Veränderungen, unseren Entscheidungsprozess der Hand. Sie können sich jetzt schon denken, beschleunigen, fühlen wir uns häufig genötigt, dass sie dank ihrer guten Gewohnheiten bei der nach dem Motto „Erst schießen, dann zielen“ zu Cyber-Sicherheit bemerkte, dass etwas nicht handeln. Wir treffen oft Entscheidungen basie- stimmte. Und ihr Mann war nur eine Nanose- rend auf dem Motto „Aktiv handeln“, das von kunde davon entfernt, einen Phishing-Versuch Unternehmenslenkern bevorzugt wird. Aktives zu aktivieren. Handeln ist großartig, aber nicht wenn es zu fal- schen Entscheidungen führt, die auf unvollstän- So etwas passiert wohl ständig in unseren digen Informationen basieren und vorschnell Organisationen. Angefangen bei den größten getroffen wurden. Stellen Sie sich vor, was passie- Regierungsbehörden und multinationalen Kon- ren würde, wenn Ihr Produktentwicklungsteam zernen bis zu kleinen Einzelhandelsgeschäften, das erste auf dem Internet der Dinge basierende die Technologien einsetzen, um ihre Finanzen zu Widget einführen möchte und die Sicherheits- verwalten, Bestände nachzuverfolgen und Mit- protokolle dafür nicht integriert hätte. arbeiter zu bezahlen. Wir sind in unseren Unter- nehmen und im Alltag mittlerweile so abhängig Nichts passiert zufällig. Machen Sie Pla- von Technologien, dass wir manchmal in der nung zu Ihrer Gewohnheit. Wenn schlimme Wachsamkeit nachlassen – häufig mit katastro- Dinge geschehen, wie Raub, Schießereien, Auto- phalen Folgen. unfälle usw., fragen wir uns: „Was hätten wir anders machen können?“ Diese Art der Einsicht Was können und sollten ist gut, aber nur sinnvoll, wenn sie dazu führt, Unternehmenslenker tun? aus einer Szenarioplanung einen systematischen, Während gute Gewohnheiten bei der Cyber-Si- durchdachten Prozess zu machen. Unsere Mit- cherheit von Einzelpersonen entwickelt und arbeiter und Drittparteien, die auf unsere unter- verfeinert werden, spielen C-Level-Führungs- nehmenseigenen Daten zugreifen, müssen sich kräfte und Vorstandsmitglieder eine besonders beispielsweise sicher und mit den ordnungsge- wichtige Rolle bei der Förderung dieses positiven mäßen Berechtigungen an WLAN-Netzwerken Verhaltens. anmelden. Jeder muss sein eigenes Kennwort sorgfältig und gewissenhaft ändern und vermei- Zunächst muss das beachtet werden, was den, dass diese Kennwörter auf Notizzetteln am Patric Versteeg in seinem Kapitel über das Schaf- Schreibtisch kleben. Eine gute Planung – und fen einer Cyber-Sicherheitskultur schreibt. Laut das Wiederholen von guten Gewohnheiten – ist Patric Versteeg wird Kultur durch das Manage- extrem wichtig. ment geformt und dann von den Menschen und Prozessen der Organisation übernommen. Es ist Lassen Sie mich dieses Thema anhand eines sehr angesagt, über einen Bottom-up-Ansatz bei realen Beispiels veranschaulichen: Ich traf kürzlich der Problemlösung zu reden, und es macht häu- eine Wirtschaftsjournalistin, die über Cyber-Si- fig auch Sinn. Aber machen Sie sich nichts vor, cherheit schrieb. Wir unterhielten uns über das wir kleben immer noch sehr an hierarchischen Thema und meine Betonung der guten Gewohn- Organisationen und die Manager sind nach wie heiten und sie erzählte mir eine Geschichte, die vor die mächtigsten und einflussreichsten Kräfte sich am Abend zuvor ereignet hatte. im Unternehmen. Manager müssen durch die von ihnen durchgeführten Maßnahmen, ihre Ihr Ehemann erhielt eine Nachricht von Aussagen und ihre Art der Fragestellung usw. PayPal, in der er darüber informiert wurde, ihre gute Absicht zeigen. dass 1.000 Dollar von seinem Konto überwie- sen worden waren. Er war zunächst verwirrt Zweitens ist es leider so, dass zu viele Manager und dann sofort wütend davon überzeugt, dass gewisse Vorrechte geltend machen, wenn es um jemand bei PayPal einen Fehler gemacht hatte. Gewohnheiten bei der Cyber-Sicherheit geht. Er erzählte seiner Frau, die mit ihm am Tisch Dies lässt sich häufig durch ein einziges unheil- saß, davon und meinte: „Ich schaue mal nach, volles Wort ausdrücken: Ausnahmen. Stellen Sie worum es überhaupt geht.“ Kurz bevor er auf sich den typischen CEO vor. Er oder sie möchte den PayPal-Link im Text klicken konnte, schrie dringend, dass eine bestimmte Angelegenheit seine Frau „Warte!“ und riss ihm das Handy aus erledigt wird, und verlangt Maßnahmen. Dabei Gute Angewohnheiten in der Cyber-Sicherheit erkennen, entwickeln und verbreiten 237
denkt die Person vielleicht, dass sie das ordnungs- Fazit gemäße Protokoll für die Cyber-Sicherheit nicht Von Aristoteles stammt das Zitat: „Wir sind das, durchlaufen muss, um z. B. eine große Zahlung was wir wiederholt tun. Vorzüglichkeit ist daher an einen strategischen Anbieter anzufordern, der keine Handlung, sondern eine Gewohnheit.“ versucht, ein kritisches Teil zu liefern. Wenn diese Heute wäre er entweder ein hoch bezahlter Man- E-Mail den Leiter der Finanzabteilung oder CFO agement-Berater oder ein CSO. erreicht, stehen alle „Gewehr bei Fuß“, nur um festzustellen, dass die Anforderung in Wirklich- Führungskräfte müssen in ihren Organisatio- keit von einem Hacker stammt, der das E-Mail- nen große Schritte bei der Institutionalisierung Konto des CEO gehackt hat. von guten Gewohnheiten in der Cyber-Sicher- heit unternehmen. Werden Gewohnheiten nicht Drittens müssen Manager den CSO und den Teil der Unternehmenskultur, können sie nie- Leiter der Personalabteilung dabei unterstützen, mals verwirklicht werden. Nicht im Büro, nicht Schulungsprogramme für die Entwicklung von unterwegs und nicht zu Hause. guten Gewohnheiten bei der Cyber-Sicherheit aufzustellen – und sie müssen selbst daran teil- Investieren Sie weiter in moderne Techno- nehmen. Wenn Manager die Wichtigkeit von logien, ausgefeilte Analysen und innovative Inst- guten Gewohnheiten bei der Cyber-Sicherheit rumente zur Cyber-Sicherheit. Stellen Sie sicher, ernsthaft vermitteln möchten, muss dies zu dass Ihr SOC gut aufgestellt ist, dass in Ihren einer verbindlichen Führungsaufgabe werden. Geschäftsbereichen Fachleute für integrierte In meinem Buch „No More Magic Wands“ ist Sicherheit arbeiten und Ihr CSO genauso versiert die Hauptperson nicht der CSO, sondern ein in Bestandswechsel und Wettbewerbsdifferenzie- Manager, der Veränderungen verfechtet und for- rung ist wie in Botnets und Spear-Phishing. dert. Es ist besonders wichtig, dass die Führungs- kräfte im Unternehmen bei der Entwicklung von Denken Sie aber auch daran, die Schritte ein- guten Gewohnheiten bei der Cyber-Sicherheit zubinden, die anfangs in diesem Kapitel erläutert einen aktiven Part übernehmen und sich nicht wurden: nur zurücklehnen und den CSO anweisen, den Weg zu bereiten. Niemand möchte, dass der Reagieren Sie nicht. CEO zum Mikromanager für die Cyber-Sicher- Vertrauen Sie Ihrem Bauchgefühl. heit wird. Doch wenn ein CEO den Führungs- Vertrauen Sie der Gemeinschaft. anspruch in diesem Bereich abgibt, leuchtet bei Bremsen Sie sich. den Vorstandsmitgliedern eine rote Warnlampe. Machen Sie Planung zu Ihrer Gewohnheit. Und rufen Sie mich anschließend gerne an, um mir Ihre Erfahrungen mitzuteilen. Wir können ein Buch darüber schreiben. 238 Menschen
36 Social-Engineering-Angriffe: Ziele sind wir alle Yorck O.A. Reuber – Head of Infrastructure Services & CTO, Nordeuropa, AXA IT In der heutigen Umgebung können professio- Einzelheiten über Projekte, Namen, Beziehungen nelle Hacker Ihre Sicherheitstechnologie um- zwischen Abteilungen und Einzelpersonen sowie gehen, indem sie Social Engineering einsetzen Freundschaften zwischen Kollegen herauszu- und sich Menschen aus Ihrem Unternehmen als finden. Wenn Sie einmal die Basisinformationen Opfer herauspicken. Tatsächlich haben mensch- haben, ist es einfach, an einen Mitarbeiter heran- liche Ziele den IT-Geräten als Top-Ziele bei zutreten, authentisch zu erscheinen und Unter- der Cyber-Kriminalität den Rang abgelaufen. nehmensinformationen zu erhalten oder auf Diese Information entstammt der Publikation Unternehmensnetzwerke zuzugreifen. Hierfür CSO von IDG: „Hackers smell blood now, eignen sich etwa diese Angriffsmethoden: not silicon.“1 Anrufe als Cyber-Angriff: Ein Anruf über Der Schutz Ihrer Mitarbeiter kann problema- die Telefonzentrale erweckt den Eindruck, als sei tisch sein. Angreifer nutzen die Emotionen und es ein interner Anruf. Bei einem solchen Anruf die Hilfsbereitschaft der Menschen, um an Infor- wird eine dringend notwendige Support-Maß- mationen zu gelangen, mit denen sie einen sehr nahme erwähnt: „Unsere Kollegin, Frau X, hat zielgerichteten und oft glaubwürdigen Angriff mir nicht die Daten gegeben, die ich dringend ausüben können. Mit Prozessen und Techno- brauche, um den Bericht für das Vorstands- logien allein kann dies nicht verhindert werden. mitglied Y fertigzustellen. Jetzt ist sie im Urlaub Ein gesteigertes Bewusstsein und zunehmende und ich bekomme bestimmt die Kündigung, Wachsamkeit können Ihnen helfen, Ihre Mit- wenn ich den Bericht nicht sofort sende. Bitte arbeiter und Ihre Organisation zu schützen. helfen Sie mir. Ich kann es mir nicht erlauben, Und noch wichtiger: Diese Eigenschaften unter- meinen Job zu verlieren.“ Nur allzu häufig wer- stützen Sie dabei, eine Kultur der Cyber-Sicher- den finanzielle, unternehmensbezogene oder heit zu schaffen. persönliche Informationen bei dem Versuch weitergegeben, dem Anrufer bei seinem Prob- Anrufe und andere Cyber-Angriffsarten lem zu helfen. Die Ziele bei den Social-Engineering-Angriffen müssen nicht unbedingt die Mitglieder der obe- Zugriff durch das Unternehmensnetzwerk: ren Management-Ebene oder der Forschungs- Ein Mitarbeiter erhält eine E-Mail von jeman- abteilung sein, die an einem Geheimprojekt dem, der anscheinend in demselben Unter- arbeiten. Häufiger suchen sich Kriminelle einen nehmen arbeitet. Die Signatur der E-Mail ist x-beliebigen Mitarbeiter aus, den sie zuvor aus- korrekt und der Inhalt passt zur täglichen Rou- spioniert haben, um sicherzugehen, dass der tine des Empfängers. Die Hemmschwelle beim Angriff auf möglichst überzeugende Weise for- Öffnen des mit Malware infizierten Anhangs muliert wird. Sie nutzen die sozialen Medien, um oder beim Klicken auf den entsprechenden Link ist sehr niedrig. In 95 % der Fälle führt dieser 239
Klick anschießend zu einer erfolgreichen In- nächsten Anruf vorzubereiten, sodass er noch fektion mit Malware. Dies ist dann der Ein- wirkungsvoller wird oder auf eine noch passen- stiegspunkt für eine sehr viel ausgefeiltere dere Kontaktperson abzielt. Kampagne, die dem Angreifer den Zugang zum Unternehmensnetzwerk durch die Hintertür er- Halten Sie Ihre Mitarbeiter und sich selbst zu möglicht und die möglicherweise erst Monate ständiger Wachsamkeit an und geben Sie nie Un- später stattfindet. bekannten Informationen am Telefon weiter. Be- sonders Manager tendieren dazu, diese Art von CEO-Fraud (Chef-Masche): Der Cyber-Kri- Angriffen zu unterschätzen, da sie sich selbst als minelle gibt vor, ein Geschäftsführer, CEO, CFO besonders verschwiegen ansehen. Dies kann eine oder leitender Manager zu sein. Die E-Mail sehr gefährliche Fehleinschätzung sein. könnte wie folgt lauten: „Es steht eine geheime Unternehmensübernahme an und nur Sie haben Eine erhöhte Wachsamkeit der Mit- das Vertrauen des leitenden Managements. Sie arbeiter gegenüber verdächtiger Telefon- und werden weitere Informationen von dem (an- E-Mail-Kommunikation ist ein entscheidender geblichen) Bankmitarbeiter X der (korrupten) Faktor. Beispiele zu den Auslösern, auf die Mit- Bank Y erhalten.“ Die nachfolgende E-Mail ent- arbeiter achten sollten: hält dann die Kontoangaben eines von der be- trügerischen Organisation kontrollierten Kontos • Kleine Fehler oder Unterschiede in den und einen zu überweisenden Betrag. URLs oder E-Mail-Adressen, die auf den ers- ten Blick normal aussehen. Manchmal ist der Der rote Faden ist, unabhängig von der Name des Absenders korrekt, aber ein Blick Methode, das Social Engineering, damit die auf die Adresse zeigt leichte Abweichungen. Annäherungsmethode so echt wie möglich er- scheint. Sofern das Sicherheitsbewusstsein der • Die meisten Angriffe zielen darauf ab, dass Mitarbeiter nicht zur ständigen Wachsamkeit ge- Sie auf einen Link in der E-Mail klicken. steigert wird, können diese Angriffe als normale Wenn Sie aufgefordert werden, persönliche Kommunikation zwischen Kollegen oder Mana- oder unternehmensbezogene Daten über gern durchgehen. einen Link preiszugeben, oder wenn die tat- sächliche Adresse, an die Sie sich wenden Verteidigung gegen Social sollen, nicht korrekt aussieht, überprüfen Sie Engineering durch Schulung die Vertrauenswürdigkeit zunächst mit einem Cyber-Angriffe über Social Engineering äh- Telefonanruf. neln der altmodischen Informationsbeschaffung durch praxisnahe Forschung. Viele Angreifer • Auch wenn viele E-Mails und Telefonan- und Social-Engineering-Akteure versuchen, aus rufe gut gemacht sind, sollten Sie trotzdem den Gefühlen und der Hilfsbereitschaft von an- auf sprachliche Fehler achten, da Angreifer deren einen Vorteil zu ziehen. Und ihr Erfolg möglicherweise nicht ihre Muttersprache rührt aus den Methoden, die ihre Angriffe abso- verwenden. lut glaubwürdig erscheinen lassen. Kleine Hin- weise nützen dem Angreifer. Ein Beispiel: • Die Verwendung von Grafiken oder Bildern, • Kollege X ist im Urlaub. die E-Mails echt erscheinen lassen sollen. • Dies wird von Abteilung A durchgeführt. • Ja, unser CFO ist normalerweise sehr • Die Verwendung der Sprache in der E-Mail, mit der Sie zu Aktionen aufgefordert werden. ungeduldig. • Nein, wir verwenden das Antiviren- Wenn Sie Zweifel haben, ist es am besten, persönlich anzurufen und zu prüfen, ob die programm des Anbieters Z. E-Mail echt ist – auch wenn es so scheint, als Jeder erwähnte Name und jede Verbindung käme die E-Mail aus dem eigenen Unterneh- zum täglichen Geschäft hilft den Angreifern, den men. IT-Sicherheitsteams sollten Mitarbeiter und Kollegen ständig schulen und informie- ren. Dies kann bei Mitarbeiterversammlungen geschehen oder über automatisierte Tests, mit 240 Menschen
denen die Kennwortqualität geprüft wird. weil sie immer wieder ihre Kennwörter notieren Besonders effektiv sind selbst erstellte müssen. In diesem Fall würde das Unternehmen viel Geld ausgeben und das Sicherheitsniveau Phishing-E-Mails. Diese werden von Ihrem würde sinken. Mit einer viel günstigeren Mit- Cyber-Sicherheitsteam erstellt und versendet, arbeitermaßnahme hätte das Unternehmen viel um die Wachsamkeit der Mitarbeiter gegenüber mehr erreichen können. Maßnahmen, die Mit- möglichen Phishing-Mails zu erhöhen. Sie kön- arbeiter mit konkreten Beispielen motivieren, nen eine Vielzahl von Anreizen schaffen, um den können die Wachsamkeit gegenüber Problemen Empfänger dazu zu verleiten, auf einen konta- bei der Cyber-Sicherheit erhöhen. minierten Link zu klicken – jeweils abgestimmt auf den jeweiligen Mitarbeiter. Sie können es mit Dadurch lassen sich auch Verhaltens- einer emotionalen Reaktion oder mit einem Ta- änderungen von Mitarbeitern und Kollegen blet oder Smartphone als Belohnung versuchen. möglichst früh erkennen. Zu den Anomalien Ein Telefonanruf nach dem Klicken, mit dem er- können Anmeldeversuche von unbekannten klärt wird, wie der Fehler in der Zukunft ver- Orten aus oder der Datenzugriff über zuvor in- mieden werden kann, wird das Risiko nicht aktive Arbeitsplätze gehören. Mit modernen nur reduzieren, dass der Mitarbeiter den Feh- Tools und Prozessen für den Schutz können An- ler erneut begeht, sondern ermutigt Mitarbeiter omalien automatisch erkannt und das IT- und auch, aktiv zu werden und eine ähnliche Situ- Sicherheitspersonal alarmiert werden, damit ation zukünftig zu melden. Diese Art der ziel- Sicherheitslücken aktiv geschlossen und der gerichteten Schulung ist viel wirkungsvoller als Schaden durch einen erfolgreichen Angriff be- das eigentliche Training und Herunterbeten der- grenzt werden kann. selben Doktrin für alle Mitarbeiter in einer steri- len Umgebung. Es ist sinnvoller, die kritischen Daten mit einem solchen Prozess zu überwachen, als stär- Jede E-Mail, die die IT-Abteilung direkt nach kere Barrieren rund um das Rechenzentrum oder besser vor dem ersten Klicken identifizieren zu errichten. Heutzutage ist es schwierig, das kann, senkt die Chancen für einen erfolgreichen Eindringen in ein Unternehmensnetzwerk zu Phishing-Angriff. Sobald der Pfad des Angriffs verhindern. Es ist daher entscheidend, Manipu- bekannt ist, kann das IT-Team den Zugriff für lationen und Datenverluste sofort zu bemerken, die bösartigen Webadressen blockieren, die Aus- um sie einzugrenzen. führung von Malware verhindern und die mög- licherweise durch Phishing preisgegebenen Kritische Fragen stellen Kennwörter zurücksetzen. Damit sich das IT-Team ein Bild von der Ver- wundbarkeit einer Organisation hinsichtlich Damit diese Tests und Schulungen Erfolg Social Engineering und von den effektivsten haben, ist es wichtig, eine Kultur ohne Schuld- Schulungsmöglichkeiten machen kann, sollte es zuweisungen zu schaffen. Die Mitarbeiter müs- den Managern und Mitarbeitern, einschließlich sen verstehen, wie sie eine Situation zukünftig der leitenden Führungskräfte und der Vorstands- melden müssen. Und Sie müssen einen Weg fin- mitglieder, spezielle Fragen stellen. Folgende Fra- den, die Mitarbeiter zu ermitteln, die es nicht gen sind sinnvoll: melden, wenn sie auf einen kontaminierten Link • Wie hoch ist der prozentuale Anteil geklickt haben. Nur so können Sie auf die Mit- arbeiter einwirken, in Zukunft solche Vorfälle der Mitarbeiter mit einem allgemeinen zu melden. Sicherheitsbewusstsein? • Wie ist das allgemeine Verständnis von Die Kombination aus unterschiedlichen Cyber-Sicherheit bei den Mitarbeitern in Maßnahmen und dem regelmäßigen Wieder- Ihrer Abteilung? Wie sieht es damit im ge- holen der Maßnahmen ist der Schlüssel zum Er- samten Unternehmen aus? folg. Aber überspannen Sie den Bogen nicht, • Wie gut werden die Sicherheitsfachleute der sonst bewirken Sie das Gegenteil. Ein Tool für Organisation verstanden? Oder sprechen die die Überprüfung der Kennwortqualität, das zu alt oder schlecht konfiguriert ist, ist nicht nur teuer, sondern kann Mitarbeiter auch frustrieren, Social-Engineering-Angriffe: Ziele sind wir alle 241
IT- und Sicherheitsteams „eine andere Spra- • Wie hoch ist das Risiko, wenn die Investition che“ als die Business-Teams? aufgeschoben wird? Kann sie sechs Monate • Welche Hindernisse sind durch die Be- aufgeschoben werden oder können wir den denken bei der Datensicherheit im Arbeits- Vorgang beschleunigen? bereich entstanden? • Kam es infolge der Sicherheitssituation zu • Wurde bereits eine ähnliche Maßnahme Bedenken und welche Überreaktionen wur- durchgeführt? Warum ist diese Maßnahme den dadurch erzeugt? nicht ausreichend? • Wer sind die internen Experten für Social Engineering oder Forensik und wie bleiben Das Bewusstsein jedes einzelnen diese auf dem neuesten Stand der Technik? Mitarbeiters erhöhen Die Antworten auf diese Fragen werden je Das leitende Management muss bereit sein, die nach Geschäftsbereich unterschiedlich ausfallen. Konsequenzen von Cyber-Angriffen zu tragen Führungskräfte in einem regulierten Unter- und eine geeignete und ausgewogene Kommu- nehmen, in dem Gesundheitsdaten gehandhabt nikation mit allen Mitarbeitern sicherzustellen. werden, zeigen ein größeres Sicherheitsbewusst- Es gibt einige grundlegende Aspekte innerhalb sein als Führungskräfte in einem nicht regulier- der Abteilungen und im ganzen Unternehmen, ten Unternehmen. Die Realität zeigt allerdings, auf die ich alle Führungskräfte aufmerksam ma- dass alle Unternehmen verwundbar sind und chen möchte. dass alle Organisationen mit Daten arbeiten, die geschützt werden müssen. Mitarbeiter müssen sich bewusst sein, dass Die Liste der möglichen Schäden ist end- Informationen wie „Wer arbeitet wo und mit los. Die Organisation muss sich des Risikos be- wem?“ besonders interessant für Industriespione wusst sein. Bei der Minderung dieses Risikos und die Personen sind, die diese mit Hinter- ist es wichtig, Überreaktionen zu vermeiden, grundinformationen versorgen. Das entspricht die die Zusammenarbeit mit den Kunden ver- dem Beispielfall aus dem privaten Bereich, komplizieren und die Arbeitsmöglichkeiten der wenn Einbrecher über Facebook die Informa- Mitarbeiter einschränken. tion erhalten, dass ein Haus wegen einer Reise Neben dem Befragen der Mitarbeiter ist es unbewohnt ist, und die Adresse ermitteln kön- für Organisationen von Vorteil, wenn das lei- nen. Dieses Beispiel kann leicht auf die Arbeits- tende Management den Führungskräften im Be- umgebung übertragen werden. Bilder der letzten reich Cyber-Sicherheit spezielle Fragen stellt. Mit Feier im Unternehmen liefern Informationen diesen Fragen kann festgestellt werden, welche darüber, welche Mitarbeiter welche Kollegen Absichten und Ziele diese mit den Investitionen kennen und wie sie heißen. Diese Informatio- in die Cyber-Sicherheit verfolgen: nen können schon ausreichen, um eine Spe- • Welche Absicht verfolgen Sie mit dieser In- ar-Phishing-E-Mail mit persönlichen Details vestition? In andere Worten, was möchten zu versehen und einen folgenschweren Klick Sie schützen? u provozieren. • Wie sind die geschäftlichen Auswirkungen dieser Maßnahmen? Sie können Ihren Mitarbeitern natürlich • Wie sind die geschäftlichen Auswirkungen, nicht untersagen, soziale Medien zu nutzen, aber wenn diese Maßnahmen nicht durch- Sie können verlangen, dass keine unternehmens- geführt werden? bezogenen Informationen gepostet werden, wie Funktionen der Personen, Namen von Projek- ten usw. Heutzutage kann jeder Kommentar im Web die öffentliche Meinung über den Arbeit- geber beeinflussen oder wichtige Informationen beinhalten, mit denen Kriminelle einen Angriff gegen den IT-Bereich oder andere Abteilungen starten können. 242 Menschen
Fazit: Wir sitzen alle im selben Boot ermittelt und, was noch wichtiger ist, auch ge- Jeder Mitarbeiter muss sich, unabhängig von meldet werden. seiner Position in der Organisation, bewusst machen, dass er oder sie für die Datensicher- Darüber hinaus ist es wichtig, dass sich heit und das Ansehen des Unternehmens ver- die internen Sicherheitsexperten und andere antwortlich ist. Nur mit kontinuierlicher und Führungskräfte effektiv vernetzen und die rich- überzeugender Kommunikation kann ein Si- tige Kultur fördern. Durch den Austausch von cherheitsbewusstsein geschaffen und eine Kul- Informationen mit Kollegen aus anderen Unter- tur der Cyber-Sicherheit entwickelt werden. Nur nehmen erfahren Ihre IT- und Sicherheitsteams, wenn sich die Mitarbeiter der Risiken und Kon- welche Fragen intern gestellt werden müssen. sequenzen bewusst werden, kann Nachlässigkeit Führungskräfte können von den Fehlschlägen verhindert und die Sensibilität erhöht werden. der anderen lernen – und auch von deren Erfol- Nur mit ständiger Wachsamkeit können Orga- gen. Im Kampf gegen Cyber-Kriminalität sitzen nisationen sicherstellen, dass Sicherheitsrisiken wir alle in einem Boot. 1 „Top 5 cybersecurity facts, figures and statistics for 2018“ CSO from IDG, 23. Jan. 2018 Social-Engineering-Angriffe: Ziele sind wir alle 243
37 Auf der Jagd nach dem Cyber-Leader mit den besten Referenzen auf Vorstandsebene Matt Aiello – Partner, Heidrick & Struggles, USA Gavin Colman – Partner, Heidrick & Struggles, Großbritannien Max Randria – Principal, Heidrick & Struggles, Australien Der millionenschwere Gründer eines Ga- Risikostufe umzugehen. Unter seiner Führung ming-Unternehmens mit einem globalen Fran- konnten die Umsatzverluste des Unternehmens chising und Sitz in New York war sehr besorgt. eingedämmt werden. Die Krise war abgewendet. Sein Unternehmen hatte marktführende und in- spirierende Spiele entwickelt, die unzählige tech- Dieses reale Szenario verdeutlicht, warum nisch versierte Kunden anzogen. Aber viele von die Suche und das Einstellen des richtigen CISO diesen begeisterten Kunden waren zu versiert: wichtiger sind als je zuvor. Es beleuchtet auch, Sie hatten verschiedene Wege entdeckt und aus- warum der Prozess selbst für erfahrene Vor- genutzt, die Paywall zu umgehen, und spielten standsmitglieder und ihre C-Level-Führungs- nun gratis. kräfte eine solche Herausforderung ist. Es gibt einfach keine allgemeingültige Anleitung für das Dem Unternehmensvorstand war klar, dass Ermitteln des richtigen CISO-Kandidaten. ein Wendepunkt bevorstand. Hier war die Kom- bination aus der technischen Kompetenz und Tatsächlich gibt es diesen perfekten CI- dem Geschäftssinn eines CISO, eines Chief In- SO-Kandidaten gar nicht. Wonach Vorstände formation Security Officers, von Weltformat ge- suchen sollten – und was sie bei den Direkt- fragt. Aufgrund der kritischen geschäftlichen suchen für den nächsten CISO verlangen sollten Herausforderungen hatte der Vorstand zunächst –, ist ein Kandidat, der perfekt zur Organisa- einen speziellen, hochbezahlten CISO im Auge, tion passt. Schließlich weisen alle Organisatio- fand dann aber im Verlauf der Bewerbungsphase nen Unterschiede auf und jede einzelne hat ein und -gespräche heraus, dass der Kandidat nicht anderes ökonomisches, operatives und auf die über die Kompetenzen verfügte, mit denen die Reputation bezogenes Risiko. Und Cyber-Sicher- Cyber-Sicherheit auf dem höchstmöglichen stra- heitsstrategien müssen diese einzigartigen Um- tegischen Niveau gewährleistet werden konnte. stände berücksichtigen. Es kann also sein, dass die Qualitäten, Erfahrungen, Kompetenzen und Stattdessen suchte der Vorstand nach einem Einstellungen, die einen Kandidaten für die Or- anderen Typ von CISO, nach einem Kandida- ganisation A ideal erscheinen lassen, eine kom- ten, der das strategische Problem bei der Garan- plette Fehlbesetzung für Organisation B sind. tie der Anwendungssicherheit lösen sollte. Er wurde nicht nur ausgewählt, weil er das beste Und noch einen anderen Faktor müssen Vor- und vielseitigste Kompetenzportfolio aufwies, stände berücksichtigen: Unabhängig davon, wen sondern weil er in der Lage war, mit der höchsten sie als nächsten CISO auswählen oder welche Berichtsstruktur sie für den neuen Cyber-Chef 245
nutzen, die Aufgabe des CISO ist es, die An- verlangen und nicht einen Kandidaten, des- forderungen der obersten Führungsebene der sen technisches Fachchinesisch nur zur Ver- Organisation zu erfüllen. wirrung beiträgt. Die notwendigen technischen Fähigkeiten, über die ein CISO verfügen muss, So wichtig der CISO auch ist, die ultimati- können sehr viel einfacher erkannt und „ein- ven Entscheidungsträger bei der Cyber-Sicher- gekauft“ werden als Fähigkeiten wie Präsenz im heit sind weiterhin der Vorstand und der CEO. Vorstandszimmer. Wenn der CISO seinen Job nicht gut genug aus- führt, um die Organisation mit ihren Daten und Und gleichzeitig sollten Vorstandsmitglieder ihrer Wettbewerbsposition zu schützen, muss der an die Risiken denken, wenn sie jemanden Vorstand dafür den Kopf hinhalten. auswählen, der zwar reden kann, aber im Fall einer Krise völlig überfordert ist. Der Vor- Dies bedeutet, dass Vorstände heute mit grö- stand muss darauf vertrauen können, dass der ßerer Sorgfalt denn je darauf achten müssen, wer ausgewählte CISO sowohl bewährte operati- eingestellt wird, wie die Rollen und Verantwort- ve als auch vorstandserprobte Verfahren kennt, lichkeiten dieser neuen Führungskräfte struktu- um einen größeren Angriff abzuwehren. Dieser riert werden und welche Rekrutierungsquellen CISO muss parallel zum CEO und zu anderen geeignet und welche Kompromisse angemessen C-Level-Führungskräften arbeiten können, um sind, um den bestmöglichen Kandidaten sicherzustellen, dass diese auf alle Eventualitäten einzustellen. eingestellt sind. Vor allem muss der CISO das volle Vertrauen der Kollegen und des Vorstands Die Verteidigung von genießen, dass er über das gesamte Repertoire der Reputation und Marken technischen, finanziellen, regulativen und opera- Da Cyber-Angriffe immer dreister und schäd- tiven Grundlagen verfügt und dass er ruhig, er- licher für die Reputation einer Organisation mutigend und selbstsicher sein wird, wenn es zu werden, müssen Vorstandsmitglieder neue Ver- einer Krise kommt. antwortlichkeiten übernehmen, um den Schutz des Unternehmens sicherzustellen. Bekannte Schließlich kann die Markenreputation einer Marken wurden ins Visier genommen und an- Organisation steigen oder fallen – je nachdem, gegriffen. Dadurch stieg der Einsatz für alle Mit- wie gut ihr CISO die Organisation darauf vor- arbeiter in der Organisation und häufig änderte bereitet, schnell und mit den richtigen Mitteln sich auch, wie CISOs von ihren Vorständen an- zu reagieren, wenn eine Datensicherheitsver- gesehen werden. CISOs, die lange daran ge- letzung die Systeme an der Schnittstelle zum wöhnt waren, dass ihnen niemand zuhören Kunden für eine Stunde lahmlegt. wollte, stehen nun in Vorstands- und Ausschuss- sitzungen auf dem Podium. Wenn die Nachfrage nach Top-CISOs höher ist als das Angebot Dies ist eine wichtige Entwicklung für CISOs Die meisten Cyber-Führungskräfte versuchen, mit Spürsinn für Geschäfte. Sie werden heute solide Teams aus Sicherheitsfachkräften aufzu- eher als vertrauenswürdige Ratgeber bei der stellen, um mit verschiedenen Bedrohungen um- Unternehmensabschirmung angesehen und we- zugehen. Aber das Aufstellen dieser Teams setzt niger als Endzeitpropheten, die vor technischen voraus, dass intensiv nach den fähigsten und bril- Schwächen warnen, weil diese die Kronjuwelen lantesten Köpfen gesucht wird – angefangen mit der Organisation dem Zugriff der Cyber-Diebe dem CISO. Es gibt nur eine relativ kleine, über- aussetzen könnten. schaubare Anzahl hoch angesehener Profis für die CISO-Rolle und diese sind normalerweise Der CISO muss nun nicht mehr die Vor- national und international unterwegs. Unser standsmitglieder davon zu überzeugen, sein An- Unternehmen hat kürzlich eine Auswahlliste der liegen ernst zu nehmen. Denn er oder sie hat Top-Kandidaten für eine offene CISO-Stelle zu- nun eine feste und sogar interessierte Zuhörer- sammengestellt, nur um festzustellen, dass diese schaft, die Informationen zu den Cyber-Risiken Liste täglich kürzer wurde, weil uns die Kandida- und vor allem zu deren Bekämpfung erhalten ten von der Konkurrenz weggeschnappt wurden. möchte. Vorstandsmitglieder müssen also bei der Einstellung einen CISO mit Geschäftssinn 246 Menschen
Da sich die Rolle des Cyber-Leaders weiter- mit stark wachsenden Start-ups und wichti- entwickelt, wird auch der Prozess der Ermittlung gen Produktentwicklungen, die von den großen und Rekrutierung des nächsten CISO immer Technologieunternehmen aus dem Silicon Valley komplexer. Aber es gibt möglicherweise noch ausgelagert wurden, eine dominante Rolle in der einiges zu lernen, indem bei der Suche nach Cyber-Sicherheit. potenziellen Kandidaten branchenspezifische und geografische Filter angewendet werden. Im Um den idealen CISO anzuziehen, ma- Silicon Valley und in anderen Technologie-Hubs chen sich Vorstände immer häufiger Ge- stellen Digital-Native-Organisationen Sicher- danken über die Berichtsstruktur, die mit dem heitsfachkräfte ein, die damit betraut sind, ihre CISO vereinbart werden muss. Mit ihr soll die Organisationen gegen unablässige und besonders Cyber-Sicherheit die richtige Priorisierung und ausgefeilte Angriffe zu schützen. Und bei den Aufmerksamkeit und der CISO den richtigen Finanzdienstleistern in New York und anderen Mix aus Ressourcen, Verantwortung und Zu- Finanzzentren mussten Sicherheitsfachkräfte ihre ständigkeit erhalten. Bemühungen verstärken, um einer immer breite- ren Palette von Angriffsvektoren zu widerstehen. Es gibt verschiedene wiederkehrende Be- richtsstrukturen, je nach Größe und Umfang In Washington, D.C., wo zahlreiche der entsprechenden Organisation. Techno- Branchenkenntnisse unter Feuer geschmiedet logieunternehmen, Finanzdienstleister und wurden, führen Regierungsbehörden den Kampf verbrauchernahe Unternehmen, die von Techno- um die Top-Talente im Cyber-Bereich an. Diese logietransaktionen abhängig sind, wie der Behörden sind hervorragende Orte, um Top-Ta- Einzelhandel, Gastronomie, Fluglinien und lente in der Cyber-Sicherheit zu finden – zumeist der Gesundheitssektor, halten in zunehmenden jedoch unter dem C-Level. Maße einen Cyber-Leader auf Vorstandsebene für notwendig. Auch Anbieter mit einer großen Die wichtigsten europäischen Unternehmen Infrastruktur, z. B. aus den Bereichen Energie, waren ausgefeilten und langwierigen Cyber-An- Öl und Gas sowie Großproduzenten, holen hier griffen von bösartigen Angreifern ausgesetzt. schnell auf. Dazu gehörten auch Schurkenstaaten, die ge- waltige Ressourcen einsetzen, um bestimmte Berichtsstrukturen spiegeln vielleicht nicht Ziele anzugreifen und Geld und Daten zu er- immer perfekt die Priorität wider, die eine Or- pressen. In zunehmendem Maße verlassen sich ganisation der Cyber-Sicherheit einräumt. Sie Unternehmen aus dem privaten Sektor auf eine sagen allerdings viel über die Botschaft aus, die kooperierende Cyber-Community, einschließ- einem idealen CISO-Kandidaten vermittelt lich europäischer Regierungsbehörden wie wird, wenn er erfährt, dass er unmittelbaren Zu- NATO, NCSC-NL und GCHQ. Diese Com- gang zum Vorstand hat und ihm gegenüber di- munity tauscht sich mit Geschäftsbereichen über rekt verantwortlich ist. Cyber-Angriffe und Informationen aus, die be- reit sind, den angegriffenen Organisationen Hilfe Warten Sie nicht auf Perfektion zu bieten. Solche außerordentliche Zusammen- Der französische Philosoph Voltaire wird häufig arbeit und Vernetzung sollte vom Vorstand dis- mit einer Abwandlung des Zitats „Das Bessere kutiert und genehmigt werden. ist der Feind des Guten“ gewürdigt. Er muss das aktuelle Dilemma der Vorstände bei der Suche Neue Cyber-Talente entstehen auch in an- nach dem sogenannten „besten CISO“ voraus- deren Ländern in wachsender Anzahl und gesehen haben. Intensität, obwohl es immer noch schwer ist, den Bedarf zu decken. Australien ist beispiels- Wie bereits erwähnt, gibt es keinen per- weise als Exporteur von Talenten in der Sicher- fekten CISO-Kandidaten, sodass Vorstände heitsbranche bekannt. In den letzten zwei Jahren und Führungskräfte nicht auf Perfektion gab es in Australien einen enormen Zuwachs bei warten sollten. Aber sie müssen auch kei- CISO-Positionen in allen Branchen und Stu- nen suboptimalen Kandidaten einstellen, da fen. Auch Israel ist eine hervorragende Quel- die Kosten die Vorteile einer Kompromiss- le für Talente im Sicherheitsbereich. Israel spielt lösung bei der Einstellung überwiegen. An- gesichts der schnellen Veränderungen bei den Auf der Jagd nach dem Cyber-Leader mit den besten Referenzen auf Vorstandsebene 247
Bedrohungen, Verwundbarkeiten und Risiken Änderungen im Cyber-Bereich fortschreiten in der Cyber-Sicherheit wird es einem „ganz und sich die Bedrohungen verändern, ist es ent- guten“ Kandidaten schwerfallen, langsam in die scheidend, dass Vorstände einen CISO nicht nur CISO-Rolle hineinzuwachsen. Wenn ein Kom- für die heutigen Anforderungen einstellen, son- promiss notwendig ist, sollten Sie sich bei einer dern besonders im Hinblick darauf, wo sie ihr Einstellung nach den Kompetenzen richten, die Unternehmen in drei Jahren sehen. So kann es mit dem höchsten Risiko verbunden sind. Ana- beispielsweise sinnvoller sein, jemanden mit lysieren Sie Ihre Abläufe und Technologie- mehr Qualitäten einzustellen und mehr zu zah- umgebung und stellen Sie einen CISO ein, der len als eigentlich vorgesehen. So wird ein Kan- in diese Umgebung passt. Seien Sie auch dafür didat an das Unternehmen gebunden, der am offen, die Rolle um diese Person herum neu zu besten für die Anforderungen von morgen ge- konstruieren. eignet ist. Bedenken Sie: Ihre Anforderungen an die Cyber-Sicherheit werden sich zweifellos im Die heutigen führenden CISOs verfügen Lauf der Zeit ändern. über eine Mischung aus Führungseigenschaften, beispielsweise ein vertrauenswürdiges Auftreten, Fazit Präsentationskompetenzen auf Vorstandsebene Fragen Sie zehn Vorstandsmitglieder, welche und einen ausgeprägten Sinn für das Geschäft. Unternehmensrolle nach dem CEO am wich- Darüber hinaus werden die CISOs von morgen tigsten für den Erfolg einer Organisation ist, mehr durch Einflussnahme als durch Autorität und Sie bekommen bestimmt zehn unterschied- führen müssen. Vorstände müssen nach agilen, liche Antworten. Vertrieb, Finanzen, operatives risikoorientierten Menschen suchen, die schnell Geschäft, Engineering, IT, Marketing – alle Be- lernen und problemlos die Sicherheit als stra- reiche sind von entscheidender Wichtigkeit für tegischen Vorteil und Alleinstellungsmerkmal den langfristigen Bestand und den Erfolg der positionieren. Organisation. Die C-Level-Führungskräfte, die diese und andere Funktionen steuern, müssen Vorstände suchen auch nach Persönlich- dabei Top-Performer sein. keiten mit hoch entwickelter Integrität und mo- ralischen Standards. Es muss unbedingt klar Heute muss auch die Cyber-Sicherheit zu sein, dass CISOs nicht immer durch die Höhe den wichtigsten Bereichen einer Unternehmens- ihres Gehalts motiviert werden, sondern durch organisation gezählt werden. Die Entscheidung die Mission und den höheren Zweck der Orga- des Vorstands für den nächsten CISO kann den nisation. Häufig fühlen die Cyber-Leader eine Unterschied zwischen Marktführerschaft und fast spirituelle Bestimmung dafür, das Unter- einer schwer geschädigten Marke, zwischen Ge- nehmen, die Daten, die Kunden und das gesam- winn und Verlust, Kundenzufriedenheit oder te Organisationsökosystem gegen böse Absichten Misstrauen ausmachen. Es ist ein entscheidender zu verteidigen. Dies führt zu einer starken kol- Prozess, der auf Vorstandsebene ernst genommen legialen Zusammenarbeit unter den mit dieser werden muss. Mission beauftragten Personen. Die langfristige Gesundheit und Lebens- Ein anderer Aspekt ist, dass Vorstände bei fähigkeit eines Unternehmens hängen davon ab. der Suche nach dem CISO langfristig planen sollten. Bei der Geschwindigkeit, mit der die 248 Menschen
Prozess
38 Mit einer Datenschutzverletzung richtig umgehen Lisa J. Sotto – Partner, Hunton Andrews Kurth LLP Jede Organisation ist anfällig für einen Cyber-An- Ereignis und Mobilisierung griff. Aber das Bewusstsein, dass eine Entität Um den Handlungsbogen einer Datenschutzver- verwundbar ist, bedeutet nicht, dass die Organi- letzung zu verstehen, muss jeder Schritt in der sation auch darauf vorbereitet ist, mit einem sol- unten stehenden Zeitleiste beachtet werden. Un- chen Ereignis richtig umzugehen. Die Anzahl der abhängig von der Branche wird jede Organisa- jährlichen Datenschutzverletzungen wächst ins tion, die von einem Cyber-Ereignis betroffen Unermessliche. Laut dem aktuellen Verizon-Be- ist, normalerweise die folgenden Phasen auf der richt zu Datenschutzverletzungen gab es 2017 in Zeitleiste durchleben. 65 Ländern 2.216 Vorfälle. Mehr als drei Viertel dieser Vorfälle waren finanziell motiviert.1 Gegenmaßnahmen müssen sofort initiiert werden, nachdem ein Angriff erkannt wurde. Die Der richtige Umgang mit einem Sicherheits- Organisation muss schnell die richtigen Ressour- vorfall ist eine wichtige Aufgabe, die eine Or- cen für eine koordinierte Reaktion mobilisieren. ganisation in den Wirren eines Angriffs schnell überfordern kann. Je nach Größe und Umfang Unternehmen erfahren über unterschiedliche des Vorfalls kann diese Aufgabe praktisch die Kanäle von einem Cyber-Sicherheitsvorfall. Bei- ganze Zeit und Energie des Managements für spielsweise kann die Abteilung für Informations- Monate in Anspruch nehmen. Und was noch sicherheit einer Organisation auf eine Anomalie schlimmer ist: Sie kann das Unternehmen enor- in den Systemen des Unternehmens stoßen, die men Risiken aussetzen – finanziellen, rechtli- auf eine Verletzung des Systems weist. Oder die chen und Reputationsrisiken – , wenn nicht von Entität wird von Strafverfolgungsbehörden kon- Anfang an die richtigen Schritte unternommen taktiert, die Daten aus dem Bereich des Unter- werden, um eine geeignete Untersuchung, Be- nehmens im Dark Web ermittelt haben. Es ist richterstattung, Benachrichtigung und Kommu- auch möglich, dass der Kundendienst eines Un- nikation zu garantieren. ternehmens plötzlich eine Flut von Kunden- anfragen erhält, in denen ein Betrugsverdacht Eine der wirkungsvollsten Methoden bei der geäußert wird. Auch die Medien können bei der Vorbereitung auf eine Datenschutzverletzung ist Erkennung von Cyber-Vorfällen aktiv werden ein klares Verständnis der Prozesse, die auf eine und Unternehmen benachrichtigen, bevor diese Verletzung folgen. Viele Lektionen können aus selbst auf das Problem stoßen. Obwohl es für den bewährten Vorgehensweisen gelernt werden, eine Organisation viele unterschiedliche Mög- die sich im Lauf der Jahre etabliert haben und lichkeiten gibt, ein Problem zu erkennen, ist der mit denen Organisationen erfolgreich globale wichtigste Aspekt die sofortige Reaktion und das Datenschutzverletzungen überstanden haben. Umsetzen des richtigen Plans. 251
Zeitleiste für die Reaktion auf Vorfälle Ereignis Mobilisieren Stabilisieren Rechtliche Position Ereignis Strafverfolgung Rechtliche Analyse Benachrichtigen Regulatorische Reaktion Rechtsstreit Prüfen und Verbessern Sobald die Organisation ein Problem be- können auch erwägen, dass aufgrund der Schwe- merkt, übernehmen der CISO und das entspre- re des Vorfalls eine Offenlegung gemäß den chende Team zusammen mit dem Leiter der Wertpapiergesetzen erforderlich ist. Und schließ- Rechtsabteilung des Unternehmens die Füh- lich kann die Rechtsabteilung vorschlagen, rung. Eine externe Rechtsberatung wird häufig den entsprechenden Versicherungsträger zu ins Spiel gebracht, um die rechtliche Position des benachrichtigen. Unternehmens einschließlich des Schutzprivilegs möglichst umfassend im Rahmen der Untersu- Die Rechtsabteilung legt zusammen mit der chung zu bewahren. Bei einer schwerwiegenden Führung der Organisation fest, ob eine exter- Datenschutzverletzung rät die Rechtsabteilung ne kriminaltechnische Untersuchung eingesetzt der Organisation wahrscheinlich, eine gesetzliche wird. Bei einer größeren Datenschutzverletzung Aufbewahrungspflicht einzubinden, um relevan- können verschiedene Untersuchungsteams zu- te Datensätze zu bewahren. Rechtsabteilungen sammengestellt werden, wobei jedes Team ein an- deres Fachgebiet abdeckt. So haben beispielsweise 252 Prozess
einige externe Experten das fundierte technische Aufgrund der strikten Zeitvorgaben der Ge- Wissen, um die Spuren eines Angreifers zu ent- setze über die Benachrichtigung bei Daten- decken und zu verfolgen. Andere sind möglicher- schutzverletzungen sind Organisationen häufig weise darin versiert, Informationen zu sammeln in der unangenehmen Situation, Benachrichti- und die Beteiligung eines Akteurs bei der Bedro- gungen zu veröffentlichen, während die krimi- hung zu ermitteln. Wieder andere, wie zertifi- naltechnische Untersuchung noch stattfindet. zierte kriminaltechnische PCI-Ermittler, können Problematisch ist hierbei, dass sich die Ergebnis- sich exklusiv auf die Bezahlkartenaspekte einer se einer kriminaltechnischen Untersuchung häu- Datenschutzverletzung konzentrieren. fig in deren Verlauf ändern. Den Entitäten wird also nicht geraten, sich auf die ersten Instinkte zu Neben der Verpflichtung von Ermittlungs- verlassen, wenn sie versuchen, den Umfang des experten kann es für das Unternehmen im frü- Problems zu erfassen. Die kriminaltechnische hen Stadium der Erkennung und Untersuchung Untersuchung muss zunächst umfassend durch- auch angebracht sein – je nach den Umständen geführt werden, bevor die Art und der Umfang –, entweder Regierungs- oder lokale Strafverfol- des Vorfalls richtig verstanden und bewertet wer- gungsbehörden zu kontaktieren. den können. Es ist wichtig, dass die Gruppe, die mit dem In diesem frühen Stadium beginnt die Vorfall befasst ist, auf berechtigte Personen be- Rechtsabteilung normalerweise damit, die ent- schränkt wird. Es kann dazu beitragen, Lecks und sprechenden Dokumente auszuarbeiten, z. B. in Spekulationen zu vermeiden, wenn der Kreis der Form von Benachrichtigungen an die Regulie- mit der Datenschutzverletzung betrauten Perso- rungsbehörden, Briefen oder E-Mails an betrof- nen klein gehalten wird. fene Einzelpersonen und Nachrichten an eine Vielzahl von anderen Entscheidungsträgern, wie Benachrichtigung Geschäftspartner, Kunden des Unternehmens, Im Verlauf der kriminaltechnischen Untersu- Dienstanbieter, Medien, Angestellte und die re- chung findet gleichzeitig die relevante rechtliche levanten Regierungsentitäten (zusätzlich zu den Analyse statt. Folgende Fragen gehören zu dieser Regulierungsbehörden). Phase: Welcher Datentyp ist betroffen? Handelt es sich bei den Informationen um personenbe- Möglicherweise müssen zahlreiche Parteien zogene Daten? Wenn ja, welche Datenelemente berücksichtigt und viele Entscheidungsträger be- sind betroffen? Welche Rechtsordnungen gelten achtet werden. Das Ausarbeiten einer Kommu- für die einzelnen Personen, deren Daten betrof- nikationsstrategie kann problematisch sein und fen sein können? Wie viele Personen sind von externe PR-Experten können dringend benötigte der Datenschutzverletzung betroffen? In wel- Hilfe anbieten. Zusätzlich zu dem vorhandenen chem Zeitraum fand der Angriff statt? Befindet Druck muss diese Strategie auch noch häufig in- sich der Eindringling noch im System? Zahllo- nerhalb eines engen Zeitrahmens erarbeitet wer- se Fragen müssen in dieser Phase beantwortet den, in dem die Fakten noch nicht klar sind. Wie werden. zuvor erwähnt gibt es in der EU eine 72-Stun- den-Frist für die Benachrichtigung der entspre- Bei der Benachrichtigung über eine Daten- chenden Regulierungsbehörde. In bestimmten schutzverletzung ist es unter Umständen in den Branchen, z. B. dem Energiesektor, kann eine USA notwendig, die Gesetze der 50 Staaten zu Benachrichtigung der Behörde in weniger als analysieren (und eine Reihe anderer Rechtsord- einer Stunde verlangt werden. nungen mit Vorschriften für die Benachrich- tigung bei Datenschutzverletzungen, wie die Es ist auch wichtig zu verstehen, dass der von Guam, Puerto Rico, den Amerikanischen daraus hervorgehende Bericht möglicherweise Jungferninseln und Washington, D.C.). In der nicht der Kontrolle des Unternehmens unter- EU müssen Unternehmen gemäß der Daten- liegt. Soziale Medien spielen eine wichtige Rolle schutz-Grundverordnung (DSGVO) die Regie- in der heutigen Informationsumgebung. Die rungsbehörden innerhalb von 72 Stunden nach Nachrichten über eine Datenschutzverletzung Bemerken eines Angriffs über eine personenbe- verbreiten sich sehr rasch, sogar bevor die be- zogene Datenschutzverletzung benachrichtigen. troffene Organisation die Gelegenheit hat, eine Mit einer Datenschutzverletzung richtig umgehen 253
koordinierte Kommunikationsstrategie zu ent- Im Hinblick auf die Regulierungsaktivi- wickeln. Ein Drittanbieter im Bereich Public täten, die auf eine Datenschutzverletzung fol- Relations kann Unterstützung bei der Übermitt- gen, führen die meisten Behördenanfragen nur lung der Botschaft und bei der Ausarbeitung des zu einer Untersuchung und nicht zu Durch- richtigen PR-Rahmens bieten. setzungsmaßnahmen. Sollte eine Anfrage zu einer Durchsetzungsmaßnahme führen, kön- Die Benachrichtigung muss normalerwei- nen von einigen Regulierungsbehörden Bußgel- se direkt an die betroffenen Personen gesendet der auferlegt werden (Justizbehörden und einige werden. Wenn in der betroffenen Organisati- Datenschutzbehörden aus Übersee). Andere Re- on keine Kontaktdaten für die jeweiligen Perso- gulierungsbehörden wie die Federal Trade Com- nen vorliegen oder die Kosten für das Versenden mission (FTC) in den USA sind nur beschränkt einer Nachricht an die betroffene Gruppe einen berechtigt, Geldbußen aufzuerlegen, und suchen gesetzlich festgelegten Betrag übersteigen wür- stattdessen häufig nach anderen angemessenen den, ist eine Ersatzbenachrichtigung zulässig. Auf Entschädigungen. Bei den Maßnahmen im Zu- diese Weise kann die betroffene Organisation die sammenhang mit Datenschutzverletzungen, an Öffentlichkeit über die Datenschutzverletzung deren Durchsetzung die FTC beteiligt ist, han- informieren. Die Regeln für eine Ersatzbenach- delt es sich meistens um die Vereinbarung einer richtigung sehen vor, dass die betroffene Entität Vergleichsverfügung. Die FTC könnte erheb- Informationen über die Datenschutzverletzung liche Geldbußen für die Verletzung einer Ver- auf der eigenen Website veröffentlicht, über ein gleichsverfügung auferlegen. landesweites Medium verbreitet (zumeist durch eine Pressemitteilung) und eine E-Mail an die Zusätzlich zu den Maßnahmen der Regulie- relevanten Einzelpersonen sendet, sofern die rungsbehörden werden auf die meisten wesent- E-Mail-Adressen bekannt sind. lichen Datenschutzverletzungen wahrscheinlich auch Klagen folgen. Diese Maßnahmen können Das rechtzeitige Versenden einer Benach- von betroffenen Einzelpersonen, Banken, An- richtigung ist dabei entscheidend. Als Unterstüt- teilseignern und anderen Parteien eingebracht zung bei der Benachrichtigungsaktion beziehen werden, die direkt oder indirekt von der Da- Unternehmen häufig externe Postdienstleister tenschutzverletzung beeinträchtigt sind. Die ein. Darüber hinaus werden häufig Dienste von Verhandlung der Klagen, die auf Datenschutz- Drittanbietern in Anspruch genommen, die bei verletzungen folgen, kann sich über Jahre erstre- der unvermeidlichen Flut von Anrufen nach der cken. Zwischen dem Gerichtsverfahren und der Benachrichtigung über eine Datenschutzverlet- Regulierungsmaßnahme sind Organisationen zung helfen sollen. Es ist hilfreich, kompetente noch lange nach dem eigentlichen Ereignis mit Kundenberater aus speziellen Callcentern einzu- den Auswirkungen einer Datenschutzverletzung setzen, die mit Datenschutzverletzungen routi- beschäftigt. niert umgehen. Gute Vorbereitung Auf Sendung gehen Organisationen sollten nicht nur die Prozes- Nachdem der Vorfall öffentlich bekannt gegeben se erfassen, die zum Umgang mit einer Daten- wurde, kann das betroffene Unternehmen mit schutzverletzung gehören, sondern sich auch gut einer sofortigen Flut von Anfragen rechnen – an- vorbereiten, bevor solch ein Vorfall auftritt und gefangen bei staatlichen Regulierungsbehörden sie plötzlich auf eine Krise reagieren müssen. Ob- über Justizbehörden bis zu ausländischen Daten- wohl einige Cyber-Angriffe unvermeidlich sind schutzbehörden. Das Unternehmen ist unzähli- und nicht einfach verhindert werden können, ist gen Fragen über die Datenschutzverletzung und eine gute Vorbereitung in der heutigen risikorei- auch über die Sicherheitsstrategie der Organisa- chen Cyber-Umgebung entscheidend, um Ein- tion insgesamt ausgesetzt. Unternehmenslenker dringlinge schnell zu erkennen und richtig mit sollten sich auf einen mehrmonatigen oder sogar den Auswirkungen umzugehen. mehrjährigen Informationsaustausch und Dialog mit den Regulierungsbehörden einstellen. Ein wichtiger Schritt bei der Vorbereitung ist 254 Prozess
es, vorab Beziehungen zu Cyber-Sicherheitsexper- jeweiligen Rollen und Verantwortlichkeiten im ten zu knüpfen. Gut vorbereitete Organisationen Fall eines Cyber-Angriffs verstehen. Diese the- wissen, welche kriminaltechnischen Unterneh- oretischen Schulungen fördern das institutio- men, Berater, PR-Unternehmen, Callcenter, Kre- nelle „Muskelgedächtnis“ und dienen dazu, die ditüberwachungsdienste und Postdienstleister sie Reaktion einer Entität auf eine Datenschutzver- im Fall einer Datenschutzverletzung beauftragen letzung zu optimieren und so den Schaden bei können. Diese Dienstanbieter für Datensicher- einem tatsächlichen Vorfall einzugrenzen. Auch heitsvorfälle können beispielsweise im Plan für wenn Cyber-Vorfälle unvermeidbar sind, kön- die Reaktion auf Vorfälle des Unternehmens auf- nen durch das Einüben des richtigen Umgangs geführt werden. bei einer theoretischen Schulung Unzulänglich- keiten und organisatorischer Stress in Verbin- Auch das Abschließen einer Versicherung dung mit echten Ereignissen reduziert werden. für die Cyber-Sicherheit ist ein wichtiger Schritt für eine gute Vorbereitung. Das Cyber-Versiche- Fazit rungsunternehmen der Organisation kann eine Die Bedrohung durch Cyber-Angriffe nimmt wichtige Rolle dabei spielen, ein Reaktionsteam immer weiter zu. Unabhängig davon, ob es für den Fall einer Datenschutzverletzung zusam- sich um kriminelle Hacker, andere Staaten oder menzustellen. Cyber-Versicherungsunterneh- Hacktivisten handelt: Cyber-Eindringlinge sind men haben häufig große Erfahrung im Umgang häufig technisch versiert, gut ausgestattet und mit Datenschutzverletzungen. Geschädigte Un- hochgradig organisiert. Aufgrund des möglichen ternehmen können von dieser Erfahrung pro- Schadens durch Cyber-Angriffe ist es branchen- fitieren, um ihre Reaktionen zu beschleunigen unabhängig für alle Unternehmen unerlässlich, und zu koordinieren. die geeigneten Schritte zur Verhütung von er- folgreichen Angriffen durchzuführen. Ein anderer wichtiger Schritt für eine gute Vorbereitung auf einen Cyber-Vorfall ist, einen In der heutigen unsicheren Cyber-Umge- Plan zur Reaktion auf Vorfälle zu etablieren, der bung müssen Organisationen beachten, dass auf dem aktuellen Stand ist. Dieser Plan ist nor- die zunehmenden Untersuchungen nach einer malerweise ein dynamisches Dokument, das häu- Datenschutzverletzung tief greifende Auswir- fig überarbeitet werden sollte, um der sich rasch kungen auf die Abläufe, die finanzielle Position verschärfenden Bedrohungen gerecht zu werden. und die Reputation eines Unternehmens haben Ebenso wichtig ist es, eine Beziehung zu den re- können. Wie ein Unternehmen auf eine Daten- levanten Strafverfolgungsbehörden aufzubauen, schutzverletzung reagiert, ist häufig eine größe- bevor es zu einem Angriff kommt. Lernen Sie re Bewährungsprobe als der Vorfall selbst. Wenn die Strafverfolgungsteams vor Ort kennen und Unternehmenslenker das notwendige Rüstzeug etablieren Sie ein partnerschaftliches Verhältnis, für eine Reaktion kennen, können sie sich bes- bevor ein Vorfall auftritt. ser auf die Führungs- und Leitungsaufgaben vorbereiten, die erforderlich sind, um ihre Or- Viele Organisationen führen theoretische ganisation erfolgreich durch einen Cyber-Angriff Schulungen durch, um ihre Pläne zur Reakti- zu steuern. on auf Vorfälle einzuüben und um sicherzustel- len, dass die Mitglieder des Reaktionsteams ihre 1 „2018 Data Breach Investigations Report“, Verizon, März 2018 Mit einer Datenschutzverletzung richtig umgehen 255
39 Vorfallreaktion: was bei einem Cyber-Angriff zu tun ist Dr. Andreas Rohr – Chief Technology Officer, Deutsche Cyber-Sicherheitsorganisation GmbH (DCSO) Gefährdete Netzwerke sind die neue Normali- hingegen überwinden. In den meisten Fällen tät. Unabhängig davon, in welcher Branche ein erreichen sie dies, indem sie einen oder meh- Unternehmen tätig ist oder wie groß oder klein rere Mitarbeiter in der Zielorganisation aus- es ist: Professionelle Angreifer finden in jeder Or- wählen und sie mithilfe von Social Engineering ganisation Daten, die später in einen wirtschaft- beim Sprung über die Firewall zu unwissenden lichen Vorteil oder auf den schwarzen Märkten Komplizen machen. Ein anderer verbreiteter in Bargeld umgewandelt werden können. Seit Mechanismus ist es, weniger sichere Einstiegs- einiger Zeit lautet die Frage aus Sicht der Krimi- punkte in Niederlassungen oder bei Zulieferern nellen nicht, ob eine Organisation erfolgreich an- zu nutzen, die mit dem Unternehmensnetzwerk gegriffen werden kann, sondern lediglich wann. verbunden sind. Es mag zwar unangenehm sein, diese neue Gönnen Sie dem Angreifer Realität anzuerkennen, aber es ist notwendig. einen Moment Wenn Unternehmenslenker, IT- und Sicher- In diesen Fällen haben Angreifer zunächst nur ein heitsexperten erkannt haben, dass ein voll- Ziel: so lange wie möglich unentdeckt bleiben, ständiger Schutz wirtschaftlich nicht machbar um die Unternehmensgeheimnisse auszuspähen. ist, können sie sich auf die eigentliche Aufgabe Wenn Datendiebe in ein Unternehmensnetz- konzentrieren: die Wahrscheinlichkeit und werk eingedrungen sind, sollten Führungskräfte die Auswirkungen eines Datenlecks zu mini- sich die Zeit nehmen, über die Situation nachzu- mieren und schnell wieder zur Tagesordnung denken. Sie sollten die betroffenen Systeme nicht zurückzukehren. in einer instinktiven Reaktion offline nehmen und sie löschen oder sogar beseitigen, um den Natürlich können unsere Organisationen Verlust so gering wie möglich zu halten. auch in einer Welt, in der erfolgreiche Angriffe zum täglichen Geschäft gehören, nicht ohne die Moderne, intelligente Angreifer richten Sicherheitsmechanismen wie Firewalls, Virus- mehrere Hintertüren ein, die ihnen erneut Zu- scanner, ID- und Zugriffsmanagement usw. griff auf das Netzwerk bieten. In den heuti- auskommen. Mit diesen Komponenten werden gen komplexen IT-Infrastrukturen, die häufig allgemein Angreifer abgewehrt, die nicht gezielt länderübergreifend verteilt sind, ist es einfach, vorgehen. Nach dem Prinzip der Gießkanne mehrere versteckte Zugänge einzurichten. Wenn (einer der Wasserspritzer wird schon ein Ziel das Unternehmen also nur einen Teil des Inst- treffen) suchen diese Angreifer in einem großen rumentariums oder der Spuren des kriminellen Bereich nach verwundbaren Infrastrukturen. Angreifers löscht, ist noch nicht das vollständige Waffenarsenal des Datendiebs beseitigt. Profis mit einem zielgerichteten Ansatz kön- nen diese Mechanismen der Sicherheitshygiene 257
Damit tritt das Unternehmen in eine noch acht Wochen oder auch sechs Monate dauern. gefährlichere Phase ein, da die Mitarbeiter den- Zugegeben, es ist schwer, sich mit einer solchen ken, sie könnten sich entspannt zurücklehnen. Wartezeit abzufinden. Aus diesem Grund muss Diese Entspannung ist allerdings trügerisch. die Unternehmensführung bei einem Vorfall Stellen Sie sich Folgendes vor: Wenn Sie in geschlossen mit einer bereits vor dem Angriff Ihrem Haus im Schlafzimmer einen Einbrecher vereinbarten Strategie reagieren. Wenn erst bei entdecken, der sich durch seine Taschenlampe Bekanntwerden des Angriffs die Diskussion verraten hat, ist Ihre instinktive Reaktion, ihn zu beginnt, geht wertvolle Zeit verloren – und die vertreiben. Wenn Sie so vorgehen, übersehen Sie Ergebnisse der Diskussion könnten infolge des aber vielleicht seinen Komplizen, der sich in der großen Drucks durch die Krisensituation von Küche versteckt hat. fragwürdiger Qualität sein. Das Abwarten hat den zusätzlichen Vorteil, Wer dreht den Hahn zu und wann? dass Ihr Team Informationen über mögliche Es muss klar sein, wer im Unternehmen was tun weitere Hintertüren sammeln kann, indem es darf, wenn ein Angriff entdeckt wird. Welcher das Verhalten und die eingesetzten Instrumente Ausschuss oder welcher Mitarbeiter ist berechtigt beobachtet. Durch das Sammeln von Informa- zu entscheiden, dass die Verbindung getrennt tionen kann Ihr Team darüber hinaus Einblicke wird? Wer bestimmt, welche Informationen darüber gewinnen, welche Motivation der Ein- an externe Parteien, Rechtsanwälte, Aufsichts- dringling hat, und möglicherweise sogar seine behörden, die Börsenaufsicht, an Kunden und Identität ermitteln. die Presse gehen? Planen Sie Gegenmaßnahmen Es macht wenig Sinn, sich zum ersten Mal zu im Geheimen treffen und all dies zu besprechen, wenn der An- Natürlich darf der Angriff nicht so weit fort- griff bereits begonnen hat und fortschreitet. Eine schreiten, dass Datendiebe unter den Blicken gute Vorbereitung bedeutet auch, ein möglichst der Unternehmensleitung bis zum Tafelsilber detailliertes Szenario zu entwerfen, um den „Ste- der Organisation vordringen. Wenn Kriminelle cker zu ziehen“, d. h., festzulegen, welche Daten anfangen, auf Datenbanken, Konstruktions- unter keinen Umständen von den Dieben aus zeichnungen, vertrauliche Verträge oder den dem Unternehmen entwendet werden dürfen Kundenstamm zuzugreifen, müssen Sie dem und wie das Ausschalten der betroffenen Systeme Angreifer die Möglichkeit zum Agieren nehmen durchgeführt werden soll. und die Verbindung sofort trennen. In den meisten Fällen wird ein externer Aber das Abschalten von Systemen oder Dienstleister für die Vorfallsreaktion beauftragt, Trennen von Verbindungen allein reicht nicht der die Untersuchung des Netzwerks und die aus. Damit Daten nicht erneut kopiert werden erhoffte Erkennung der Angreifer durchführen können, nachdem die Verbindung wiederher- soll. Dieser Dienstleister sollte schon vorher ver- gestellt wurde, müssen die Daten vollständig aus traglich an das Unternehmen gebunden werden dem betroffenen Netzwerk entfernt werden und und nicht erst dann übereilt an Bord gebracht es muss eine Übergangsstruktur erstellt werden. werden, wenn der Schaden bereits entstanden ist. Fast alle Angreifer können geduldig dar- Gleichzeitig hat der Dienstleister die Pflicht, auf warten, dass ein Unternehmen Teile seines den Kunden vor dem Missbrauch durch be- Netzwerks abschaltet. Ein Abschalten ohne sonders neugierige Mitarbeiter zu schützen. Neuerstellung ist also keine ausreichende Maß- Vertraulichkeitsvereinbarungen sind daher von nahme. Solange die Eindringlinge sich nur seit- entscheidender Bedeutung. wärts durch das Netzwerk bewegen, können die Experten für Cyber-Sicherheit ihre Bewegungen Damit Systeme, Netzwerke und Dienste nachverfolgen, sodass die Einstiegspunkte und von externen Dienstleistern überprüft werden Instrumente schneller ermittelt werden können. können, müssen entsprechende Berechtigungen vorab in den Auslagerungsverträgen fest verein- In einer ausgedehnten Organisation kann bart werden. dieser Prozess der Erfassung und Nachverfolgung 258 Prozess
Legen Sie Verantwortlichkeiten HR, Kommunikation usw. Der Ausschuss sollte fest und holen Sie alle sich regelmäßig für maximal 15 Minuten treffen Entscheidungsträger an Bord und die diskutierten Angelegenheiten an die re- Sie müssen festlegen, wer im Fall einer Krise levanten Abteilungen zur Durchsetzung weiter- Entscheidungen treffen darf, da es auch bei einer geben. Die Entscheidungen sollten nicht mit noch so guten Vorbereitung immer zu unvor- dem leitenden Management des Unternehmens hersehbaren Situationen kommt. In größeren diskutiert werden, sondern nur innerhalb des Unternehmen ist dies wahrscheinlich der CIO, Ausschusses. sofern nicht der CISO direkt an den Vorstand berichtet. In diesem Fall sollte der CISO bevor- Die Organisation sollte hingegen nicht zu viel zugt werden, da sein Fachgebiet direkt mit den Zeit darauf verwenden, sich auf eine Krise vor- relevanten technischen Aspekten verbunden ist. zubereiten, indem verschiedene Krisenszenarien Ist keine dieser Positionen besetzt, ist die einzige durchgespielt werden. Unabhängig davon, wie Option wegen der Tragweite der Entscheidungen viele Mitarbeiter an diesen Planspielen teil- wahrscheinlich der CEO oder der Vorstandsvor- nehmen, werden sie immer noch überrascht sein, sitzende. welche Kreativität und Routinen die Angreifer an den Tag legen. Es sollte also ausreichen, die In jedem Fall ist es wichtig, dass die Sicher- fünf oder zehn plausibelsten Angriffsszenarien heitsspezialisten und Experten, die die IT-Sys- (Bedrohungsmodelle) aufzuführen und diese teme betreuen, einheitlich agieren. Eine durchzuspielen. Mitarbeiter können einige die- vertrauensvolle Zusammenarbeit in „Friedens- ser Szenarien in einem Unternehmensplanspiel zeiten“ ist daher essenziell. Ist dies nicht gegeben, üben. Es ist viel wichtiger, Reaktionsmöglich- werden im Krisenfall überflüssige, zeitraubende keiten einzuplanen, wie das Erzielen von Sicht- Diskussionen und Revierkämpfe ausgelöst, die barkeit, wenn bestimmte Auslöseinformationen nur vom tatsächlichen Ziel ablenken. vorliegen. Sie müssen auch festlegen, wie der Krisen- Schritte beim Umgang manager oder der Dienstleister, der mit der mit der Krisensituation Überwachung der Umgebung betraut ist, Zugriff Zur Vorbereitung auf eine Krisensituation ge- auf Bereiche der Organisation erhalten kann, für hören die Definition notwendiger Schritte und die spezielle Administratorrechte erforderlich deren Aufzeichnung, sodass keine Zeit verloren sind: Netzwerkstrukturen, Anwendungen wie geht, wenn ein Datenverlust droht. Natürlich SAP, Datenbanken usw. Möglicherweise werden verlangt jede Krise ein besonderes Vorgehen und spezielle Bereiche auch von externen Partnern jede Organisation bringt andere Voraussetzun- betrieben. Es muss im Voraus mit allen Parteien gen mit. Trotzdem können Sie im Voraus einen abgeklärt werden, welche Rechte in einer Krisen- umsetzbaren Plan ausarbeiten. Nachfolgend wer- situation erteilt werden müssen. den einige wichtige Aspekte aufgelistet, die viel- leicht nicht so offensichtlich sind, wenn Sie noch Stellen Sie ein Krisenteam zusammen keine Cyber-Sicherheitskrise erlebt haben. Vor einer Krise sollte die Organisation einen Ad- hoc-Ausschuss einrichten, der über einen klar 1. Schalten Sie niemals die betroffenen Com- definierten Pfad für die Entscheidungsfindung puter ab, sondern überwachen Sie die An- verfügt und im Fall einer Krise sofort zusam- greifer, indem Sie Transparenz (in Echtzeit) mentreten kann. Der Vorsitzende des Ausschus- schaffen. ses – der CIO oder CISO – muss ermächtigt sein, Entscheidungen auch gegen die Stimmen 2. Verschwenden Sie keine Zeit, indem Sie der Ausschussmitglieder durchzusetzen. versuchen, die Ursache zu ermitteln oder jemandem die Schuld zuzuweisen. Dies Der Krisenausschuss sollte aus Vertretern verlangsamt Ihre Reaktionsfähigkeit bei der der einzelnen Unternehmensabteilungen zu- Bewältigung der Krise, da die möglicher- sammengesetzt sein, d. h. Rechtsabteilung, IT, weise betroffenen Personen nicht offen re- IT-Sicherheit/-Gruppensicherheit, Finanzen, agieren und zur Zusammenarbeit bereit Vorfallreaktion: was bei einem Cyber-Angriff zu tun ist 259
sein werden. Außerdem ist es die Aufgabe Maßnahmen koordinieren und vor allem des Audit-Teams, die Schuldfrage in einer die notwendigen Ressourcen erhalten, da Folgeuntersuchung zu beantworten. in den meisten Fällen für solche Situatio- 3. Das leitende Management sollte sich an- nen kein Budget vorgesehen ist. Der mit fangs mit dem Ad-hoc-Krisenausschuss dieser Rolle betraute Mitarbeiter sollte aus- zusammensetzen und dem Team dann er- reichend erfahren sein, um Budgetdiskus- möglichen, seine Arbeit fortzusetzen. Dazu sionen mit dem leitenden Management zu gehört auch, alle erforderlichen Ressourcen führen und den betroffenen Abteilungen zur Verfügung zu stellen. Dies ist genauso Anweisungen zu erteilen. Dies schließt ex- einfach, wie es sich anhört. Stellen Sie dem terne Berater normalerweise aus. Ausschuss zwei geeignete Räume sowie ein 8. Eine andere wichtige Frage lautet: Wer be- Budget für die Verpflegung zur Verfügung zahlt die notwendige Software oder die ex- und ersparen Sie ihm das Ausfüllen von läs- ternen Experten? Natürlich kommt das tigen Formularen. Aufgaben, die zu sehr Ausschreibungsverfahren, das normaler- ins Detail gehen, sollten von anderen Mit- weise angewendet wird, hier nicht infrage, arbeitern erledigt werden. da die Organisation sonst nicht rechtzeitig 4. Der Vorsitz des Ausschusses und die entspre- auf eine Krise reagieren könnte. Es ist mög- chenden Berechtigungen müssen der gesam- lich, im Vorfeld eine schriftliche Vollmacht ten Organisation im Vorfeld bekannt sein. zu hinterlegen oder im besten Fall sogar ein 5. Nicht nur die IT-Sicherheitsexperten müs- Budget zuzuweisen. Alternativ können ent- sen in einer Krisensituation im Schichtbe- sprechende Rahmenverträge für eine mög- trieb arbeiten. Auch das IT-Personal, das liche Unterstützung vereinbart werden, auf für die Ausführung von Anwendungen zu- die sich das Unternehmen je nach Notwen- ständig ist, muss rund um die Uhr erreich- digkeit berufen kann. bar sein. Angreifer ziehen es häufig vor, 9. Es sollte eine sichere Kommunikations- außerhalb der normalen Bürozeiten durch plattform für alle beteiligten Gruppen die Netzwerke ihrer Opfer zu navigieren. eingerichtet werden: für den Ad-hoc-Aus- Wenn ein Überwachungssensor aktiviert schuss, die Mitarbeiter in Expertenabtei- wird, muss möglicherweise ein Anwen- lungen, das leitende Management, externe dungsspezialist mit ins Team geholt wer- Berater und Auditoren. Die Systeme, die den, um die Folgen zu minimieren. sonst für E-Mails und Textnachrichten ver- 6. Auch wenn das leitende Management dies wendet werden, sollten allgemein als ge- nur schwer verstehen wird, muss die sonst schädigt angesehen werden und als Kanal übliche Berichterstattung in den ersten zwei für den Austausch vertraulicher Informa- Wochen nach Bemerken des Netzwerkan- tionen ausgeschlossen werden. Zu den griffs eine geringere Priorität erhalten. Mög- geeigneten Arrangements gehören Inter- licherweise kann ein Ausschussmitglied net-Datenräume und SaaS-Plattformen einmal täglich für 10 Minuten das Manage- für E-Mails mit Zwei-Faktor-Authentifizie- ment auf den neuesten Stand der Entwick- rung, die von der Unternehmensinfrastruk- lungen bringen. Allerdings ist es keine gute tur unabhängig sind. Idee bei der Reaktion auf eine Krise, wenn das Management eine individuelle Bericht- Fazit erstattung einfordert, die viel Zeit und Ar- beit in Anspruch nehmen kann. Dies ist Mittlerweile hat sich herausgestellt, dass ein zwar eine verständliche Stressreaktion, be- kompletter Schutz gegen Cyber-Angriffe un- deutet aber eine störende Ablenkung von wirtschaftlich und unrealistisch geworden ist. der wirklich notwendigen Arbeit. Anstatt das ganze Budget für die Cyber-Sicher- 7. Nach den ersten zwei Wochen sollte ein heit auf die Prävention zu verwenden, sollte ein zentrales Kontrollorgan alle weiteren großer Teil dieses Geldes in Mechanismen für die Identifizierung von erfolgreichen Angriffen 260 Prozess
(Erkennung) und für die anschließenden Maß- Methoden des Risikomanagements an ihre nahmen (Reaktionsfähigkeit) investiert werden. Grenzen. Es mag verrückt und unlogisch klin- gen, Cyber-Angreifer gewähren zu lassen, nach- Es muss auch berücksichtigt werden, dass dem sie entdeckt wurden, aber häufig ist dies Technologie nur ein Teil der Lösung ist. Ihr eine wirkungsvolle Methode, um Schaden zu Erfolg bei der Schadensminderung bei einem minimieren. Cyber-Angriff hängt auch von den Mitarbeitern ab. Stellen Sie also Budgets zur Verfügung, um Wenn ein vollständiger Schutz heute tatsäch- ihre Wachsamkeit zu erhöhen. Wenn Mitarbeiter lich unrealistisch ist, müssen wir uns die Zeit nicht wissen, wie eine Social-Engineering-Kam- nehmen und die richtigen Investitionen durch- pagne von Kriminellen aussieht, können sie führen, damit wir schnell und richtig im Fall schnell zum Opfer eines Angriffs werden. eines Angriffs reagieren können. Auch hier gilt: Was von langer Hand vorbereitet, wird kurzer- Angesichts eines Angriffs kommen Standard- hand eingeleitet. prozesse des Unternehmens und andere übliche Vorfallreaktion: was bei einem Cyber-Angriff zu tun ist 261
40 Nicht erst auf eine Datenschutzverletzung warten, um eine Kommunikationsstrategie zu entwickeln Robert Boyce – Managing Director, Accenture Security, Accenture Justin Harvey – Managing Director, Accenture Security, Accenture Im Zusammenhang mit Cyber-Sicherheitsverlet- vor Eintreten eines solchen Vorfalls über detail- zungen lassen sich zwei Arten von Unternehmen lierte, sinnvolle und gut eingeübte Kommunika- unterscheiden: diejenigen, die einen Angriff erlit- tionspläne zu verfügen. ten haben, und die Unternehmen, die nicht wis- sen, dass sie Opfer eines Angriffs geworden sind. Grundlagen der Kommunikation im Falle einer Datensicherheitsverletzung Nehmen wir also das Unvermeidliche an: Die Kommunikation nach einer Datensicher- Ihr Unternehmen wurde angegriffen. Eine un- heitsverletzung beinhaltet mehr, als Kunden bekannte Menge an Daten wurde gestohlen, Informationsschreiben zu senden, Presseerklä- Datensätze wurden offengelegt, potenziell schä- rungen abzugeben oder Anwälte einzuschalten. digende Informationen erscheinen jetzt mög- Es handelt sich vielmehr um ein umfassendes licherweise auf einer Wikipedia-Seite und die System zum Sammeln, Prüfen und Austauschen personenbezogenen Daten Ihrer Kunden kursie- von Informationen mit allen relevanten inter- ren im Internet. Es ist Zeit, Ihre Kommunika- nen und externen Zielgruppen. Darüber hinaus tionsstrategie zu planen. Ach nein! Dazu ist es unterstützt ein Kommunikationsplan das Un- bereits zu spät. ternehmen, den Geschäftsbetrieb nach einem Sicherheitsvorfall möglichst schnell und um- Ganz gleich, wie viele kluge Schritte Sie un- fassend wiederherzustellen, unabhängig vom ternommen haben, um eine effektive Cyber-Ab- Daten- und Reputationsverlust oder von finan- wehr aufzubauen, zum Beispiel die Absicherung ziellen Schäden. Ihrer Netzwerke oder der Schutz Ihrer Daten durch neueste Technologien und Services – es ist Viele unserer Kunden waren bereits von Da- dennoch wichtig, die Reaktion auf eine mögliche tenschutzverletzungen betroffen. Wir haben in- Datensicherheitsverletzung zu planen. Dies gilt telligente, disziplinierte, gut geplante und exakt insbesondere angesichts der zunehmend häufige- ausgeführte Kommunikationsstrategien erlebt. ren, arglistigeren und folgenschwereren Vorfälle. Leider wurden wir jedoch auch Zeuge einiger unerfreulicher, unstrukturierter und schlecht Ebenso von Bedeutung ist die Einsicht, ausgeführter Bemühungen. Aufgrund unse- dass Datensicherheitsverletzungen keine einma- rer langjährigen Erfahrung und der Beurteilung lig auftretenden Ereignisse sind. Erfolgreiche von sowohl erfolgreichen als auch fehlgeschla- Angriffe animieren zu weiteren Hacking-Ver- genen Versuchen können wir nützliche Rat- suchen. Es ist daher im Interesse jedes Unterneh- schläge in zwei wesentlichen Bereichen bieten: mens, stets aufs Neue von der Möglichkeit eines bevorstehenden Angriffs auszugehen und bereits 263
grundlegende Komponenten eines Kommunika- digkeiten kennen. Das bedeutet, dass die tionsplans bei Datensicherheitsverletzungen und richtigen Personen herangezogen werden, Vermeidung möglicher Stolperfallen. um Beiträge zur Entwicklung des Plans zu leisten, die Reaktion detailliert auszuarbe- Bitte entschuldigen Sie das Klischee, aber iten und die entsprechenden Rollen und wir wissen, dass „Hoffnung keine Strategie ist“. Zuständigkeiten zuzuweisen. Jede Funk- Bei der Entwicklung oder Überarbeitung Ihres tionsgruppe im Unternehmen muss ein- Kommunikationsplans empfehlen wir Ihnen bezogen werden. Darüber hinaus müssen daher die Beachtung folgender Grundsätze: geeignete externe Ressourcen wie Anwälte, forensische Analysten und Unternehmen 1. Bleiben Sie ruhig. Die ersten Stunden für Krisenmanagement-Kommunikation nach der Erkennung einer möglicherweise gefunden und beauftragt werden. Warten folgenschweren Datensicherheitsverletzung Sie nicht ab, bis eine Sicherheitsverletzung sind entscheidend. Lassen Sie sich nicht auftritt, denn dann ist es bereits zu spät, von Stresshormonen und Angst überwälti- um mit der Kommunikationsplanung zu gen und achten Sie darauf, nicht unange- beginnen. Selbst wenn Sie unter Zeitdruck bracht kühn und aggressiv zu reagieren. auch nur einen der wesentlichen Mit- Damit könnten Sie die guten Absichten wirkenden aus dem Kommunikationsteam und Anstrengungen Ihres Unternehmens vergessen, laufen Sie Gefahr, wichtige Ele- unterlaufen, interne und externe Schäden mente Ihres Plans auszulassen. zu minimieren. Die Fähigkeit, ruhig zu bleiben und strukturiert vorzugehen, wird Wesentliche Komponenten bei Mitarbeitern, Kunden, Handelspart- eines Kommunikationsplans nern, Lieferanten, Meinungsbildnern und für Datensicherheitsvorfälle Behörden Vertrauen wecken. Darüber Im Zentrum jedes Kommunikationsplans ste- hinaus kann Besonnenheit davor schüt- hen die Aktionen, die vor, während und nach zen, allzu schnell und spontan zu reagieren Eintritt eines Vorfalls durchzuführen sind. Sorg- und unvollständige oder ungenaue Infor- fältige Vorbereitung ist eine grundlegende Kom- mationen herauszugeben, die den Schaden ponente Ihrer Kommunikationsstrategie. Aber möglicherweise sogar noch verschlimmern. worin bestehen die einzelnen von Ihnen auszu- führenden Schritte? 2. Seien Sie vorbereitet. Es ist ein eklatanter Fehler und eine Verletzung der treuhänderi- Weisen Sie Rollen und Verantwortlich- schen Sorgfaltspflicht der Geschäftsleitung keiten zu. Nachdem Sie alle Mitwirkenden aus oder des Vorstands, nicht mit der not- allen wesentlichen Funktionsgruppen herange- wendigen Ruhe und Sorgfalt einen Akti- zogen haben, müssen Sie festlegen, wer für wel- onsplan auszuarbeiten, der die erforderli- che Schritte verantwortlich ist. Machen Sie sich chen Schritte vor, während und nach einer an diesem Punkt keine Gedanken über ein zu Datensicherheitsverletzung beschreibt. In ausschweifendes Komitee. Einige Personen und einem vorherigen Kapitel dieses Buchs gab Funktionen beteiligen sich möglicherweise aktiv Stephen Moore, Chief Security Strategist an der allgemeinen Kommunikationsplanung, bei Exabeam, einige grundlegende Rat- während sich andere eher um die Kommunika- schläge zur Vorbereitung und Führungs- tion mit Kunden kümmern. Bestimmte Personen stärke im Zusammenhang mit Cyber-Si- konzentrieren sich wiederum auf Angelegenhei- cherheit – darunter die kluge Idee, einen ten im Zusammenhang mit Behörden, Risiken Entwurf für die Mitteilung einer Sicher- und Compliance und einige wenige wirken an heitsverletzung bereits vor Eintritt eines der Entwicklung und Verteilung der einzelnen Vorfalls zu verfassen. Komponenten des Plans mit. Dabei ist es wichtig, dass die Rollen der Personen klar definiert wer- 3. Beziehen Sie alle wesentlichen Beteil- den, denn bei Eintritt einer Sicherheitsverletzung igten im Voraus ein. Wenn eine Sich- ist Zeit entscheidend. Es darf also kein Zweifel erheitsverletzung auftritt, müssen alle Mitwirkenden ihre Rollen und Zustän- 264 Prozess
darüber bestehen, wer was wann zu tun hat. realen Bedingungen – und dasselbe sollten Sie Stecken Sie Ihre Kommunikationszie- auch tun. Proben und üben Sie den Ablauf Ihres Plans, denn das ist das Wichtigste, was Ihr Un- le möglichst weit. Unternehmen, insbesondere ternehmen vor Eintritt eines Sicherheitsvorfalls große Konzerne mit globalem Bekanntheitsgrad, tun kann. Veranstalten Sie zum Beispiel eine ein- stellen Presseerklärungen an oberste Stelle ihrer fache Tabletop-Übung, bei der ein Pseudo-Vor- Liste für die Kommunikation nach einem Si- fall angenommen wird und alle Mitwirkenden cherheitsvorfall. Natürlich sind Konsumenten-, darüber sprechen, welche Maßnahmen sie ergrei- Wirtschafts- und Handelsmedien wichtig, aber fen würden. Eine weitere, realitätsnähere Alter- es sind bei Weitem nicht die einzigen Personen native wäre eine umfassende Simulation, bei der und Gruppen, mit denen Sie kommunizieren den Mitwirkenden nicht mitgeteilt wird, dass es müssen. Auch Behörden werden sehr daran in- sich um eine Übung handelt. In diesem Fall wer- teressiert sein zu erfahren, wie Sie in Ihren Be- den alle Prozesse durchgespielt bis kurz vor Be- mühungen vorankommen, wie groß das Ausmaß nachrichtigung der zuständigen Behörden. des Vorfalls ist und wie Ihre weiteren Pläne zur Schadensbegrenzung aussehen. Im Falle eines Legen Sie die Kommunikationsmethoden börsennotierten Unternehmens werden Akti- fest. Je nach Art und Schweregrad der Sicher- enanalysten Fragen stellen und in der Presse heitsverletzung stehen Ihnen Ihre gewöhnlichen Kommentare dazu abgeben, welche möglichen Kommunikationsmedien wie E-Mail, Internet Auswirkungen der Vorfall auf den Kurs Ihrer und sogar Telefone möglicherweise vorüberge- Aktien oder Ihre Wettbewerbsposition haben hend nicht zur Verfügung – entweder weil sie wird. Und nicht zu vergessen: Strafverfolgungs- ausgefallen oder nicht mehr sicher sind. Entwi- behörden, die Ihre Datensicherheitsverletzung ckeln Sie einen Plan für „Out-of-Band“-Kom- im Zusammenhang mit einem organisierten munikation und gegebenenfalls sogar für einen Cyber-Verbrecherring oder einem anderen Cy- direkten mündlichen Informationsaustausch. ber-Angriffsmuster sehen, das derzeit im Zent- Und seien Sie vorsichtig damit, was Sie schrift- rum ihrer Ermittlungen steht. lich austauschen. Natürlich raten wir hier nicht zu ungesetzlichen oder verbotenen Aktivitäten. Finden und beauftragen Sie erfahrene Es ist jedoch wichtig zu wissen, dass schriftliche Drittparteien. Consulting-Firmen mit Spezi- Kommunikation auch noch lange nach Bewäl- alisierung auf Krisenkommunikation, externe tigung eines Vorfalls Gegenstand rechtlicher Er- Rechtsberater, Investor-Relations-Firmen und mittlungsverfahren werden kann. Cyber-Sicherheitsexperten bieten wertvolle Per- spektiven und Expertise aus unterschiedlichen Halten Sie Unternehmensleitung und Auf- Fachbereichen. Ohne Zweifel haben all diese sichtsrat informiert. Sie werden die einzelnen Firmen in letzter Zeit bereits mit ähnlichen Fäl- Komponenten Ihres Plans nicht unbedingt vom len in anderen Unternehmen zu tun gehabt und Aufsichtsrat genehmigen lassen müssen. Auf- können daher wertvolle Erfahrungen und Emp- sichtsratsmitglieder haben jedoch aller Wahr- fehlungen auf der Grundlage realer Ereignisse an scheinlichkeit nach bereits ähnliche Situationen Sie weitergeben. in anderen bzw. eigenen Unternehmen erlebt. Hören Sie ihren Erfahrungsberichten zu und Testen Sie Ihren Plan. Nehmen wir an, Sie beherzigen Sie ihre Ratschläge zu möglichen haben alle oben beschriebenen Vorbereitun- Schritten, um Ihren Kommunikationsplan noch gen erfolgreich abgeschlossen. Sie verfügen also effektiver zu gestalten. über einen umfassenden Plan und alle Beteilig- ten kennen ihre Rollen und Zuständigkeiten. Arbeiten Sie mit Strafverfolgungsbehörden Was nun? Zurücklehnen und abwarten? Nun, zusammen. Je nach Art des Sicherheitsvorfalls was glauben Sie? Wartet das Militär eines Lan- und der Expertise und Erfahrung der zustän- des einfach so auf einen Angriff? Oder wartet digen Strafverfolgungsstelle kann dieser Schritt die Polizei seelenruhig ab, bis Kriminelle wieder kompliziert sein. Es ist nicht überraschend, dass zuschlagen? Natürlich nicht. Die Devise heißt: die zunehmende Anzahl von Cyber-Angriffen Üben, üben und nochmals üben! Sie veranstal- die Strafverfolgungsbehörden vor die Aufgabe ten Übungen und Trainings unter möglichst stellt, „digitale Verbrechen“ ebenso zu verfolgen Nicht erst auf eine Datenschutzverletzung warten, um eine Kommunikationsstrategie zu entwickeln 265
wie Verbrechen in der physischen Welt – also besteht darin, einen umfassenden Plan zu entwi- Raub, Überfälle und weitere Taten. Eine loka- ckeln und ihn dann im Regal verstauben zu las- le Polizeidienststelle verfügt beispielsweise im sen, bis der unvermeidliche Vorfall eintritt. Es Vergleich zum Bundeskriminalamt oder zu In- ist wichtig, den Plan regelmäßig zu aktualisieren terpol nicht über dieselben Funktionen und und anzupassen, denn Mitarbeiter kommen und Kapazitäten – oder möglicherweise nicht ein- gehen und Unternehmensprozesse ändern sich mal über dasselbe Interesse –, um Datensicher- ebenso wie gesetzliche Anforderungen. Den- heitsverletzungen zu ahnden. Lehrmeinungen ken Sie also nicht, dass der von Ihnen im letzten gehen darüber auseinander, wie aktive Unter- Jahr entwickelte Plan auch noch nächstes Jahr nehmen lokale Strafverfolgungsbehörden im funktioniert. Falle einer Datensicherheitsverletzung einbezie- hen sollten. Bei Ihren Vorbereitungen und Pla- Verwalten und kontrollieren Sie die So- nungen ist es jedoch sicherlich sinnvoll, bereits cial-Media-Nutzung Ihrer Mitarbeiter. Sie vor einem möglichen Ernstfall Kontakt zu der glauben, Ihre Mitarbeiter würden nach einer Da- zuständigen Strafverfolgungsbehörde aufzuneh- tensicherheitsverletzung in Ihrem Unternehmen men und zu pflegen. Auf diese Weise haben Sie niemals auf Facebook, LinkedIn oder Twitter bereits einen bekannten Ansprechpartner, soll- Beiträge dazu posten, wie sie versuchen, die Fol- ten Sie vermuten, dass die bei Ihnen aufgetretene gen des Vorfalls zu mindern? Leider haben wir Datenschutzverletzung Teil eines größeren Ver- dies schon mehr als einmal erlebt. Meistens ver- brechens ist. suchen Mitarbeiter nur in guter Absicht als „Bot- schafter“ des Unternehmens gegenüber Kunden Vermeidung möglicher Stolperfallen und anderen Interessierten aufzutreten. Infor- Es ist nahezu unmöglich, bei Ihrer Planung jede mieren Sie Mitarbeiter unmissverständlich darü- mögliche Drehung und Wendung zu berücksich- ber, dass jede Social-Media-Kommunikation im tigen, die kurz vor und nach einem Datensicher- Zusammenhang mit einer Datensicherheitsver- heitsvorfall auftreten kann. Es gibt jedoch einige letzung durch eine designierte Funktionsgruppe klare Problembereiche, die Sie vorhersehen und genehmigt werden muss. So beugen Sie mögli- bei der Entwicklung und Implementierung Ihres chen Problemen vor. Kommunikationsplans vermeiden können. In ihrem Kapitel über den Umgang mit einer Kommunizieren Sie nicht zu viel. Diese Datenschutzverletzung gibt Lisa Sotto, Partne- Empfehlung mag dem widersprechen, was Füh- rin von Hunter & Williams, wichtige Ratschläge rungskräfte in ihren täglichen Rollen gewohnt zur richtigen Nutzung von sozialen Medien im sind. Wir haben jedoch häufig erlebt, dass Un- Rahmen einer koordinierten Kommunikations- ternehmen nach einem Datensicherheitsvorfall strategie. In aller Deutlichkeit bringt sie ihr wich- zu schnell zu viel sagen. Nehmen wir an, in Un- tigstes Argument vor: „Nachrichten über eine ternehmen A tritt eine Datenschutzverletzung auf Datenschutzverletzung breiten sich virusartig und es wurden Daten zu 100.000 Benutzerkon- aus, noch bevor ein betroffenes Unternehmen ten entwendet. Sie geben eine Erklärung ab, in die Möglichkeit hat, eine Kommunikationsstra- der diese Zahl genannt wird. Zwei Tage später er- tegie zu koordinieren.“ kennen Sie, dass tatsächlich 500.000 Accounts be- troffen sind. Natürlich müssen Unternehmen die Übernehmen Sie Führungsverantwortung. zuständigen Behörden rechtzeitig und regelmäßig Erinnern Sie sich an die Aktionen von Johnson informieren. Es ist jedoch sinnvoll, darauf zu ach- & Johnson direkt nach dem Tylenol-Arzneimit- ten, dass nicht täglich neue Zahlen zur Datensi- telskandal im Jahr 1982? Der CEO des Unter- cherheitsverletzung in den Schlagzeilen landen. nehmens stellte sich verantwortungsbewusst und engagiert in den Vordergrund. Er hielt die Be- Vergessen Sie nicht, Ihren Kommunika- völkerung sogar dazu an, kein Tylenol einzuneh- tionsplan zu testen. Wir haben bereits weiter men. Durch seine kompetente Führung erzielte oben ausführlicher etwas zu diesem Punkt ge- das Unternehmen die erforderliche Glaubwür- schrieben. Um es jedoch noch einmal ganz klar digkeit und Chance, das Vertrauen der Konsu- auszudrücken: Einer der größtmöglichen Fehler menten zurückzugewinnen.1 Stellen Sie diese Reaktion dem unüberlegten Kommentar eines 266 Prozess
Managers bei BP gegenüber, der sich nach der und effektiven Kommunikationsstrategie – denn tragischen Ölkatastrophe im Golf von Mexiko ein solcher Plan ist zu komplex und wichtig, um beklagte: „Ich will mein Leben zurück.“2 von einer einzigen Person entworfen zu werden. Cyber-Sicherheit ist kein statischer Zustand. Werden Sie kein Ihre Technologielösungen entwickeln sich stän- abschreckendes Beispiel! dig weiter, um mit den dynamischen Bedrohun- Wir können nicht oft genug darauf hinwei- gen und Schwachstellen Schritt zu halten. Ihr sen, wie wichtig es ist, mit Ihren Kollegen in Kommunikationsplan für Datensicherheitsvor- der Führungsriege eine aufrichtige, offene und fälle muss genauso flexibel, dynamisch und auf schonungslos ehrliche Diskussion über den dem neuesten Stand sein wie Ihre technologi- Kommunikationsplan für Datensicherheitsvor- sche Infrastruktur. Ist dies nicht der Fall, sollten fälle zu führen. Wie so viele Autoren in diesem Sie das ändern – und zwar möglichst bald! Denn Buch betont haben, ist mangelnde Cyber-Sicher- ohne Übertreibung kann gesagt werden, dass ge- heit vor allem auf inkompetente Führung statt gebenenfalls das Überleben Ihres Unternehmens auf technische Probleme zurückzuführen. Cy- davon abhängt. Sorgfältige Planung, regelmä- ber-Sicherheit erfordert daher die vollständige ßiges Testen und die genaue Ausführung eines Aufmerksamkeit und ein resolutes Engagement Kommunikationsplans für Datensicherheitsvor- von allen Mitgliedern der Unternehmenslei- fälle wird Branchenführer von denen unterschei- tung. Dies beinhaltet auch die aktive Mitwir- den, die im Zuge einer Datenschutzverletzung kung an der Entwicklung einer umfassenden zu abschreckenden Beispielen werden. 1 „How Poisoned Tylenol Became a Crisis-Management Teaching Model“, Time, September 2014 2 „BP CEO Apologizes For ‘Thoughtless’ Oil Spill Comment“, Reuters, Juni 2010 Nicht erst auf eine Datenschutzverletzung warten, um eine Kommunikationsstrategie zu entwickeln 267
41 Cyber-Versicherung zu einem strategischen Instrument zur Risikobegrenzung und Verbesserung der Resilienz machen Robert Parisi – Managing Director und U.S. Cyber Product Leader, Marsh Was würden Sie tun, wenn Ihnen wie durch ein könnte auch über einen beträchtlichen Zeitraum Wunder plötzlich 2 Millionen USD zusätzlich hinweg eine Betriebsunterbrechung wirtschaft- für Cyber-Sicherheitsinvestitionen zur Verfü- lich verkraften. gung ständen? Das ist nicht einfach nur ein hypothetisches Ihr CISO hätte sicher direkt eine konkrete Szenario. Immer mehr Unternehmen wer- Antwort parat. „Wir werden das Security Ope- den mit der harten Realität konfrontiert, dass rations Center (SOC) in der Geschäftszentrale Technologien versagen, ein Anbieter nicht die und an unseren wichtigsten internationalen vereinbarten Leistungen liefert oder sie Opfer Standorten erweitern. Dann werden wir einen eines Angriffs werden. Früher oder später dro- Endpunktschutz der nächsten Generation ins- hen jedem Unternehmen derartige Risiken mit tallieren, biometrische Zugangskontrollen für schwerwiegenden finanziellen, operativen und unsere Rechenzentren einrichten, kritische Infra- rechtlichen Folgen und Reputationsschaden. strukturen stärken und das Abonnement für un- Natürlich ist es wichtig, über die richtigen tech- sere Sicherheitsinformationsservices verlängern.“ nischen Lösungen, Services und Protokolle zu verfügen, um Cyber-Sicherheit angesichts der Diese und ähnliche Technologieinvestitionen ständig zunehmenden Bedrohungen zu stärken. sind zweifellos sinnvolle und kluge Möglich- Die bittere Wahrheit ist jedoch, dass immer grö- keiten. All diese Maßnahmen stellen jedoch die ßere Technologieausgaben das Problem nicht aus Behebung von Sicherheitsproblemen in den Mit- der Welt schaffen. Sicherlich können technische telpunkt statt die Risiken, die es zu bewältigen Lösungen Probleme allgemein schmälern oder gilt. Beim Management von Geschäftsrisiken einige bestimmte Bedrohungen vielleicht sogar müssen wir stärker differenzieren. Betrachten wir bis zur Bedeutungslosigkeit verringern. Das ist je- die Dinge daher aus einem anderen Blickwinkel. doch nicht ausreichend, um Ihre Geschäfte nach einem Zusammenbruch der Lieferkette, einer Nehmen wir an, Ihr CFO und der Chief Datenschutzverletzung, einer Malware-Kampa- Risk Officer würden erfahren, dass durch eine gne, einer Ransomware-Forderung oder einem Investition in Höhe von 2 Mio. USD in eine Denial-of-Service-Angriff (DDoS) am Laufen Cyber-Versicherungspolice die bestehenden Un- zu halten. Cyber-Risiken sind nicht einfach nur ternehmensrisiken mit einer Deckungssumme Probleme, die sich durch Technologieinvestitio- von 100 Mio. USD versichert und gleichzeitig nen lösen lassen. Es sind operative Risiken, die die operative Resilienz des Unternehmens ver- ein ebenso aufmerksames und sorgfältiges Ma- bessert werden könnte. Wie würden die beiden nagement erfordern wie jedes andere Risiko, das wohl reagieren? Ihr Unternehmen wäre also das Ende Ihres Unternehmens bedeuten könnte. nicht nur vor den immensen Kosten einer mög- lichen Datenschutzverletzung geschützt, sondern 269
Das Cyber-Risiko löst andere, herkömm- Werkzeuge zur Risikominderung sind. An einem lichere Risiken ab und entwickelt sich zum gewissen Punkt erweisen sich diese Werkzeuge Schreckgespenst Nummer eins für Geschäftsfüh- jedoch nicht mehr als ausreichend. Genau an rer und Vorstandsmitglieder. Und dieses Risiko dieser Stelle, nämlich beim langfristigen Risiko, beinhaltet inzwischen weit mehr als nur Daten- kommt die Versicherung ins Spiel. Sie benötigen schutzverletzungen und den Verlust von Kredit- eine Cyber-Sicherheitspolice, die auf Ihr Risiko- kartendaten. Moderne Unternehmen sind heute profil abgestimmt und in Ihr allgemeines Risi- stark abhängig von Technologien – den eigenen komanagement-Framework integriert ist. Eine wie auch von den Technologien anderer. Die Cyber-Versicherung ist ebenso wenig eine Alter- größte Sorge der Unternehmensleitung ist daher, native zu soliden Risikomanagement-Prinzipien ob das Unternehmen tatsächlich über eine aus- wie Technologien ein Allheilmittel gegen jede reichende Cyber-Resilienz verfügt und den He- Bedrohung oder jeden Exploit sind. rausforderungen durch unzählige Bedrohungen in der digitalen Welt gewachsen ist. Cyber-Versicherung als Resilienzfaktor Wir alle kennen das herkömmliche Versiche- Es ist noch nicht lange her, dass die C-Le- rungsmodell. Ein Ereignis tritt ein, das finanzielle vel-Riege vor allem Naturkatastrophen und Folgen für eine Person, eine Gemeinschaft oder politische Risiken – insbesondere bei multinatio- ein Unternehmen hat. Bei entsprechendem Ver- nalen Konzernen – als hauptsächliche Risikofak- sicherungsschutz erhält die betroffene Partei eine toren für eine mögliche Betriebsunterbrechung bestimmte Geldsumme gemäß vereinbarten Ver- sah. Dies sind sicherlich noch immer zwei sicherungsbedingungen, Deckungslimits usw. relevante Punkte, aber sie stehen heute nicht mehr ganz oben auf der Liste, wenn es um die Herkömmliche Sach- und Unfallversicherun- Häufigkeit oder den Schweregrad von Betriebs- gen haben jedoch eine Lücke hinterlassen, weil unterbrechungen geht. Das Business Continuity die Deckungsbreite nicht an das sich ändernde Institute, das Faktoren für Business-Continuity Risikoprofil der Kunden angepasst wurde. Hier und deren Auswirkungen auf Unternehmen be- spielt Cyber-Versicherung eine entscheidende urteilt, gab vor Kurzem bekannt, dass ungeplante Rolle. Eine Cyber-Versicherung setzt die Not- Technologie- und Telekommunikationsausfälle wendigkeit operativer und finanzieller Resilienz mittlerweile Naturkatastrophen und politische voraus und berücksichtigt diese. Das Betreiben Risiken als gefährlichste Auslöser einer Unter- eines Unternehmens im digitalen Zeitalter steht brechung lokaler, nationaler und sogar globaler im Zusammenhang mit enormen „harten“ und Lieferketten abgelöst haben. Sicherlich können „weichen“ Kosten. Selbst sehr kleine Unterneh- die Folgen für ein Unternehmen in einer von men sind in hohem Maße abhängig von der Überschwemmungen, Hurrikans oder Torna- Integrität und Verfügbarkeit der Technologien, dos betroffenen Region verheerend sein. Wie die ihre täglichen Geschäftsabläufe unterstützen. jedoch der Malware-Angriff „NotPetya“ im Jahr Diese Abhängigkeit wird sich in den kommen- 2017 zeigte, sind die Auswirkungen eines groß den Jahren noch verschärfen. angelegten Ransomware-Angriffs wahrschein- lich noch schwerwiegender.1 Darüber hinaus ist Mehr noch als unzureichende Sicherheit und ein Ransomware-Vorfall weit schwieriger vor- Compliance und drohende Gerichtsverfahren ist herzusagen und abzuwehren, da die Quelle des es der Mangel an Resilienz, der Unternehmen Übels gewöhnlich erst nach dem Angriff bekannt zunehmend anfällig für Cyber-Risiken macht. wird. Stellen Sie sich vor, ein Hurrikan könnte Daher muss Cyber-Versicherung als Teil einer sich aussuchen, wo und wann er auf Land trifft, integrierten Risikomanagement-Strategie gese- um einen möglichst großen Schaden anzurich- hen werden. ten. Dieser Gedanke macht deutlich, warum Cyber-Risiken besorgniserregender sind als Bedrohungen erkennen, Extremwetter. akzeptieren und bekämpfen Die gute Nachricht ist, dass Cyber-Versicherun- Unternehmen verwalten jedoch ein brei- gen zunehmend so gesehen werden – als Teil eines tes Spektrum an Risiken, wobei Technologien, ganzheitlichen Risikomanagement-Ansatzes in Protokolle und Verfahren die hauptsächlichen Kombination mit herkömmlichen Governance-, 270 Prozess
Risikomanagement- und Compliance-Funktio- wie sich ein derzeit in der Branche kursierender nen. Interessanterweise weist eine von Marsh in DDoS-Angriff abwehren lässt, als vielmehr: Wel- Zusammenarbeit mit Microsoft durchgeführte che finanziellen und betrieblichen Auswirkun- Studie darauf hin, dass die Akzeptanz von Cy- gen ergeben sich für unser Unternehmen, wenn ber-Versicherungen – also der prozentuale Anteil unsere globale Lieferkette unterbrochen wird? von Unternehmen in einem bestimmten Sektor, die reine Cyber-Versicherungen erworben haben – Nehmen Sie bei der Bewertung des Be- in den letzten Jahren kontinuierlich gestiegen ist.2 triebsrisikos externe Unterstützung in An- spruch. Cyber-Versicherung ist noch ein relativ In nahezu jeder großen Branche hat sich die junges Geschäftsfeld. Es fehlt daher im Vergleich Akzeptanz in den letzten drei Jahren erhöht, mit zu Vermögenswerten wie Autos oder Anlagen den höchsten Wachstumsraten in den Sektoren noch an umfassenden versicherungsmathema- Fertigung, Bildung und Gastronomie/Gaming. tischen Daten. Es gibt jedoch eine Reihe hilf- Die Branche mit der höchsten Akzeptanz bleibt reicher Bewertungstools zur Einschätzung des das Gesundheitswesen. Allerdings ist das keine Risikos, sowohl intern als auch bei externen uneingeschränkt gute Nachricht, denn tatsäch- Anbietern. Unternehmen im Bereich Cyber-Ri- lich haben die meisten Unternehmen noch sikomodellierung führen nichtinvasive Untersu- keine dedizierte Cyber-Versicherungspolice ab- chungen und Tests durch und klopfen an Ihre geschlossen. Erst etwa jedes dritte Unternehmen „virtuellen Türen“, um eventuelle Schlupflöcher nutzt diese Chance. und Sicherheitslücken zu entdecken. Sie bieten Ihnen die erforderlichen Kennzahlen zur Ein- Was ist zuerst zu tun? schätzung Ihrer Angriffsanfälligkeit, ohne dabei Der entscheidende erste Schritt ist, das Risiko Ihre täglichen Betriebsabläufe zu stören. Sie kön- zu erkennen und zu akzeptieren, dass die risiko- nen sich dies wie eine Videokamera vorstellen, bedingte Sicherheitslücke selbst durch hervor- die den eingehenden und ausgehenden Informa- ragende Technologien und besonders engagierte tionsfluss Ihrer virtuellen Welt überwacht. Soll- und innovativ denkende CISOs nicht vollstän- ten Sie so beispielsweise erfahren, dass sehr viele dig geschlossen werden kann. Und in diesem Fall Daten über einen bestimmten Port nach Ka- ist Leugnen wirklich keine effektive Strategie. sachstan fließen – und Sie in diesem Land keine Geschäfte betreiben –, wäre dies ein deutliches Zunächst sind einige wesentliche Lernpro- Indiz dafür, dass etwas falsch läuft. zesse und Aktionen erforderlich, um klug und strategisch entscheiden zu können, wie, wo und Nehmen Sie sich Zeit, um relevante Cy- wann Cyber-Versicherungen sinnvoll zur Risiko- ber-Versicherungstrends zu Deckung, Beiträ- begrenzung einsetzbar sind. gen und Dienstleistungen zu verstehen und Ihr Unternehmen mit anderen zu vergleichen. Die Cyber-Risiken müssen als fester Be- Untersuchung Ihrer Peergroup – wie auch immer standteil in die regelmäßigen Gespräche der Sie diese definieren – ist eine gute Möglichkeit, Unternehmensleitung über Betriebsrisiken um Ihre Vermutungen und Voraussetzungen in aufgenommen werden. Cyber-Risiken sind einen Kontext zu setzen und Entscheidungen zu schlicht und einfach Geschäftsrisiken. Allzu häu- unterstützen, wenn Sie gemeinsam mit Ihrem fig verfallen Geschäftsführung und Vorstände in Versicherungsmakler eine auf Ihr Unternehmen eine Art „Cyber-Mystik“, wenn es um Cyber-Ri- optimal zugeschnittene Lösung erarbeiten. Ihre siken geht. Sie heben abwehrend die Hände, weil Analyse sollte sich jedoch nicht darauf beschrän- sie sich nicht zutrauen, die damit verbundenen ken, welche Cyber-Versicherung vergleichbare technologischen Details zu verstehen. Letztlich Unternehmen kaufen. Mithilfe einiger der oben geht es jedoch nicht um Technologie, sondern erwähnten Bewertungstools können Sie die An- um die möglichen geschäftlichen Auswirkun- fälligkeit Ihres Unternehmens für Bedrohungen gen eines Cyber-Vorfalls und darum, einen ef- den entsprechenden Kennzahlen einer beliebi- fektiven Plan zu entwickeln: Wie lassen sich die gen Peergroup gegenüberstellen. Auswirkungen mithilfe sämtlicher Sicherheits- maßnahmen und Reaktionen, einschließlich Führen Sie eine gründliche, fortlaufende einer Cyber-Versicherung, erfolgreich bewälti- Bewertung der gefährdeten Unternehmens- gen? Die entscheidende Frage ist also weniger, werte durch. Stellen Sie sicher, dass Sie die zu Robert Parisi – Managing Director und U.S. Cyber Product Leader, Marsh 271
evaluierenden Unternehmenswerte aus einem beziehen in diese Entscheidung jedoch den CISO möglichst weiten Blickwinkel identifizieren. Ver- ein, um aktuelle und zukünftige Cyber-Risiken fügen Sie über viele personenbezogene Daten besser zu überblicken und gemeinsam die Aus- von Mitarbeitern, Kunden, Interessenten und wirkungen dieser Risiken auf die Betriebsabläufe Handelspartnern? Nutzen Sie Handelsalgorith- zu beurteilen. Darüber hinaus sollten CEOs bei men? Wie hoch ist der Bestand an geistigem solchen Gesprächsrunden nicht einfach nur kurz Eigentum im Unternehmen? Achten Sie darüber vorbeischauen, denn auch sie sind mitverant- hinaus darauf, diese Vermögenswerte regelmäßig wortlich für die dort getroffenen Entscheidun- neu zu bewerten, insbesondere bei unterneh- gen. Dasselbe gilt natürlich für Vorstands- und mensweiten Ereignissen wie Fusionen oder der Aufsichtsratsmitglieder. In einem anderen Ka- Einführung neuer Produkte und Services. An- pitel dieses Buchs beschreibt Paul Jackson ein- gesichts der Verluste in Millionenhöhe durch drucksvoll, wie Cyber-Risiken bei Mitgliedern Malware-infizierte Smartphones, Tablets, PCs der Unternehmensleitung zu einer verbesserten und Server hat der NotPetya-Angriff uns gelehrt, Corporate Governance beitragen. Jeder Director dass auch physische Werte durch Cyber-Risiken eines Unternehmens, das einen verlustreichen bedroht sind. Die Fähigkeit, gefährdete Unter- und rufschädigenden Cyber-Angriff erlitten hat, nehmenswerte angemessen einzuschätzen und wünschte, er oder sie hätte im Vorfeld genauer die möglichen finanziellen Auswirkungen eines hinterfragt, welche Cyber-Risiken durch die Ver- Cyber-Vorfalls zu beziffern, sind erste wichtige sicherungspolicen des Unternehmens abgedeckt Schritte, um den geeigneten Versicherungsum- sind und welche nicht. fang zu bestimmen. Fazit Beurteilen Sie Ihre „Schmerzgrenze“ hin- Gibt es Leser dieses Buchs, die glauben, dass die sichtlich Cyber-Risiken offen und ehrlich. Technologienutzung in ihren Unternehmen in Geschäftsführer und Vorstände müssen sich da- den kommenden Jahren nicht enorm ansteigen rüber einigen, welches Cyber-Risiko akzeptabel wird? Natürlich nicht. Es ist also davon auszuge- ist und was durch den Versicherungsschutz ab- hen, dass Ihr Cyber-Risiko in Zukunft kontinu- gedeckt sein sollte. Das eine Unternehmen mag ierlich an Intensität und Vielfalt zunimmt, denn sich dafür entscheiden, das Risiko eines ersten die Cyber-Kriminellen schlafen nicht. Verlusts in Höhe von 25 Mio. USD selbst zu tra- gen und alle möglichen Schäden, die über diese Cyber-Risiken lassen sich jedoch nicht durch Schmerzgrenze hinausgehen, durch eine Versi- eine schnelle Anpassung und Korrektur techno- cherung abzudecken. Andere wiederum mögen logischer Lösungen aus der Welt schaffen. Zur sich unwohl bei dem Gedanken fühlen, dass der erfolgreichen Bewältigung von Cyber-Risiken Versicherungsschutz erst bei einer relativ großen benötigen Sie einen intelligenten, sachlichen digitalen Katastrophe greift. In keinem Fall ist es und verantwortlichen Plan – eine geeignete jedoch sinnvoll, diese Entscheidung vor sich her- Kombination aus Technologien, Prozessen und zuschieben, bis eine Katastrophe eintritt. Führen Cyber-Versicherungen. Die ROI-basierte Beur- Sie diese Diskussion jetzt und greifen Sie sie re- teilung von Cyber-Risiken ist sicherlich sinnvoll gelmäßig wieder auf. und notwendig. Bei Ihrer Entscheidung, welche Rolle Cyber-Versicherungen in Ihrer unterneh- Holen Sie für Gespräche über Cyber-Ver- mensweiten Strategie für Risikominderung und sicherungsaspekte und wichtige Entscheidun- -management spielen sollen, müssen Sie jedoch gen alle Beteiligten an einen Tisch. Natürlich sämtliche Auswirkungen eines Cyber-Vorfalls fallen Versicherungsentscheidungen herkömm- auf die Unternehmensresilienz berücksichtigen. licherweise in den Bereich des CFO. Kluge CFOs, CROs und Compliance-Verantwortliche 1 „NotPetya tops list of worst ransomware attacks“, ComputerWeekly.com, 31. Oktober 2017 2 Marsh Microsoft Global Cyber Risk Perception Survey, 2018 272 Prozess
WELCHE RISIKEN EINE CYBER-VERSICHERUNG ABDECKEN SOLLTE Cyber-Versicherungen sind das Yin im herkömmlichen Yin-und-Yang-Ver- sicherungsmodell. Das Yang bietet einem Unternehmen die Möglichkeit, das mit physischen Gefahren verbundene Risiko zu übertragen. Eine Cyber-Versicherung deckt dagegen das Risiko nicht physischer, virtueller Bedrohungen ab, die sich aus dem stetigen technologischen Wandel ergeben. Die Idee der Cyber-Ver- sicherung stammt aus Zeiten der Dotcom-Blase. Seitdem hat sich das Konzept weiterentwickelt und heute decken Cyber-Versicherungen ein weites Spektrum an Haftpflichtschäden und direkten Schäden ab. Dabei ist die zentrale Prämisse, dass das gesamte technologische Risiko eines Unternehmens versicherbar sein sollte. Haftung Schwerpunkt einer Haftpflichtversicherung ist die Deckung von Drittschäden. Bei einer Cyber-Versicherung wird der Schaden entweder durch einen Ausfall oder das Versagen der versicherten IT-Sicherheitskomponenten oder durch eine Datensicherheitsverletzung verursacht, darunter Vorfälle wie unrechtmäßige Erfassung von Daten oder unberechtigter Zugriff auf vertrauliche personen- oder geschäftsbezogene Daten. Sollten gegen einen Versicherten derartige Anschuldigungen erhoben werden, übernimmt die Versicherung die Ver- antwortung für die Abwehr des Anspruchs und erstattet dem Versicherten alle Schäden, für die dieser möglicherweise gesetzlich haftbar zu machen ist. Regulatorische Verpflichtungen Mit zunehmenden datenschutzrechtlichen Bestimmungen und Verordnungen, darunter die vor Kurzem in Kraft getretene DSGVO, wird sich der Versicherte aller Wahrscheinlichkeit nach vor einer Regulierungsbehörde verantworten oder ande- ren gesetzlichen Auflagen nachkommen müssen, bevor es zu einer Zivilklage kommt. Eine Cyber-Versicherung bietet Rechtsberatung und unterstützt Versicherte dabei, Anfragen von Regulierungsbehörden zu beantworten und das Ausmaß gesetzlicher Verpflichtungen zu bestimmen. Darüber hinaus können auch Gebühren und Buß- gelder abgedeckt werden, die möglicherweise gegen den Versicherten verhängt werden. Damit sollen unter anderem Fehltritte vermieden werden, die später in einer möglichen zivilrechtlichen Klage von Nachteil sein könnten. Direkte Schäden Eine Cyber-Versicherung erstattet dem Versicherten direkte Verluste oder Schäden an digitalen Werten sowie Umsatzverluste und zusätzliche Kosten infolge eines IT-Sicherheitsvorfalls oder eines beliebigen Technologieausfalls, der nicht durch ein physisches Ereignis ausgelöst wurde. Umsatzverluste können auch versichert werden, wenn die Ursache ein Sicherheitsvorfall oder ein Technologie- versagen in einem Unternehmen ist, von dem die Geschäfte des Versicherten abhängen, zum Beispiel Anbieter von Technologieinfrastrukturen oder ein Partner in der Lieferkette des Versicherten. Dieser Aspekt hat sich rasant entwickelt. Einige Versicherungsunternehmen bieten beispielsweise inzwischen Deckung für Umsatzverluste, die dem Versicherten entweder durch eine freiwillige Stilllegung oder einen Reputationsverlust nach einem Cyber-Vorfall entstehen. Darüber hinaus haben Versicherer den Deckungsschutz durch die mögliche Erstattung von „Bricking“-Verlusten, also Schäden durch Nutzenausfall, erweitert. Ein solcher Schutz berührt die Absicherung physischer Schäden. Robert Parisi – Managing Director und U.S. Cyber Product Leader, Marsh 273
WELCHE RISIKEN EINE CYBER-VERSICHERUNG ABDECKEN SOLLTE (FORTS.) Kosten für Ereignisbewältigung Cyber-Versicherungen bieten einzigartigen Schutz, da sie den Versicherten bereits ab dem Zeitpunkt der Erkennung oder des Verdachts eines Vorfalls unterstützen. Einem Unternehmen entstehen bedeutende Ausgaben durch die Untersuchung der Ursachen und Merkmale eines Sicherheitsvorfalls, die Erfüllung verschiedener gesetzlicher Auflagen wie Meldepflichten und die Behebung mög- licher Reputationsschäden. Der Cyber-Versicherungsmarkt hat in diesem Bereich zwei wesentliche Ansätze entwickelt: zum einen das etwas herkömmlichere Modell, das die Erstattung der entstandenen Kosten vorsieht, einschließlich der Inanspruchnahme einer Expertengruppe aus verschiedenen Dienstleistern. Zum anderen der bei kleineren Unternehmen beliebtere Ansatz, bei dem der Versicherer im Wesentlichen das Krisenmanagement für den Versicherten über- nimmt und vorgibt, welche Dienstleister und Experten einbezogen werden. Verschiedenes Zusätzlich entschädigt eine Cyber-Versicherung den Versicherten auch, wenn das Opfer einer Erpressung einen anderweitig gedeckten Verlust oder Haftungs- anspruch verursacht. Cyber-Versicherungen können zudem die Lücke füllen, die dadurch entsteht, dass herkömmliche Versicherungen hinter den realen Anforderungen und dem sich ändernden Risikoprofil moderner Unternehmen zurückbleiben. Zwei aktuelle Beispiele sind die Deckungserweiterung für Haftungsansprüche, die sich aus der Nutzung von IoT-Technologien ergeben, und das Risiko im Zusammenhang mit Blockchain-Technologien. Und schließ- lich werden Cyber-Versicherungen zügig angepasst, um bei einer zunehmend stärkeren Differenzierung von Verlusten eine bessere Ausrichtung auf herkömm- liche Versicherungen zu erreichen – zum Beispiel um sicherzustellen, dass ein Versicherter die maximale Erstattung eines Schadens erzielen kann, wenn sich in der Kausalkette eines Personenschadens ein Cyber-relevanter Aspekt verbirgt. 274 Prozess
Technologie
42 Bessere Geschäftsergebnisse mithilfe von Cyber-Sicherheitstechnologie Naveen Zutshi – Senior Vice President und Chief Information Officer, Palo Alto Networks Naveen Zutshi – Senior Vice President und Datenbewegungen überwacht. Sicherheitsbedro- Chief Information Officer, Palo Alto Networks hungen sind dynamisch und schnell und daher In diesem Buch haben Sie viele großartige Rat- mit veralteten und manuellen Ansätze nur sehr schläge zum Thema Cyber-Sicherheit von ver- schwer oder gar nicht vorhersagbar. Mit einem schiedenen Experten gelesen. Dabei zieht sich zunehmend rechnerbasierten Gegner sind ma- ein Gedanke wie ein roter Faden durch sämt- nuelle, stark fragmentierte und auf Einzellösun- liche Kapitel: Cyber-Risiken sind kein techni- gen basierende Cyber-Sicherheitsansätze zum sches, sondern ein geschäftliches Problem. Scheitern verurteilt. Das ist sicherlich richtig. Und dennoch ist es Stattdessen benötigen wir einen anderen, nur ein Teil der Geschichte. neuen Ansatz mit einer umfassenden Sicherheits- architektur und neuen technologischen Voraus- Es steht außer Frage, dass Cyber-Sicherheit setzungen, um unsere Unternehmen besser zu unter der kompetenten Führung von Geschäfts- schützen – und zwar auch beim Einsatz innova- leitern und Vorstandsmitgliedern und in enger tiver Technologien, um neue Geschäftschancen Zusammenarbeit mit CISOs, CIOs und Secu- zu erschließen. Ich möchte Ihnen keineswegs ein rity-Operations-(SecOps-)Teams strategisch be- Kapitel zumuten, das von Begriffen wie Contai- wältigt und in einem geschäftlichen Kontext nerisierung, Mikrosegmentierung, serverlosem gesehen werden muss. Aber wenn es um Cy- Computing oder Service-Bereitstellung durch- ber-Sicherheit geht, spielt auch Technologie eine setzt ist. Dennoch halte ich es für wichtig, Un- wichtige Rolle. ternehmensleiter darüber zu informieren, dass sich derzeit einige wichtige technologische Ver- Mit der richtigen Cyber-Sicherheitstechnolo- änderungen vollziehen, die uns zu mehr Agilität, gie können Sie eine Reihe verschiedener Angrif- Skalierbarkeit und einem neuen, modernisierten fe verhindern, Schwachstellen schnell erkennen, Cyber-Sicherheitsansatz verhelfen können. Cyber-Sicherheitsrisiken mindern und strategi- sche Unternehmensinitiativen wie die digitale Wenn wir es versäumen, einige wichtige Tech- Transformation sicher realisieren. Bei richtiger nologieänderungen vorzunehmen, werden wir: Umsetzung können diese Unternehmenszie- • Geld verschwenden le erreicht werden, ohne Lieferzeiten zu verzö- • Personal, das an anderen Stellen dringend gern. Das soll nicht dazu animieren, horrende Investitionssummen in immer neue Einzellösun- benötigt wird, zur Durchführung manueller gen zu stecken oder mittelmäßiges SecOps-Per- Aufgaben abziehen sonal einzustellen, das Netzwerke auf anormale 277
• Nicht mit dem rasanten Tempo neuer Si- am Anfang. In einem vorherigen Kapitel die- cherheitsrisiken Schritt halten können ses Buchs hat Ann Johnson von Microsoft da- rauf hingewiesen, dass sich Cloud-Computing Ohne die Einführung eines neuen Cyber-Si- schnell von einem nützlichen zu einem unerläss- cherheitsansatzes setzen wir uns und unsere Un- lichen Werkzeug entwickelt hat und derzeit in ternehmen Risiken aus, die irreparable Schäden eine transformative Phase eintritt, in der sich der an unserer Marke verursachen und das Vertrauen Wandel weiter beschleunigt und sich neue Ge- unserer Kunden zerstören werden. schäftschancen ergeben. Lassen Sie mich dies erklären. Gleichzeitig, so betont sie, werden Unterneh- men jedoch auch mit zunehmenden Cyber-Risi- Geschwindigkeit und Agilität ken zu kämpfen haben. Im Zusammenhang mit – aber sicher der öffentlichen Cloud nehmen Unternehmen Der Schlüssel zum Geschäftserfolg in der digi- häufig an, sie tragen keinerlei Sicherheitsverant- talen Welt sind Geschwindigkeit und Agilität – wortung, weil sie nicht die eigene Infrastruktur, das gilt heute mehr denn je. Jedes Unternehmen sondern die eines Anbieters nutzen. Dies ist eine möchte und muss schneller handeln und die falsche und noch dazu gefährliche Auffassung. Vorteile neuer Geschäftschancen umgehend er- Die öffentliche Cloud erfordert das Modell der kennen und nutzen. Technologien spielen dabei gemeinsamen Sicherheitsverantwortung. Dies eine wesentliche Rolle. Viele von uns haben das bedeutet in der Regel, dass Kunden für die Si- bereits in den letzten Jahrzehnten gelernt. cherheit ab Betriebssystem, einschließlich sämt- licher Kundendaten und geistigen Eigentums Lange Zeit erforderten Technologien jedoch verantwortlich sind. Der Public-Cloud-Provider einen „großen Fußabdruck“, um die erwünsch- dagegen ist für die Sicherheit der zugrunde lie- ten Geschäftsvorteile zu liefern. XXL-Rechner. genden Hardware und Infrastruktur zuständig. XXL-Anwendungen. XXL-Rechenzentren. Und XXL-Teams zur Überwachung und Verwaltung Bei Nutzung der öffentlichen Cloud kön- von Netzwerken. Diese hohen Investitionsausga- nen darüber hinaus API-Schlüssel für die Zu- ben (Big Capital Expenditure, Capex) und ein griffskontrolle leicht von Angreifern erkannt und umfangreiches IT-/Sicherheitsteam galten häufig in wenigen Minuten kompromittiert werden, als Alleinstellungsmerkmale für Unternehmen. um enorme Mengen fremder Rechenressour- Leider wirkt dieser veraltete XXL-Technologie- cen unerlaubt zu nutzen. Hacker haben dazu ansatz wie ein Schiffsanker, der unsere Unter- Tools automatisiert, die nach entsprechenden nehmen schwerfällig werden lässt und sie daran Schwachstellen in Systemen suchen. Sie können hindert, mehr Geschwindigkeit und Agilität diese dann auf verschiedene Weise nutzen, von zu erzielen. Bitcoin-Mining bis zu noch übleren Zwecken wie dem Diebstahl von geistigem Eigentum oder Neue Lösungen wie Cloud-Computing, Kunden- und Mitarbeiterdaten. Software as a Service und „Konnektivität überall und jederzeit“ führen zu einem technologischen Ähnlich wie die öffentliche Cloud erweisen Paradigmenwechsel, indem sie bahnbrechende Funktionen schneller, kostengünstiger und we- sich auch andere, daraus resultierende Techno- niger aufwendig liefern. Zusätzlich macht soft- warebasierte Automatisierung herkömmliche logien wie SaaS, Big Data, maschinelles Ler- Ansätze zur Problembehebung zunehmend hin- fällig und verringert die Notwendigkeit für um- nen und die rasant zunehmenden vernetzten fangreiche Security Operations Center (SOC). IoT-Geräte als zweischneidiges Schwert: Sie alle bieten große Vorteile, bergen aber gleichzeitig Die Einführung jeder neuen Technologie ist auch große Risiken. IT- und Sicherheitsmitar- jedoch immer mit gewissen Risiken verbunden, beiter geraten damit unter großen Druck. Einer- insbesondere mit Cyber-Risiken. Nehmen wir seits wird von ihnen verlangt, schnelle Lösungen beispielsweise die Cloud. Cloud-Computing hat zu finden und die Agilität zu erhöhen, anderer- die Art und Weise, wie wir arbeiten, fundamen- seits stehen sie vor der Aufgabe, kritische Sicher- tal verändert – und wir befinden uns noch ganz heitsmaßnahmen bereitzustellen. Das ist nicht einfach, aber machbar! 278 Technologie
Hüten Sie sich vor dem FOMO-Syndrom Modellen. Der Begriff „softwaredefiniert“ be- Eine der großen Herausforderungen hinsicht- zieht sich gewöhnlich auf einen Algorithmus lich der Einführung all dieser neuen Techno- oder eine Programmierschnittstelle für Anwen- logien besteht in der Geschwindigkeit, mit der dungen (API) verkörpert. In der heutigen Soft- sie implementiert und weitläufig genutzt wer- wareindustrie sowie in herkömmlichen Branchen den. Es ist nahezu unmöglich, mit dem Tempo führen softwarebasierte Ansätze zu disruptiven der Innovation Schritt zu halten. Die Entwick- Innovationen. lung der Public-Cloud-Funktionalität ist dafür ein gutes Beispiel: AWS hat im Februar 2018 Branchen, die als „unantastbar“ galten wie im Rahmen der vierteljährlichen Veröffent- Druckindustrie, Taxibetriebe, Gastgewerbe, sta- lichung von Aktualisierungen über 497 neue tionärer Einzelhandel und Energieversorger Funktionen veröffentlicht.1 Und das ist nur ein erleben durch die Softwareindustrie massive Ver- Cloud-Computing-Anbieter. änderungen. Herkömmliche siliziumbasierte Si- cherheitsansätze geraten ebenfalls in Bedrängnis. Einige Sicherheits- und IT-Mitarbeiter leiden Ein softwarebasierter Ansatz erfüllt die zwei ent- in technischer Hinsicht am sogenannten „FO- scheidenden Anforderungen: Geschwindigkeit MO“-Syndrom (Fear of missing out), d. h., sie und Agilität. Softwaredefinierte Lösungen kön- haben Angst, etwas zu verpassen – all die her- nen schneller installiert werden und ermöglichen vorragenden „glänzenden“ Tools und Funktio- es Unternehmen, neue Unternehmenslösungen nen, die ständig neu auf dem Markt eingeführt zügiger und agiler bereitzustellen. Darüber hin- werden. Die bittere Wahrheit ist jedoch, dass aus bieten sie weitere wichtige Vorteile, wie ge- schwerwiegende Cyber-Angriffe durch mangeln- ringere erforderliche Anlageinvestitionen und de Cyber-Hygiene verursacht werden. Eine ver- ein „leichtes“ Management-Profil, das keine Ar- altete Sicherheitsarchitektur, die zwar auf dem meen von Technikern benötigt. Papier gut aussieht, aber keine Angriffe ver- hindert, durchlässige Zugriffskontrollen und Auch bei heutigen Cyber-Sicherheitslösun- eine schlechte Implementierung von Sicher- gen ist ein rasanter Trend zum softwaredefinier- heitskontrollen schaffen unweigerlich eine brei- ten Modell zu erkennen. Dank der Entwicklung te Angriffsfläche, die Sie selbst mit dem besten leistungsstarker und anpassbarer Tools für ma- und neuesten Tool nicht verteidigen können. schinelles Lernen, die auf einer gewaltigen Die Konzentration auf bewährte, grundlegende Menge an erfassten Daten basieren, werden Cy- Maßnahmen wie Patch-Management, Zugriffs- ber-Sicherheitslösungen zunehmend durch Soft- kontrolle, Rotieren von Dienstkontoschlüsseln, ware und die Konzepte der Automatisierung, Zertifikatsmanagement, Netzwerksegmentie- Integration und Cloud-Optimierung geformt. rung und ähnliche Aktivitäten ist möglicherwei- Softwaredefinierte Sicherheit wird heute unter se nicht gerade „cool“, aber ein absolutes Muss. der Prämisse entwickelt und implementiert, dass Ein starker, disziplinierter Sicherheitsprozess er- automatisierte, skalierbare und in der Cloud be- möglicht in Kombination mit einem automati- reitgestellte Sicherheitssoftware die Erkennung sierten, softwarebasierten Sicherheitsansatz zum und Beseitigung von Bedrohungen nahezu in Erzielen der richtigen Sicherheitsresultate einen Echtzeit ermöglicht. Und mit weiterhin zuneh- besseren Schutz und positioniert Ihr Unterneh- menden Zero-Day-Angriffen gewinnt auch der men optimal, um heutige und zukünftige Cy- Begriff „Echtzeit“ noch einmal enorm an Bedeu- ber-Sicherheitsanforderungen zu erfüllen. tung, insbesondere in geschäftlicher Hinsicht. Darüber hinaus ergänzt maschinelles Lernen Willkommen im Zeitalter regelbasierte Software, um die Zeit bis zur Er- softwaredefinierter Sicherheit kennung von Zero-Day-Angriffen weiter zu ver- Ein automatisierter, softwarebasierter Sicher- kürzen und unsere kritischen Infrastrukturen vor heitsansatz entspricht einem wichtigen Trend, der Schaden zu bewahren. Die futuristische Vision sich derzeit durch das gesamte Technologiespek- vom „Kampf der Maschinen“ mag schon etwas trum zieht: der Wechsel zu softwaredefinierten in die Jahre gekommen sein, aber tatsächlich ist es zunehmend ratsam, einen rein softwaredefi- nierten Sicherheitsansatz zu verfolgen. Bessere Geschäftsergebnisse mithilfe von Cyber-Sicherheitstechnologie 279
Softwaredefinierte Sicherheit lässt sich durch der Schulter verspüren, möchten wir vom Or- automatisierte Sicherheitstests in den Software- thopäden nicht die kleinsten Details zum ana- lebenszyklus einbetten. Das ermöglicht itera- tomischen Aufbau der Rotatorenmanschette tive und schnelle Entwicklungslebenszyklen. erfahren. Was uns wirklich interessiert, ist, wie Zudem können Ihre Mitarbeiter dank software- wir den Schmerz stoppen und unseren aktiven definierter Sicherheit wirkungsvoller zur Er- Lebensstil beibehalten können. kennung von Schwachstellen und Reduzierung von Risiken beitragen. Das SOC-Team kann Unternehmensleiter müssen nicht – und die Penetrationstests durchführen, um Bedrohun- meisten von ihnen wollen auch gar nicht – all gen zu erkennen, bevor sie Probleme bereiten, die technischen Hintergründe der Cyber-Sicher- und „Honeypots“ einrichten, um die Aktivitä- heit ihres Unternehmens kennen. Sie möchten ten von Angreifern im Keim zu ersticken. Das ist wissen, ob der CISO die richtigen Sicherheits- ein vollkommen neues Cyber-Sicherheitsmodell maßnahmen zur Abwehr bekannter und pro- – aktiv, automatisiert und vorausschauend statt gnostizierter Risiken implementiert hat, ob er der bisherigen reaktiven, manuellen und auf bes- bzw. sie über die erforderlichen Gelder zur er- tem Ermessen basierenden Ansätze. folgreichen Umsetzung dieses Sicherheits- konzepts verfügt und ob die Cyber-Sicherheit Ein weiterer Aspekt softwaredefinier- optimal auf das Rendite-Risiko-Profil neuer Ge- ter Sicherheit ist der Erwerb von Sicherheits- schäftschancen ausgerichtet ist. plattformen, die eine verstärkte Integration ermöglichen (und jede Integration verbessert In Gesprächen mit dem CISO oder CIO den Gesamtschutz), mit zunehmendem Unter- sollten sich Unternehmensleiter weniger nach nehmenswachstum skalierbar sind, einheitliche den verwendeten Tools und Technologien erkun- Strukturen in Cloud und lokalen Installationen digen, als vielmehr danach, warum und wie diese bieten und die Implementierung, kontinuierli- zu einem verbesserten Schutz beitragen. Schließ- che Upgrades und das Richtlinienmanagement lich wissen alle Unternehmensleiter, was Risiken automatisieren. sind, und haben verstanden, dass die richtige Cy- ber-Sicherheitstechnologie ein Enabler für die Diese Prinzipien einer softwaredefinier- Risikoreduzierung ist, um strategische Ziele ten Sicherheitsplattform – die in eine agile, un- sicher zu erreichen. ternehmensweite Plattform statt in zahlreiche Einzellösungen zum Schutz vor verschiedenen Sie wissen außerdem, dass es umso schwieri- Bedrohungen implementiert wird – bieten Un- ger ist, Angriffe, die neueste Methoden nutzen, ternehmen die Möglichkeit, Sicherheit parallel abzuwehren und geschäftliche Auswirkungen zur Erweiterung ihrer Systemlandschaft zu ska- zu verhindern, je mehr manuelle Prozesse der lieren, beispielsweise Umgebungen zum Testen Sicherheitsansatz des Unternehmens beinhal- neuer Unternehmensservices oder zur Modellie- tet. Und natürlich wissen sie auch, dass mehr rung und Prognose von Kundenverhalten oder manuelle Prozesse mehr Kosten und Aufwand Lieferkettenunterbrechungen. bedeuten. Auch hier zeigt sich wieder die bereits er- Gespräche zwischen Unternehmensleitung wähnte Geschwindigkeit und Agilität. Und und CISOs – ob während einer Vorstandssitzung genau aus diesem Grund ist softwaredefinierte oder spontan auf dem Gang – sollten sich also Sicherheit eine geschäftliche statt eine rein tech- auf Aspekte wie technisches Risiko und Techno- nische Angelegenheit, auch wenn es tatsächlich logieprozesse konzentrieren, statt einer Lehrstun- eine „echt coole“ Technologie ist. de zur Bedeutung von Bits, Bytes und Bots zu gleichen. Wie Unternehmensleiter mit CISOs über Technik reden sollten Geschäftsführer und Vorstandsmitglieder Besprechungen zwischen der Unternehmenslei- sollten beispielsweise Fragen stellen wie: tung und technischen Führungskräften sind ver- gleichbar mit Patienten-Arzt-Gesprächen. Wenn • Glauben Sie, wir verfügen über die richtige wir beim Sport einen stechenden Schmerz in Sicherheitsarchitektur, um mögliche Bedro- hungen abzuwehren, die bisher noch keine Auswirkung auf unser Unternehmen hatten? 280 Technologie
• Sind Ihre Sicherheitsteams in die verschie- erzielen? Wir alle wissen, dass Technologie ein denen Geschäfts- und Technologieein- wichtiger Katalysator für Geschwindigkeit und heiten integriert oder sitzen sie isoliert in Agilität ist – genauso wie für eine stabi- ihren Elfenbeintürmen und überwachen le Cyber-Sicherheit. Ereignisprotokolle? Aber wie können wir Technologie nutzen, • Quantifizieren Sie Risiken unter Berücksich- um all diese Ziele gleichzeitig zu erreichen? Kön- tigung unserer wichtigsten Unternehmens- nen wir uns ein Stück vom „digitalen Kuchen“ werte? Welche finanziellen Auswirkungen abschneiden und es sicher genießen? hätte ein einstündiger Internetausfall nach einem Hack? Ich denke, wir müssen es sogar. Und ich bin überzeugt, dass es uns auch gelingen kann. Tat- • Wie minimieren Sie Angriffsflächen und sächlich gehen viele Unternehmen auf der ganzen Infektionspunkte? Welt bereits mit gutem Beispiel voran. Gemein- sam gestalten deren Leitungen und CISOs bis- • Welche unserer Unternehmensservices oder herige Cyber-Sicherheitsansätze in ein modernes Produkte sind Ihrer Meinung nach am softwaredefiniertes und plattformgesteuertes stärksten durch Cyber-Risiken gefährdet und Modell um. Die Früchte dieser Anstrengungen was tun Sie, um diese „Schätze“ zu schützen? sind Geschwindigkeit, Agilität, Automatisierung und aussagekräftige Analysen. • Können wir unsere vorhandene Sicherheits- infrastruktur parallel zum Unternehmens- Herkömmliche Cyber-Sicherheitsansätze wachstum – beispielsweise aufgrund von haben ihre Wirkung verloren, denn sie beru- Akquisitionen oder Markterweiterungen – hen auf dem nicht enden wollenden Kreislauf, skalieren, ohne große Investitionen in Tech- ständig neue Probleme zu erkennen, die jeweils nologien und Personal tätigen zu müssen? geeignete technologische Einzellösung zu erwer- ben und die entsprechende Lücke zu schließen. • Wie sollten wir Ihrer Meinung nach op- Derartige Ansätze bieten keine Skalierbarkeit, timal vorgehen, um eine Reihe neuer Cy- um mit der massiven und kontinuierlichen Zu- ber-Sicherheitstechnologien einzuführen? nahme von Bedrohungen und Schwachstellen Im Kriechtempo, mit Schrittgeschwindigkeit Schritt zu halten. Das Ergebnis ist ein kostenin- oder auf der Überholspur? Was sind die je- tensiver, ineffizienter und mit zu vielen Löchern weiligen Vorteile? durchsetzter Flickenteppich aus verschiedenen Sicherheitslösungen. • Schützt unsere derzeitige Sicherheitstech- nologie das Unternehmen angemessen Unternehmen können sich heute schneller vor möglichen Problemen mit unseren und sicherer denn je bewegen, indem sie Cy- Cloud-Service-Anbietern oder anderen ver- ber-Sicherheit vollkommen neu auf softwareba- bundenen Dritten? sierten Cloud-Plattformen aufbauen, die eine einfache Installation, Skalierbarkeit und War- Fazit tung bieten und sich zudem gut in wichtige Ge- Unternehmen stehen heute vor einer entschei- schäftsprozesse integrieren lassen. denden Herausforderung: Wie lassen sich Ge- schwindigkeit und Agilität sicher und konstant Und Unternehmen, die dieses Ziel erreicht haben, konnten auf dem Weg dorthin wahr- scheinlich sogar erfolgreich das FOMO-Syn- drom überwinden. 1 „AWS Released 497 New Services And Features Last Quarter“ AWS News, 5. April 2018 Bessere Geschäftsergebnisse mithilfe von Cyber-Sicherheitstechnologie 281
43 Die Leistungsfähigkeit von Blockchain ausschöpfen Antanas Guoga – Mitglied des Europäischen Parlaments Die Blockchain-Technologie hat das Potenzial, neuen Phase der Entwicklung dieser spannen- die Welt zu verändern. Sie kann als Grundlage den Technologie. Es ist an der Zeit, sie in unser für den Aufbau neuen Vertrauens in Wahlen, Fi- Leben zu integrieren, damit sie die digitale Wirt- nanztransaktionen, im Lieferkettenmanagement schaft von heute in die Kryptoökonomie von und bei der Weitergabe von Patientendaten die- morgen umgestalten kann und sichergestellt ist, nen. Sie kann von politischen und staatlichen dass Blockchain als wichtiges Instrument einge- Institutionen genutzt werden, um die Bürger setzt werden kann, um Vertrauen in Anwendun- stärker einzubeziehen. Sie kann und muss wahr- gen und Umgebungen außerhalb der Welt von scheinlich ein wesentlicher Faktor beim Streben Kryptowährungen aufzubauen. zum Mond bei der Cyber-Sicherheit sein, was Mark McLaughlin am Anfang dieses Buchs er- Grundlegendes zur örtert hat. Blockchain-Technologie Viele wissen, dass Blockchain die Technolo- Ein Bericht von Santander InnoVentures pro- gie hinter Bitcoin ist. Aber wenn man sie bitten gnostiziert, dass die Blockchain-Technologie die würde zu definieren, was Blockchain eigentlich ist, Infrastrukturkosten von Banken bis 2022 um bis fiele es ihnen schwer, eine klare Antwort zu geben. zu 20 Mrd. US-Dollar pro Jahr senken könnte.1 Hier ist eine einfache Erklärung (mit freundlicher Capgemini hat angeführt, dass Blockchain-Tech- Genehmigung der New York Times): nologien es Verbrauchern ermöglichen werden, Bank- und Versicherungsgebühren um 16 Mrd. „Die einfachste und grundlegendste Mög- US-Dollar pro Jahr zu senken.2 Es wird erwar- lichkeit, sich Blockchain vorzustellen, ist als tet, dass der Markt für Blockchain im Einzelhan- eine Technologie, die eine Referenzliste aller del im Jahr 2023 mehr als 2,3 Mrd. US-Dollar Personen führt, die jemals mit ihr interagiert erreichen wird, und zwar bei einer durchschnitt- haben. Das ist zugegeben eine ziemliche Ver- lichen jährlichen Wachstumsrate von 96,4 %.3 einfachung, aber wenn Sie jemals Google In den ersten fünf Monaten des Jahres 2018 er- Docs genutzt und anderen erlaubt haben, ein reichte das in Blockchain-Unternehmen inves- Dokument freizugeben, damit sie Änderun- tierte Volumen fast 1,3 Mrd. US-Dollar, womit gen vornehmen können, führt das Programm bereits die Gesamtsumme des ganzen Vorjahres eine Liste aller Änderungen, die die jeweili- übertroffen wurde.4 gen Personen am Dokument vorgenommen haben. Blockchain macht genau das, aber auf Offensichtlich macht das Potenzial von eine noch sicherere Art, sodass jeder Person, Blockchain diese Technologie zu einer der am die das Dokument öffnet, vertraut wird und häufigsten diskutierten unserer Zeit. Aber es ist jeder eine Kopie aller vorgenommenen Än- eine Sache, über das Potenzial von Blockchain derungen erhält, damit keine Fragen darüber zu sprechen, denn wir nähern uns gerade einer 283
aufkommen, was im Laufe der Zeit passiert virtueller Währungen waren, können Distribu- ist. Es gibt nicht mehrere Kopien eines Do- ted-Ledger-Technologien auf alle Aktivitäten kuments und verschiedene Versionen. Es gibt in Industrie und öffentlichem Sektor angewen- nur ein vertrauenswürdiges Dokument und det werden. Mehrere Arten von Transaktionen Sie können alles im Auge behalten, was je- können in einer Blockchain aufgezeichnet und mals mit ihm passiert ist.5 verschiedene Anwendungsfälle können reali- Blockchain als Distributed-Ledger-Techno- siert werden. Die folgenden Anwendungen sind logie (DLT, Technologie mit verteiltem Haupt- denkbar: buch) kann bei richtiger Anwendung einen • im Finanzwesen für Zahlungsverkehr, Peer- großen Einfluss auf Cyber-Sicherheit haben, da sie im Kern eine sichere, unveränderliche und to-Peer-Kredite und Depotüberträge transparente Datenbank bereitstellt. Bitcoin ist • bei Versicherungen zur automatischen ein perfektes Beispiel für dieses Potenzial: In den neun Jahren seit seiner Entstehung hat Bitcoin Vertragsabwicklung sämtliche Cyber-Angriffe erfolgreich abgewehrt, • in Behörden für die Ausstellung von Per- was kein anderes Online-/Digitalunternehmen uneingeschränkt für sich in Anspruch nehmen sonalausweisen, Steuererklärungen, Verwal- kann. Stellen Sie sich vor, wie andere Branchen tung von Entwicklungshilfe, elektronische von diesem Maß an Vertrauen und Sicherheit bei Stimmabgabe und Einhaltung gesetzlicher ihren Transaktionen profitieren können. Vorschriften • im Gesundheitswesen zur Verfolgung von Das geschäftliche Potenzial Transaktionen in Patientenakten und zur von Blockchain Identifizierung des Zugriffs Obwohl die ersten bisherigen Anwendungsfälle • in Medienunternehmen und Unterneh- von Blockchain der disintermediäre Umtausch men, die geistiges Eigentum verwerten, um Herstellung Andere Energie und Versorgungsunternehmen Bankwesen und Professionelle Dienstleistungen Finanzdienstleistungen Technologiedienste Regierung und öffentliche Güter Generika Medien, Unterhaltung und Spiele Gesundheitswesen Versicherung Hinweis: Diese Abbildung basiert auf einer Liste von 132 Anwendungsfällen (in Branchensegmente eingeteilt), die häufig in öffentlichen Diskussionen, Berichten und Pressemitteilungen erwähnt wurden. Abbildung 1: Aufschlüsselung von Anwendungsfällen von DTL (Immobilien-Anwendungen fallen unter „Andere“) 284 Technologie
Tantiemen direkt an Autoren von Musik, Vi- um sicherzustellen, dass Unternehmen Vorgaben deos und anderen Inhalten auszuzahlen einhalten und sich der anstehenden Sicherheits- • in Pharmaunternehmen zur Verifizierung probleme bewusst sind. der Arzneimittelversorgungskette • in Einzelhandelsunternehmen, um den Abgesehen von diesen Vorbehalten gibt es Echtheits- und Herkunftsnachweis zu bestä- einen wahren Goldrausch bei Blockchain, weil tigen und den Beginn der Lieferkette einfach die Technologie über ein enormes Potenzial ver- im Blick zu behalten fügt, die dringlichsten Herausforderungen bei Die folgende Grafik von crowdfundinsider. der heutigen Cyber-Sicherheit zu meistern und com liefert einen Überblick über die aktuellen ein Modell für vertrauensbasierte Transaktionen Anwendungsfälle der Blockchain-Technologie. zu schaffen, die zur Bekämpfung von Cyber-At- Es ist nicht weiter verwunderlich, dass das tacken unübertroffene Sicherheit bieten. Bank- und Finanzwesen bei der frühzeitigen Ein- führung von Blockchain-Technologie eine Vor- Den Blick nach vorn richten reiterrolle spielt. Im Bankensektor ist das verteilte Ich glaube, dass die Blockchain-Technologie viel Hauptbuch ungemein nützlich, da es Unterneh- mehr zu bieten hat als nur Bitcoin oder Kryp- men, Einzelpersonen und Transaktionen auf dem towährungen. Abgesehen von ihren Haupt- richtigen Kurs und in der Verantwortung hält. merkmalen, nämlich Effizienz, Transparenz, Blockchain gibt Finanzinstituten ein Gefühl der Sicherheit und vor allem gesellschaftliche Rele- Sicherheit, das bis dato unerreichbar war. vanz, müssen ihre demokratischen Aspekte her- vorgehoben werden. Blockchain heute Blockchain wird oft mit den Anfängen des In- Blockchain-Lösungen bieten Nutzern die ternets verglichen, als das Potenzial nicht voll- Möglichkeit, Daten ohne Mittelsmänner zu ständig verstanden wurde oder bei der großen kontrollieren und ihre Betriebskosten zu senken. Mehrheit für Verwirrung sorgte. Geschäftsmo- Blockchain kann auch eine Lösung für eine siche- delle waren unklar, regulatorische Vorgaben re und transparente elektronische Stimmabgabe wurden von Vorreitern infrage gestellt, und tech- sein, wodurch das Risiko von Wahlmanipulati- nische Einschränkungen behinderten die Akzep- onen oder politischer Verfolgung reduziert wird. tanz. Diejenigen, die Pionierarbeit im Internet Meiner Meinung nach kann so das Vertrauen der geleistet und nachhaltige Ökosysteme aufgebaut Öffentlichkeit in Regierungen und Wahlsysteme haben, gehören zu den großen Gewinnern. Das wiederhergestellt werden. kann jetzt auch bei Blockchain der Fall sein. Es zeichnet sich bereits ab, dass Unterneh- Das derzeit größte Problem bei Blockchain men planen, Blockchain-Technologie in inno- sind Skalierung und Kosten. Um Blockchain vativen Anwendungsfällen auf der ganzen Welt besser ermöglichen zu können, müssen wir die einzusetzen: Technologie weiter verbessern. Blockchain ist • In Australien will die Australian Securities Ex- kein Codeabschnitt, sondern eine Infrastruktur und ein Ökosystem von verteilten Anwendun- change ihr Abwicklungssystem durch ein ver- gen als sogenannte Smart Contracts (Abschluss teiltes Hauptbuch ersetzen, um Effizienz und und Abwicklung digitaler Verträge in Software). Sicherheit bei der Übertragung von Nach- Solange die Lösung richtig aufgesetzt und über- richten und dem Zugriff auf Informationen wacht wird und einwandfrei funktioniert, wird zu verbessern. Der Geschäftsführer und CEO sie erfolgreich sein. Dazu gehört die Entwick- des Börsenbetreibers sagt, dass die Börse lung einer verteilten Infrastruktur für Informa- durch die Umstellung auf Blockchain-Tech- tions- und Kommunikationstechnologie und nologie bis zu 23 Mrd. australische Dollar vor allem eine ordnungsgemäße Umsetzung, einsparen könnte. Die Börse plant, das Sys- tem bis Ende 2020 einzuführen.6 • In Kanada verwendet das National Research Council of Canada im Rahmen seines In- dustrial Research Assistance Program bereits Die Leistungsfähigkeit von Blockchain ausschöpfen 285
Blockchain-Technologie zur Veröffentlichung noch viele weitere potenzielle Anwendungsfälle von Daten über Fördermittel und Zuschüsse. liefern, da diese innovative Technologie immer Die Regierung hatte das Problem erkannt, mehr Einzug hält und ihre Wirkung auf der gan- dass zwar jedes Jahr mehr als 300 Mio. ka- zen Welt entfaltet. nadische Dollar an Forschungszuschüssen vergeben wurden, es jedoch schwierig war, Eintreten für eine Führungsrolle Europas sicherzustellen, dass für jeden Zuschuss Ver- Ich war und bin ein starker Verfechter davon, träge unterzeichnet wurden. Hinzu kamen dass Europa bei der Blockchain-Entwicklung Probleme, die Gesamthöhe der gewährten eine Führungsrolle übernimmt. Zurzeit gibt es Zuschüsse zu überprüfen und die Informa- mehr als 300 Blockchain-Start-ups in Europa, tionen öffentlich zugänglich zu machen. Bin- eine Zahl, die mit dem Wachstum unseres Öko- nen der ersten Woche nach Einführung der systems weiter steigen wird. Die potenziellen Blockchain-Lösung hatte der Service mehr als Vorteile für Europa sind erheblich. In Zusam- 1 Mio. Anfragen nach Informationen, und bis menarbeit mit der Europäischen Kommission dato wurden mehr als 500 Mio. Dollar an öf- und anderen Regulierungsbehörden können wir: fentlichen Ausgaben gemeldet.7 • die europäische Industrie unterstützen und • In den Niederlanden wurden zahlreiche konkrete Projekte vorgestellt, wie z. B. die die sich bietenden wirtschaftlichen Chancen Registrierung von Dienstleistungen zur für mehr Arbeitsplätze und Wachstum nutzen Kinderbetreuung in einer Blockchain, die • Geschäftsprozesse in Behörden, Unterneh- Verteilung und Überwachung der Nutzung men und Organisationen verbessern des „Kindpakket“, einer sozialpolitischen • neue, disintermediäre Geschäftsmodelle auf Maßnahme für Kinder aus einkommens- Basis direkter Peer-to-Peer-Transaktionen er- schwachen Familien, und die Erprobung der möglichen, ohne dass zentrale Plattformen elektronischen Stimmabgabe in einer Block- benötigt werden chain, wobei die papierbasierte Stimmabgabe Um in den Genuss dieser Vorteile zu kom- parallel dazu beibehalten wird. men, hat die Europäische Kommission bereits • In meinem Heimatland Litauen wurde die wichtige Maßnahmen ergriffen, darunter: Initiative LB Chain von der Lietuvos bankas, • Die Europäische Kommission war aktiv an der Zentralbank Litauens, gestartet, um der internationalen Normungen beteiligt, wie Nachfrage nach Informationen und Über- z. B. ISO Technical Committee 307 für nahme Rechnung zu tragen. LB Chain soll Blockchain und Distributed-Ledger-Techno- als sichere technologische Sandbox-Umge- logien. bung fungieren, in der in- und ausländische • Verschiedene Forschungs- und Innovations- Unternehmen in einem regulierenden und projekte im Rahmen von Horizon 2020 wur- technologischen Plattformservice Block- den und werden in verschiedenen Bereichen chain-basierte Lösungen entwickeln und wie elektronische Behördendienste, Digitali- testen können. Die Zentralbank Litauens sierung im Gesundheitswesen, Verkehr, Ener- hat diese strategische Ausrichtung gewählt, gie und Finanzwesen finanziert. Bisher hat die um die Entwicklung eines Finanztechnolo- EU 56 Mio. Euro für Blockchain-Projekte be- gien fördernden Ökosystems für Regulierung reitgestellt, und in den Jahren 2018 und 2019 und Aufsicht zu beschleunigen, gleichzeitig könnte ein Potenzial von bis zu 340 Mio. aber auch Innovationen im Finanzsektor zu Euro zur Verfügung gestellt werden. fördern und sich als einer der weltweit füh- • Machbarkeitsstudien und Pilotprojek- renden Anbieter von Finanztechnologielö- te wurden in den Bereichen Compliance, sungen zu etablieren.8 Steuer- und Zollerklärungen, Energie und Dies sind nur einige Beispiele von vielen. Identitätsmanagement gestartet. Eine einfache Internetrecherche wird Ihnen 286 Technologie
Search
Read the Text Version
- 1
- 2
- 3
- 4
- 5
- 6
- 7
- 8
- 9
- 10
- 11
- 12
- 13
- 14
- 15
- 16
- 17
- 18
- 19
- 20
- 21
- 22
- 23
- 24
- 25
- 26
- 27
- 28
- 29
- 30
- 31
- 32
- 33
- 34
- 35
- 36
- 37
- 38
- 39
- 40
- 41
- 42
- 43
- 44
- 45
- 46
- 47
- 48
- 49
- 50
- 51
- 52
- 53
- 54
- 55
- 56
- 57
- 58
- 59
- 60
- 61
- 62
- 63
- 64
- 65
- 66
- 67
- 68
- 69
- 70
- 71
- 72
- 73
- 74
- 75
- 76
- 77
- 78
- 79
- 80
- 81
- 82
- 83
- 84
- 85
- 86
- 87
- 88
- 89
- 90
- 91
- 92
- 93
- 94
- 95
- 96
- 97
- 98
- 99
- 100
- 101
- 102
- 103
- 104
- 105
- 106
- 107
- 108
- 109
- 110
- 111
- 112
- 113
- 114
- 115
- 116
- 117
- 118
- 119
- 120
- 121
- 122
- 123
- 124
- 125
- 126
- 127
- 128
- 129
- 130
- 131
- 132
- 133
- 134
- 135
- 136
- 137
- 138
- 139
- 140
- 141
- 142
- 143
- 144
- 145
- 146
- 147
- 148
- 149
- 150
- 151
- 152
- 153
- 154
- 155
- 156
- 157
- 158
- 159
- 160
- 161
- 162
- 163
- 164
- 165
- 166
- 167
- 168
- 169
- 170
- 171
- 172
- 173
- 174
- 175
- 176
- 177
- 178
- 179
- 180
- 181
- 182
- 183
- 184
- 185
- 186
- 187
- 188
- 189
- 190
- 191
- 192
- 193
- 194
- 195
- 196
- 197
- 198
- 199
- 200
- 201
- 202
- 203
- 204
- 205
- 206
- 207
- 208
- 209
- 210
- 211
- 212
- 213
- 214
- 215
- 216
- 217
- 218
- 219
- 220
- 221
- 222
- 223
- 224
- 225
- 226
- 227
- 228
- 229
- 230
- 231
- 232
- 233
- 234
- 235
- 236
- 237
- 238
- 239
- 240
- 241
- 242
- 243
- 244
- 245
- 246
- 247
- 248
- 249
- 250
- 251
- 252
- 253
- 254
- 255
- 256
- 257
- 258
- 259
- 260
- 261
- 262
- 263
- 264
- 265
- 266
- 267
- 268
- 269
- 270
- 271
- 272
- 273
- 274
- 275
- 276
- 277
- 278
- 279
- 280
- 281
- 282
- 283
- 284
- 285
- 286
- 287
- 288
- 289
- 290
- 291
- 292
- 293
- 294
- 295
- 296
- 297
- 298
- 299
- 300
- 301
- 302
- 303
- 304
- 305
- 306
- 307
- 308
- 309
- 310
- 311
- 312
- 313
- 314
- 315
- 316
- 317
- 318
- 319
- 320
- 321
- 322
- 323
- 324
- 325
- 326
- 327
- 328
- 329
- 330
- 331
- 332
- 333
- 334
- 335
- 336
