in dieser Hinsicht ist ein diejenigen, die diese Entscheidungen treffen, CISO mit ausgeprägten betriebswirtschaftlichen werden verlangen, dass Sie Ihre Empfehlungen Fähigkeiten – Kommunikation, Priorisierung, rechtfertigen können. Sie sind es nicht gewohnt, politischer Scharfsinn, Delegierung und Zusam- Ihnen zu geben, was Sie wollen, nur weil Sie sie menarbeit – von Vorteil. Als CISO müssen Sie mit Ihrer technischen Brillanz geblendet haben. eine Manager-DNA vorweisen, um die betriebli- che Verantwortung für Sicherheit mit Zuversicht An anderer Stelle in diesem Buch beschreibt übernehmen zu können. Gary McAlum, Chief Security Officer bei der USAA, auf besonders treffende Weise, wie man die Lücke zwischen dem schließt, was ein CSO 184 Sprache
sagt, und dem, was der Geschäftsführer oder Seine Begründung war brillant: „Das bloße das Aufsichtsratsmitglied hört. Er nennt es „Na Schützen des Unternehmens vor Sicherheits- und?“ und erklärt, dass jeder bereit sein muss, verletzungen und das Sicherstellen der Einhal- die geschäftliche Bedeutung eines Problems, tung von Vorschriften ist eigentlich keine sehr einer Empfehlung oder einer Vorgehensweise zu treffende Beschreibung meiner Arbeit oder der erklären, damit eine grundsolide Cyber-Sicher- Arbeit meiner Kolleginnen und Kollegen auf der heit gewährleistet ist. ganzen Welt ... Wie kann ich Geschäften den Weg bereiten, wenn ich keine Ahnung vom Ver- Ihr „Warum“ muss prägnant und nüchtern trieb habe?“ sein und auf betriebswirtschaftlichen Vorteilen beruhen, die mit den strategischen Zielen des Als CISO ist es wichtig, einen Schritt Unternehmens in Einklang stehen. Falls nicht, zurückzutreten und anzuerkennen, dass es müssen Sie dafür sorgen. schließlich Ihre Aufgabe ist, sicherzustellen, dass Ihr Unternehmen seine wichtigsten Ziele Fazit erreicht. Hierzu können Sie das Cyber-Sicher- Im ersten Teil dieses Buchs erzählte Justin heitsrisiko reduzieren und kontrollieren, was Somaini, Chief Security Officer von SAP, interes- vergleichbar damit ist, wie der Vertriebsleiter sant darüber, wie er es sich zur Aufgabe gemacht neue Vertriebskanäle schafft oder der Leiter der hat, enge Beziehungen mit Kollegen aufzubauen Logistik globale Lieferketten rationalisiert. Es (und seine Glaubwürdigkeit zu fördern), indem geht um ein Mittel zum Zweck und nicht um er darum bat, der Vertriebsorganisation von SAP einen Selbstzweck. beitreten zu dürfen. Auf die richtige Ansprache kommt es an: Wie Sie mit Vorständen und Führungskräften sprechen, 185
Search
Read the Text Version
- 1
- 2
- 3
- 4
- 5
- 6
- 7
- 8
- 9
- 10
- 11
- 12
- 13
- 14
- 15
- 16
- 17
- 18
- 19
- 20
- 21
- 22
- 23
- 24
- 25
- 26
- 27
- 28
- 29
- 30
- 31
- 32
- 33
- 34
- 35
- 36
- 37
- 38
- 39
- 40
- 41
- 42
- 43
- 44
- 45
- 46
- 47
- 48
- 49
- 50
- 51
- 52
- 53
- 54
- 55
- 56
- 57
- 58
- 59
- 60
- 61
- 62
- 63
- 64
- 65
- 66
- 67
- 68
- 69
- 70
- 71
- 72
- 73
- 74
- 75
- 76
- 77
- 78
- 79
- 80
- 81
- 82
- 83
- 84
- 85
- 86
- 87
- 88
- 89
- 90
- 91
- 92
- 93
- 94
- 95
- 96
- 97
- 98
- 99
- 100
- 101
- 102
- 103
- 104
- 105
- 106
- 107
- 108
- 109
- 110
- 111
- 112
- 113
- 114
- 115
- 116
- 117
- 118
- 119
- 120
- 121
- 122
- 123
- 124
- 125
- 126
- 127
- 128
- 129
- 130
- 131
- 132
- 133
- 134
- 135
- 136
- 137
- 138
- 139
- 140
- 141
- 142
- 143
- 144
- 145
- 146
- 147
- 148
- 149
- 150
- 151
- 152
- 153
- 154
- 155
- 156
- 157
- 158
- 159
- 160
- 161
- 162
- 163
- 164
- 165
- 166
- 167
- 168
- 169
- 170
- 171
- 172
- 173
- 174
- 175
- 176
- 177
- 178
- 179
- 180
- 181
- 182
- 183
- 184
- 185
- 186
- 187
- 188
- 189
- 190
- 191
- 192
- 193
- 194
- 195
- 196
- 197
- 198
- 199
- 200
- 201
- 202
- 203
- 204
- 205
- 206
- 207
- 208
- 209
- 210
- 211
- 212
- 213
- 214
- 215
- 216
- 217
- 218
- 219
- 220
- 221
- 222
- 223
- 224
- 225
- 226
- 227
- 228
- 229
- 230
- 231
- 232
- 233
- 234
- 235
- 236
- 237
- 238
- 239
- 240
- 241
- 242
- 243
- 244
- 245
- 246
- 247
- 248
- 249
- 250
- 251
- 252
- 253
- 254
- 255
- 256
- 257
- 258
- 259
- 260
- 261
- 262
- 263
- 264
- 265
- 266
- 267
- 268
- 269
- 270
- 271
- 272
- 273
- 274
- 275
- 276
- 277
- 278
- 279
- 280
- 281
- 282
- 283
- 284
- 285
- 286
- 287
- 288
- 289
- 290
- 291
- 292
- 293
- 294
- 295
- 296
- 297
- 298
- 299
- 300
- 301
- 302
- 303
- 304
- 305
- 306
- 307
- 308
- 309
- 310
- 311
- 312
- 313
- 314
- 315
- 316
- 317
- 318
- 319
- 320
- 321
- 322
- 323
- 324
- 325
- 326
- 327
- 328
- 329
- 330
- 331
- 332
- 333
- 334
- 335
- 336
