Die Angriffe auf die Handelskette Target und den US-Finanzdienstleister Equifax haben in den letzten Jahren verdeutlicht, dass massive Datenleaks auch direkt die Managementebene treffen können. In Nordamerika führten nach Erhebungen von Kaspersky 32 Prozent der Datenschutzverletzungen in Unternehmen dazu, dass ein CEO, Präsident oder Manager auf C-Level seinen Posten räumen musste. Keine guten Aussichten, vor allem weil weltweit fast die Hälfte aller Unternehmen 2018 mit mindestens einer Datenpanne zu kämpfen hatte.
Silos abbauen und Verantwortlichkeit teilen
In der Theorie sind sich Führungskräfte der Notwendigkeit von Digital Risk Management durchaus bewusst. Doch die komplexen technischen Details zu Sicherheitsfragen fallen nicht zwangsläufig in ihr Aufgabengebiet. Zudem macht es die hochdynamische Bedrohungslandschaft schwierig zu bestimmen, wie groß das Risiko für das eigene Unternehmen tatsächlich ist. Umgekehrt kann die IT-Sicherheit bei ihrer Arbeit die übergeordnete Risikostrategie eines Unternehmens nicht täglich neu definieren. Hier liegen die Prioritäten woanders: Kaspersky steht das "Business Risk Improvement" sogar an letzter Stelle, deutlich hinter Systemausfallzeiten (62%), Wiederherstellungszeiten (57%) und Reaktionszeiten (56%).
Digitales Risikomanagement fällt nicht in den Verantwortungsbereich einer einzigen Abteilung. Besonders hinsichtlich des immer strengeren regulatorischen Umfelds, ist jeder Versuch eines Risikomanagements ohne das Einbeziehen von Rechts-, Betrugs- und Compliance-Teams zum Scheitern verurteilt. Das Integrierte Risikomanagement (IRM) beispielsweise koppelt Sicherheitsrisiken eng an Geschäftsrisiken, um die Frage der Sicherheit zu einer Frage des Unternehmenserfolgs zu machen. Auch ein von McKinsey & Company erarbeitetes Framework schlägt eine strategische Partnerschaft zwischen C-Level-Rollen (insbesondere CISOs, CIOs, CROs) vor.
Das Perimeter ist tot
Neben dieser strategischen Neuauslegung ist auch eine breitere Sichtweise auf digitale Risiken dringend nötig. Wie schön wäre es, wenn sich das Perimeter klar definieren ließe und sich alle Daten geschützt und übersichtlich in den eigenen vier Unternehmenswänden befänden. Die Realität sieht leider anders aus. Das physische Netzwerk bestimmt längst nicht mehr die Unternehmensgrenzen. Und genau die Daten, die es zu schützen gilt, werden oft unbewusst über Partner, Zulieferer und Dritte via Social Media, mobile Geräte oder Cloud im Netz verbreitet. Um hier Transparenz zu schaffen, sollten CIOs sich mit vier zentralen Fragen auseinandersetzen.
1. Welche kritischen Assets in meinem Unternehmen gilt es zu schützen?
Zu verstehen, was im Unternehmen ein geschäftsentscheidendes Asset ist, kann von Fall zu Fall variieren. Für ein Technologie- oder Pharma-Unternehmen zählen dazu Patente und geistiges Eigentum, während für ein Handelsunternehmen Produktmarkennamen und Online-Shops im Vordergrund stehen. Eine Investmentbank wiederum setzt die anstehende Fusion oder Übernahme ganz oben auf die Prioritätenliste.
Wie auch immer die Assets im Einzelfall aussehen: Werden sie öffentlich und damit angreifbar, sind Umsatzeinbußen, Reputationsschäden und Wettbewerbsnachteile die Folge. Cyberkriminelle nutzen alle Informationen, die sie finden können, um ihren nächsten Angriff zu planen: von geleakten Login-Daten zur Übernahme von Mitarbeiterkonten über CIs zum Erstellen von Fake-Webseiten und Phishing-Attacken bis hin zu bekannten Vulnerabilities in der externen Infrastruktur. Eine gute Übung ist es, sich in die Rolle eines Angreifers zu versetzen: Welche sensiblen Daten gibt es im Unternehmen? Und wie könnten diese ausgenutzt werden?
2. Wie sehen die Bedrohungen für mein Unternehmen aus?
Welche Ziele tatsächlich ins Visier genommen werden, hängt stark von den oft sehr unterschiedlichen Absichten der Angreifer ab. Die Hackergruppe FIN7 zum Beispiel erbeutete in erster Linie Kreditkartendaten und nicht-öffentlichen Informationen. Der GRU (Russian Intelligence) sucht nach E-Mails, Analystenauswertungen und internen Dokumenten. Die Syrische Elektronische Armee (SEA) zielt auf Social Media Accounts.
Die Bedrohungslandschaft mit all ihren Akteuren und spezifischen Merkmalen zu kennen, ist ein wichtiger Schlüssel für die Risikobewertung. Threat Intelligence kann hier nützliche Informationen zum Verhalten von einzelnen Gruppierungen, ihrer Motivation und den von ihnen bevorzugten Taktiken, Techniken und Prozeduren liefern (TTPs). So können Organisationen Gegenmaßnahmen gezielt auf reale Bedrohungen ausichten und anpassen.
3. Wie angreifbar ist mein Unternehmen?
Wer glaubt, Cyberkriminellen keine Angriffspunkte zu bieten, sollte einen Blick über den Tellerrand seines Unternehmens werfen und sich im Open, Deep und Dark Web umsehen. Hier bietet sich Angreifern meist eine Fülle an nützlichen Informationen: Vertragspartner sichern firmeneigene Informationen auf falsch konfigurierten File-Sharing-Plattformen, Mitarbeiter posten stolz Bilder der neuesten Produktinnovation auf Social Media und Entwickler stellen den gerade programmierten Code auf Code-Sharing Seiten ein.
Das Ausmaß an öffentlich zugänglichen Informationen, die ungewollt im Netz landen, ist nicht zu unterschätzen: In mittelständischen Unternehmen finden sich durchschnittlich pro Jahr 290 Fake-Domains und Social-Media-Profile, 180 Risiko-Zertifikate, 84 ausnutzbare Vulnerabilities, 360 offene Ports und 100 öffentlich zugängliche Unternehmensdokumente. Hier gilt es, eine Vielzahl an Quellen zu überwachen und entsprechende Vorfälle aufzuspüren und die Angriffsfläche möglichst klein zu halten.
4. Wie kann ich mein Unternehmen schützen?
Schutz vor digitalen Risiken bedeutet nicht, Datenverlust gänzlich verhindern zu können oder eine unverwundbare Infrastruktur zu errichten. Das wäre auch gar nicht möglich. Ein Unternehmen vor digitalen Risiken zu schützen, heißt vielmehr, Datenverlust aufzudecken, die Angriffsfläche zu minimieren und so Risiken zu entschärfen ehe sie zu realen Bedrohungen werden. Je besser CIOs die Risikolage ihres Unternehmens kennen, desto besser sind sie für den Ernstfall gewappnet.
Wie das funktionieren kann, zeigt ein Fall von Phising-Webseiten. Die gefälschten Webseiten missbrauchen den Markennamen, um Kundendaten abzugreifen. Dem betroffenen Unternehmen kann das viel Geld kosten, zum Beispiel wenn verlorenes Kundenguthaben und betrügerische Transaktionen zurückzuerstatten sind. Einem Einzelhändler gelang es, eine solche gefälschte Webseite aufzuspüren und gemeinsam mit der Rechtsabteilung die betreffende Domain zu entfernen.
Ein Minenfeld an digitalen Risiken stellen auch Fusionen und Übernahmen dar, da sich die Angriffsfläche eines Unternehmens damit geradezu sprunghaft vergrößert. Ein großer Konzern setzte hier auf die kontinuierliche Überwachung seiner externen IP-Adressen und konnte so eine ungepatchte Anwendung in einem kürzlich erworbenen Unternehmen entdecken.
Fazit: Die digitale Transformation muss nicht zwangsläufig das Risiko für Unternehmen exponenziell erhöhen. Gelingt es Unternehmen, die Risiken ganzheitlich und auf Geschäftsebene zu managen, steht der Digitalisierung und damit der Wettbewerbsfähigkeit und Innovationskraft der Weg offen.