Verständnis für Risiken aus dem Cyber-Raum

veröffentlicht am 10. Januar 2018

Risikomanagementsystemen im Mittelstand fehlt es oft noch an Risiko-Elementen, die ihren Ursprung in der Informationstechnologie haben. Gerade oder besonders in Zeiten, in denen der Grad der Digitalisierung und Automatisierung stetig zunimmt, sollte man meinen, dass damit auch das Verständnis bezüglich der einhergehenden Gefahren zunimmt. Wir sind der Meinung, dass das Management den Gefahren u.a. auch über das Risikomanagementsystem begegnen sollte.

Aus unserer Beratungs- und Prüfungserfahrung können wir feststellen, dass Risiken, die sich auf die Informationstechnologie als solches beziehen, entweder in einem Risikomanagement ganz fehlen oder auf ein operatives Risiko mit Ursachen wie Brand und Wasserschaden reduziert sind.

Das heißt, dass die in den Unternehmen implementierten Schritte wie z.B. Risikoinventur, Risikoanalyse, Risikobewertung, Risikobegrenzung, von Beginn an solche Risiken, die sich aus

IT-gestützten Prozessen,
der zunehmenden Komplexität der eigenen IT-Infrastruktur,
der Vernetzung mit Geschäftspartnern und Kunden sowie
der Bildung von digitalisierten Geschäftsmodellen

ergeben, übersehen.

Dabei wird verkannt, dass die Gefahrenlage durch den Cyber-Raum mit rasanter Geschwindigkeit steigt und – was extrem wichtig ist – transparenter wird! Die Kenntnis über die „konkrete Gefahrenlage” ist kein Spezialwissen mehr.

Öffentlich zugängliche Cybersecurity-Ratings

Schon heute hat die lokale und überregionale Presse das Thema „Cyber-Security” auf dem ständigen Radar und berichtet generell und bei speziellen Vorfällen. Kaum wird ein neuer Angriff bekannt, wird analysiert, woher er kommt und welches Schadensmaß er beinhaltet. Sich darauf zurückzuziehen, man hätte nichts gewusst oder könnte die Gefahrenlage nicht richtig einschätzen, wird mit zunehmender Berichterstattung nicht funktionieren.

Noch kritischer wird es, wenn man feststellt, dass durch die grenzenlose Offenheit des Internets fast jeder Teilnehmer, also somit alle im Internet agierenden Unternehmen, in weiten Teilen im Netz transparent und somit beurteilbar sind.

Was heißt das? Man stelle sich das Internet wie ein Autobahnnetz vor. An jedem Autobahnkreuz kann jeder die Fahrzeuge (Datenpakete) und auch deren Eigentümer über das Kennzeichen (IP-Adresse) erkennen. Jeder erkennt den Anfangs- und Zielort. Die Ladung, der Fahrzeugtyp und weitere Informationen, so auch über den Fahrer, sind offen erkennbar. Und viele weitere Daten lassen sich erkennen.

Aus der Analyse von Videoaufzeichnungen und On-Bord-Systemen ist erkennbar, ob die Ladung gesichert oder das Fahrzeug überladen ist. Viele Daten würden sich zu interessanten Informationen verarbeiten lassen.

Und so gibt es im Internet zwischenzeitlich viele Services, die die frei zugänglichen „Nutzungsinformationen” der einzelnen Unternehmen sammeln und auswerten. Mit Blick auf Cybergefahren werden z.B. vermehrt Daten gesammelt, die ein Rating über die Cybersecurity der einzelnen Unternehmen ermöglichen. Da die IP-Adressen der Unternehmen öffentlich sind (sonst könnten sie nicht erreicht werden), können auch Rückschlüsse gezogen werden, wenn aus dem Adressraum Spam-Mails versendet werden oder Endgeräte Teil eines Bot-Netzes sind.

Solche Ratings werden zunehmend von Versicherungen oder von für das Unternehmen wesentliche Geschäftspartner genutzt, um dessen Resilienz beurteilen zu können.

Zwischenfazit: Mit zunehmender Nutzung hinterlässt jedes Unternehmen Spuren. Die Spuren können zur Beurteilung des Cybersicherheitsgrads verwendet werden. Das ist eine Transparenz ungeahnten Ausmaßes. Jedes Unternehmen sollte sich seines öffentlich zugänglichen Ratings bewusst sein.

Methodische Vorgehensweise

Für die Vorgehensweise in Bezug auf ein Risikomanagementsystem gibt es zwischenzeitlich gute Ansätze. Generell kann davon ausgegangen werden, dass es für die Unterlegung des Gesamtrisikos mit den klassischen Teilrisiken, wie

operationelle Risiken,
Marktrisiken,
Produktrisiken, etc.,

einer weit tiefergehenden Auseinandersetzung mit den Risiken aus der Digitalisierung bzw. Automatisierung bedarf.

Alleine der BSI-Standard 200-3 listet fast 50 IT-spezifische Risiken auf, die sich nicht allein auf elementare Risiken wie Feuer und Wasser beziehen.

Ein Auszug:

Ausspähen von Informationen/Spionage,
Diebstahl von Geräten, Datenträgern und Dokumenten,
Manipulation von Hard- und Software,
Identitätsdiebstahl,
Social Engineering, u.v.m.

Ähnliche Herangehensweisen bilden Frameworks aus dem Umfeld der Informationssicherheitsmanagementsysteme wie z.B. ISO/IEC 27001 oder ISIS12® ab. Auch die Datenschutzgrundverordnung (DSGVO) fordert eine eingehende Auseinandersetzung mit dem Risiko (hier natürlich in Bezug auf den Schutz personenbezogener Daten).

Dabei werden auf Basis einer eingehenden Aufnahme der Infrastruktur sowie der IT-Services die kritischen Applikationen oder Unternehmensprozesse identifiziert, welche aufgrund ihrer Bedeutung (für das Unternehmen, für den Datenschutz) besonders relevant sind.

Auf der Basis findet i.d.R. eine Auseinandersetzung mit den Risiken und deren Bewertung statt. Den Risiken wird entweder mit der

Vermeidung,
Verminderung/Begrenzung,
Transfer (z.B. Versicherung) oder
Akzeptanz

begegnet. Vermeidung und Verminderung setzen eine ausgiebige Auseinandersetzung mit den technischen und organisatorischen Möglichkeiten sowie mit den hier einhergehenden Kosten voraus.

Fazit

Hilfen für die Umsetzung gibt es genügend. Und eine Anreicherung des eigenen Risikomanagementsystems um die Gefahren aus der zunehmenden IT-Durchdringung dient auch der Sensibilisierung des Managements. Denn eines ist sicher: Die Gegenmaßnahmen müssen langfristig finanziert und somit in die Budgets bzw. Preise Einzug finden.