• Einzelhandel: Stationäre und Online-Händ- • Transportwesen: Fluggesellschaften geben ler haben vor, Warendiebstahl, Betrug und jährlich Milliarden von Euro aus, nur weil Schwund stark zu reduzieren oder sogar sie aufgrund von schlechtem Wetter nicht in zu beseitigen. Dies ist ein Problem in einer der Lage sind, den Betrieb aufrechtzuerhal- Größenordnung von 100 Mrd. US-Dollar ten und Einnahmen fließen zu lassen. Dank pro Jahr für stationäre Geschäfte, was sich in einer mit KI umfassend ausgestatteten Cloud der Ära eines verstärkten Trends in Richtung erhalten sie unmittelbar Informationen über E-Commerce und Omnichannel-Einzelhan- sich schnell ändernde Wetterbedingungen, del noch verstärken könnte. Stabilere und die es ihnen ermöglichen, bei der Zeit- und leistungsfähigere Analysen werden es den Routenplanung vorausschauender zu sein, Händlern ermöglichen, Eingaben aus IP-Vi- ohne dass es zu Unannehmlichkeiten und deoüberwachung, Warenwirtschaftssystemen, Gefahren für Passagiere und Besatzungen RFID auf Artikelebene und Diebstahlschutz- kommt. verpackungen in der Cloud zu verbinden. Gleichzeitig verwandelt KI die Cloud in • Behörden: Kommunen auf der ganzen Welt eine leistungsfähigere, zweckmäßigere und ef- arbeiten daran, die Art und Weise, wie sie fizientere Umgebung für Zusammenarbeit Sozialdienste leisten, zu verbessern, wie z. sowie das Generieren und Nutzen von Wissen. B. beim Bestimmen und Beheben von Ursa- In den nächsten Jahren werden Anbieter von chen für häusliche Gewalt. Die Verbindung Cloud-Diensten und private Cloud-Entwickler der grenzenlosen Rechenleistung der Cloud auf beeindruckende Weise von KI profitieren. mit den tiefen Einblicken der KI in Kaska- den scheinbar voneinander getrennter Daten So wird beispielsweise KI die Einführung macht dies nicht nur möglich, sondern auch und Nutzung der Cloud für regulierte Umge- sehr wahrscheinlich. bungen zweckmäßiger und effizienter gestalten, insbesondere um Konformität nachzuweisen • Finanzdienstleistungen: Kann die Branche und mögliche Anomalien zu erkennen, bevor Versicherungsbetrug und Verstöße gegen sie Kopfzerbrechen bei der Regulierung bereiten. die Vorschriften für den Wertpapierhan- Prüfpfade werden in der Cloud durch den Ein- del beseitigen, ohne dass es zu einer Fülle satz von KI und Modulen für maschinelles Ler- von Formalitäten kommt oder individuel- nen übersichtlicher, präziser und effizienter. le Datenschutzrechte verletzt werden? Die Kombination von Cloud und KI wird dies Das ist ein enormer Fortschritt, nämlich eine ermöglichen, ohne dass umfassende Investi- echte Symbiose. Nicht nur werden sich KI, ma- tionsausgaben und die Entwicklung lokaler schinelles Lernen, Verarbeitung natürlicher Spra- Systeme erforderlich sind. che und kognitives Computing dank der Cloud schnell weiterentwickeln, sondern die Cloud • Aus- und Weiterbildung: Es steht zwar außer wird auch vielfältiger, stabiler und nützlicher Frage, dass die Einführung der Informatik in werden, da ihr Ökosystem in KI-bezogene Tech- die Lehrpläne und die bessere IT-Ausstattung nologien eingebettet ist. Dies wird das ultimative unserer Lehrkräfte, Schülerschaft und Stu- Szenario, bei dem alle gewinnen. dierenden dazu beigetragen haben, die viel diskutierte digitale Kluft zu überwinden, Mehr Power für die Cloud der Zukunft aber es muss noch mehr getan werden. Bei mit Quantum-Computing der Erschließung neuer Bildungschancen Wissen Sie noch, wie aufgeregt wir waren, wenn für junge Auszubildende in ländlichen Ge- eine neue Familie von Mikroprozessoren auf meinden mit eingeschränktem Zugang zu den Markt kam, die es uns ermöglichte, einen transformativen Technologien aufgrund von schnelleren PC zu haben und die Vorteile neuer Faktoren wie Standort, Kultur oder Budget Softwarefunktionen zu nutzen? Wir haben dem wird die Cloud zum Dreh- und Angelpunkt. Mooreschen Gesetz für vieles davon zu danken, ebenso wie den sehr klugen Entwicklern bei Chipherstellern und Softwareunternehmen. Die Zukunft der Cloud 37
Machen Sie sich jetzt für einen Quanten- • Erforschung neuer Lebensmittelproduktions sprung bei der Leistungsfähigkeit bereit – und prozesse, die globale Hungersnöte buchstäb das Wortspiel ist beabsichtigt. Quantum-Com- lich beseitigen werden puting wird die Cloud der Zukunft mit einer Infrastrukturerneuerung verändern, wie wir sie • Aufspüren spannender neuer Möglichkeiten noch nie zuvor erlebt haben. zur Vorhersage, Vorbeugung und Behandlung potenzieller Gesundheitsprobleme Jahre vor Ich werde mich nicht mit den physikalischen ihrer Entstehung Merkmalen von Qubits befassen und auch nicht damit, was Quantum-Computing für den Be- • Personalisierter, maßgeschneiderter und er trieb Ihres Rechenzentrums bedeutet. Was Sie schwinglicher Individualunterricht, der Schüler jedoch wissen müssen, ist, dass die Cloud für motiviert und Lehrer anregt. Anwendungen, die in der Cloud entwickelt, be- Quantum-Computing wird zum neuen phy- reitgestellt und ausgeführt werden, noch schnel- ler und nutzbringender werden wird. sischen Motor der Cloud. Und die Cloud wird nicht mehr dieselbe sein. Denken Sie z. B. an Forschungslabors, die nach neuen Wegen zur Berechnung der Kern- Die Cloud der Zukunft absichern bindungsenergie suchen. Wenn Sie von Kern- Ich mache mir Sorgen um Sicherheit, und zwar bindungsenergie keine Ahnung haben, sind Sie nicht zu knapp. Und das nicht nur weil „Si- nicht allein. Aber Sie ahnen wahrscheinlich, dass cherheit“ in meiner Positionsbezeichnung vor- das eine Anwendung ist, die von riesigen Daten- kommt. Denn wenn ich an Sicherheit denke, mengen gespeist wird und auch mehr Leistung denke ich wieder an meinen Teenager. als je zuvor benötigt, um diese Daten sinnvoll auszuwerten. Hier kommt Quantum-Compu- Eltern sind programmiert, sich um die Si- ting ins Spiel. Forscher am Oak Ridge National cherheit ihrer Kinder Sorgen zu machen. Un- Laboratory nutzen bereits Cloud-basierte Quan- sere Sorgen entwickeln sich, werden komplexer tencomputer, um Simulationen und Berechnun- und rücken mit zunehmendem Alter der Kinder gen durchzuführen, die ansonsten ungeahnte immer näher an die Oberfläche. Kein Wunder, Investitionen in Hardware, Software und Voll- dass mir mehr als einmal der kalte Schweiß aus- zeitkräfte erfordert hätten, und zwar bereits im gebrochen ist, wenn ich an die Sicherheit meines experimentellen Stadium. Teenagers denke. Zwar ist Quantum-Computing noch nicht Ja, ich mache mir ständig Sorgen um die kör- marktreif, aber das sollte nicht mehr allzu lange perliche und seelische Sicherheit meines Kindes. dauern. Sobald die Technologie in den Massen- Aber ich habe auch ein gewisses Maß an Opti- markt gelangt, werden quantengesteuerte An- mismus und Zuversicht im Hinblick auf die wendungen im größten Rechenzentrum der Zukunft der digitalen Sicherheit. Und das liegt Welt – der Cloud – ihren Platz finden. daran, dass ich äußerst optimistisch bin, was die Cloud-Community aus Anbietern, Mittlern Und wir können uns nur vage vorstellen, wel- und Benutzern zum Thema Sicherheit geleis- che atemberaubenden Fortschritte wir bei Leis- tet hat und was wir alle wahrscheinlich tun wer- tung und Skalierbarkeit beim Cloud-Computing den, wenn wir in die transformative Zukunft der erleben werden, wenn Quantum-Computing in Cloud einsteigen. die Infrastruktur der Cloud eingeführt wird Nur dass wir uns nicht missverstehen: Ich Bedenken Sie, was für Möglichkeiten eine mit bin nicht zwanghaft optimistisch, wenn es um Quantentechnologie aufgepeppte Cloud-Umge- die Umgebung geht, zu der die Cloud geworden bung unterstützen kann: ist, so überreich an Zielen, und wie sie in Zu- • Entwicklung neuer sauberer Energiequellen, kunft aussehen wird. die kostengünstiger sind und bessere Ausbeu- Diejenigen von uns, die Informatik studiert ten liefern als die heutigen Generationen von haben, sind mit dem Metcalfeschen Gesetz ver- Wind- und Solarenergie traut, das besagt, dass der Wert eines Netzwerks im Verhältnis zur Anzahl der damit verbundenen 38 Die Chancen nutzen, die Herausforderungen verstehen
Personen exponentiell steigt. Denken Sie an die unsere personenbezogenen Daten, unser geisti- Hunderten von Millionen Menschen, die die ges Eigentum und unsere digitalen Datenbestän- Cloud täglich nutzen. Multiplizieren Sie das de in sämtlichen Formaten zu erfassen. Dennoch nun mit einer beliebigen Zahl. Fünf? Zwanzig? dürfen wir die Intelligenz, Kreativität und Ent- Hundert? Denken Sie an eine weitaus größe- schlossenheit von Hackern nicht unterschätzen, re Cloud-Community, die nicht nur an der An- seien sie Einzeltäter (was sie selten sind), Teil di- zahl der Benutzer, sondern vor allem auch an der gitaler Verbrechersyndikate oder staatlich finan- Anzahl und Vielfalt der mit der Cloud verbun- zierte böswillige Akteure. denen „Dinge“ gemessen wird. Die potenziellen Bedrohungsvektoren, die von Hackern, organi- Sie sind in der Cloud hinter uns her und wer- sierten Cyber-Kriminellen und böswilligen staat- den ihre Anstrengungen in der Zukunft noch in- lich gelenkten Akteuren in den nächsten Jahren tensivieren. Es gibt jedoch gute Nachrichten: ausgehen, sind atemberaubend. Nicht atembe- Wir alle bauen unsere Cloud-Sicherheitskon- raubend wie beim Überblicken der Alpengipfel, zepte aus und stärken sie in Erwartung weiterer Wandern durch den Regenwald oder Durchstrei- Eindringversuche. fen der amerikanischen Prärie. Ich meine atem- beraubend wie beim Schlucken. Es ist ja eine Binsenweisheit, dass KI ein gro- ßer Schritt in Richtung Cloud-Sicherheit sein Daher ist es für uns alle wichtig zu wissen, wird, die wir dringend brauchen. was auf uns zukommt, da wir uns notwendiger- weise und bewusst auf die Cloud verlassen und Bereits jetzt werden Cloud-Umgebungen von ihr abhängig sind. mit Modulen für maschinelles Lernen ausgestat- tet, um globale Datenpunkte in den Hunderten Die stetig wachsenden Datenmengen, von von Milliarden von Cloud-basierten Transaktio- denen immer mehr als unternehmenskritisch nen zu analysieren. KI und maschinelles Lernen gelten, die in der Cloud erstellt, gespeichert und normalisieren die Daten (die bekanntermaßen verwaltet werden, locken böswillige Akteure na- alle unstrukturiert sind – von Tabellenkalku- türlich an. Entwicklungen wie das Internet der lationen und E-Mails bis zu Katzenvideos auf Dinge sind ein gutes Beispiel für den Grund: Facebook) und bringen Angriffsindikatoren her- Die Tatsache, dass das IoT ein mehrere Billio- vor, die aussagekräftiger, aktueller und genauer nen Dollar schweres Ziel darstellt, macht es zu sind. Das wird unsere Erkennungsbemühun- einem gigantischen Ziel für Kriminelle. Dies gen deutlich verbessern, und zwar um eine ganze wird umso mehr zu einem Thema, als „intelli- Größenordnung. gente Dinge“ ohne ausreichende integrierte Si- cherheit mit der Cloud verbunden werden oder Die Verwendung von KI als Ergänzung zu Benutzer keine ordnungsgemäßen Sicherheits- diesen Modulen für maschinelles Lernen be- maßnahmen ergreifen. schleunigt die Modellierung von Szenarien und gibt bereits unter Druck stehenden Sicherheits- Bei einer so großen Angriffsfläche ist es Be- analysten die Möglichkeit, Trends schneller zu trügern in einer ständig aktiven Umgebung be- erkennen und bessere Entscheidungen zu treffen. reits gelungen, Daten herauszuschleusen und Cyber-Unheil anzurichten. Deshalb liegt es an Sie können dazu die Virtual-Reality-Techno- uns, mehr zu tun. Wesentlich mehr. logie nutzen und Ihre Sicherheitsexperten und auch Ihre Geschäftsanwender die Bedrohungen Einige Dinge wurden bereits angestoßen. verbraucherfreundlich visualisieren lassen. Eines der besten ist das bevorstehende Ausster- ben von Kennwörtern. Egal ob Sie Ihre Massen Und nichts davon geschieht ohne eine glo- an Kennwörtern in einer Tabelle, auf Haftnoti- bale Cloud, die mit extrem hoher Geschwindig- zen oder in einem E-Wallet speichern – Kenn- keit arbeitet. wörter sind für die Cyber-Sicherheit nicht mehr ausreichend. Sicherheit ist einer der Bereiche, der klar von einer großen, breiten und tiefen Cloud-Umge- Deshalb weichen Kennwörter der Biometrie bung profitiert, denn mit den richtigen Ana- und anderen Schritten zur mehrstufigen Authen- lysetools und genügend Rechenleistung lassen tifizierung, was es für Kriminelle immer schwieri- sich globale Entscheidungen einfacher und ge- ger macht, unsere Firewalls zu durchdringen und nauer treffen. Die Zukunft der Cloud 39
Die Cloud-Sicherheit wird auch deutlich au- diese winzige Lebensform. Aber ich war so sehr tomatisierter. Auch hier werden Tools für ma- mit den alltäglichen Bedürfnissen meines neuen schinelles Lernen enorme Prozessverbesserungen Kindes beschäftigt (füttern, Windeln wech- bei der Entwicklung und Bereitstellung auto- seln, kuscheln, schlafen), dass ich mir nur sel- matisierter Abwehrsysteme bewirken. Dies wird ten den Luxus erlaubt habe, von der Zukunft zu überarbeitete Sicherheitsadministratoren und Si- träumen. cherheitszentralen erheblich entlasten, die jetzt noch alle Eindringversuche – sowohl simp- Doch mit dem Eintritt meines Kindes in ler, alltäglicher Viren als auch heimtückischster die aufregende Welt der Teenager habe ich an- Ransomware – manuell erkennen und abweh- gefangen, mich darauf zu konzentrieren, was ren müssen. die Zukunft verspricht und welche Spuren mein Teenager wohl in der Welt hinterlassen wird. Kurz gesagt, die Cloud der Zukunft wird eine digitale Festung sein, robuster und widerstands- Meine Gefühle für die Cloud sind ähnlich. fähiger als je zuvor. Cloud-Sicherheit wird intel- In ihren Anfangsjahren war ich begeistert von ligenter, automatisierter und differenzierter sein, den vielen Vorteilen des Cloud-Computings bei was durch Fortschritte in den Bereichen KI, ma- der Erweiterung der Ressourcen herkömmlicher schinelles Lernen, Quantum-Computing und IT-Organisationen, der Möglichkeit, dass Ge- anderen transformativen Technologien ermög- schäftsanwender die Verantwortung für ihr digi- licht wird. Cloud-Sicherheit wird auch mit mehr tales Schicksal übernehmen und Milliarden von Augenmerk auf eine positive Benutzererfahrung Menschen sich verbinden und zusammen glo- entwickelt und realisiert, wodurch Sicherheits- bale Gemeinschaften aufbauen können. Damals maßnahmen für den Benutzer weniger aufdring- reichte das aus, um die meisten von uns auf Trab lich werden und sich weniger wahrscheinlich auf zu halten. unsere Geschäftsproduktivität auswirken oder unsere privaten Vergnügungen einschränken. Jetzt, da sich die Cloud von einem hilfreichen Geschäftsinstrument zu einer wichtigen Ressour- Ich sage nicht voraus, dass es nie wieder zu ce entwickelt hat, bis zu dem Punkt, an dem sie Datenschutzverletzungen oder Schlagzeilen über inzwischen einen Großteil unseres Arbeits- und gestohlene personenbezogene Daten kommen Privatlebens verändert, bin ich begeistert, wenn wird. Aber ich habe die Zukunft der Cloud gese- ich meiner Fantasie freien Lauf lasse und mir hen, und die ist sicher. vorstelle, wie die Cloud der Zukunft aussieht und sich anfühlt. Wenn ich nur auch in Bezug auf die Sicher- heit meines Teenagers zuversichtlicher wäre! Vielleicht wird mein Teenager die Cloud der Zukunft sogar auf die eine oder andere sinnvolle Fazit Weise mitgestalten. Aber eines weiß ich ganz si- Als mein Kind geboren wurde, war ich über- cher: Die Cloud wird die Welt in den kommen- wältigt von einem Gefühl des Erstaunens über den Jahren sehr viel tief greifender verändern, als sie meine bereits verändert hat. 40 Die Chancen nutzen, die Herausforderungen verstehen
Warum und wie wir unsere Rollen und unser Verhalten ändern müssen
7 Grundlegendes zur spannenden, exponentiellen und furchterregenden Zukunft der Cyber-Sicherheit Marc Goodman – Autor und globaler Sicherheitsberater Früher war ich Polizist. Es war eine tolle Arbeit, teverhältnis zwischen den Guten (Ihnen) und die mir sehr gut gefallen hat. Eines Tages änderte den Bösen (denen, die Sie berauben) zu ändern, sich dann meine Polizeikarriere drastisch, und indem Sie das alte Lehrbuch zur Cyber-Sicherheit zwar bloß weil ich mich mit der Rechtschreib- wegwerfen und von vorne anfangen. prüfung in WordPerfect auskannte. Die Macht von Technologien Ja, mein technischer Sachverstand hat mir mit exponentiellem Wachstum damals die Tür zur „digitalen Elite“ bei der Poli- Das Erkennen der Macht von Technologien mit zei geöffnet und wurde zum Ausgangspunkt einer exponentiellem Wachstum (kurz: exponentiel- herrlich abwechslungsreichen und anspruchsvol- len Technologien) kann Ihre Sichtweise auf die len Laufbahn in der Cyber-Kriminologie. Nun, Bedrohungen, Ihre Zuständigkeiten und vor da ich meine Zeit damit verbringe, über die allem Ihre Strategien für Cyber-Sicherheitsstra- Bedrohungen der Cyber-Sicherheit der nächsten tegien für die Zukunft verändern. Generation in der realen Welt zu forschen und zu beraten, muss ich zugeben: Ich bin zutiefst Was meine ich mit exponentiellen Techno- beunruhigt. Beunruhigt über die scheinbar gren- logien? Exponentielle Technologien wie Com- zenlosen Möglichkeiten, wie wir von Technolo- puter, Robotik, KI und synthetische Biologie gie abhängen, und über die gleiche Anzahl von folgen alle dem Mooreschen Gesetz und verdop- Möglichkeiten, was alles falschlaufen kann. peln somit jährlich ihre Leistungsfähigkeit. Um zu veranschaulichen, wie diese schnellen Verän- Trotzdem bleibe ich optimistisch, was die derungen aussehen, haben Unternehmenslenker Zukunft und unsere Fähigkeit angeht, im Kampf eine Reihe von Begriffen geprägt, um das Phä- gegen Cyber-Kriminalität deutliche Fortschritte nomen zu beschreiben, darunter nicht lineares zu machen. Um das zu erreichen, müssen ver- Denken, Wendepunkte, Eishockeyschlägerkur- schiedene Schritte getan werden, die wir in die- ven oder Kraftmultiplikatoren. sem Kapitel behandeln: Demgegenüber wirkt die lineare punktuelle Zuerst müssen Sie den Feind verstehen, ins- Fortschreibung von Handlungen und Entwick- besondere die Bedrohungen, die Sicherheitsrisi- lungen beruhigend auf uns. Es ist beruhigend ken und die Kriminellen. zu glauben, dass wir das Wissen – oder viel- leicht sogar die Kontrolle – darüber haben, in Als Nächstes müssen Sie die üblichen, aber welche Richtung die Reise geht. Lineare Erwar- leider nicht praxisbewährten Reaktionen von tungen und Vorhersagen mögen Balsam für Führungskräften und Vorständen auf Cyber-An- unsere Zukunftsängste ein, sind aber leider abso- griffe zur Kenntnis nehmen und bewerten. lut unangebracht, wenn sie auf IT-Technologie Schließlich müssen Sie die Geheimnisse fin- den und nutzen, die Ihnen helfen, das Kräf- 43
übertragen werden – ein schwerer Fehler, der vorstellen können. Nun, lassen Sie Ihrer Vorstel- direkte Auswirkungen darauf hat, wie wir mit lungskraft freien Lauf. Cyber-Risiken umgehen. Es gibt eine Unmenge an Software zur Auto- Den Feind verstehen, denn er matisierung von Cyber-Angriffen. DDoS (Dis- tickt anders, als man glaubt tributed Denial-of-Service) ist ein gutes Beispiel: Die meisten Unternehmen haben eine line- eine automatisierte böswillige Störung. Die are Sichtweise auf die jüngsten Angriffe auf ihre Täter haben sogar die Cloud – unsere Cloud – Datenbestände. „Ja, DDoS-Angriffe nehmen zu, als Waffe eingesetzt, um DDoS-Angriffe zu genau wie Phishing-Versuche“, mag der CISO, starten und andere digitale Kampfstrategien der Verantwortliche für IT-Sicherheit, dem zu nutzen. Geschäftsführer oder dem Vorstand mitteilen. „Aber wir haben alles im Griff und gehen folgen- Die Automatisierung von Cyber-Angrif- dermaßen vor.“ Das bedeutet, dass die meisten fen stellt eine beunruhigende und höchst prob- Unternehmen das Problem als eine Art linearen lematische Entwicklung dar. Sie hat das Arsenal Weg wahrnehmen, der einen linearen Lösungs- von Cyber-Kriminellen erheblich vergrößert ansatz erfordert. Das heißt, dass etwas mehr und es ihnen ermöglicht, selbst die komplizier- Geld für die Abwehr von Schadsoftware ausgege- testen Straftaten vollständig zu automatisieren, ben wird, mehr Schulungen zu Sicherheitsverfah- z. B. Hijacking in Kombination mit Lösegeldfor- ren durchgeführt werden und die Benutzer ihre derungen, was in den letzten Jahren mit großer Kennwörter häufiger ändern müssen. Letztes Jahr Wirkung die Explosion von Angriffen mit Ran- war das Problem das eine, nun ist es ein anderes, somware ausgelöst hat. also planen wir unsere Verteidigungsmaßnahmen auf Grundlage der Tatsache, dass Bedrohungen Jemanden oder etwas als Geisel gegen ein auf geordnete Weise linear zunehmen. Lösegeld festzuhalten, ist seit Jahrtausenden bekannt, aber die analoge Version von Verbre- Falsch. Lineares Denken über Bedrohungen chen mit Lösegeldforderungen war ziemlich und Feinde muss exponentiellem Denken wei- aufwendig. Man musste das Zielsubjekt ausma- chen, denn das Tempo des Ganzen beschleunigt chen und sein Bewegungsmuster studieren, dann sich, und zwar viel schneller, als wir es uns vorge- einige Typen mit Schusswaffen anheuern, das stellt haben. Lineare Denker glauben, dass auto- Opfer verfolgen und packen, es verstecken, die nome Fahrzeuge ein reiner Hype sind und sich Familie kontaktieren, sie davor warnen, mit der nie in Bewegung setzen werden. Exponentielle Polizei zusammenzuarbeiten, sich auf einen Ort Denker wissen, dass sie bereits Realität sind. für die Geldübergabe einigen, jemanden anheu- ern, der das Geld abholen soll, ein Fluchtfahr- Wenn es um die Schurken geht, gibt es ein zeug organisieren und hoffen, dass man nicht großes Problem. Sie denken und handeln expo- geschnappt wird. nentiell, während wir uns linear verteidigen. Das Mooresche Gesetz bedeutet ihnen nichts. Sie Exponentielle Methoden in Form automa- pfeifen darauf. tisierter Bedrohungen vereinfachen das Ganze ungemein. Die Täter entscheiden sich für ein Der zweite Aspekt, den es bei den Auswir- hochkomplexes Verbrechen und programmie- kungen von exponentiellen Technologien auf ren es in Software. Das ist ganz einfach und das Cyber-Risiko zu beachten gilt, ist das Tempo äußerst kostengünstig zu bewerkstelligen, auch der Automatisierung. Möchten Sie wissen, was ohne Doktortitel in Informatik. Sie können ein Kraftmultiplikator ist? Die Automatisierung ein Ransomware-Kit im Dark Web für etwa in ihren vielen Formen – Algorithmen, Skripts, 10 US-Dollar kaufen, doch der durchschnittli- maschinelles Lernen und Systeme zum Verstehen che Ertrag eines Ransomware-Angriffs liegt bei natürlicher Sprache – zieht Cyber-Kriminalität 163.000 US-Dollar. Wenn das keine beeindru- in großem Stil nach sich. Die Täter setzen unsere ckende Investitionsrendite ist! intelligenten Werkzeuge gegen uns ein, um ihre kriminellen Angriffe in einem Tempo zu skalie- Und die Anzahl der Ransomware-An- ren, das weitaus höher ist, als wir es uns je hätten griffe, die Sie lostreten können, ist unbegrenzt. Hier sind wieder exponentielle Technologien am Werk. 44 Warum und wie wir unsere Rollen und unser Verhalten ändern müssen
Lassen Sie uns nun den Einsatz um ein Viel- Genauso viele neue Winkel, Dimensionen und faches erhöhen, indem wir uns dem Internet der Perspektiven werden Sie benötigen. Dinge (IoT) zuwenden. Hier eröffnet sich eine potenzielle Goldgrube für Übeltäter, die expo- Eine Sache, die ich vor vielen Jahren gelernt nentiell denken und handeln. Tatsächlich ist das habe, als ich zur Polizei kam, war, möglichst die IoT selbst ein großartiges Anschauungsobjekt in Denkweise der Person zu verstehen, die ich zu Sachen exponentielle Technologien. Schauen Sie fassen versuchte. Ich habe sehr viel über das Pro- sich das exponentielle Wachstum in Bezug auf filing und das Eindringen in den Kopf der Ver- Anzahl und Vielfalt vernetzter Dinge an. Sieht brecher gelernt, und die erfahrenen Kollegen in das nicht wie ein klassischer Eishockeyschläger der Truppe haben mit mir ihr großes Wissen dar- aus? Und der steigende wirtschaftliche Mehrwert über geteilt, was Verdächtige mit ihrem Verhal- des IoT wird in die Billionen von Dollar gehen. ten und ihrem Auftreten von sich preisgeben. Wenn das kein lohnendes Ziel ist, was dann? Es überrascht daher nicht, dass große Für mich ist das die dritte Dimension bei Anstrengungen unternommen werden, in die den Cyber-Bedrohungen. Am Anfang gab es Köpfe von Cyber-Kriminellen zu gelangen: Wie Computer. Das waren diese großen, hässlichen, ticken sie? Was sind ihre Motive? Was sind ihre grauen Kästen, die in klimatisierte Rechenzen- Befürchtungen? Alles große Fragen. Leider gibt tren geschoben oder auf jemandes Schreibtisch es keine einfachen Antworten. platziert wurden. Dann kam mit Notebooks, Tablets und Smartphones Mobilität ins Spiel. Erinnern Sie sich an das beliebte Meme aus Und schließlich stellten wir fest, dass wir alles den Anfängen des Internets: „Im Internet weiß mit einem Chip versehen konnten. Früher war niemand, dass du ein Hund bist“. Wenn man der Fernseher eine Vakuumröhre, heute handelt angegriffen wird, ist man sich selten sicher, wer es sich um ein intelligentes, ultrahochauflösen- der Angreifer ist, sodass das Nachdenken über des Display mit mehr Intelligenz als ein früherer dessen Denkweise und Motivation einem nicht Supercomputer. viel nützt. Bits und Bytes bombardieren Ihr Unternehmensnetzwerk, und Sie können nicht Datenverarbeitung ist heute vollständig sicher sagen, ob es sich um die Konkurrenz, ein mobil und allgegenwärtig, und alle zugehöri- Mitglied eines organisierten Cyber-Verbrecher- gen Endpunkte sind anfällig. Das Spielzeug Ihrer rings, einen verärgerten Mitarbeiter oder einen Kinder wurde gegen sie eingesetzt. Chips für staatlichen Akteur handelt. die Sprachsynthese und Konnektivität mit der Cloud ermöglichen Kriminellen, den Standort Hier kommen dann unsere neuen Freunde, Ihres Kindes zu ermitteln. Bis 2020 werden wir die exponentiellen Technologien, ins Spiel. Aus dem Internet 50 Milliarden neue Geräte (wahr- meiner Erfahrung weiß ich, dass viele Führungs- scheinlich noch mehr) hinzufügen, was alles auf kräfte und Vorstände immer noch am alten Ste- unsichere Weise geschieht. reotyp des Angreiferprofils festhalten. Sie denken allzu oft, es sei ein pickeliger Teenager im Kel- Gibt es irgendetwas, was getan werden kann? ler seiner Eltern. Er (oder in seltenen Fällen Lesen Sie weiter. auch sie) wird als Einzeltäter mit sozialen Pro- blemen oder Gefühlen der Unzulänglichkeit in Prüfen Sie Ihre Vorurteile und herkömmlichen Institutionen wie Schulen oder Maßnahmen: Zeit für eine Auffrischung Unternehmen wahrgenommen. Ich sage Ihnen Damit Unternehmenschefs, Vorstände und aber: Zu diesem Schluss kommen Sie auf eigene IT-Sicherheitsverantwortliche einen immer raf- Gefahr. finierteren und entschlosseneren Cyber-Wider- sacher besiegen können, sind neue Ideen und Sie müssen sich von diesen Stereotypen ver- grundlegend andere Ansätze gefragt. Vergessen abschieden und eine neue eigene Denkweise Sie unkonventionelles Denken. Das reicht bei einschlagen, die sich radikal von der der meis- Weitem nicht aus. Stellen Sie sich vor, Sie müss- ten Führungskräfte in der Vergangenheit unter- ten sich außerhalb einer geodätischen Kuppel scheidet. Sie müssen in Betracht ziehen, dass umsehen, die in ein Kaleidoskop eingebettet ist. Ihr neuester Cyber-Widersacher voll und ganz in der Lage und entschlossen ist, Ihr Unterneh- men zur Strecke zu bringen. Je früher Sie diese Grundlegendes zur spannenden, exponentiellen und furchterregenden Zukunft der Cyber-Sicherheit 45
Vorstellung akzeptieren, desto eher sind Sie auf Das muss sich ändern. Wenn Vorstandsmit- dem Weg zu einer effektiveren und leistungsfähi- glieder nicht über die Fähigkeiten verfügen, die geren Cyber-Sicherheitsstrategie. richtigen Fragen zu stellen, oder auf Themen aus- weichend reagieren, die sie nicht verstehen, müs- Ein weiteres Beispiel für exponentielles sen sie einen Weg finden, diese Fähigkeiten in Denken zum Abbau alter Vorurteile und zur der Vorstandsetage anzusiedeln. Bedenken Sie: Berücksichtigung neuer Handlungsweisen ist Selbst wenn Vorstandsmitglieder bohrende Fra- die Idee der Furcht (nicht Ihre, sondern die der gen stellen wollen, ist bekannt, dass der IT-Si- Cyber-Kriminellen). cherheitsverantwortliche oft ausweichend reagiert. Wenn sie ihre Bedenken dem Vorstand Ihre Strategien sollten nicht auf Methoden darlegen, beantwortet der IT-Sicherheitsverant- aufbauen, um ihre Furcht zu erhöhen, erwischt wortliche die scheinbar einfachen Fragen häu- und rechtlich belangt zu werden, denn das wird fig mit Schlagworten und in Fachchinesisch. eh nicht funktionieren. Und der Grund dafür ist Und weil die Vorstandsmitglieder nicht als unin- denkbar einfach: Die Kriminellen haben nichts formiert dastehen wollen, haken sie nicht wei- zu verlieren. ter nach und gehen davon aus, dass alles in Ordnung ist. Dafür gibt es meiner Einschätzung nach einen simplen Grund: Die Wahrscheinlichkeit, Stattdessen müssen Vorstandsmitglieder dass ein Cyber-Krimineller verhaftet, angeklagt mehr tun, um zu verstehen, wie die Cyber-Si- und zu einer Gefängnisstrafe verurteilt wird, liegt cherheitslage ist und welche Risiken drohen. Sie buchstäblich bei etwa eins zu einer Million. müssen sich selbst informieren und sich nicht von IT-Experten einschüchtern lassen, die viel- Erwischt und bestraft zu werden, ist weit leicht mit IT-Jargon um sich werfen, um unan- eher die Ausnahme als die Regel. Das liegt in genehme Fragen abzuwehren. der Natur des internationalen Rechts. Ein Poli- zist in Milwaukee kann nicht einfach jemanden Vorstände sollten auch die Einrichtung eines in Russland, Frankreich oder China verhaften speziellen Cyber-Sicherheitsausschusses mit – und alle Cyber-Kriminellen wissen das. Die einem IT-versierten Vorstandsmitglied als Vor- fürchten daher weder Sie noch Ihre Verteidi- sitzenden in Betracht ziehen. Schließlich gibt gungsstrategien, Ihre Erkennungsinstrumente, es Vorstandsausschüsse für Vergütung, Gover- die Strafverfolgung oder das Strafrechtssystem. nance und Revision. Ist Cyber-Sicherheit etwa keine gleichermaßen wichtige Zuständigkeit Schließlich müssen Unternehmenslenker – des Vorstands? und insbesondere Vorstände – eine grundlegend andere Haltung einnehmen, wenn es darum Dann habe ich noch eine Idee, eine wirk- geht, Verantwortung für Cyber-Sicherheit zu lich radikale, und zwar nicht weil sie so selt- übernehmen. sam ist, sondern weil sie so selten umgesetzt wird: Vorstände und Führungskräfte sollten ihre Gestehen wir uns zunächst einmal ein, dass Maßnahmen gegen und Reaktionen auf Daten- diese Führungsgremien zwar aus sehr intelligen- schutzverletzungen einüben. Alle Unternehmen ten und erfolgreichen Menschen bestehen, diese sind von Datenschutzverletzungen betroffen. jedoch größtenteils nicht in der digitalen Welt Einige wissen davon, andere nicht. Aber Vor- aufgewachsen sind. Sie sind wahrscheinlich im stände müssen bei der Vorbereitung auf diese Durchschnitt 55 bis 70 Jahre alt und weder im Eventualität eine Vorreiterrolle übernehmen, Geschäfts- noch im Privatleben mit digitalen damit sie den finanziellen, operativen und recht- Geräten groß geworden. Viele von ihnen sind in lichen Schaden in Grenzen halten können und Bezug auf IT nicht auf dem Laufenden, weshalb auch den an ihrer Marke, der häufig entsteht. sie sich auf „vertrauenswürdige Partner“ verlas- sen, die für sie Fragen zur IT filtern. Dies kann Ich meine damit nicht etwa ein Taktikhand- der IT-Sicherheitsverantwortliche, IT-Chef oder buch für Cyber-Sicherheit oder ein Verfahren für ein technischer Berater sein, doch das Ergeb- die Notfallwiederherstellung, das einmal im Jahr nis ist dasselbe: Sie verlassen sich auf IT-Exper- abgestaubt und aktualisiert wird. Ich rede hier ten, um sicherzustellen, dass das Unternehmen von digitalen Übungen und Manövern. Cyber-Sicherheit genießt. 46 Warum und wie wir unsere Rollen und unser Verhalten ändern müssen
Wie wir alle wissen, werden diese in verschie- Experten im Zusammenhang mit Cyber-Sicher- denen Branchen, Märkten und Lebensberei- heit erhalte. chen regelmäßig praktiziert. Polizei und Militär praktizieren sie die ganze Zeit, oft mit erschre- Folgendes fällt besonders auf: ckend realen Ansätzen, die es häufig fast unmög- 1. Die Fragen, die mir Führungskräfte und lich machen zu sagen, ob das Szenario echt oder simuliert ist. Auch in der Luftfahrtbranche sind IT-Sicherheitsverantwortliche stellen, sind sie die Regel. Oder glauben Sie, dass sich der viel sachkundiger, fokussierter und ergeb- Pilot eines Flugzeugs mit 10 Jahren Flugerfah- nisorientierter als früher. Viele der Leser rung fragt „Hmm, was wohl passieren würde, dieses Kapitels haben die Einsicht gewon- wenn ein Motor in 10.000 Metern Höhe über nen, dass veraltete Ansätze Ergebnisse von dem Pazifik ausfällt?“ Gewiss nicht, denn für die- gestern liefern und dass die Schurken mit ses Szenario wird ständig geübt. Algorithmen hantieren, während zu viele Cyber-Sicherheitsmaßnahmen in einer frü- Unternehmen müssen Übungen durchfüh- heren Ära von Großrechnern entwickelt ren, an denen Vorstandsmitglieder, der Vor- wurden. standsvorsitzende, der Verantwortliche für 2. Überall herrscht ein Gefühl erhöhter IT-Sicherheit, die Leiter der Rechts-, Marketing- Dringlichkeit. Ein Teil davon ist moti- und Vertriebsabteilung, der Finanzchef und das viert durch den Wunsch, Schlagzeilen im Team für Investorenbeziehungen teilnehmen. Wall Street Journal oder Führungskräfte in Der Vorstand sollte die Übung auch tatsächlich Gefängniskleidung vor Bundesgerichten zu leiten und sehr ernst nehmen. Die Aktivitäten vermeiden. Aber was auch immer die Moti- sollten überwacht, aufgezeichnet, bewertet und die vation ist: Das Thema wird allenthalben Ergebnisse mit den Teammitgliedern geteilt wer- angesichts dessen, was auf dem Spiel steht, den, und zur Behebung von Unzulänglichkeiten überaus ernst genommen. sollten Korrekturmaßnahmen ergriffen werden. 3. Unternehmen beginnen, sich mit der Raf- finesse, Intelligenz, Kreativität und Ent- Gründe für Optimismus schlossenheit von Cyber-Angreifern Ich habe viel über Bedrohungen, Herausforde- auseinanderzusetzen. Stereotype Vorstel- rungen, Hindernisse und Hürden gesprochen. lungen über die Denkweise und Motiva- Viele davon wurden als Ergebnis des Konzepts tion der Angreifer, die so von digitalen exponentieller Technologien hinsichtlich Dring- Mythen geprägt sind und sich in einigen lichkeit, Häufigkeit und Auswirkung deutlich miserablen Filmen widerspiegeln, lösen verstärkt und verschärft. Wie Sie sich erinnern, sich allmählich auf. habe ich zu Beginn dieses Kapitels meine tiefe 4. Es wächst das Verständnis dafür, dass es bei Besorgnis über die aktuelle Entwicklung zum der Cyber-Sicherheit nicht darum geht, die Ausdruck gebracht. Ich denke, Sie werden mir beste Technologie zu haben, so wichtig sie zustimmen, dass ich gute Gründe habe, so über auch sein mag, sondern vielmehr darum, Cyber-Bedrohungen zu denken. das gemeinschaftliche Denken und Han- deln radikal zu verändern. Aber vergessen Sie nicht, dass ich auch sehr optimistisch bin, was die Zukunft angeht, vor Einige Prinzipien für eine Regeländerung allem in Bezug auf all die positiven Auswir- Einer der größten Problembereiche für Füh- kungen, die digitale Technologie zweifellos auf rungskräfte aus IT und anderen Geschäftsbe- die Medizin, das Bildungswesen und die Welt- reichen ist die alarmierende Kluft zwischen der wirtschaft haben wird. Zwar habe ich viele der Anzahl der heute und in den kommenden Jah- Cyber-Bedrohungen hervorgehoben, aber ange- ren benötigten Cyber-Sicherheitsfachleute und sichts der enormen Aufmerksamkeit, die diesen der tatsächlichen Anzahl der für die Besetzung Bedrohungen zuteilwird, gibt es auch Anlass zur dieser Positionen verfügbaren digitalen Exper- Hoffnung. Ermutigt werde ich durch das zuneh- ten. Einige Schätzungen gehen davon aus, dass mende Verständnis, das ich von vielen Führungs- diese Lücke bis 2020 bei einer Million liegt, kräften, Vorstandsmitgliedern und technischen Grundlegendes zur spannenden, exponentiellen und furchterregenden Zukunft der Cyber-Sicherheit 47
während andere vermuten, dass sie um ein Viel- diese wachsende Lücke zu schließen. Machen Sie faches größer sein könnte. Ich empfehle Ihnen, sich keine Sorgen. Ich bin sicher, dass Sie eine von der oberen Schätzung auszugehen und dann Menge großartiger Sicherheitsexperten haben diese Anzahl noch zu erhöhen. werden, die auf ihrem Gebiet die Nase vorn haben, wenn es um das Wissen über Tunneling Wir wissen auch, dass gemäß dem ökonomi- oder Reverse Engineering von Schadsoftware schen Grundsatz von Angebot und Nachfrage geht. Aber Sie werden wesentlich mehr Mitarbei- die Gehälter von Cyber-Sicherheitsexperten ter und ein weitaus vielfältigeres Angebot an die- in der IT-Branche viel schneller steigen als die sen Mitarbeitern benötigen. Denken Sie daher Norm. Das bedeutet, dass sogar Ihre eigenen exponentiell. Mitarbeiter (Männer und Frauen, in die Sie bereits sehr viel investiert haben) von Personal- Legen Sie den Schwerpunkt bei der vermittlern angesprochen und eventuell abge- worben werden, während Sie dies lesen. Das Cyber-Sicherheit auf die Benutzererfahrung. bedeutet auch, dass, selbst wenn Sie das Glück Weitere Aspekte der Cyber-Sicherheit, die einen haben, gute Leute einzustellen, die Wahrschein- exponentiellen Umdenkprozess erfordern, sind lichkeit besteht, dass Sie nicht in der Lage sein Benutzererfahrung und Gestaltung in Sachen werden, sie allzu lange zu halten. Cyber-Sicherheit. Dies ist ein Bereich, der für Innovation reif ist, allein schon deswegen, weil Unternehmen müssen daher einschneidende vieles, was an Software für Sicherheitswarnungen Maßnahmen ergreifen, um sicherzustellen, dass durchgegangen ist, völlig unzureichend war. eine große Anzahl von Talenten ständig in ihre Unternehmen strömt, um diese Positionen zu Wie oft erhalten Ihre Mitarbeiter eine ein- besetzen. Ich spreche nicht nur darüber, Ihr Bud- geblendete Meldung auf ihrem Bildschirm mit get für die Anwerbung von Hochschulabsolven- hässlichem und verwirrendem Inhalt, während ten im Bereich Computersicherheit zu erhöhen sie im Internet surfen oder an E-Mails arbei- (obwohl Sie das sicherlich tun sollten). ten? Die Gestaltung von Sicherheitswarnungen ist grottenschlecht, geradezu qualvoll. Benut- Bewerten Sie neu, wie Sie Kandidaten aus- zer werden zu oft aus der Konzentration geris- machen. Ich meine damit, das Profil der Mit- sen, weil die Warnungen ihnen bei der Arbeit im arbeiter zu überdenken, die Sie für diese Rollen Weg stehen, und sie sehen nicht ein, was daran einstellen und ausbilden. Denken Sie beispiels- so schlimm sein soll, wenn sie die Warnung ein- weise an die Art von Mitarbeitern, die in jedem fach mal links liegen lassen. Unternehmen erfolgreich sind: Welche Qua- litäten besitzen sie? Intelligenz. Arbeitsmoral. Es reicht nicht aus, dass unsere Sicherheits- Kommunikative Fähigkeiten. Die Bereitschaft, protokolle in der Theorie funktionieren. Sie „dumme“ Fragen zu stellen. Die Fähigkeit, aus müssen dort funktionieren, wo die Benutzer in Fehlern zu lernen. Ihrem Unternehmen im Bereich neuester Mobil- funknetzwerke unter Hochdruck am Rechner Diese und andere Qualitäten sind nicht arbeiten. Und das erfordert ein gutes Verständ- unbedingt auf Informatikabsolventen des Mas- nis menschlichen Verhaltens, was bei Unter- sachusetts Institute of Technology oder von Ber- nehmensstrategien zur Cyber-Sicherheit kaum keley beschränkt. Denken Sie darüber nach, berücksichtigt wird. Das Festlegen einer Richtli- Mitarbeiter mit diesen nachgewiesenen Fähig- nie ist nur der erste Schritt. Sich zu vergewissern, keiten nicht aus den üblichen Bereichen Ihres dass sie vernünftig ist, verstanden und befolgt Unternehmens zu rekrutieren. Mitarbeiter wie wird, ist eine ganz andere Sache. Außendiensttechnikerinnen oder Kreditoren- buchhalter. Oder LKW-Fahrer und Texterinnen. Überdenken und überarbeiten Sie das Es gibt Unmengen von Mitarbeitern in Ihrem Organigramm. Schließlich sollten Sie Ihren Unternehmen mit den erforderlichen persönli- Unternehmensansatz zur Cyber-Sicherheit über- chen Eigenschaften und Denkweisen, wenn auch denken, indem Sie die sogenannte Cyber-Si- nicht unbedingt mit dem fundierten technischen cherheitsabteilung aus Ihrem Organigramm Fachwissen, die eingesetzt werden können, um streichen. Wenn Sie einen hübschen, saube- ren Kasten um die Cyber-Sicherheit platzieren, 48 Warum und wie wir unsere Rollen und unser Verhalten ändern müssen
senden Sie die Botschaft: Das ist unsere Elite- Cyber-Sicherheit ist nicht bloß „deren“ Pro- einheit für Cyber-Sicherheit. Sie hat die Super- blem, sondern ein Problem, das alle angeht. Es kräfte, mit denen Cyber-Kriminelle besiegt ist keine Abteilung, sondern eine Haltung. Wenn werden. Das ist ihre Sache, nicht unsere. Sie Ihre Vorstellung davon, wie Sie das Problem lösen können, nicht ausweiten, indem Sie sicher- In diesem gesamten Kapitel habe ich dar- stellen, dass alle mitverantwortlich sind, ist das gelegt, dass wir eine viel umfassendere und Spiel nicht zu gewinnen. Die Chancen zu verlie- radikalere Denkweise hinsichtlich Ihres ren, die schon recht hoch sind, steigen dann ins Cyber-Abwehrteams benötigen, die dem expo- Astronomische. nentiellen Charakter unserer Welt Rechnung trägt. Für die Cyber-Sicherheit ist ein Crowds- Die gute Nachricht ist, dass wir viel tun kön- ourcing erforderlich, das die gesamte Belegschaft nen, um uns und unsere Unternehmen vor digi- einschließt. Cyber-Sicherheit steht nicht nur in talen Bedrohungen zu schützen. Der erste und der Verantwortung von ein paar Dutzend oder vielleicht wichtigste Schritt ist, exponentiell sogar einigen Hundert Fachleuten, die in Ihrer zu denken, denn im Zeitalter des Mooreschen IT-Abteilung beschäftigt sind. Gesetzes zählt jede Minute. Grundlegendes zur spannenden, exponentiellen und furchterregenden Zukunft der Cyber-Sicherheit
8 Mit dem Denken und der Motivation der Gegner umgehen lernen James C. Trainor – Senior Vice President, Cyber Solutions Group, AON Die in diesem Kapitel dargestellten Ansichten sind Sicherheitsinformationen gestohlen zu haben, meine eigenen und nicht die des FBI. einschließlich Cyber-Hacking-Tools der NSA. Vorfall 1: Am 24. November 2014 erlebten Mit- Es gibt zwar noch offene Fragen im Strafverfah- arbeiter von Sony Pictures beim Starten ihrer ren, doch steht außer Frage, dass die gestohlenen Computer eine böse Überraschung: Schussge- Tools bei dem verheerenden Ransomware-An- räusche, eine Drohnachricht und das Bild eines griff WannaCry im Mai 2017 eingesetzt wurden.4 Skeletts, das inzwischen allgemein als „Bild- Vorfall 5: Im September 2016 wurde ein kosova- schirm des Todes“ bezeichnet wird. Am Ende rischer Bürger namens Ardit Ferizi zu 20 Jahren des Cyber-Angriffs waren mehr als 3.200 Com- Haft in einem US-Gefängnis verurteilt. Er be- puter und 830 Server außer Gefecht. Außerdem kannte sich schuldig, ohne Berechtigung auf wurden streng vertrauliche Dateien weltweit einen geschützten Computer zugegriffen und freigegeben und 47.000 Sozialversicherungs personenbezogene Daten von etwa 1.300 Perso- nummern gekapert.1 nen, darunter Angehörige des Militärs und der Vorfall 2: 2010 gab das FBI bekannt, dass Regierung der USA, gestohlen zu haben. Ferizi sich Hacker Kennwörter zunutze gemacht stahl die Informationen mit dem Ziel, sie an den und andere Sicherheitsvorkehrungen ausgehe- IS zu übergeben.5 belt hatten, um illegal Tausende von Dollar auf Was diese fünf Vorfälle gemeinsam haben, ist, einmal von einem Bankkonto auf ein anderes zu dass sie erhebliche finanzielle und Reputations- überweisen. Der als Gameover Zeus bekannte schäden angerichtet haben und/oder das Poten- Angriff mit einem Schadensvolumen von mehr zial hatten, die nationale Sicherheit eines Landes als 100 Mio. US-Dollar betraf Hunderttausende erheblich zu gefährden. von Computern.2 Vorfall 3: Im Herbst 2015 erhielt ein Hacker, Verschiedene Arten von Angriffen der sich als Mitarbeiter einer Telefongesellschaft Was sie nicht gemeinsam haben, sind Moti- ausgab, Zugriff auf das private E Mail-Konto von vation und Denkweise der Täter. Jeder dieser John O. Brennan. Ausgerechnet Brennan war zu Vorfälle gehört zu einer anderen Kategorie von diesem Zeitpunkt Direktor der CIA.3 Cyber-Angriffen, auf die Unternehmen, Regie- Vorfall 4: Im Januar 2018 bekannte sich Hal rungsstellen und Strafverfolgungsbehörden vor- Martin, ein ehemaliger freier Mitarbeiter der bereitet sein müssen, um sie zu verhindern und NSA, schuldig, eine riesige Menge vertraulicher zu bekämpfen. Diese Kategorien sind: 51
1. Staatlich gesteuert: Nordkorea wählte drei nordkoreanische Organisationen und zehn Sony Pictures wegen der bevorstehenden Einzelpersonen. Veröffentlichung einer Komödie namens The Interview als Angriffsziel. Die Reaktion auf diese Art von Daten- schutzverletzung erforderte ein Verständnis des 2. Kriminell: Gameover Zeus war einer von rechtlichen und regulatorischen Umfelds, des vielen kriminellen Angriffen des vermeint- technischen Umfelds, von Datenschutzfragen, lichen Superhirns Jewgeni M. Bogatschow, medienrelevanten Fragen und mehr. Die Vermei- für dessen Gefangennahme das FBI ein dung einer Datenschutzverletzung dieser Grö- Kopfgeld von 3 Mio. US-Dollar aussetzte. ßenordnung und dieses Umfangs ist eine ebenso große, wenn nicht sogar noch größere Heraus- 3. Hacktivist: Der Angriff auf Brennan war forderung. Es war schon schwierig genug, das das Werk einer Organisation namens Cra- Denken der einzelnen Typen von Angreifern zu ckas with Attitude (CWA). Die fünf mut- verstehen. Es wird noch schwieriger, wenn diese maßlichen Täter waren im Alter von 15 bis mehrere Motive und Geldgeber haben, wie z. B. 24 Jahren. bei von Staaten unterstützten Angriffen sowohl zur Bereicherung als auch zur geopolitischen 4. Insider: Der Angriff durch Hal Martin Kriegsführung. wird von vielen Strafverfolgungsbehörden als potenziell katastrophales Ereignis ange- Ich halte den Angriff auf Sony auch deswe- sehen, da er alle potenziellen Widersacher gen für geschichtsträchtig, weil er uns ahnen noch gefährlicher gemacht hat. lässt, welche Kombinationen aus verschiedens- ten Denk- und Verhaltensweisen, Motiven und 5. Terroristisch: Ferizi wurde festgenommen, Techniken aller Art wir in Zukunft von feindli- nachdem er einen Tweet gepostet hatte, in chen Akteuren erwarten können. Es gibt bereits dem es hieß: „Wir extrahieren vertrauli- Beispiele auf der ganzen Welt von verschiedenen che Daten und geben Ihre personenbezo- staatlich organisierten Akteuren – vor allem aus genen Daten an die Soldaten des Kalifats Nordkorea, aber auch aus Russland und China. weiter, die Ihnen bald mit Erlaubnis Allahs in Ihrem eigenen Land an die Kehle gehen Gleichzeitig werden diejenigen, die Angrif- werden!“ fe aus Profitgier, politischer Überzeugung oder sonstigen Beweggründen ausführen, immer raf- Verstehen, wie der Gegner tickt finierter, da sie einen einfacheren und kosten- Ich war mehr als 20 Jahre beim FBI tätig und günstigeren Zugang zu Tools und Technologien leitete in meiner letzten Funktion als Assistant haben. Wir erleben sogar das Entstehen des Ge- Director der Cyber Division in Washington das schäftsmodells „Cyber-Kriminalität als Service“. Team, das die nationale Strategie des FBI zur Be- Und wir bieten unseren Feinden eine größere kämpfung von Cyber-Kriminalität entwickelt potenzielle Angriffsfläche mit Innovationen wie und umgesetzt hat. Einer der Fälle, an denen ich dem Internet der Dinge (IoT), dem Wachstum gearbeitet habe, war der Angriff auf Sony, der aus von Big-Data-Analysen und unserer exponentiel- vielen Gründen in die Geschichte eingegangen ist. len Nutzung riesiger Social-Media-Plattformen. Zum einen handelte es sich um eine Vielzahl Auf die sich weiterentwickelnde böswilliger Handlungen gegen Sony, einschließ- Bedrohungslandschaft reagieren lich nicht autorisierten Eindringens in fremde Mit der sich weiterentwickelnden Bedrohungs- Computersysteme, Vernichtung von Daten und landschaft und der zunehmenden Schwierigkeit, Bedrohungen von Mitarbeitern und der Öffent- zwischen einer staatlich organisierten und einer lichkeit. Die Regierung konnte schnell reagie- kriminellen Bedrohung zu unterscheiden, liegt es ren. Binnen weniger Tage hatte das FBI die Täter an uns allen, besser vorbereitet zu sein, um An- identifiziert, und innerhalb von sechs Wochen griffe zu verhindern und bei einer Sicherheits- unterzeichnete Präsident Obama eine Anord- verletzung schnell und angemessen zu reagieren. nung zur Verhängung von Sanktionen gegen Das ist natürlich leichter gesagt als getan. Meiner Erfahrung nach sind viele Füh- 52 Warum und wie wir unsere Rollen und unser Verhalten ändern müssen
rungskräfte in Unternehmen der Meinung, dass funktioniert anders als bei herkömmlichen PCs, Cyber-Sicherheit zu breit gefächert und allum- Laptops und Smartphones. Wir müssen schnell fassend ist – sie fühlen sich davon überwältigt. Klarheit darüber gewinnen, wie wir diese Geräte Sie wissen nicht, wo sie anfangen sollen, haben es verwenden und absichern. Wollen wir wirklich schwer, die Investitionsrendite für Cyber-Sicher- ein Heer von Toastern aufbauen, über die unsere heit zu messen, und machen sich wegen eskalie- Gegner uns angreifen können? render Kosten Sorgen. Ganz anders sieht es bei Regulierungs- und rechtliche Aspekte: Das Unternehmen aus, die bereits einen Cyber-An- Risiko von Geldbußen, negativen Schlagzei- griff erlebt haben. Hier herrscht ein Gefühl der len und anderen unerfreulichen Auswirkungen besonderen Dringlichkeit und Zielstrebigkeit. ist in der Regel eine ziemlich starke Motiva- tion für Unternehmen, sich der Cyber-Sicher- Alle, die wir dieses Buch lesen, die wir bren- heit mit größerer Dringlichkeit zu widmen. In nend daran interessiert sind, unsere Zukunft der Europäischen Union beobachten wir, dass zu schützen, um sicher durch das digitale Zeit- zur Einhaltung der Datenschutzgrundverord- alter zu navigieren – wir alle müssen ein ähnli- nung (DSGVO) Unternehmen gezwungen sind, ches Gefühl von Dringlichkeit entwickeln. Die eine gründliche Bewertung ihrer Sicherheitsla- Angreifer werden immer dreister und raffinier- ge vorzunehmen, um eine Vielzahl von Schutz- ter. Von den Angriffen auf Sony, wo es um Mei- maßnahmen zu gewährleisten. Dazu gehören nungsfreiheit und Geschäftsabläufe ging, sind Benachrichtigungen zu Datenschutzverletzun- wir zu Angriffen auf demokratische Prozesse gen, das Anonymisieren von Daten zum Schutz und Wahlen gelangt. Und hier ist längst nicht der Privatsphäre, das sichere Handhaben grenz- Schluss. Wir beobachten eine Zunahme von überschreitender Datenübertragungen und vieles Ransomware und Erpressungen, und schließlich mehr. Wichtig ist der Hinweis, dass die DSGVO müssen wir mit weiteren Angriffen rechnen, die zwar nur innerhalb der Europäischen Union gilt, den Verlust von Menschenleben mit sich brin- sich aber weltweit auf jedes Unternehmen aus- gen können. wirkt, das über personenbezogene Daten von EU-Bürgern verfügt. Das ist eine gute Sache. In Wie sollen wir angesichts der veränderten den USA stellt sich die Frage, ob und mit wel- Denkweisen, Motive, Tools, Technologien und chen Vorschriften der massive Cyber-Angriff auf Verhaltensweisen unserer Gegner reagieren? Equifax, von dem mehr als 140 Mio. US-Ame- Welche Schritte können wir jetzt unternehmen, rikaner betroffen waren, hätte verhindert oder um besser vorbereitet zu sein, um dem faszinie- entschärft werden können. Es ist die Hoffnung renden Versprechen der digitalen Zukunft treu vieler, dass sich Equifax als ein abschreckendes zu bleiben und gleichzeitig die Gefahren eines Beispiel dafür erweist, was passieren kann, wenn sich weiter¬entwickelnden Denkens unserer es an staatlicher Aufsicht mangelt.7 Gegner zu erkennen und abzuwehren? Sensibilisierung für Sicherheitslücken: Ran- somware-Angriffe nehmen weiter zu, wobei viele Ich schlage vor, dass wir uns zunächst auf Fälle noch immer nicht oder nicht vollständig diese wichtigen Bereiche konzentrieren: gemeldet werden. Wir erleben auch, dass Spe- Konnektivität: Indem wir unsere Konnektivität ar-Phishing und Social-Engineering-Taktiken ausweiten, vergrößern wir auch unsere Angriffs- immer raffinierter, zielgerichteter und technisch fläche. Angreifer können IoT-Geräte als Botnet- ausgeklügelter werden. 2017 richteten Kriminel- ze nutzen, was die Gefahr eines DDoS-Angriffs le neue Spear-Phishing-Angriffe gegen Unterneh- (Distributed Denial-of-Service) auf kritische In- men aller Branchen, darunter große IT-Konzerne frastrukturen erhöht. Ein Unternehmen hat vor und Behörden. Hacker verleiteten Mitarbeiter einem massiven Botnetz gewarnt, das IoT-Gerä- internationaler Energieunternehmen dazu, Do- te einsetzt, um einen Cyber-Sturm zu erzeugen, kumente zu öffnen, und griffen dabei Benutzer- der das Internet zum Erliegen bringen könnte.6 namen und Kennwörter ab und verschafften sich Das soll nicht heißen, dass wir die IoT-Innova- tion nicht vorantreiben sollten. Aber wir müssen uns bewusst sein, dass Sicherheitslücken zuneh- men werden. Das Absichern von IoT-Geräten Mit dem Denken und der Motivation der Gegner umgehen lernen 53
Zugang zu Stromschaltern und Computernetz- Installation der Schadsoftware kontrol- werken. Betrüger visierten für ihre betrügerische lieren die Angreifer das System aktiv und E Mail-Masche britische Schüler und Studie- leiten die nächsten Phasen des Angriffs ein. rende als Opfer an, um personenbezogene und Sie richten einen Befehlskanal für Kommu- Bankverbindungsdaten zu stehlen. Zugleich geht nikation und Datenübermittlung zwischen die Verbreitung von Fehlinformationen weiter, infizierten Geräten und ihren eigenen Inf- und Angriffe auf die Datenintegrität nehmen rastrukturen ein. zu. Dies hat schlimme Auswirkungen auf den 6. Zielorientierte Aktionen: Wenn sie erst Marktwert von Unternehmen, auf unsere Fähig- einmal die Kontrolle gewonnen, sich im keit, auf Naturkatastrophen zu reagieren, und System eingenistet und einen Kommunika- auf die öffentliche Meinung. tionskanal etabliert haben, können Angrei- fer ihre Pläne nach Belieben umsetzen. Dies Den Lebenszyklus von Angriffen kann das Herausschleusen von Daten, das empfindlich stören Zerstören kritischer Infrastrukturen, Dieb- Heute ist es auch wichtig, in Aufklärung, Sen- stahl, Erpressung, Sachbeschädigung oder sibilisierung und Schulung zu Cyber-Sicherheit eine Kombination aus allem sein. zu investieren. Je mehr wir darüber wissen, wie Das Wissen um den Angriffsprozess bietet Ver- Angriffe funktionieren, desto besser können wir teidigern einen Vorteil, da Angreifer bei jedem sie unschädlich machen, und zwar unabhängig Schritt erfolgreich sein müssen, um zum Ziel zu von Motiven und Denkweise der Angreifer und kommen. Der Verteidiger muss den Angreifer unabhängig von unseren Rollen und Verant- nur an irgendeinem Punkt im Zyklus erkennen wortlichkeiten innerhalb der Unternehmen. Die und aufhalten, um ihn zum Scheitern zu brin- Arbeitsweise von Angreifern sieht sechs Phasen gen. Damit dies gelingen kann, muss ein Unter- vor, die wir zusammen als den „Lebenszyklus“ nehmen zur Bekämpfung von Cyber-Risiken von Angriffen bezeichnen.8 Diese Phasen sind: einen ganzheitlichen Ansatz verfolgen. Dies um- fasst im Allgemeinen Folgendes: 1. Auskundschaftung: In dieser Planungs- • Sichtbarkeit erhöhen phase erkunden, identifizieren und bestim- men Angreifer ihre Ziele. • Angriffsfläche verkleinern 2. Wahl der Waffen und Zustellung: Angrei- • Bekannte Bedrohungen vermeiden fer bestimmen die zu verwendenden Me- thoden für bösartige Attacken, wie z. B. • Unbekannte Bedrohungen automatisierte Tools, Exploit-Kits und erkennen und vermeiden Spear-Phishing-Angriffe mit schädlichen Links oder Anhängen. • Risiken quantifizieren 3. Exploit einsetzen: Angreifer setzen einen • Risiken übertragen Exploit gegen eine anfällige Anwen- dung oder ein System ein, typischerwei- Wenn ich über Cyber-Sicherheit spreche, se unter Verwendung eines Exploit-Kits komme ich oft auf einen Vergleich mit dem Ge- oder entsprechend vorbereiteten Doku- sundheitswesen zurück. Wenn ich mich gesund ments. Dies verschafft dem Angriff einen ernähre, Sport treibe, nicht rauche und regelmä- Einstiegspunkt. ßig zur Vorsorge gehe, reduziert sich die Wahr- scheinlichkeit, dass ich krank werde. Aber wir 4. Installation: Sobald sie im System einen werden alle einmal krank, und dann deckt die Fuß in der Tür haben, installieren Angrei- Krankenversicherung die mit einer Krankheit fer Schadsoftware, um weitere Operationen verbundenen Kosten. Gleiches gilt für den Cy- durchzuführen, wie z. B. das Aufrechterhal- berspace. Wenn ein Unternehmen die ersten ten des Zugriffs und das Ausweiten von vier Schritte erfolgreich meistert, kann ein Si- Berechtigungen. cherheitsnetz mit Cyber-Versicherung helfen, 5. Kontrolle und Befehlsgewalt: Nach der 54 Warum und wie wir unsere Rollen und unser Verhalten ändern müssen
katastrophale finanzielle Folgen abzumildern. Bedrohungsinformationen auszutauschen, damit Wie erreichen Sie diese Ziele? Für das wir- wir Angriffe verhindern und in Echtzeit reagie- ren können, um den Schaden erfolgreicher An- kungsvolle Stören des Lebenszyklus von An- griffe zu minimieren. Als Privatpersonen können griffen und Verringern von Risiken ist eine wir die Vorteile der Aufklärung und Schulung Kombination aus Technologie, Mitarbeitern und zur Cyber-Sicherheit nutzen, um sicherzustellen, Prozessen erforderlich. dass wir bewährte Verfahren nutzen, die auf unse- • Die Technologie muss in allen festen, mobi- ren Rollen, Verantwortlichkeiten und Schwach- stellen in unseren Organisationen basieren. len, physischen, lokalen und Cloud-basierten Netzwerkumgebungen vom Netzwerkrand So ermutige ich beispielsweise Vorstandsmit- über Rechenzentren, Niederlassungen, End- glieder nachdrücklich, sich der fünf Grundsätze punkte bis zu IoT-Geräten hoch automati- der Überwachung von Cyber-Risiken bewusst zu siert und integriert sein. sein, die von der National Association of Cor- • Die Mitarbeiter müssen kontinuierlich für porate Directors in den USA entwickelt wurden, das Entwickeln eines Sicherheitsbewusstseins und sie zu befolgen. Das sind im Einzelnen: und bewährte Verfahren geschult werden, um die Wahrscheinlichkeit zu minimieren, 1. Vorstände müssen Cyber-Sicherheit als dass ein Angriff die erste Phase übersteht. unternehmensweiten Aspekt des Risikoma- • Die Prozesse und Richtlinien müssen ein- nagements verstehen und angehen, nicht gerichtet sein und umgesetzt werden, sodass bloß als ein Problem der IT-Abteilung. ein Angriff, der seinen gesamten Lebenszyk- lus erfolgreich durchlaufen hat, schnell ent- 2. Vorstände müssen die rechtlichen Kon- schärft werden kann. sequenzen von Cyber-Risiken verstehen, sofern sie sich auf die spezifischen Gege- Auf die Zukunft vorbereiten benheiten ihres Unternehmens beziehen. Eine der Ideen, die in diesem Buch immer wieder auftaucht, ist der Grundsatz, dass Cyber-Sicher- 3. Vorstände benötigen Zugang zu Fachwis- heit in der Verantwortung aller liegt, wie in Kapi- sen über Cyber-Sicherheit, und Gesprä- tel 10 erläutert. Investitionen in die Aufklärung, che über den Umgang mit Cyber-Risiken Schulung und Sensibilisierung für Cyber-Sicher- müssen regelmäßig auf der Tagesordnung heit sind ein notwendiger Schritt in diese Rich- von Vorstandssitzungen stehen und dort tung. Doch es gibt noch mehr zu tun. auch angemessen Raum bekommen. Als Teilnehmer an einer globalen Wirtschaft, 4. Vorstände müssen die Erwartung stellen, als Nationen, als einzelne Unternehmen und dass die Geschäftsleitung ein unterneh- sogar als Individuen können wir alle eine Atmo- mensweites Cyber-Risikomanagement sphäre der Kooperation im Bereich der Cyber-Si- mit angemessenem Personal und Budget cherheit schaffen. Ein Modell für die Zukunft einrichtet. auf politischer Ebene ist das Cyber-Sicherheits- abkommen zwischen den USA und China, das 5. Diskussionen des Vorstands über Cyber-Ri- 2015 unterzeichnet und 2017 verlängert wurde. siken müssen Folgendes umfassen: Ermitt- Auf der Grundlage dieses Abkommens haben lung der zu vermeidenden Risiken, der zu sich die Länder darauf geeinigt, von staatlich akzeptierenden Risiken und der Risiken, unterstützten Cyber-Angriffen auf privatwirt- die durch Versicherungen abgesichert oder schaftliche Unternehmen des jeweils anderen übertragen werden sollen, sowie spezifische Abstand zu nehmen. Planungen für jeden Ansatz. Als Unternehmen und Institutionen – Fazit Firmen, Hochschulen, Behörden – können wir alle aktiver werden, wenn es darum geht, Wir leben in unruhigen Zeiten. Jeder Tag, so scheint es, bringt Schlagzeilen über einen neuen Cyber-Angriff oder eine neue Bedrohung (siehe Infografik auf Seite 57. Allein 2016 wurden beim Internet Crime Complaint Center (IC3) des FBI Mit dem Denken und der Motivation der Gegner umgehen lernen 55
fast 300.000 Fälle gemeldet.9 Im Februar 2018 Gegner ständig weiterentwickeln, ist ein wich- schätzte das Center for Strategic and Internatio- tiger Schritt. Es hilft uns allen, mehr Bewusst- nal Studies, dass die globalen Verluste durch Cy- sein zu entwickeln. Dieses Bewusstsein sollte ber-Kriminalität im Jahr 2016 etwa 600 Mrd. sich auch in einer geschäftlichen und persönli- US-Dollar betrugen. 2015 waren es noch 445 chen Verantwortung für entsprechendes Han- Mrd. US-Dollar.10 deln niederschlagen – ob das nun so aussieht, dass wir Cyber-Sicherheitsschulungen durchfüh- Die Herausforderung wird dadurch noch ren, Experten für Vorstandssitzungen engagieren verschärft, dass die Intentionen der Angreifer oder wenigstens sicherstellen, dass eine zweistufi- kaum klar zu fassen sind. Während Motive und ge Authentifizierung verwendet wird. Absichten der Gegner früher mitunter erkennbar waren, haben wir es jetzt mit einem Umfeld zu Wir können kriminelles Verhalten nicht tun, in dem die Denkweisen verschmelzen. Was immer vorhersagen. Wir können aber aufgeklärt, wie ein Cyber-Verbrechen aus Profitgier oder ein bewusst und aktiv agieren, um sicherzustellen, Angriff eines Hacktivisten aussieht, kann sich dass wir alles Mögliche tun, um Risiken einzu- in Wirklichkeit als staatlich unterstütztes Ereig- dämmen und zu minimieren. Wenn wir auf die nis oder als ein Angriff eines Unternehmens-In- Zukunft der Cyber-Sicherheit im digitalen Zeit- siders erweisen. alter schauen, sollte unsere Denkweise und Mo- tivation klar sein. Zu erkennen, dass sich die Motive unserer 1 „The Attack on Sony“, 60 Minutes, 12. April 2015 2 „GameOver Zeus Botnet Disrupted“ FBI.gov, 2. Juni 2014 3 „Student pleads guilty in hacking ring that targeted CIA Director John Brennan“, Politico.com, 6. Jan. 2017 4 „A Stolen NSA tool is Being Used in a Global Cyberattack“. The Atlantic, 12. Mai 2017 5 ISIL-linked Hacker Sentenced to 20 Years in Prison, The United States Attorney’s Office, Eastern District of Virginia, 23. Sep. 2016 23, 2016 6 „New botnet could take down the Internet in ‚cyberstorm‘“ says Checkpoint, Internet of Business, 23. Okt. 2017 7 „Equifax Breach Puts Credit Bureaus’ Oversight in Question“, NPR, 21. Sep. 2017 8 Lockheed Martin hat den Begriff Cyber Kill Chain® registrieren lassen, der ein ähnliches Rahmenwerk in sieben Phasen bes- chreibt: Reconnaissance, Weaponization, Delivery, Exploitation, Installation, Command and Control, Actions on Objectives 9 „2016 Internet Crime Report“, FBI Internet Crime Complaint Center (IC3), Juni 2016 10 „Economic Impact of Cybercrime: At $600 Billion and Counting—No Slowing Down“, Center for Strategic and Interna- tional Studies, 21. Feb. 2018 56 Warum und wie wir unsere Rollen und unser Verhalten ändern müssen
ANGRIFFSARTEN UND DATENTYPEN Datentypen Hacking geschäftlicher • Kundendaten E-Mail-Konten • Geistiges Eigentum DDoS • Rechtsinformationen • Fusionen & Übernahmen Zerstörerische Angriffe • Militärtechnologie • PII, PCI, PHI Doxing • Strategische Informationen • Betriebsgeheimnisse Spionage Angriffsarten Erpressung © Aon Corporation. Mit Genehmigung verwendet. Ransomware Dieses Bild darf ohne ausdrückliches Einverständnis durch Aon weder vervielfältigt noch teilweise oder Datendiebstahl vollständig verwendet werden. Verunstaltungen der Website Mit dem Denken und der Motivation der Gegner umgehen lernen 57
9 Wie sich die Rolle des CISO weiterentwickelt: vom Risikomanager zum Wegbereiter von Geschäften Justin Somaini – Chief Security Officer, SAP Was ich in meiner Rolle als Chief Security Of- meiner Kolleginnen und Kollegen auf der gan- ficer meist als Erstes tue, ist, mich an die Leiter zen Welt ist. Nicht 2017, nicht 2018 und schon anderer Abteilungen zu wenden, um herauszu- gar nicht in den kommenden Jahren. finden, wie ich mich in ihre Abläufe einbringen kann. In einem eher extremen Fall erkundigte ich Die Rolle des CSO oder, wie viele es vor- mich, ob ich in Teilzeit in den Vertrieb einstei- ziehen, des Chief Information Security Officer gen könnte. Nicht als Vertriebler, Gott sei Dank, (CISO), also des Verantwortlichen für IT-Si- sondern in meiner Rolle als CSO. Der Vertriebs- cherheit, hat in den letzten mehr als 20 Jahren leiter war etwas verblüfft, stimmte aber zu. Ein eine umfassende Entwicklung durchgemacht. Jahr lang nahm ich an Vertriebsbesprechungen Inzwischen entwickelt sie sich schneller als je teil und ging sogar zu Verkaufsgesprächen. zuvor. CISOs müssen sich nun als Wegbereiter zum geschäftlichen Erfolg verstehen, und eben- Ich erfuhr mehr über Konversionsraten und so unerlässlich ist, dass sie auf die gleiche Weise erlebte unvorstellbaren Nervenkitzel mit, die wahrgenommen werden – von Vorstand und Begeisterung, wenn ein großes Geschäft abge- Aufsichtsrat bis zu den verschiedenen Geschäfts- schlossen wird, und die Bitterkeit, wenn nicht. bereichen und Abteilungen, die das Unterneh- Als das Jahr zu Ende ging, hatte ich ein fundier- men fokussiert tagein, tagaus voranbringen. tes Verständnis davon, wie unsere Vertriebsorga- nisation funktioniert, und – was vielleicht noch Wie kann ich Geschäften den Weg berei- wichtiger war – eine enge Arbeitsbeziehung zu ten, wenn ich keine Ahnung vom Vertrieb habe? einer Reihe von Schlüsselpersonen in der Abtei- Oder von Marketing, dem Personal- oder Fi- lung aufgebaut. nanzwesen? Wie kann ich das Unternehmen zu mehr befähigen, wenn ich kein profundes Ver- Sie denken vielleicht: Sie sind doch der Ver- ständnis davon habe, wie das Geschäft läuft, was antwortliche für Sicherheit. Warum sollten Sie die Teams motiviert, wie sich die Unternehmens- ein Jahr im Vertrieb verbringen, selbst auch nur kultur vor Ort anfühlt? in Teilzeit, wenn es Ihre Aufgabe ist, das Unter- nehmen vor Sicherheitsverletzungen zu schützen Diese Fragen mögen vielleicht recht offen- und sicherzustellen, dass Vorschriften eingehal- sichtlich erscheinen, aber es sind nicht unbedingt ten werden? die Fragen, die die meisten CISOs in der Vergan- genheit gestellt haben. Mit Blick auf die Zukunft Darauf möchte ich antworten, dass das bloße glaube ich, dass dies die Art von Fragen sind, Schützen des Unternehmens vor Sicherheitsver- die zunehmend bestimmen werden, wie CISOs letzungen und das Sicherstellen der Einhaltung arbeiten, wer diese Schlüsselrollen ausfüllt und von Vorschriften eigentlich keine sehr treffen- wie Sicherheitsfachleute innerhalb ihrer Abtei- de Beschreibung meiner Arbeit oder derjenigen lungen und unternehmensweit interagieren und 59
zusammenarbeiten. Wenn CISOs die Macht um eine echte Differenzierung im Wettbewerb haben, die Geschäfte entscheidend mit am Lau- und eventuell durchschlagende Neuerungen am fen zu halten, müssen sie die Fachsprache beherr- Markt zu ermöglichen. schen und mit den grundlegenden Aktivitäten und Werten des Unternehmens vertraut sein. Es gibt noch weitere Möglichkeiten, auf den Geschäftserfolg Einfluss zu nehmen. Wenn wir Die Entwicklung zum im Vergleich mit unseren Mitbewerbern bes- Wegbereiter für Geschäfte sere und zuverlässigere Sicherheitskonzepte in Die Rolle und die Kompetenzen eines CSO ent- Lösungen integrieren, können wir die Kunden- wickeln sich ständig weiter. Um erfolgreich zu bindung ausbauen und helfen, Bestandskunden sein, muss ein CSO diese Rolle aktiv weiter ge- zu halten. Wenn wir Sicherheitslösungen reali- stalten und sich weiterbilden. Vor zwanzig Jah- sieren können, die nahtlos auf die Zielrichtung ren bestand die Aufgabe im Wesentlichen darin, des Unternehmens abgestimmt sind, können wir die Firewall zu betreuen und den Netzwerkrand differenzierte Produkte, Dienstleistungen und abzusichern. Man musste nicht viel darüber wis- potenzielle Ertragsquellen schaffen. Angenom- sen, was man schützte, solange man wusste, wel- men, das Unternehmen präsentiert einen neuen che technologischen Lösungen am besten dazu Service, der für zusätzlich 10 Euro pro Monat geeignet waren, die Schurken auf Abstand zu eine erweiterte Sicherheitsüberwachung mit halten. Warnmeldungen bietet. Indem wir die betrieb- liche Effizienz und Effektivität steigern, können Heute sieht die Welt ganz anders aus. Digita- wir dem Unternehmen helfen, die Markteinfüh- le Technologien und Konnektivität haben jeden rung zu beschleunigen und die Gesamtkosten Aspekt des Unternehmens durchdrungen. Da- zu senken. durch erhöhen sich zwar die Risiken, aber auch der Nutzen und die Bedeutung der Cyber-Si- Die Weiterentwicklung des CISO cherheit. Der CISO hat nun immer öfter einen Wie kommen wir dahin? Welche Kompeten- Platz in der Chefetage, denn bei Sicherheit geht zen zeichnen die besten CISOs im Vergleich mit es nicht mehr nur um Risiko, sondern auch um dem Rest aus? Was erwarten Unternehmenslen- die Abgrenzung von Mitbewerbern. ker und Vorstände heute und in Zukunft von ihren CISOs? Wie können wir sicherstellen, dass Die grundlegendste Art, wie Sicherheit als wir Geschäften wirklich den Weg ebnen und Unterscheidungskriterium dienen kann, besteht gleichzeitig unserer grundlegenden Verantwor- darin, Hürden zu beseitigen, um den Verkauf tung gerecht werden, nämlich für Sicherheit für von Produkten und Dienstleistungen an den das Unternehmen und die Kunden zu sorgen? Kunden in die Wege zu leiten und zu fördern. Wenn ich an mein Ziel bei SAP denke, schweben Ich schlage vor, dass wir uns zunächst auf drei mir ein sicheres Unternehmen und ein sicherer Bereiche konzentrieren: Kunde vor. Nun ja, das ist nicht sonderlich über- 1. Sicherstellen, dass wir bei den bekannten raschend. Doch tatsächlich dafür zu sorgen, ist alles andere als einfach. Aufgabenfeldern äußerst diszipliniert sind: Das bezieht sich auf die grundle- So soll beispielsweise die Sicherheitsabteilung genden Aufgaben in der Cyber-Sicherheit: in der Lage sein, eine schnellere, agilere und zu- Kontrollinstrumente, Suche nach Schwach- verlässigere Produktentwicklung zu ermöglichen. stellen, Patch-Management, Anwendungs- Das ist ein Grund, warum Unternehmen eher ge- sicherheit und mehr. Diese Pflichten und neigt sind, die Sicherheitsabteilung frühzeitig in Aufgaben müssen wir absolut professio- Entwicklungsprozesse einzubinden, und warum nell erfüllen. Wenn wir die grundlegenden wir den Aufstieg von SecDevOps beobachten. Anforderungen nicht erfüllen, können wir Darüber hinaus muss die Sicherheitsabteilung gleich einpacken. geschäftliche und technologische Innovationen unterstützen (denken Sie an Big-Data-Analysen, 2. Die nötige Kompetenz zum Erfül- das Internet der Dinge, soziale Netzwerke und len der heutigen, anspruchsvolleren maschinelles Lernen, um nur einige zu nennen), 60 Warum und wie wir unsere Rollen und unser Verhalten ändern müssen
Erwartungen entwickeln: Wenn wir bei- gesamten Unternehmen, unabhängig davon, ob spielsweise über Risikomanagement spre- es sich um Vertrieb, Marketing, Entwicklung, chen, müssen wir es zunächst einmal Kundensupport oder einen anderen Geschäfts- definieren und für unsere Organisatio- bereich oder eine andere Abteilung handelt. nen formulieren, damit Entscheidungsträ- ger verstehen, in was sie investieren und Die einzige Möglichkeit, diese Unterstützung warum. Wir müssen fachkundig Initiativen zu erhalten, besteht darin, die Sprache der Sicher- starten können, die unsere Unternehmen heit so zu übersetzen und zu kommunizieren, voranbringen, wie z. B. Cloud-Computing, dass die anderen Geschäftsbereiche sie verstehen. Modernisierung veralteter Anwendungen CISOs müssen den Sicherheitsbereich verlassen oder Gewährleistung einer sicheren Mo- und prüfen, welchen Mehrwert sie im gesamten bilität, digitale Transformation und andere Unternehmen schaffen können. Meiner Erfah- organisatorische Erfordernisse. rung nach gibt es vier grundlegende Fragen, die 3. Analysieren, prognostizieren und auf die der CISO bei der Kommunikation innerhalb des Zukunft vorbereiten: Technologie entwi- Unternehmens berücksichtigen muss: ckelt sich zwar rasant, doch gibt es bestimm- te Dinge, die wir mit ziemlicher Sicherheit 1. Wie kann Cyber-Sicherheit helfen, Erträge über die Zukunft vorhersagen können. Wir zu generieren, zu schützen und zu sichern? wissen, dass wir das Internet der Dinge un- bedingt sicher gestalten müssen. Wir wis- 2. Wie kann Cyber-Sicherheit dazu beitragen, sen, dass das Konsumdenken bezüglich Bestandskunden zu halten? IT die Kundenerwartungen immer wieder neu definieren wird. Wir wissen, dass die 3. Wie kann Cyber-Sicherheit helfen, sich Rechtsprechung weiterhin Einfluss darauf von Mitbewerbern abzuheben? hat, wie wir über Sicherheit denken. Wir wissen, dass Technologien wie künstliche 4. Wie kann Cyber-Sicherheit die betriebliche Intelligenz und maschinelles Lernen dazu Effizienz und Effektivität steigern? beitragen werden, Innovation zu beflügeln, sowohl innerhalb unserer eigenen Organi- Hierfür benötigen Sie ein Sicherheitsteam, sationen als auch bei Hackern. das transparent und vorausschauend in der Zu- Wir müssen umsichtig und aktiv vorgehen, um sammenarbeit mit dem Unternehmen ist und – die Sicherheit in diesen Bereichen zu erhöhen, was vielleicht am wichtigsten ist – genau darüber bevor sie zu einem Problem werden. Das Ebnen Bescheid weiß, wie das Unternehmen geführt des Weges zum geschäftlichen Erfolg bedeutet wird und was die verschiedenen Abteilungen mehr, als sich nur dieser Verantwortung und He- wirklich tun. Wie kann der CISO erwarten, dass rausforderungen bewusst zu sein. Es erfordert das Unternehmen die Risiken versteht, wenn auch, dass wir die Kommunikation, Zusammen- wir nicht deutlich machen können, wie die Rea- arbeit, Interaktion und den Umgang mit unseren lität aussieht? Wir müssen den Rest des Unter- wechselseitigen Beziehungen innerhalb der Or- nehmens dazu bringen, die Welt durch unsere ganisation sehr gut beherrschen. Augen zu sehen. Die Kommunikationswege klären CISO: die nächste Generation Es ist gar nicht so einfach, sich von einer entlege- Jedes Unternehmen ist anders und hat eine eige- nen, schlecht kommunizierenden Sicherheitsab- ne Kultur. Ein gewinnorientiertes Unterneh- teilung, wie sie in vielen Unternehmen zu finden men wird nicht die gleichen Ziele und Vorgaben ist, zu einer Abteilung zu entwickeln, die voll en- haben wie eine gemeinnützige Organisation. gagiert und an die Gegebenheiten angepasst ist. Ein Unternehmen mit einem globalen Kunden- Sie benötigen die Mitwirkung, den Unterstützung stamm wird anders agieren als eine Firma, deren und die Priorisierung des Sicherheitsbereichs im Kunden regional ansässig sind. Eines der vielen Dinge, die ich in meinem Jahr im Vertrieb gelernt habe, war, dass sich die Motivation und Arbeitsweise unserer Vertrieb- steams in Südamerika und Nordamerika grun- dlegend unterschieden. Hätte ich das wirklich Wie sich die Rolle des CISO weiterentwickelt: vom Risikomanager zum Wegbereiter von Geschäften 61
verstehen können, wenn ich mir nicht die Zeit sein, und sie muss gezwungen werden, sich wei- genommen (und das Interesse gehabt) hätte, terzuentwickeln. Ohne eine gute Portion Selbst- sehr detailliert zu erfahren, wie die Organisation kritik und eine sehr offene Haltung läuft nichts. funktioniert? Neugierde ist erstaunlich wichtig. Damit Sie den Rest des Unternehmens davon überzeugen kön- CISOs von morgen müssen mit jedem As- nen, Sicherheit ernst zu nehmen, müssen Sie ver- pekt ihres Unternehmens eng vertraut sein. Ich stehen, was die Mitarbeiter motiviert und wie Sie halte es für ratsam, dass Sicherheitsexperten dem sie besser beeinflussen können. Um das zu errei- Rotationsprinzip für junge Betriebswirte folgen chen, müssen Sie sie besser kennenlernen. und je ein Viertel des Jahres in der Marketing- abteilung, im Innendienst, im Finanzwesen und Was jetzt zu tun ist im Personalwesen oder in der Fertigung oder Wie wird eine Führungskraft als erfolgreich defi- einer anderen Abteilung verbringen, die für den niert? Man muss Zahlen sprechen lassen, worum Betrieb des Unternehmens wesentlich ist. Mit es auch immer geht. Im Bereich der Sicherheit der Zeit erhalten Sie eine grundlegende, einfa- werden wir, weil wir keine Einnahmen generie- che Ausbildung, die nicht akademisch ist, son- ren, oft an der Risikoabwehr gemessen und nicht dern ganz praxisbezogen. Sie lernen dabei den daran, wie wir den Weg für geschäftlichen Er- Alltag Ihrer Kollegen kennen. Das hilft Ihnen, folg ebnen. Wenn wir alles richtig machen, gibt Ihr Sicherheitsmodell und Ihre Denkweise es vielleicht keine Vorfälle. Wenn es keine Vorfäl- zu ändern. le gibt, denken andere, dass es keinen Bedarf für Investitionen in Sicherheit gibt. Deshalb müs- Oft werde ich gefragt, welche Merkmale sen Sie so argumentieren: Lassen Sie uns Ihnen wohl potenzielle CISOs auszeichnen. Das erste, zeigen, wie wir angegriffen werden und wie wir wonach ich suche, ist jemand mit einem zuver- diese Angriffe abwehren. lässigen moralischen Kompass. Ich suche Leute, die Dinge tun, die über ihre eigentlichen Auf- Sobald Sie das Geschäft wirklich verstehen, gaben hinausgehen. Wenn so eine Person etwas können Sie das Gespräch viel effektiver mit einer sieht, das im Argen liegt, repariert sie es, ohne Fokussierung auf zukünftige Geschäftserfolge nach Anerkennung zu heischen. Ich suche Mit- führen. Zum Beispiel wollen viele Unternehmen arbeiter, die sich eine grundlegende Neugier be- das Geschäft in China vorantreiben. Die Sicher- wahrt haben. Wir sind ein Aufgabenbereich, der heitsabteilung muss in diese Diskussion einbezo- sich horizontal durch das gesamte Unterneh- gen werden. Wir haben die Kompetenz und das men zieht. Ich wünsche mir Leute, die fragen: Potenzial, dem Unternehmen zu helfen, Hürden Wie funktioniert das Geschäft? Wie wächst es? zu überwinden. Und wenn diese Hürden über- Und auf jeden Fall will ich welche, die neugie- wunden sind, können wir dem Unternehmen rig auf Sicherheitstechnologie sind. Wenn man helfen, neue Kunden zu gewinnen und neue nicht neugierig auf neue Technologien ist, wird Umsatzquellen zu erschließen. So gewinnen Sie man sich nicht die Zeit nehmen, neue Wege die Herzen und Köpfe der Führungsetage und zu erkunden. Bei der Cyber-Sicherheit müssen motivieren sie, Ihnen einen Platz an ihrem Tisch wir immer bereit sein, neue Technologien und einzuräumen. neue Lösungen zur Bewältigung neuer Proble- me einzusetzen. Es gibt noch ein weiteres Erfolgskriterium, das für CISOs, die sich noch nicht auf die Vor- Wenn ich herumlaufen muss, um den Mit- bereitung des Geschäftserfolgs konzentrieren, arbeitern zu sagen, was sie tun sollen, mache ich vielleicht nicht offensichtlich ist: Werden Sie von meine Arbeit nicht besonders gut. Ich möchte den Ihnen gleichgestellten Kollegen im Unter- Leute, die mit dem, was sie haben, unzufrieden nehmen in relevante Diskussionen einbezogen? sind, Leute, die darauf warten, dass ich befördert Können diese Sie gut leiden oder nicht? Sehen werde bzw. das Unternehmen wechsle, damit diese Sie als Blockierer oder als Teil der Kultur sie meine Rolle übernehmen können. Sie kön- des Wandels? Wenn die anderen Sie nicht ein- nen jemandem nicht beibringen, CISO zu sein. beziehen wollen, werden Sie ihnen nicht helfen Die Person muss in der Lage sein, die Aufgabe können. Dies verpflichtet CISOs und ihre Teams, zu erledigen, zu lernen und anpassungsfähig zu 62 Warum und wie wir unsere Rollen und unser Verhalten ändern müssen
engagierter, offener und integrativer zu sein. Unternehmen am besten funktioniert, so- Die Vorbereitung des geschäftlichen Er- wohl bei Ihren Kollegen als auch beim Vorstand. folgs ist eine Reise. Es gibt einfache Schritte, die • Sehen Sie sich Ihr Team und dessen Kultur wir alle sofort machen können, und das bedeu- an. Sind alle offen gegenüber den Proble- tet nicht unbedingt, ein Jahr im Vertrieb zu ver- men der Cyber-Sicherheit? Halten Sie, falls bringen, obwohl ich es wärmstens empfehle, falls erforderlich, eine Betriebsversammlung noch nicht geschehen. Was Sicherheitsexperten zur Cyber-Sicherheit ab. Bieten Sie offene jetzt tun können, um den Weg zum Geschäfts- Sprechzeiten für alle, um vorbeizukommen erfolg wirkungsvoller zu ebnen, ist beispielsweise: und Anliegen zu melden oder einfach nur auf • Eine E-Mail an die Vertriebs- und Marke- reale Probleme und Chancen aufmerksam zu machen. Ihr Team wird die Veränderung in tingleiterin senden, um ihr zu sagen, dass Ton und Ausrichtung erkennen und sich ent- Sie mehr erfahren möchten. Fragen Sie, ob sprechend verhalten. Sie bei wöchentlichen Vertriebsbesprechun- • Werfen Sie einen genauen Blick auf sich gen dabei sein dürfen. Dieser eine Schritt selbst. Gefällt Ihnen, was Sie tun? Was moti- ist der Anfang eines langen Weges. Mit der viert Sie wirklich? Sind Sie neugierig auf das Zeit wird sie verstehen, wer Sie sind und was Unternehmen als Ganzes? Wo verbringen Sie Sie tun. Im Moment hat sie wahrscheinlich – monatlich gesehen – Ihre Zeit? Die meis- kaum eine Vorstellung. Bestimmen Sie Leute ten von uns vermeiden unangenehme Dinge in Ihrem Unternehmen, mit denen Sie Be- und wir wenden uns den Dingen zu, die wir ziehungen aufbauen müssen, und fragen Sie mögen. Sind Sie selbstkritisch? Wogegen sie, was Sie tun können, um zu helfen. wehren Sie sich? Was finden Sie stressig? Ver- • Wenn Sie dies nicht bereits tun, lesen Sie die meiden Sie kritische Auseinandersetzungen Finanzberichte des Unternehmens, und zwar mit Ihrem Chef oder Kollegen? sehr gewissenhaft. Diese liefern Ihnen wert- volle Informationen über Ihr Unternehmen, Fazit die Sie im normalen Tagesgeschäft nicht Wir erleben eine großartige Zeit für Cyber-Si- immer auf dem Schirm haben dürften. cherheitsexperten. Unsere Rolle in unseren • Sprechen Sie mit Ihren Kollegen, und er- Unternehmen und in der Welt wird immer be- stellen Sie eine Art „Bericht zur Lage der deutender und mehr wertgeschätzt. Das bedeu- Nation“, einen Jahresbericht zur Cyber-Si- tet auch, dass wir mehr Druck bekommen und cherheit oder eine ansprechende Infografik. mehr Verantwortung übernehmen müssen. So Bieten Sie ihnen etwas Interessantes und weiterzumachen wie in der Vergangenheit wird Informatives, damit Menschen mit wenig im heutigen Umfeld nicht ausreichen. Zeit oder mangelndem Interesse eine Weile damit verbringen und etwas daraus lernen. Um uns und unsere Unternehmen auf die Wir müssen prüfen, wie wir unsere Sprache Zukunft vorzubereiten, müssen wir die Sprache so ändern, dass sie bei den Menschen aus verstehen und sprechen, die den Weg zum Ge- den anderen Geschäftsbereichen ankommt. schäftserfolg ebnet. Wir müssen neugierig sein, Entwickeln Sie eine Reihe verschiedener lie- wie das Geschäft funktioniert, und klar und ferbarer Ergebnisse und Materialien unter deutlich machen, wie wir helfen können. Wir Verwendung aller Ihrer Ressourcen, auch müssen uns weiterentwickeln, und zwar schnell. online. Verfolgen Sie dann, was in Ihrem Wie sich die Rolle des CISO weiterentwickelt: vom Risikomanager zum Wegbereiter von Geschäften 63
Das digitale Zeitalter wartet auf niemanden. 64 Warum und wie wir unsere Rollen und unser Verhalten ändern müssen
10 Cyber-Sicherheit und der Aufsichtsrat: Wohin geht die Reise? Mario Chiock – Schlumberger Fellow und CISO Emeritus, Schlumberger Für Cyber-Sicherheit sind alle verantwortlich. können? Wie passen sie sich an eine sich schnell Vielleicht mehr als jede andere Aussage kann verändernde Welt an, in der Innovationen wie künstliche Intelligenz und das IoT die Cyber-Si- sich diese in der nächsten Phase der digitalen Zu- cherheit zu einem sich ständig verändernden kunft als das Leitmotiv erweisen. Je stärker wir Ziel machen? von digitaler Konnektivität abhängig werden, desto mehr setzen wir uns zusätzlichen Risiken Vielleicht am wichtigsten ist aber: Wie defi- aus. Niemand kann es sich leisten, das schwächs- nieren Aufsichtsratsmitglieder die Rolle, die sie te Glied der Kette zu sein. Jedes Unternehmen jetzt und in Zukunft einnehmen, damit sie nicht muss sicherstellen, dass alle seine Mitarbeiterin- nur Teil des Paradigmas „Für Cyber-Sicherheit nen und Mitarbeiter, ob fest angestellt oder nicht, sind alle verantwortlich“ sind, sondern bei sei- verstehen, was sie zum Schutz des Unternehmens ner Definition und Umsetzung tatsächlich feder- und seiner digitalen Datenbestände tun müssen. führend sind? Angesetzt werden muss ganz oben, also beim Wie sich die Rolle des Aufsichtsrat. Aufsichtsratsmitglieder können, Aufsichtsrats weiterentwickelt vielleicht mehr als sonst jemand, die Agenda für Dass Aufsichtsräte verpflichtet sind, sich über Cyber-Sicherheit und den Ton für das gesam- Cyber-Sicherheit zu informieren, ist ein relativ te Unternehmen festlegen. Sie können das nicht junges Phänomen. In der Vergangenheit haben nur, ich würde sogar sagen, dass sie die Agen- sich Aufsichtsräte mit der Steuerung eines Unter- da und Risikotoleranz vorgeben müssen. Sie nehmens aus betriebswirtschaftlicher Sicht be- stellen eine entscheidende Verteidigungslinie in- schäftigt, wenn es um das Risikomanagement nerhalb des gesamten Gefüges der Cyber-Si- ging. Nehmen wir als Beispiel an, dass ein Unter- cherheit im Unternehmen dar. Darüber hinaus nehmen über spezifisches geistiges Eigentum ver- sind Aufsichtsratsmitglieder zunehmend anfälli- fügte, das sehr wertvoll und diebstahlgefährdet ge Ziele von Cyber-Angriffen. Die Maßnahmen, ist. Dies wäre für den Aufsichtsrat von Belang die sie ergreifen, können großen Einfluss auf gewesen, und im Rahmen seiner Aufsichtspflicht das Unternehmen haben – sowohl praktisch als hätte er von der Geschäftsleitung einen Plan zur auch symbolisch. Gewährleistung seines Schutzes verlangt. Das Problem besteht jedoch darin, dass Auf- Aber Cyber-Sicherheit ist eine ganz andere sichtsräte in der Regel nicht aufgrund ihrer fun- Welt. Wir begegnen Risiken hier in ganz verschie- dierten Kenntnisse über Cyber-Sicherheit besetzt denen Formen, Ausprägungen und Dimensio- werden. Wie also erlangen Aufsichtsratsmitglie- nen. Wir haben es derzeit u. a. mit Ransomware, der Wissen und Einsicht, damit sie einen starken Datenschutzverletzungen und DDoS-Angriffen positiven Einfluss auf das Unternehmen ausüben 65
zu tun. Wir sind mit potenziellen Angriffen kon- sondern auch darum, wie sich unsere Widersacher frontiert, die unseren Geschäftsbetrieb lahmle- diese Innovationen zunutze machen. gen, uns Rechtsstreitigkeiten und Bußgeldern aussetzen, unseren Ruf zerstören, das Vertrauen Sich über Cyber-Sicherheit informieren unserer Kunden irreparabel schädigen und uns Wenn Sie in dieser neuen Welt, in diesem sich daran hindern, auf unserem Weg zur digitalen ständig verändernden Umfeld, in einem Auf- Transformation fortzuschreiten. sichtsrat sitzen, müssen Sie und Ihre Kollegen sich über Cyber-Sicherheit informieren. Sie kön- Wir leben außerdem in einer Welt, in der es nen keine Aufsicht ausüben, wenn Sie nicht wis- immer wichtiger wird, Risiken zu quantifizie- sen, welche Fragen Sie stellen sollten, oder noch ren und auszumachen, wo wir anfällig sind. So schlimmer, wenn Sie sich dafür entscheiden, Ihre müssen wir beispielsweise nicht nur unsere Mit- Köpfe kollektiv in den Sand zu stecken und zu arbeiter besser schützen. Hal Martin war ein ex- beten, dass die Geschäftsleitung weiß, was sie tut, terner Dienstleister, als er die Tools der NSA wenn es um Cyber-Sicherheit geht. Im heuti- stahl, die beim Ransomware-Angriff Wanna- gen und zukünftigen Umfeld der Cyber-Sicher- Cry im Mai 2017 eingesetzt wurden.1 Der Lock- heit müssen Aufsichtsräte aktiv und nicht reaktiv heed-Martin-Angriff im Jahr 2011 war mit einem agieren. Drittanbieter verbunden.2 In ähnlicher Weise ver- schafften sich die Angreifer bei der Datenschutz- Schritt 1: Die Rolle des Aufsichtsrats verletzung Target zunächst eine ID von einem verstehen und festlegen HVAC-Dienstleister.3 Wir sehen jetzt Angreifer, Der erste Schritt, sich zu informieren, besteht die sich gegen unsere Ressourcen wie z. B. Hoch- darin, die Rolle des Aufsichtsrats zu verstehen leistungs-Supercomputer oder Cloud-Ressour- und festzulegen. Die Hauptverantwortung des cen richten, um sie für böswillige Zwecke wie den Aufsichtsrats liegt in der Aufsicht. Aufsichtsräte Diebstahl von Kryptowährungen zu nutzen. müssen keine Cyber-Sicherheitsrichtlinien erlas- sen, aber sie müssen verstehen, welche Richtli- In dieser neuen Welt können Angriffe von nien gelten, ob sie überwacht werden und wie sie überall, zu jeder Zeit und ohne jede Vorwarnung durchgesetzt werden. kommen. Unsere Cyber-Welt ist grundlegend an- ders als vor fünf Jahren – so wie sie sich in den Wenn das Unternehmen nicht genug tut, nächsten fünf Jahren grundlegend ändern wird, um wichtige Datenbestände zu schützen oder wenn es buchstäblich Milliarden mehr vernetzte die Einhaltung von Vorschriften sicherzustellen, Sensoren und Geräte geben wird. haben Aufsichtsräte die treuhänderische Verant- wortung, zumindest Fragen zu stellen und, wenn Außerdem werden wir über fünf Jahre Fort- sie mit den Antworten nicht zufrieden sind, schritte in den Bereichen künstliche Intelligenz, Maßnahmen zu ergreifen. Bei den typischen Go- maschinelles Lernen, Robotik und bei anderen vernance-Aufgaben zur Cyber-Sicherheit ist der „exponentiellen“ Technologien verzeichnen, wie Aufsichtsrat die zweite Verteidigungslinie (siehe in den Kapiteln 3 und 11 in diesem Band erörtert. die folgende Abbildung): Es geht nicht nur um die Frage, was wir mit diesen technologischen Innovationen erreichen können, VERTEIDIGUNGSLINIEN ERSTE LINIE ZWEITE LINIE DRITTE LINIE • Interne Kontrollen • Risiko & Compliance • Externe Berater • Linienmanagement • Aufsichtsrat • Berater für Cyber-Sicherheit 66 Warum und wie wir unsere Rollen und unser Verhalten ändern müssen
Schritt 2: Sich den richtigen Rat holen Schritt 3: Cyber-Sicherheit Angesichts der Tatsache, dass die Hauptverant- personalisieren wortung die Aufsicht ist, muss der nächste Schritt Aufsichtsratsmitglieder müssen sich im Klaren sein, dass der Aufsichtsrat über Cyber-Sicherheit darüber sein, dass sie lohnende Ziele für Geg- aufgeklärt wird. Alle Aufsichtsratsmitglieder be- ner darstellen, und müssen Vorbilder für ande- nötigen ausreichendes Wissen, Bewusstsein und re im Unternehmen sein, wenn es darum geht, Einsicht, um die richtigen Fragen zu stellen. bewährte Verfahren in der Cyber-Sicherheit Schließlich sollte der Aufsichtsrat in der Lage umzusetzen. sein, die Antworten zu deuten und sie in den Kontext der allgemeinen Unternehmensrisiken Wenn Sie im Aufsichtsrat eines Unterneh- hinsichtlich Cyber-Sicherheit zu stellen. mens sitzen, haben Sie Zugriff auf wertvolle Daten, die für ihre Gegner von großem Nutzen Wie erlangt der Aufsichtsrat dieses Wissen sein könnten. Sie verfügen wahrscheinlich auch und diese Einsicht? Das Vertrauen in Berich- über eine Vielzahl von Berechtigungen für den te und Unterrichtungen der Geschäftsleitung ist Zugriff auf noch mehr Daten. Schließlich kön- unerlässlich, aber möglicherweise nicht ausrei- nen Widersacher davon ausgehen, dass Auf- chend. Einige Aufsichtsorgane versuchen mög- sichtsratsmitglieder eher vom alten Schlag sind licherweise, eigene Experten zurate zu ziehen, und weniger Bewusstsein für Cyber-Sicherheit nicht nur um zu verstehen, was die Unterneh- haben, sodass sie als attraktives Ziel für Angrif- mensleitung sagt und tut, sondern auch um zu fe erscheinen. Denken Sie an das Leitmotiv „Für verstehen, welche Fragen ihr wann überhaupt ge- Cyber-Sicherheit sind alle verantwortlich“, was stellt werden müssen. bedeutet, dass jede und jeder die richtigen Vor- sichtsmaßnahmen treffen sollte. Dieses Konzept ist Aufsichtsräten nicht völ- lig fremd, aber es ist vielleicht neu, wenn es um Ihre Geräte, persönlichen E-Mails und So- die Cyber-Sicherheit geht. Aufsichtsräte beauf- cial-Media-Konten sind allesamt Bereiche, in tragen üblicherweise externe Unternehmen mit denen Sie in Gefahr geraten können. Und Sie Wirtschaftsprüfungen, um sicherzustellen, dass müssen sich der Risiken stets bewusst sein. Bei- es nicht zu Betrug oder anderen Verletzungen spielsweise können Reisen in bestimmte Länder der treuhänderischen Sorgfaltspflicht durch die ein erhebliches Risiko für Ihr Unternehmen dar- Geschäftsleitung kommt. stellen. Seien Sie auf Reisen sorgsam mit Ihren IT-Ressourcen. Es kann sinnvoll sein, nicht be- Warum also sollte der Umgang mit dem Cy- nötigte Daten oder Geräte zu Hause zu lassen. ber-Risiko anders sein? Ich beobachte viele Auf- Besondere Umsicht ist bei mobilen Geräten und sichtsräte, die versuchen, die Cyber-Sicherheit Netzwerkverbindungen geboten. Big Brother hat wie mit einer Wirtschaftsprüfung zu überwa- möglicherweise die Augen auf. chen. Das bringt allerdings nicht viel: Bei der Wirtschaftsprüfung geht es um das Einhalten Die notwendigen Kontrollmechanismen von Vorschriften. Schlichtes Einhalten von Vor- und Prozesse einrichten schriften sorgt nicht für Sicherheit, und Sicher- Sich über Cyber-Sicherheit zu informieren, ist heit bedeutet nicht unbedingt, dass Vorschriften keine einmalige Angelegenheit, die anschließend eingehalten werden. abgeschlossen ist. Es handelt sich vielmehr um einen laufenden Prozess – ständig muss das Wis- Das allgemeine Cyber-Sicherheitsprofil des sen überprüft und auf den neuesten Stand ge- Unternehmens sollte betrachtet werden, weshalb bracht werden. sich einige Aufsichtsräte für die Beauftragung ex- terner Experten entscheiden, da sie als unvorein- Aufsichtsräte sind in der Regel gut darin, genommen gelten. Damit sollte eine Analyse von langfristige Entscheidungen zu treffen. Sie neh- Mitarbeitern, Prozessen und Technologien ein- men möglicherweise an einer jährlichen Sitzung hergehen. Dazu gehören auch regelmäßige Sit- zur Verabschiedung eines Jahresbudgets teil und zungen mit dem Gesamtvorstand und/oder den haben ein ganzes Jahr Zeit, um auf Änderun- Vorstandsausschüssen sowie die kontinuierliche gen zu reagieren. Doch bei der Cyber-Sicherheit Zusammenarbeit mit der Geschäftsleitung. Cyber-Sicherheit und der Aufsichtsrat: Wohin geht die Reise? 67
funktioniert das nicht, denn das Umfeld ist viel Cyber-Sicherheitshygiene vermieden werden zu dynamisch. Ein Jahr vergehen zu lassen, um kann (siehe den zugehörigen Beitrag: Die auf etwas zu reagieren, bedeutet praktisch, gar Grundlagen der Cyber-Sicherheitshygiene). nicht zu reagieren. Es ist eher wie am Steuer ein- zuschlafen, wenn der Bus mit 170 Stundenkilo- Wenn es um Technologie geht, sollte der metern über die Autobahn rast. Daher müssen Aufsichtsrat jedoch auf die spezifische Sprache Aufsichtsräte agil bleiben, aktiv handeln und achten, die von den Teams gesprochen wird. Be- nötigenfalls auf aktuelle Trends und Ereignisse griffe wie „Automatisierung“ und „Effizienz“ reagieren. sind in der heutigen Welt der Cyber-Sicherheit unverzichtbar. Ich gebe oft zu bedenken, dass Eine weitere Herausforderung für Aufsichts- die Tage der manuellen Absicherung vorbei sind. räte ist es, die richtige Sprache zu sprechen. Dies Wenn wir die Sache manuell angehen, werden ist offen gesagt weniger ein Aufsichtsratsproblem die Schurken jedes Mal die Nase vorn haben. Si- als vielmehr ein Problem für Verantwortliche für cherheit im 21. Jahrhundert muss automatisiert die IT-Sicherheit (CISOs) und andere Sicher- sein, was Aufsichtsräte verstehen müssen. heitsexperten. Aufsichts-ratsmitglieder mögen kein Fachchinesisch. Sie wollen nichts von Ein weiterer wichtiger Punkt: Wir müssen Code oder Patches hören. Wenn das Gespräch intelligente Entscheidungen zu Technologiein- zu IT-lastig wird, klinken sie sich aus. Es liegt vestitionen treffen. Wenn wir etwas Neues kau- zwar im Interesse von Aufsichtsratsmitgliedern, fen oder entwickeln, hat die ältere Technologie über die wichtigen Trends und Themen rund ausgedient und muss weg. Ihr Unternehmen um die Cyber-Sicherheit informiert zu sein, es braucht keine Technologie anzuhäufen. Wenn liegt jedoch nicht in ihrer Verantwortung, jeden es um Cyber-Sicherheit geht, wäre das sogar Produktnamen und jede Produktspezifikation kontraproduktiv. zu kennen. Schließlich ist es wichtig, dass Aufsichtsräte Aufsichtsratsmitgliedern ist es einerlei, wie einen Sinn für Geschichte zeigen. Damit Unter- viele Server mit Patches versehen wurden. Sie nehmen ihre Mitarbeiter, Prozesse und Techno- sorgen sich um das Risiko. Die Sprache soll- logien für die Zukunft weiterentwickeln können, te eher so gewählt werden: „Das wird passieren, lohnt es sich sehr, ihre Wurzeln zu verstehen und wenn wir beim Patching nicht auf dem Laufen- Trends auszumachen, die künftige Veränderun- den bleiben, d. h., das Unternehmen könnte für gen bewirken könnten. Vor 25 Jahren machte eine Stunde oder einen Tag oder eine Woche den der Virenschutz einen Großteil der Cyber-Si- Betrieb einstellen, was uns soundso viel Euro cherheit aus. Moderne CISOs sollten eher über kosten würde.“ Die Sprache muss sich weg vom Endpunktschutz als über Virenschutz sprechen. Fachjargon für Sicherheit und Informationstech- nologie hin zu Geschäftsbegriffen ändern, die Auf die Zukunft vorbereiten von den Aufsichtsratsmitgliedern verwendet und Bei der Cyber-Sicherheit geht es um Vorbe- verstanden werden. Wir sollten bei Aufsichtsrats- reitung. Wie bereits erwähnt, kann 80 % des sitzungen keine Dolmetscher brauchen. Risikos durch eine grundlegende Cyber-Sicher- heitshygiene vermieden werden. Aber wie kön- Aufsichtsratsmitglieder müssen auch ver- nen wir uns auf die Zukunft vorbereiten, wenn stehen, dass sie nicht dadurch für mehr Sicher- wir nicht immer vorhersagen können, was die heit sorgen, dass sie einfach mehr Geld ausgeben. Zukunft bringt? IT- und Sicherheitsverantwortliche wollen mög- licherweise mehr Personal einstellen und die Wir wissen, dass das Internet der Dinge ex- allerneuesten und fortschrittlichsten Technolo- ponentiell wächst und dass Technologien wie gien einsetzen. Unter bestimmten Umständen maschinelles Lernen und künstliche Intelligenz kann das durchaus angebracht sein. Aber die di- immer mehr Einzug in den Alltag halten. Wir rekt Verantwortlichen für die Cyber-Sicherheit wissen, dass unsere Widersacher dreister und ag- im Unternehmen müssen sachkundig darüber gressiver werden, und zwar nicht nur aufgrund urteilen können. Ich bin fest davon überzeugt, der Chance, Geld zu machen, sondern auch an- dass 80 % des Risikos durch grundlegende geregt durch Faktoren wie geopolitische Verwer- fungen. Wir wissen, dass die Modelle, die wir 68 Warum und wie wir unsere Rollen und unser Verhalten ändern müssen
herkömmlicherweise bei der Cyber-Sicherheit müssen auch über einige der neuen Techno- anwenden, angepasst und modernisiert werden logien sowie über die Bedeutung der Automa- müssen, um einem neuen Risikoklima gerecht zu tisierung unterrichtet werden. werden, das sich ständig und dynamisch wandelt. • Auf das Schlimmste vorbereiten. Krisenma- nagement, Übungen zur Reaktion auf Vor- Was können wir aus Sicht des Aufsichtsrats fälle und Simulationen von Cyber-Vorfällen tun? Wie können wir sicherstellen, dass wir als sind auf allen Ebenen, einschließlich des Auf- Einzelpersonen und Führungskräfte von Unter- sichtsrats, erforderlich. Fangen Sie klein und nehmen besser vorbereitet sind? Hier einige einfach an und erhöhen Sie dann Schweregrad Vorschläge: und Komplexität, um die Lücke zwischen Technologie und Reaktion zu schließen. • Den Fokus auf die Risikoeindämmung • Sicherheitsfachsprache in Geschäftsspra- legen. Wenn Sie Risiken ausmachen können, che übersetzen. Unternehmen benötigen lassen sich Schritte unternehmen, um sie zu für Aufsichtsratsmitglieder eine geschäfts- quantifizieren. Es gibt bestimmte Dreh- und orientierte Entsprechung eines Frameworks Angelpunkte, an denen sich das Risiko er- für Cyber-Sicherheit. Dadurch wird das höht, z. B. bei einer Fusion oder Übernah- Sicherheitsmodell des Unternehmens auf me. Seien Sie sich dieser kritischen Punkte nicht technische Weise mit Schwerpunkt auf bewusst und unternehmen Sie die richtigen den Risiken dargestellt, wobei Geschäftsbe- Schritte, um Risiken zu minimieren, wo griffe verwendet werden, die von Aufsichts- immer es angemessen und notwendig ist. rats¬mitgliedern problemlos nachvollzogen Jedes Unternehmen hat eine andere Sicht- und verstanden werden können. weise auf die Arten von Risiken, die es einzu- Ich möchte zwei weitere Punkte hervorheben, gehen bereit ist. Als Aufsichtsratsmitglied ist die für Aufsichtsratsmitglieder wichtig sind: es entscheidend, die generelle Akzeptanz von 1. Öffentlich-private Partnerschaften kön- Risiken im Unternehmen zu verstehen und mitzugestalten. nen sehr wertvoll sein. Unsere Regierungs-, Strafverfolgungs- und Regulierungsbehör- • In Aufklärung, Schulung und Sensibili- den haben Zugang zu Informationen und sierung investieren. So wie alle für die Cy- Ressourcen, die jedem Unternehmen helfen ber-Sicherheit verantwortlich sind, sollten können, besser auf Angriffe vorbereitet zu auch alle an Aufklärungs-, Schulungs- und sein oder darauf zu reagieren. Ich ermutige Sensibilisierungsprogrammen teilnehmen. jedes Aufsichtsratsmitglied, als Fürsprecher Diese Programme müssen allen festen und für öffentlich-private Partnerschaften zu auch freien Mitarbeiterinnen und Mitarbei- handeln. Der Austausch von Informationen tern angeboten werden. Denken Sie daran: innerhalb einer Branche und mit staatlichen Es reicht, wenn nur eine einzige Person ver- Stellen kann dazu beitragen, die Belastung sagt – und schon hat ein Angriff Erfolg. bei der Eindämmung von Risiken für alle Beteiligten zu verringern. • Risiken messen, überwachen und ent- schärfen. CISOs und Vorstandsvorsitzende 2. Es ist nicht immer ein sehr großes Si- müssen in der Lage sein, Messgrößen zu er- cherheitsteam erforderlich. Wie bereits arbeiten, damit die Aufsichtsratsmitglieder mehrfach in diesem Kapitel erwähnt: Für den Fortschritt überwachen und sicherstellen Cyber-Sicherheit sind alle verantwortlich. können, dass sich das Unternehmen, was Cy- Wenn Sie genügend Unterstützer für die- ber-Sicherheit angeht, in die richtige Rich- ses Konzept gewinnen, können Sie groß- tung entwickelt. artige virtuelle Sicherheitsteams bilden, die zusammenarbeiten können, um Risiken zu • Einen übergeordneten Rahmen entwickeln. minimieren. Dieser Ansatz ist besonders Aufsichtsratsmitglieder benötigen einen allge- meinen Überblick über Risiken und Chancen und müssen regelmäßig in den Grundlagen der Cyber-Sicherheit unterwiesen werden. Sie Cyber-Sicherheit und der Aufsichtsrat: Wohin geht die Reise? 69
sinnvoll in einer Zeit, in der es fast jedem DIE GRUNDLAGEN DER Unternehmen an erfahrenem Sicherheits- CYBER-SICHERHEITSHYGIENE personal mangelt, und kann auch dazu bei- tragen, Cyber-Sicherheitskompetenz für die Unternehmen können ihr Risiko Zukunft zu entwickeln erheblich verringern, indem sie sich auf die Cyber-Sicherheitshygiene Fazit konzentrieren. Aufsichtsratsmitglie- Es gibt eine andere Möglichkeit, das Konzept, der können helfen, sich und ihre dass alle für Cyber-Sicherheit verantwortlich Unternehmen zu schützen, indem sind, zu vermitteln. Wir können einfach ganz di- sie sich der folgenden Grundlagen rekt sagen: Sie sind für Cyber-Sicherheit verant- bewusst sind: wortlich. Es spielt keine Rolle, wem Sie es sagen, denn es gilt in jedem Fall. Wenn wir dabei an • Halten Sie die Betriebssysteme Aufsichtsratsmitglieder denken, gewinnt das mit Patches und Updates auf Ganze sogar eine tiefere Bedeutung, nicht wahr? dem neuesten Stand. Stellen Sie Es wird die Tatsache verdeutlicht, dass Sie als sicher, dass jedes Betriebssystem Aufsichtsratsmitglied eine gewisse Verantwor- eine unterstützte Version ist. tung tragen, nicht nur für Ihren persönlichen Cyber-Sicherheitsschutz, sondern auch für das • Verwenden Sie Programme von Unternehmen als Ganzes (siehe Abbildung auf Drittanbieter in ihren aktuellen Seite 71). Versionen mit sämtlichen Patches. Das ist mit Sicherheit eine schwierige Her- • Entfernen Sie nicht verwendete ausforderung, gerade in dieser komplexen, sich Programme und Beispielcode von schnell verändernden Welt. Aber es ist eine He- Produktionsservern. rausforderung, der sich jedes Aufsichtsrats- mitglied mit Leidenschaft, Begeisterung und • Lassen Sie Standardkonfiguratio- Engagement stellen sollte. Die Zukunft des di- nen nicht unverändert – schon gitalen Zeitalters liegt in unseren Händen. Las- gar nicht Standardkennwörter. sen Sie uns sichergehen, dass wir vorbereitet sind. • Sichern Sie alle Daten- und 1 „A Stolen NSA tool is Being Used in a Global Cyberat- Konfigurationsdateien. tack“. The Atlantic, 12. Mai 2017 • Installieren Sie Schutzsoft- 2 „Lockheed attack should put U.S. on high alert“, ware und Programme gegen InfoWorld, 6. Juni 2011 Schadsoftware, führen Sie eine Liste mit zugelassenen Anwen- 3 „Target attack shows danger of remotely accessible HVAC dungen und arbeiten Sie mit systems“, Computerworld, 7. Feb. 2014 Integritätsprüfungen. • Sorgen Sie dafür, dass Daten verschlüsselt werden – sowohl während der Übertragung als auch auf den Servern und Endpunkten. • Verwenden Sie sichere Kennwör- ter, betten Sie sie nicht in Code ein und speichern Sie sie nicht ungeschützt. • Verwalten und überwachen Sie Zugriffsrechte aktiv. 70 Warum und wie wir unsere Rollen und unser Verhalten ändern müssen
CYBER-SICHERHEIT MUSS ÜBERALL AUF DER TAGESORDNUNG STEHEN Vorstand CEO CFO Führungskräfte Welche Auswirkungen könnte ein Cyber-Angriff haben? Risiko mindern € Informationstechnologie Alle Unternehmen Wir verwalten Mitarbeiter & Wir müssen die die IT-Infrastruktur Dritte Daten nutzen können & Software Wir müssen die Wir müssen Technologie nutzen können die IT schützen Wir müssen die Daten und Technologie schützen CIO Operatives Geschäft Marketing Unternehmenssysteme Personalabteilung Rechtsabteilung Helpdesk Arbeitsschutz & Umweltschutz Rechenzentren Wertschöpfungskette Betriebstechnik IT Sicherheit IT Betrieb • Netzwerke • Server • Desktops Cyber-Sicherheit und der Aufsichtsrat: Wohin geht die Reise? 71
Wie Arbeitsanforderungen und ethische Verantwortung ineinandergreifen
11 Cyber-Sicherheit und die Zukunft der Arbeit Gary A. Bolles – Vorsitzender, Future of Work bei Singularity University; Mitgründer, eParachute.com; Partner, Charrette; Referent und Autor Im Laufe der Menschheitsgeschichte hat Tech- den Fähigkeiten der Mitarbeiter verbunden sind, nologie die Arbeit verändert. Vom Rad bis zum erfordern eine neue Art der Betrachtung von Verbrennungsmotor hat der technische Fort- Fähigkeiten und Fertigkeiten, die von Techno- schritt immer wieder verändert, wie, wann und logieinfrastruktur der nächsten Generation un- wo wir arbeiten. Aber das Tempo von mit Tech- terstützt werden können. nologie durchdrungener Arbeit nimmt drastisch zu. Von verbraucherorientierten Mobiltelefonen Was wird es in naher Zukunft bedeuten, bis zu Blockchain-fähigen Verträgen ist Techno- wenn Maschinen, die künstliche Intelligenz ein- logie ein immer bedeutenderer Bestandteil der setzen, sich mehr wie Menschen verhalten? Und Arbeit, der eine Vielzahl von Arbeitsprozessen werden Blockchain-fähige Zahlungen bedeuten, neu definiert. dass Unternehmen möglicherweise nicht einmal mehr wissen, wer – oder was – bestimmte Auf- Der Übergang von einer landwirtschaftlichen gaben erledigt? Wie werden Veränderungen bei zu einer industriell geprägten Wirtschaft führte der Wahrnehmung digitaler Identität und von zu einem dramatischen Wandel des Wesens der Vertrauen die Art beeinflussen, wie wir unse- Arbeit an sich. Dieser Prozess dauerte aber fast re Beschäftigten und Arbeitsplätze verwalten, ein Jahrhundert. Wir erleben derzeit in einer un- vergüten und, was vielleicht am wichtigsten ist, glaublich kurzen Zeitspanne den Übergang zu schützen? einer digital geprägten Arbeitswelt. Da Tech- nologie zunehmend menschliche Arbeit durch- Die heutige Realität ist, dass sich exponenti- dringt, verbessert und – in vielen Fällen – ersetzt, ell entwickelnde Technologien (kurz: exponen- müssen Entscheider in Wirtschaft und Techno- tielle Technologien) die Arbeitswelt dramatisch logie die makroökonomischen Veränderungen in umgestalten und eine völlig neue Denkweise in der Arbeitswelt antizipieren, verstehen und letzt- der Cyber-Sicherheit erfordern. Entscheider in endlich nutzen. Unternehmen und öffentlicher Hand müssen die grundlegende Dynamik dieses schnellen Wandels So führt beispielsweise die zunehmende Zahl in der Arbeitswelt und die unvermeidlichen Aus- von extern Beschäftigten und nicht herkömm- wirkungen auf die Cyber-Sicherheit verstehen. lichen Arbeitsverhältnissen dazu, dass sich der Sie müssen auch die Strategien festlegen, die sie binäre Status „angestellt“ gegenüber „nicht an- verfolgen können, um diese Risiken nicht nur ab- gestellt“ auflöst, was allerhand neue Ansätze zumildern, sondern sich auch effektiv darauf vor- von der Identitätsverwaltung bis zur Zahlung zubereiten, die Fähigkeiten dynamischerer und von Vergütungen erfordert. Und die grundle- anpassungsfähigerer Belegschaften zu nutzen. genden Risiken, die mit dem Hintergrund und 75
Die Grundbausteine der Arbeit Wertsteigerung tatsächlich logarithmisch war. Um diese Veränderungen wirklich zu verstehen, Das Wachstum begann linear, nahm aber mit ist es hilfreich, sich Arbeit als eine Gruppe von der Zeit die Form eines Eishockeyschlägers an. Bausteinen vorzustellen. Arbeit umfasst im We- sentlichen drei Dinge: menschliche Fähigkei- Kurzweil wandte diese Analyse auf eine ganze ten zum Erledigen von Aufgaben zum Lösen von Reihe von Technologien an und stellte fest, dass Problemen. sie oft entlang der gleichen Art von Exponenti- alkurve verliefen. Tatsächlich beschleunigte das Ob es sich nun um einen schmutzigen Fuß- Zusammenspiel dieser exponentiellen Technolo- boden oder ein Unternehmen handelt, das eine gien ihre individuelle Entwicklung noch mehr. neue Marktstrategie braucht – unsere Rolle als Beispielsweise werden Technologien wie ma- Beschäftigte in jeder Umgebung besteht darin, schinelles Lernen (oft als künstliche Intelligenz Probleme zu lösen. Menschen befolgen das Prin- oder KI bezeichnet), Robotik, High-Perfor- zip von Versuch und Irrtum, und wir werden mance-Computing und LIDAR (laserbasiertes als Beschäftigte dafür bezahlt, unsere Fähigkei- Radar) kombiniert, um ein Science-Fiction-Pro- ten zum Lösen einer Vielzahl von Problemen dukt zu ermöglichen, das als selbstfahrendes einzusetzen. Auto bekannt ist. Doch viele der Aufgaben, die wir bei unse- Die rasante Entwicklung und Verbreitung rer Arbeit erledigen, wiederholen sich und erfor- vernetzter digitaler Technologien hatte weitrei- dern nur ein Minimum an Kreativität. Solche chende Auswirkungen auf eine Reihe von Bran- Alltagsaufgaben erfordern wenig von dem, was chen, in denen Marktführer ihre Dominanz uns als Menschen einzigartig macht, und tat- traditionell aufgrund ihrer „gebündelten“ Ge- sächlich können Technologien wie Software und schäftsmodelle aufrechterhalten hatten. Die- Robotik diese Aufgaben oft mit größerer Sorgfalt sen Gedanken hatte ursprünglich John Hagel, und Präzision bewältigen. Viele dieser sich wie- heute im Center for the Edge von Deloitte, for- derholenden Aufgaben lassen sich auch leichter muliert. So haben beispielsweise führende Zei- auslagern, um von Beschäftigten in anderen Re- tungsverlage Funktionen wie eine physische gionen der Welt ausgeführt zu werden, die oft Anlage, Inhaltserstellung, Aufbereitung von In- eine niedrigere Bezahlung für dieselben Tätigkei- halten, Vertrieb und Anzeigenverkauf integriert, ten akzeptieren. wobei diese vertikal integrierte Kombinati- on einen enormen Marktvorteil brachte. Dann Die Kombination aus Automatisierung und kam das Internet, und die ehemals integrier- Globalisierung funktioniert Hand in Hand, so- ten Komponenten wurden entflochten, sodass dass Arbeit „entflochten“, in separate Aufgaben neue Marktteilnehmer wie Google und Face- aufgeteilt und auf eine Kombination aus exter- book durch neue Geschäftsmodelle schnell eine nen Kräften und dezentralen Technologien ver- enorme Marktmacht erlangten. Die Medien- teilt werden kann. branche wurde um Online-Anzeigenmarktplätze „neu verflochten“, sodass nur noch kleine Teile Die Auswirkungen des neu gestalteten Marktspektrums für etablier- exponentieller Technologien te Unternehmen übrig blieben. All diese rasanten Veränderungen in der Arbeits- welt würden allein schon genug Aufruhr mit sich Auf die gleiche Weise werden exponentiel- bringen. Aber sie werden durch den raschen Auf- le Technologien die Arbeit weiter entflechten, stieg exponentieller Technologien noch weiter indem das traditionelle Konstrukt eines Arbeits- angeheizt. platzes aufgebrochen wird und es möglich ist, Aufgaben durch ständig wechselnde Kombinati- Der Erfinder und Zukunftsforscher Ray onen von lokalen und dezentralen Beschäftigten, Kurzweil war fasziniert von der Wachstumskur- von Technologie durchdrungener Arbeit und ve des Mooreschen Gesetzes. Der Mitbegründer häufig auch mit von Technologie ausgeführter von Intel, Gordon Moore, hatte beobachtet, dass Arbeit zu bewältigen. Heute fahren noch Men- sich die Leistung von Mikroprozessoren im Ver- schen für Uber. Morgen werden autonome Fahr- hältnis zum Preis alle 18 bis 24 Monate verdop- zeuge Fahrer überflüssig machen. pelte. Kurzweil erkannte, dass diese spektakuläre 76 Wie Arbeitsanforderungen und ethische Verantwortung ineinandergreifen
Während die Arbeit selbst entflochten wird, Diese Flexibilität führt zu einer Reihe di- gelten die gleichen Mechanismen für die Neu- rekter alternativer Arbeitsvereinbarungen, ein- verflechtung von Arbeit. In der digitalen Er- schließlich temporärer Teilzeitarbeit, temporärer werbswirtschaft werden neue Werte geschaffen, Vollzeitarbeit, permanenter Teilzeitarbeit, Ak- die es einem Unternehmen ermöglichen, exter- kordarbeit, Arbeit, die einem Team zugeteilt ne und interne Probleme auf eine Weise zu lösen, wird, etc. Ermöglicht wird auch eine Reihe in- die bisher nicht möglich war. Diese von Techno- direkter Arbeitsbeziehungen, wie zum Beispiel logie geprägten Prozesse bieten eine breite Palet- Problemlösung durch Beschäftigte via Crowds- te faszinierender neuer Wege zur Erledigung von ourcing, „Cloud-Arbeit“ und Preisplattformen. Arbeit und ermöglichen dynamische neue Stra- Solche Vereinbarungen dienen dazu, die Mau- tegien zur Kanalisierung menschlicher Energie ern von Unternehmen durchlässiger zu machen, sodass sich eine Vielzahl von Mitarbeitern und Der Aufstieg alternativer Geschäftspartnern dynamisch um die vom Un- Arbeitsbeziehungen ternehmen und seinen Kunden definierten Auf- So ermöglicht beispielsweise entflochtene Arbeit gaben kümmern können ein breites Spektrum von Arbeitskontexten, die dem Unternehmen jeweils entscheidende Vortei- Die Blockchain-fähige Belegschaft le bringen können. Angenommen, eine Teamleiterin stellt fest, dass ihr Team nicht in der Lage sein wird, rechtzeitig In der Vergangenheit führte der traditionelle neue Designs für eine Website zu liefern und so Ansatz „eine Person für eine Aufgabe“ dazu, dass einen kritischen Kundentermin einzuhalten. Sie die Belegschaft des Unternehmens oft nicht opti- setzt sich mit dem Team zusammen, um schnell miert war. Mitarbeiter mit vielfältigen Fähigkei- eine Reihe von Erfolgskriterien für das Projekt zu ten und Fertigkeiten waren oft darauf beschränkt, bestimmen und es auf einem Job-Marktplatz zu eine bestimmte Reihe von Aufgaben auszuführen, veröffentlichen. die nur einen Teil ihrer Kapazitäten in Anspruch nahmen. Ein enormes menschliches Potenzial Vom Marktplatz kommt sofort eine Ant- wurde lange Zeit nicht ausgeschöpft. Mitarbei- wort, und zwar von einer Personalvermittlung ter wurden in ein starres Arbeitsmodell klassi- mit hoher Vertrauenswürdigkeit. Die Teamlei- scher Industriebetriebe gezwängt, das oft durch terin kann die Quellen für die Vertrauensbe- sich wiederholende und unkreative Aufgaben ge- wertung der Personalvermittlung einsehen und kennzeichnet war. stellt fest, dass andere Kollegen im Unterneh- men diesen Anbieter bereits früher in Anspruch Dieses unzureichend optimierte Modell führ- genommen haben. Die Antwort der Personalver- te dazu, dass Unternehmen erhebliche Kosten mittlung umfasst eine Reihe von Fragen zu den auf sich nahmen. Die von den einzelnen Mit- zu erbringenden Leistungen. Die Verantwortliche arbeitern ausgeführten Aufgaben wurden nicht beantwortet diese Fragen, definiert eine Reihe be- immer effizient verteilt. Trotz der zunehmenden vorzugter Projektmeilensteine und bietet ver- Mobilität der Beschäftigten war es weniger wahr- schiedene Zahlungsoptionen an. Da das Projekt scheinlich, dass sie sich dort befanden, wo neue ein neues Produktangebot zum Gegenstand hat, Aufgaben zu erledigen waren. Und die Koordina- ist eine dieser Optionen ein Initial Coin Offering tion zwischen den Beschäftigten blieb weit weni- (ICO), das es der Personalvermittlung ermög- ger effizient, als sie hätte sein können. licht, an künftigen Einnahmen aus dem Produkt zu partizipieren. Stellen Sie sich das Ganze als eine riesi- ge Menge an Fähigkeiten im Unternehmen vor, Zufrieden mit der dynamischen Arbeitsver- die im Regal liegen geblieben sind: eine unge- einbarung schließt die Teamleiterin den Vertrag nutzte Menge von Aktiva, deren Potenzial selten ab, der sofort in ein verteiltes Hauptbuch (Open erschlossen wurde. Doch in einer Welt der ent- Distributed Ledger) gestellt wird. Die Teamleite- flochtenen Arbeit sind Unternehmen in der Lage, rin ist in der Lage, alle bestehenden Arbeitsverträ- Arbeit zu verteilen, und können bestimmen, ge, einschließlich jener ihres derzeitigen Teams, wann, wo und wie sie am effektivsten ausgeführt einzusehen und die zu erbringenden Leistungen wird – und vor allem, von wem. Cyber-Sicherheit und die Zukunft der Arbeit 77
des Projekts sowie die Vergütung für die Personal- Geschäftsbeziehungen – von der Bezahlung eines vermittlung zu verwalten. Und sie wird vielleicht Beschäftigten für eine Arbeitsstunde bis zum nie wissen, ob die Personalvermittlung eine Per- Kauf eines anderen Unternehmens – ermöglicht. son, ein Team oder eine Software ist. Entscheider in den Geschäftsbereichen und der IT müssen mit diesen Werttransfermechanismen So sieht die Welt der Arbeit dank Block- experimentieren, um ständig zu prüfen, wie sie chain-Technologie aus. Stellen Sie sich nun ein die Anforderungen des Unternehmens am bes- ganzes Unternehmen vor, das auf solchen digi- ten erfüllen können. talen Verträgen basiert, die auf verteilten Haupt- büchern aufbauen. Da ein Unternehmen bereits Maschinelles Lernen und KI sorgen eine Reihe von Vereinbarungen zwischen Arbeit- für eine Transformation derArbeit geber und Beschäftigten vorsieht, bieten diese Wie wir gesehen haben, übernehmen KI und Ro- „verteilten autonomen Organisationen“ – die es boter an sich keine Arbeitsplätze, sondern führen bereits gibt – neue Möglichkeiten, Beschäftigte Aufgaben aus. Aber diese Aufgaben können sich in die Problemlösungsprozesse eines Unterneh- summieren. Wenn immer mehr ehemals von Men- mens einzubinden. schen ausgeführte Aufgaben mithilfe von Techno- logie erledigt werden, müssen Entscheider – vom Die schöne neue Welt Arbeitsgruppenleiter bis zur Personalchefin – klä- der digitalen Identität ren, ob das Verhältnis zwischen Mensch und Tech- Technologien, wie zum Beispiel Smart Contracts nologie ergänzend oder konkurrierend ist. Das soll für Beschäftigte, stellen auch eine Möglichkeit heißen: Ist Technologie ein Mittel zur Verbesse- dar, neue Identitätsmodelle zu integrieren. rung menschlicher Arbeit oder soll sie diese über- nehmen (siehe Seite 82)? Offene verteilte Hauptbücher unterstützen gleichzeitig Anonymität, Verifizierung, Verant- Ein Großteil der heutigen Innovationen kon- wortung und Werttransfer. Anonymität ermög- zentriert sich auf die Automatisierung menschli- licht es Beschäftigten, ihre Arbeit zu verrichten, cher Arbeit, da die mit der bestehenden Arbeit ohne sich zwangsläufig tief greifend in die Sys- verbundenen Prozesse und Kosten hinreichend teme des Unternehmens zu integrieren. Verifi- bekannt sind. Unabhängig davon, ob wir versu- zierung ermöglicht es dem Unternehmen, die chen, die Kosten einer Kellnerin oder eines Lager- Fähigkeiten und Kenntnisse des Beschäftigten zu arbeiters zu senken, können wir derzeit die von bestätigen, und lässt den Beschäftigten bestäti- ihnen geleistete Arbeit und die Kosten für die Be- gen, dass das Unternehmen eine vertrauenswür- zahlung dieser Arbeit nachvollziehen. Die Auto- dige Instanz ist. Verantwortung bedeutet, dass matisierung solcher Aufgaben mit Software oder der Vertrag eine integrierte Bestätigung enthält, Robotern hat daher das Potenzial, bekannte Kos- dass der Beschäftigte die geforderten Leistungen ten zu senken und die Effizienz zu steigern. erbracht hat und dass das Unternehmen wie ver- einbart eine Vergütung leistet. Werttransfer be- Doch dieser Ansatz kann leicht zu einer Null- deutet, dass das tatsächliche Arbeitsergebnis an summenmentalität führen, die menschliche Ar- das Unternehmen übergeben wird und der Be- beit auf eine Reihe leicht zu ersetzender Prozesse schäftigte bezahlt wird. reduziert. Stattdessen haben wir die Gelegenheit, diese Innovationskraft dazu einzusetzen, dass Die Art und Weise, wie der Werttransfer menschliche Arbeit wertvoller wird. stattfindet, verwischt die Grenzen zwischen IT- und Betriebsabteilung und schafft sowohl neue Tatsächlich leistet Produktivitätssoftware dies Herausforderungen als auch neue Chancen für bereits. Es gibt heute zum Beispiel nur noch we- das Unternehmen. Gegenwärtig wird der größ- nige Buchhalter, die eine Pivot-Tabelle von Hand te Teil des Werttransfers auf der Grundlage erstellen können. Dafür gibt es Microsoft Excel. von Landeswährungen errechnet und durchge- Stellen Sie sich einen Architekten mit Augmen- führt. Aber der Aufstieg von ICOs wie Bitcoin ted-Reality-Brille vor, die ein Gebäude mit der und Ethereum, die auf Blockchain-basierten of- schematischen Darstellung seiner inneren Infra- fenen Hauptbüchern aufbauen, bedeutet, dass struktur überlagert. Oder stellen Sie sich vor, Sie ein komplexes Netz digitaler Währungen neue haben einen KI-gestützten Lernpartner, der Sie 78 Wie Arbeitsanforderungen und ethische Verantwortung ineinandergreifen
ständig über neue Fähigkeiten berät, die Sie entwi- nutzen, die immer „intelligenter“ wird, werden ckeln können, und Ihnen hilft, die richtigen Lern- sich Wettbewerbsvorteile verschaffen. angebote zu finden, um diese Fähigkeiten schnell zu verbessern. Durch die Konzentration auf Tech- Hierarchie muss neu gedacht werden, nologien und Strategien, die menschliche Be- wenn sich die Organisation entflechtet schäftigte aufwerten, gewinnt die Belegschaft des Unser gegenwärtiger Ansatz zur Führung gro- Unternehmens ungeahnte Kräfte, die einen enor- ßer Organisationen von Beschäftigten in einer men Wettbewerbsvorteil bringen können. pyramidenförmigen Hierarchie stammt genau genommen noch vom preußischen Heer, als Maschinelles Lernen das Bewegen von Menschen und Maschinen und KI werden Arbeit die strikte Befolgung von Befehlen durch alle Zwangsläufig werden sich jedoch die Grenzen Dienstgrade erforderte. In einer Zeit, in der das zwischen Technologie und Mensch immer wei- wesentliche Kommunikationsmittel eine Brief- ter verwischen. Über die strategischen Fragen für taube war, bestand die einzige Möglichkeit, die Menschen und Arbeit hinaus werden sich Un- genaue Übermittlung von Nachrichten sicherzu- ternehmensstrategen zunehmend damit ausei- stellen, darin, Gehorsam gegenüber einer hierar- nandersetzen müssen, dass Software eine Reihe chischen Kommandostruktur zu verlangen. neuer Aufgaben übernimmt und zunehmend wie Menschen anmutet. In unserem Blockchain-fä- Doch in einer Ära allgegenwärtiger Kommu- higen Arbeitsprozess wird davon ausgegangen, nikationstechnologien, die auf Anhieb den Glo- dass der externe Mitarbeiter ein Mensch ist. bus umspannen, und Software, die zunehmend Doch was ist, wenn nicht? eine Vielzahl von Geschäftsprozessen durch- dringt, gewährleisten Organisationshierarchien Heute ist oft von Bots die Rede, morgen kön- nicht länger die bestmögliche Nutzung von Un- nen sie KI-Begleiter sein, und schließlich werden ternehmensressourcen. Stattdessen sind flexible sie zum Kollegen KI. Die Fähigkeit von Software, Arbeitsgruppen, die sich dynamisch um exter- die Aktivitäten und Interaktionen von Menschen ne und interne Probleme kümmern, das größte zu simulieren, wird dazu führen, dass herkömm- menschliche Kapital, das ein Unternehmen haben liche Prozesse zur Bestätigung des Menschseins kann. Anstatt sich ein solches sich selbst organi- eines Akteurs – von einfachen Mechanismen sierendes Unternehmen als Hierarchie vorzustel- wie Captchas bis zu komplexen Challenge-Res- len, sollten Sie es sich stattdessen als ein Netz von ponse-Sequenzen – unsicherer werden. In eini- Netzwerken vorstellen, bei dem Venn-Diagram- gen Fällen werden diese neuen Software-Akteure me von Arbeitsgruppen sich überschneiden, wäh- begrüßt und bewusst in Arbeitsabläufe integriert. rend sie die im Unternehmen anfallende Arbeit In anderen Fällen werden es dagegen autonome leisten. In der digitalen Arbeitswelt wird sogar das Systeme sein, die die Sicherheit des Unterneh- Unternehmen selbst entflochten. mens untergraben wollen. Herauszufinden, mit wem man es zu tun hat, wird zu einer unterneh- Die digitale Arbeitswelt und merischen Kernkompetenz. ihre Folgen für die Sicherheit In der schönen neuen Welt der entflochtenen Ar- Tatsächlich werden diese Technologiekom- beit, in der eine zunehmende Menge an mensch- ponenten – von KI-Anwendungen bis zu Robo- licher Aktivität von Technologie durchdrungen tern – zunehmend als „Identität“ mit bekannten wird, ist ein großer Umdenkprozess erforderlich. Kompetenzen und Fähigkeiten zur Entschei- dungsfindung wahrgenommen. Sie werden als Der Grundpfeiler der Mensch-basierten Si- Teil der kumulierten Unternehmenstechnologien cherheit, die digitale Identität, bringt in der digi- fungieren, zunehmend autonomer arbeiten und talen Arbeitswelt eine Reihe neuer Konsequenzen mehr Komplexität schaffen, da die Interaktionen mit sich. Der traditionelle Kontext von Angestell- zwischen unabhängigen Programmen unvorher- ten umfasste zwar bereits eine Vielzahl von Rol- sehbare Interaktionen erzeugen. Unternehmen, len in der Organisation und damit eine Vielzahl die diese Komplexität antizipieren und flexible von Sicherheitsmodellen, doch bedeutet die neue Strategien entwickeln können, um Software zu Vielfalt alternativer Arbeitsbeziehungen, dass die Cyber-Sicherheit und die Zukunft der Arbeit 79
Sicherheitsstruktur von Unternehmen mehr Fle- völlig neuen Ansatz für Vertrauen in der Arbeits- xibilität und Umfang als je zuvor benötigt. welt fördern. Entscheider in der IT und anderen Geschäftsbereichen müssen ein umfassendes Ver- Wie sieht die Palette der Aktivitäten und Rol- ständnis aller relevanten Vertrauenskontexte ent- len der Mitarbeiter aus und wie werden ihre Zu- wickeln – von der physischen Sicherheit bis zum griffsberechtigungen festgelegt? Wer entscheidet, digitalen Datenzugriff und für eine Reihe poten- wann und wie ein neuer Mitarbeiter in die Infor- zieller Interessengruppen, die viel umfassender mationsstruktur des Unternehmens eingebunden sind als je zuvor. wird? Wie werden Entscheider in Unternehmen die Zusammenlegung von Zugriffsrechten über Strategien für Sicherheit mehrere Projekte und Regionen hinweg bestim- in der digitalen Arbeitswelt men? Wie laufen Berechtigungen, die für Be- Indem Unternehmen die sicherheitstechnischen schäftigte in flexiblen Arbeitsverhältnissen nur Herausforderungen der digitalen Arbeitswelt mit für eine bestimmte Zeit gelten sollen, automa- dynamischen Prozessen und Richtlinien lösen, tisch aus und werden entzogen? Wie können können sie flexibel und anpassungsfähig sein. Unternehmen entscheiden, ob einem Personal- Diese Herausforderungen zu ignorieren bedeu- vermittler, ob menschlich oder nicht, vertraut tet bestenfalls, dass es das Unternehmen nicht werden kann? schafft, Problemlöser in den Prozess zu inte- grieren, mit dem es für die Kunden Mehrwert Dies sind nur einige der Fragen zur Si- schafft. Das bringt dem Unternehmen einen cherheit, die sich in der neuen Welt der Arbeit enormen Wettbewerbsnachteil. Schlimmsten- stellen. Unternehmen, die in Strategien zur Be- falls bedeutet es, dass eine erheblich vergrößerte rücksichtigung dieser sich dynamisch verändern- Angriffsfläche geschaffen wird, die für jedes Un- den Sachverhalte investieren, werden weitaus ternehmen ein exponentielles Risiko darstellt. besser darauf vorbereitet sein, neue arbeitsbezo- gene Technologien zu verstehen und zu nutzen. Diese Faktoren sind besonders wichtig: Wenn dynamische Arbeitsverträge beispiels- • Eine flexible Infrastruktur für Identität: weise auf Blockchains basieren, müssen Strategen Identitätsdatenmodelle für Unternehmen für Unternehmenssicherheit umfassend darüber müssen kontinuierlich ermöglichen, dass informiert sein, wie digitales Vertrauen transfor- neue Akteure und Rollen schnell definiert, miert wird. Im besten Fall werden Vertragspro- bereitgestellt und verteilt werden können. zesse, die die schnelle, neue Lösungsentwicklung Aber diese Rollen müssen auch dynamisch und den reibungslosen Zahlungsverkehr unter- verwaltet werden, und zwar mit automatis- stützen, neue Möglichkeiten bieten, auf neuen ierter Aufsichtsführung und automatisiertem Märkten zu bestehen und gleichzeitig ein hohes Ablaufen der Rechte. Maß an Vertrauen und Kontrolle zu wahren. Im schlimmsten Fall bergen Blockchain-basierte Ar- • Eine umfassende Infrastruktur für das beitsprozesse jedoch völlig neue Risiken und er- Definieren und Verwalten von Daten: öffnen Sicherheitslücken, durch die sensible Die durchschnittliche jährliche Datenwach- Informationen und andere digitale Ressourcen stumsrate wird für die absehbare Zukunft schnell gefährdet sein können. auf 40 % geschätzt. Datenverwaltungsricht- linien müssen sich weiterentwickeln und Tatsächlich werden diese neuen Technolo- anpassen, da Unternehmensdatenbestände gien das Verständnis von Vertrauen in Unter- eine atemberaubende Größe erreichen und nehmen grundlegend verändern, und zwar auf zunehmend global verteilt werden. Sicher- allen Ebenen. Unabhängig davon, ob die Bezie- heitsrichtlinien von Unternehmen müssen hung so einfach ist wie die Bestätigung, dass eine auch berücksichtigen, dass sich Gesetze und E-Mail-Nachricht wirklich von einer bestimm- Vorschriften wahrscheinlich weltweit ändern ten Person gesendet wurde, oder so komplex wie werden und Daten bedarfsabhängig verwal- eine Reihe von komplizierten Zahlungsüberwei- tet, abgesichert und gelöscht werden müssen. sungen unter Verwendung einer Digitalwäh- rung, werden exponentielle Technologien einen 80 Wie Arbeitsanforderungen und ethische Verantwortung ineinandergreifen
• Eine größere, umfassendere und strategi- Portfolio digitaler Vermögenswerte kompe- schere Rolle für das Vertrauensmanage- tent zu betreuen. ment: Das Vertrauensmanagement wird sich zunehmend zu einem ganz eigenen Spiel- Fazit feld entwickeln. Das dynamische Manage- Der Übergang zu einer digitalen Arbeitswelt ist ment von Vertrauen und Werttransfer über nicht nur unvermeidlich, sondern bereits Reali- Open-Ledger-Plattformen, wie zum Beispiel tät. Eile ist geboten. IT- und Geschäftsbereichs- Blockchain, wird sich durchsetzen. Die Fä- leiter in Unternehmen müssen die dramatischen higkeit, komplexe Vertrauensinteraktionen Veränderungen der Mitarbeiterstruktur verste- zwischen Unternehmen zu verstehen, zu kon- hen, um nicht unvermeidlich ins Chaos gestürzt zipieren und umzusetzen, wird zu den Kern- zu werden. Diejenigen, die dies ignorieren, wer- kompetenzen von Unternehmen gehören. den im Wettlauf um die Nutzung neuer Tech- nologien, die verändern, wo, wann und wie wir • Enge, reibungslose Integration zwischen arbeiten, auf der Strecke bleiben. Cyber-Sicherheit und Geschäftsbetrieb: Da die Art und Weise, wie der Werttrans- Doch in dieser Übergangsphase eröffnen sich fer erfolgt, die Grenzen zwischen IT und Entscheidern in Unternehmen eine Reihe von den operativen Bereichen des Unterneh- Möglichkeiten, die ein breites Spektrum von mens verwischt, müssen Entscheider in IT-, Wettbewerbsvorteilen schaffen können. Die Ar- Cyber-Sicherheits- und anderen Geschäfts- beitswelt verändert sich dramatisch. Unterneh- bereichen zusammenarbeiten, um die digi- menslenker werden feststellen, dass der richtige talen Vermögenswerte des Unternehmens Umgang mit einem dynamischen, flexiblen und bestmöglich zu verwalten. Experimentieren umfassenden Sicherheitsbereich für einen enor- Sie mit der Bezahlung und dem Verkauf von men wirtschaftlichen Mehrwert sorgen kann. So Produkten und Dienstleistungen über Mi- sind Unternehmen in der Lage, neue Geschäfts- kro-ICOs, um sich mit neuen Formen des chancen, die von exponentiellen Technologien Werttransfers vertraut zu machen. Dies wird beflügelt werden, rasch zu nutzen. das Unternehmen in die Lage versetzen, ein Cyber-Sicherheit und die Zukunft der Arbeit 81
ARBEIT KANALISIERT MENSCHLICHE ENERGIE Eine Warnung an Entscheider in Unternehmen: Der Übergang zu einer digitalen Arbeitswelt bringt eine große Verantwortung mit sich. Im Grunde genommen ist Arbeit kanalisierte menschliche Energie. Da Technologie jedoch die Fähigkeit hat, einen zunehmenden Prozentsatz der von Menschen verrichteten Aufgaben zu automatisieren, haben Entscheider in Unternehmen, die auf eine Senkung der Arbeitskosten abzielen, eine schwierige Entscheidung zu treffen. Dieses Dilemma lässt sich in eine einfache Frage fassen: Wenn Sie alle Aufgaben im Unternehmen automatisieren und jeden einzelnen Menschen ersetzen könnten, würden Sie das tun? Die Frage ist nicht rein theoretisch. Die allgemeine Besorgnis hinsichtlich der Zukunft der Arbeit kreist vor allem um das Potenzial von Robotern und Software, einen Großteil der früher von Menschen ausgeführten Aufgaben zu übernehmen. Doch nur zu überlegen, wie die Kosten menschlicher Arbeit gesenkt werden können, geht am Problem vorbei. Anstatt Arbeit als Kostenstelle zu betrachten, müssen Unternehmensverantwortli- che die unglaublichen Möglichkeiten erkennen, die sie ihren Mitarbeitern eröffnen, wenn diese – von profanen Aufgaben befreit – neue Wege zur Wertschöpfung für das Unternehmen und seine Kunden einschlagen können. Das menschliche Potenzial zur Problemlösung zu steigern und vielfältig wahrzunehmen wird eine entscheidende Fähigkeit dynamischer Unternehmen sein. 82 Wie Arbeitsanforderungen und ethische Verantwortung ineinandergreifen
12 Die Ethik von Technologie und die Zukunft der Menschheit Gerd Leonhard – Autor; Führungskraft „Future Trainer“; Stratege; Chief Executive Officer, The Futures Agency Die nächsten 20 Jahre werden • Naniten in Ihrem Blutkreislauf überwachen mehr Veränderungen mit sich und regulieren sogar den Cholesterinspiegel. bringen als die letzten 300. • Augmented-Virtual- oder Mixed-Reality- Wenn Ihnen diese Aussage abwegig vorkommt, Geräte, die wie eine normale Brille oder denken Sie bitte daran, dass wir gerade eine sogar Kontaktlinsen aussehen und Ihnen kritische Schwelle überschreiten, die bis dato im Handumdrehen einen schnellen Zugang unvorstellbar war. Technologie verändert nicht zum Wissen der Welt ermöglichen. mehr nur unsere Umgebung, das heißt, was um uns herum oder außerhalb von uns ist oder wel- • Die Möglichkeit, Ihren Neokortex direkt mit che Hardware wir verwenden. Auch ist sie nicht dem Internet zu verbinden und Gedanken in mehr bloß ein Werkzeug. Technologie ist auf Taten umzusetzen oder aufzuzeichnen, was dem besten Weg, eine kreative Kraft zu werden Sie denken. – und auch eine Denkmaschine. • Das Entwickeln einer Beziehung mit Ihrem Technologie ist im Begriff, in uns hinein- digitalen Assistenten oder Roboter, weil er so zugelangen, wodurch sich sehr bald verändern real, so überaus menschlich erscheint. wird, wer wir sind und was es bedeutet, ein Nichts davon ist so weit entfernt, wie Sie Mensch zu sein. All dies, wie einige meiner Futuristenkollegen gerne sagen, soll es uns vielleicht denken, und die gesellschaftlichen, ermöglichen, „die Grenzen des Menschseins zu kulturellen, menschlichen und ethischen Aus- transzendieren“. wirkungen werden schwindelerregend sein. Es liegt auf der Hand, dass wir uns heute schon auf Wenn intelligente Maschinen Routineauf- diese Herausforderung vorbereiten müssen, sonst gaben für uns erledigen sollen, müssen wir sie sind wir für diese neuen Gegebenheiten nicht trainieren, unterrichten, mit uns verbinden, also gewappnet. Wenn wir nicht in der Lage sind, in Wirklichkeit digitale Kopien von uns selbst eine gemeinsame Ethik des digitalen Zeitalters anfertigen und unser Wissen (und möglicher- klar zu definieren und zu artikulieren, laufen wir weise einiges unserer einzigartigen menschlichen Gefahr, dass eine ungehinderte technologische Intelligenz) in die Cloud klonen. Das wird nicht Expansion nicht nur gefährlich wird, sondern nur uns, sondern auch unsere Sichtweise auf das auch dazu führt, dass wir das Wesen unse- verändern, was wir sind, was wir sein könnten rer Existenz infrage stellen: Was ist es, was uns und was die Maschinen sind. Und das ist nur menschlich macht? der erste Schritt. Versuchen Sie, sich Folgendes vorzustellen: 83
Definition von Ethik etwa eine Billion Geräte im IoT geben wird. Ehe wir uns weiter damit befassen, warum Ethik Erweiterte Intelligenz ist wirklich zur künst- für Technologie für unsere Zukunft entscheidend lichen Intelligenz geworden, und mindestens ist, sollten wir zunächst versuchen zu definie- 80 % der 10 Milliarden Erdlinge sind mit hoher ren, was Ethik eigentlich ist. In Anlehnung an Geschwindigkeit über erschwingliche Geräte, Potter Stewart, ehemaliger Richter am Obers- Wearables und digitale Assistenten und Roboter ten Gerichtshof der USA, schlage ich folgende vernetzt, mit denen wir kommunizieren kön- Arbeitsdefinition vor: nen, als ob wir mit guten Freunden sprächen. Wenn man die Gentechnik und die rasche Ver- Ethik bedeutet, den Unterschied schmelzung von Technologie und Biologie dieser zu kennen zwischen dem, Gleichung hinzufügt, sind die Möglichkeiten buchstäblich grenzenlos (siehe Seite 89) wozu man ein Recht oder die Macht hat, es zu tun, und dem, was richtig ist. Exponentielles Denken wird daher zu einem erfolgskritischen Faktor, sowohl zur Wahr- Wenn wir diese Definition akzeptieren und nehmung von Chancen als auch zur Vorher- auf das anwenden, was in den nächsten 10 Jah- sage und Bewältigung der daraus resultierenden ren auf uns zukommt, können wir rasch eine ethischen Herausforderungen und moralischen ernsthafte Herausforderung erkennen. Dilemmas. Die Zukunft ist exponentiell, Perfekte Bedingungen für konvergierend und kombinatorisch kombinatorische Kräfte – wie auch die daraus resultierenden Noch wichtiger ist jedoch, dass die wahre Her- ethischen Herausforderungen ausforderung für die Menschheit in der Tatsache Im Moment befinden wir uns an der Schwelle begründet ist, dass sich all diese Technologien zu exponentiellem Fortschritt. Ab jetzt ist der zwar exponentiell entwickeln, aber auch traditi- Wandel nicht mehr allmählich, sondern rasant, onell von einander unabhängige Industrien (und und zwar in nahezu allen wissenschaftlichen und die zugrunde liegenden Wissenschaften) ver- technologischen Bereichen wie Quanten-, 3D-, schmelzen lassen. Diese sogenannten Megaver- Nano- und Biotechnologie, Cloud-Compu- schiebungen wie Datafizierung, Kognifizierung, ting, Hyperkonnektivität und dem Internet der Automatisierung und Virtualisierung (siehe Dinge (IoT), KI, Geo-Engineering, Solarenergie, megashifts.com) verbinden sich bereits mitei- 3D-Druck, autonome Fahrzeuge und so ziem- nander und ergeben völlig neue Möglichkeiten lich allem anderen. und Herausforderungen. Darüber hinaus ist bei den meisten die- Diese verschmelzenden und kombinatori- ser exponentiellen Technologien ein doppelter schen Kräfte bilden perfekte Bedingungen für Zweck denkbar, das heißt, sie können sowohl für immensen Fortschritt mit enormen Heraus- unglaubliche, positive Innovationen als auch für forderungen, der über Technologie und Wirt- böswillige Vorhaben eingesetzt werden. Der Sci- schaft hinausgeht und sich auf Gesellschaft, ence-Fiction-Autor William Gibson, der weithin Kultur und Menschheit als Ganzes auswirkt. als bahnbrechender Cyber-Punk bekannt ist, sagt gerne: „Technologie ist moralisch neutral, bis wir Auf die nächste Generation sie anwenden.“ von Einhörnern vorbereiten Wenn wir uns anschauen, welchen Erfolg die Stellen wir uns einmal unsere Welt in nur Einhörner (das heißt jene Unternehmen mit 10 Jahren vor – etwa 50- bis 100-mal so weit einer Marktbewertung vor einem Börsengang fortgeschritten – eine Welt, in der, was heute oder Exit von über 1 Mrd. US-Dollar, wie zum noch Science-Fiction ist, Realität geworden ist. Beispiel Uber, Xiaomi, Palantir, Airbnb und Spo- Es ist wahrscheinlich eine Welt, in der buch- tify) in den letzten sieben Jahren praktisch in stäblich jeder und alles um uns herum vernetzt, Lichtgeschwindigkeit erzielt haben, können wir beobachtet, aufgezeichnet, gemessen und ver- bereits Beispiele für das Paradigma exponentiell folgt wird. Ich gehe davon aus, dass es bis dahin 84 Wie Arbeitsanforderungen und ethische Verantwortung ineinandergreifen
– kombinatorisch – konvergierend erkennen. Und rasanten Tempo Schritt halten. Ohne diese Vor- das ist nur der Anfang. aussetzungen wird ungehindertes und damit gesellschaftlich destruktives Wachstum immer Das Geschäftsmodell von Spotify beispiels- gefährlicher und verhängnisvoller. weise wurde nur durch exponentiellen und kom- binatorischen technologischen Wandel möglich: Es liegt auf der Hand, dass wir uns heute Das Streamen von 20 Mio. Titeln an 150 Mio. schon auf diese Herausforderung vorbereiten Nutzer ist heute machbar, da günstige, aber den- müssen, sonst sind wir für diese neuen Gegeben- noch leistungsfähige Smartphones an schnelle heiten nicht gewappnet. Die Wirtschaft sollte Mobilfunknetze angeschlossen sind. Außerdem hier eine Vorreiterrolle übernehmen. Gleiches gibt es nun neue Möglichkeiten der Online-Zah- gilt für sachkundige Politiker und Beamte. Wer lung, künstliche Intelligenz und Algorithmen auch immer Vordenker in diesen heiklen Fragen zur Erstellung von Playlists und nicht zuletzt ist, wird einflussreicher sein als der große Warren einen ausreichenden Marktdruck auf die Plat- Buffett in Anlagefragen. tenfirmen, die Lizenzen bereitzustellen. Es ist in diesem Zusammenhang sehr aufschlussreich fes- Donald Ripley im Film Powder von 1995: tzustellen, dass Spotify eigentlich keine Musik „Es ist erschreckend deutlich geworden, mehr verkauft, sondern Bequemlichkeit, Infor- dass unsere Technologie mationen, Schnittstellen und Kuratierung – das unsere Menschlichkeit überholt hat.“ Ergebnis eines konvergierenden und exponenti- ellen Ausblicks auf die Zukunft, der anscheinend Jede Erweiterung ist auch eine immer für Outsider der Branche reserviert ist. Amputation – aber was sollten wir nicht amputieren? Airbnb ist ein weiteres Paradebeispiel. Das Marshall McLuhan sprach darüber in seinem Unternehmen verfügt über eine riesige, globale wegweisenden Buch Medien verstehen von 1964, Nutzerdatenbank mit Angeboten für kurzfristige und es hört sich in der heutigen Zeit sogar noch Vermietungen, die vor allem auf Mobilgeräten zutreffender an: Jede technologische Erweite- abgerufen werden. Es arbeitet mit intelligen- rung unseres Selbst ist auch eine Amputation ter Bewertungs- und Preisfindungstechnologie eines anderen Teils von uns (oder einer anderen (KI, wenn Sie so wollen), hat soziale Medien in Erweiterung). sein System integriert, bietet digitale Zahlungs- optionen und wurde durch den Aufstieg der Sha- Wenn wir weiterhin engere Beziehungen mit ring Economy beflügelt. Zusammengenommen unseren Bildschirmen haben als mit anderen ergibt das ein Wachstum mit geradezu futuristi- Menschen, wenn wir tatsächlich „menschliche scher Geschwindigkeit. Grenzen überschreiten“, indem wir unser Leben in erweiterten oder virtuellen Räumen ver- Während diese technologischen Innovatio- bringen, oder wenn wir unsere neuronalen Netz- nen allesamt vorwiegend positive Entwicklungen werke direkt mit einer KI in der Cloud verbinden darstellen, die unser Leben oft bereichern, müs- sollen, dann werden wir sicherlich viele Dinge, sen wir uns darauf gefasst machen, dass uns die uns als Menschen ausmachen, verlieren, also dies bevorsteht: neue Superstar-, exponentielle amputieren. Ich bin der festen Überzeugung, dass und Einhorn-Unternehmen, die KI und Bio- wir mit dieser Konsequenz rechnen müssen. technologie kombinieren und so das völlige Verschmelzen von Technologie und Biologie Wir werden menschliche Wesenselemente erreichen bzw. KI, Nanotechnologie, Material- verlieren, wie etwa Emotionen (die von Com- wissenschaft und Werkstofftechnik vereinigen. putern nachgeahmt werden können, aber für diese grundsätzlich unverständlich sind), Ethische Rahmenbedingungen Unvollkommenheiten (intelligente Maschi- – die Dringlichkeit verstehen nen tolerieren keine Fehler), Überraschungen Die Aussicht auf ein solches exponentielles und Glücksfälle (Maschinen erfreuen sich Wachstum stellt uns jedoch vor ein weiteres daran nicht) und Geheimnisse (Maschinen ver- Dilemma. Wir müssen jetzt dringend ethische abscheuen sie). Rahmenbedingungen schaffen, die mit diesem Die Ethik von Technologie und die Zukunft der Menschheit 85
EMOTIONEN INTUITION KREATIVITÄT MITGEFÜHL VORSTELLUNGSKRAFT GEHEIMNIS ETHIK WERTE EMPATHIE BEWUSSTSEIN Im Allgemeinen würde es fast unmöglich Sicherheit, Governance, Macht). Mit anderen werden, das beizubehalten, was ich als „Andro- Worten geht es letztendlich um Ethik. Dies ist rhythmen“ bezeichne, also all die Dinge, die ein entscheidender gesellschaftlicher Wandel, der uns tatsächlich zu Menschen machen. Am Ende durch exponentielle, konvergierende und kom- sind wir vielleicht auf viele verschiedene Arten binatorische Veränderungen verursacht wird. erweitert, aber unsere grundlegenden mensch- lichen Ausdrucksmöglichkeiten könnten dabei Sind Sie bereit für eine Verlagerung von schließlich abgeschnitten sein. Wir wären zwar einem Schwerpunkt auf Wissenschaft und tech- extrem intelligent, aber völlig entmenschlicht. nische Machbarkeit zu einem Schwerpunkt auf Das kommt mir nicht sehr attraktiv vor. Sinn, Zweck und menschliche Steuerung? Wer entscheidet, wovon wir uns bedenkenlos Was hat digitale Ethik mit Sicherheit trennen können – zum Beispiel von der Möglich- zu tun? Das Streben zum Mond keit, Karten zu lesen oder ein Auto selbst zu fah- bei der digitalen Ethik ren? Wer zieht die Grenzen, ab denen wir nicht Meiner Meinung nach kann technologische mehr menschlich sein werden? Wer fungiert als Sicherheit nur so gut sein wie die moralischen, Kontrollinstanz für Menschlichkeit? ethischen und politischen Rahmenbedingungen, die sie umgeben und definieren. Die modernste Ein Upgrade für die Ethik Sicherheitstechnologie ist nutzlos, wenn die- – von wann und ob zu warum und wer jenigen, die den Schlüssel besitzen und ihn Im Endeffekt bewegen wir uns, was Techno- gebrauchen, unethisch, mit böser Absicht oder logie betrifft, nun in eine völlig andere Ära. grob fahrlässig handeln. Genau die Technologie, Irgendwann in den nächsten fünf bis zehn Jah- die zum Schutz von Verbrauchern und Nutzern ren wird es nicht mehr darum gehen, ob wir eingesetzt wird, kann auch dazu missbraucht etwas tun können, das heißt, wie sehen tech- werden, diese auszuspionieren. Einige der poten- nische Machbarkeit, Kosten oder Zeit aus, ziell nützlichsten Technologien, wie zum Bei- kann etwas umgesetzt werden, wird es tatsäch- spiel das IoT, können eingesetzt werden, um lich funktionieren, wie teuer wird es sein, und das größte und leistungsfähigste Panoptikum zu wie wird damit Geld verdient? Vielmehr geht erschaffen, das je gebaut wurde. es dann darum, warum wir es tun (Kontext, Zweck, Werte, Ziele) und wer es tut (Kontrolle, Es wird daher nicht ausreichen, einfach die technologische Leistungsfähigkeit zu verbessern, 86 Wie Arbeitsanforderungen und ethische Verantwortung ineinandergreifen
Search
Read the Text Version
- 1
- 2
- 3
- 4
- 5
- 6
- 7
- 8
- 9
- 10
- 11
- 12
- 13
- 14
- 15
- 16
- 17
- 18
- 19
- 20
- 21
- 22
- 23
- 24
- 25
- 26
- 27
- 28
- 29
- 30
- 31
- 32
- 33
- 34
- 35
- 36
- 37
- 38
- 39
- 40
- 41
- 42
- 43
- 44
- 45
- 46
- 47
- 48
- 49
- 50
- 51
- 52
- 53
- 54
- 55
- 56
- 57
- 58
- 59
- 60
- 61
- 62
- 63
- 64
- 65
- 66
- 67
- 68
- 69
- 70
- 71
- 72
- 73
- 74
- 75
- 76
- 77
- 78
- 79
- 80
- 81
- 82
- 83
- 84
- 85
- 86
- 87
- 88
- 89
- 90
- 91
- 92
- 93
- 94
- 95
- 96
- 97
- 98
- 99
- 100
- 101
- 102
- 103
- 104
- 105
- 106
- 107
- 108
- 109
- 110
- 111
- 112
- 113
- 114
- 115
- 116
- 117
- 118
- 119
- 120
- 121
- 122
- 123
- 124
- 125
- 126
- 127
- 128
- 129
- 130
- 131
- 132
- 133
- 134
- 135
- 136
- 137
- 138
- 139
- 140
- 141
- 142
- 143
- 144
- 145
- 146
- 147
- 148
- 149
- 150
- 151
- 152
- 153
- 154
- 155
- 156
- 157
- 158
- 159
- 160
- 161
- 162
- 163
- 164
- 165
- 166
- 167
- 168
- 169
- 170
- 171
- 172
- 173
- 174
- 175
- 176
- 177
- 178
- 179
- 180
- 181
- 182
- 183
- 184
- 185
- 186
- 187
- 188
- 189
- 190
- 191
- 192
- 193
- 194
- 195
- 196
- 197
- 198
- 199
- 200
- 201
- 202
- 203
- 204
- 205
- 206
- 207
- 208
- 209
- 210
- 211
- 212
- 213
- 214
- 215
- 216
- 217
- 218
- 219
- 220
- 221
- 222
- 223
- 224
- 225
- 226
- 227
- 228
- 229
- 230
- 231
- 232
- 233
- 234
- 235
- 236
- 237
- 238
- 239
- 240
- 241
- 242
- 243
- 244
- 245
- 246
- 247
- 248
- 249
- 250
- 251
- 252
- 253
- 254
- 255
- 256
- 257
- 258
- 259
- 260
- 261
- 262
- 263
- 264
- 265
- 266
- 267
- 268
- 269
- 270
- 271
- 272
- 273
- 274
- 275
- 276
- 277
- 278
- 279
- 280
- 281
- 282
- 283
- 284
- 285
- 286
- 287
- 288
- 289
- 290
- 291
- 292
- 293
- 294
- 295
- 296
- 297
- 298
- 299
- 300
- 301
- 302
- 303
- 304
- 305
- 306
- 307
- 308
- 309
- 310
- 311
- 312
- 313
- 314
- 315
- 316
- 317
- 318
- 319
- 320
- 321
- 322
- 323
- 324
- 325
- 326
- 327
- 328
- 329
- 330
- 331
- 332
- 333
- 334
- 335
- 336
