Foto: Andrea Vasco - shutterstock.com
Nach einer aktuellen Trend Micro-Studie haben 75 Prozent der Unternehmen in Deutschland im vergangenen Jahr Cyberangriffe erlitten. Am meisten Sorgen bereiten den Befragten der Verlust von Kundendaten, der unbefugte Zugang zu geistigem Eigentum und Finanzdaten, die Abwanderung von Kunden sowie beschädigte IT-Systeme. Dabei handelt es sich allesamt um die Folgen von Hackerattacken, die gezielt auf ERP-Systeme wie SAP oder Oracle - das Rückgrat der täglichen Betriebsabläufe - erfolgen. Sie können bei Unternehmen schnell hohe Kosten verursachen - und CFOs in den Krisenmodus stürzen. Nach einer Studie von IBM und Ponemon Institute büßen die Unternehmen pro Datenverstoß durchschnittlich 3,86 Millionen US-Dollar ein.
Noch größere finanzielle Verluste können Verstöße gegen aufsichtsrechtliche Vorschriften nach sich ziehen, deren Zahl und Komplexität von Jahr zu Jahr steigen. Eine der größten Herausforderungen für die Finanzverantwortlichen stellt die Europäische Datenschutz-Grundverordnung (EU-DSGVO) dar, die Datenschutzverletzungen mit Bußgeldern in Höhe von 4 Prozent des weltweit erzielten Jahresumsatzes oder 20 Millionen Euro belegt - je nachdem, welcher Betrag höher ist.
Lesetipp: Bußgeldkatalog - Die teuersten Datenschutz-Fails
Risikomanagement in 4 Schritten
Um solchen Schäden vorzubeugen, müssen die CFOs Compliance und Cybersicherheit konsequent zur Chefsache machen. Da ihnen die Ressorts IT und Risikomanagement meist ohnehin unterstehen, sind die organisatorischen Rahmenbedingungen dafür gegeben. CFOs sollten die entsprechenden Pflichten und Verantwortlichkeiten an die internen Compliance- und IT-Sicherheitsexperten delegieren. In enger Zusammenarbeit mit den Fachbereichen müssen die notwendigen Maßnahmen und Werkzeuge identifiziert und installiert werden, um das Unternehmen vor Compliance- und Cyberrisiken zu schützen. 4 Schritte führen zum wirksamen Risikomanagement:
1. Alle relevanten IT-Systeme einbeziehen
Zunächst ist zu klären, welche IT-Systeme überhaupt einzubeziehen sind. Besonderes Augenmerk gebührt den Finanzanwendungen, die zu den attraktivsten Zielen von Cyberkriminellen gehören. Externe wie interne Angreifer nutzen Schwachstellen in den Finanzsystemen aus, um Zahlungen zu veranlassen, Kontendaten abzugreifen, Bilanzergebnisse zu verfälschen oder Insidergeschäfte zu tätigen. Ein erschreckendes Beispiel gab ein ehemaliger Mitarbeiter eines Versicherers, der eine E-Mail-Adresse ins SAP-Finanzsystem seines alten Arbeitgebers eingeschmuggelt hatte. An diese Adresse ließ er sich regelmäßig die Quartalszahlen des Versicherers schicken, noch ehe sie an der Börse veröffentlicht wurden. In anderen Fällen wurden Kontodaten manipuliert, um ausgehende Zahlungen auf die Konten der Angreifer umzuleiten. Den beteiligten Unternehmen entstanden dadurch erhebliche Verluste.
- Datenverlust
Wenn ein Datenverlust auftritt, drohen Geldbußen, Gerichtsprozesse und harte Strafen. Die Aufarbeitung des Ganzen und die Information der betroffenen Kunden verursachen erheblich Kosten. Indirekte Folgen wie Image- und Auftragsverluste sind noch gar nicht eingerechnet, die ein Unternehmen für Jahre beschäftigen können. - Gestohlene Benutzerdaten
Datenverluste und andere Angriffe folgen häufig aus einem zu lockeren Authentifizierungsprozess, aus zu schwachen Passwörtern und einem schlechten Schlüsselmanagement. Unternehmen kämpfen mit dem Thema Identitätsmanagement, wenn es um die Zuordnung von Zugriffsrechten auf Benutzerrollen geht. Wenn Mitarbeiter die Stelle wechseln oder das Unternehmen ganz verlassen, werden ihre Zugriffsrechte häufig zu spät oder gar nicht angepasst. - Geknackte Interfaces und APIs
Sicherheit und Verfügbarkeit von Cloud-Diensten - von der Authentifizierung über die Zugangskontrolle bis hin zu Verschlüsselung und Aktivitäten-Monitoring - hängen von der API-Sicherheit ab. Das Risiko steigt mit der Zahl von Drittanbietern, die auf der Grundlage der APIs neue Benutzeroberflächen entwickeln, weil diesen Unternehmen Zugriff auf Dienste und interne Daten gewährt werden muss. - Ausgenutzte Schwachstellen
Durch die verschiedenen Formen der Cloud-Nutzung auf Mietbasis werden Schwachstellen zu einem immer größeren Problem. Mehrere Unternehmen teilen sich denselben Arbeitsspeicher, Datenbanken und andere Ressourcen - was wiederum ganz neue Angriffsvektoren ermöglicht. - Account Hijacking
Phishing, Betrug und Software Exploits sind immer noch erfolgreich - Cloud-Services ergänzen diese Maschen um eine weitere Bedrohung, weil Angreifer nun Aktivitäten belauschen, Transaktionen manipulieren und Daten verändern können. - Insider mit bösen Absichten
Die Gefahr von innen hat viele Gesichter: ein aktueller oder ehemaliger Angestellter, ein Systemadministrator, ein Vertrags- oder Geschäftspartner. Es geht um die gesamte Palette - von Datendiebstahl bis hin zu Rache. Im Cloud-Umfeld kann ein fest entschlossener Insider die gesamte Infrastruktur zerstören und Daten manipulieren. - Der APT-Parasit
APTs (Advanced Persistent Threats) bewegen sich in der Regel seitlich durch ein Netzwerk und mischen sich unter den normalen Datenverkehr - entsprechend schwer sind sie zu entdecken. Die großen Cloud-Provider setzen fortschrittliche Sicherheitstechniken ein, um zu verhindern, dass ihre IT-Infrastruktur durch APTs beeinträchtigt wird. Dennoch sind ihre Kunden gut beraten, sich selbst ebenso sorgfältig auf mögliche Folgeschäden für ihre Cloud-Konten vorzubereiten wie sie das bei On-Premise-Systemen tun würden. - Dauerhafter Datenabfluss
Je reifer die Cloud wird, desto seltener kommt es zwar vor, dass Fehler seitens der Provider zu Datenverlusten führen. Hacker mit bösen Absichten sind aber bekannt dafür, dass sie Cloud-Daten dauerhaft löschen, um Unternehmen zu schaden. - Fehlende Sorgfalt
Gerade dort, wo ein Unternehmen in die Cloud migrieren oder mit einem anderen Unternehmen über die Cloud zusammenarbeiten möchte, ist gebührende Sorgfalt angebracht. Beispielsweise werden Unternehmen, die es versäumen, einen Vertrag eingehend zu prüfen, niemals wissen, wie zuverlässig und seriös der Vertragspartner im Falle eines Sicherheitsvorfalls vorgeht. - Missbrauch von Cloud-Diensten
Es kommt vor, dass Cloud-Services missbraucht werden, um damit kriminelle Aktivitäten zu unterstützenen. Um einen DDoS-Angriff (Distributed Denial of Service) zu starten oder eine Verschlüsselung zu knacken, braucht es eine leistungsstarke Hardwareumgebung - und Cloud-Ressourcen erfüllen dieses Kriterium. - DoS-Attacken
DoS-Attacken (Denial of Service) verbrauchen eine große Menge Rechnleistung - die Rechnung zahlt der Kunde. Auch wenn die breitbandigen DDoS-Angriffe weit verbreitet und gefürchtet sind - ebenso gewappnet sollten Unternehmen für assyametrische DoS-Attacken auf Anwendungsebene sein, die Sicherheitslücken in Webservern und Datenbanken betreffen. - Geteite Technik, doppelte Gefahr
Verschiedene Cloud Provider teilen sich Infrastruktur, Plattformen und Anwendungen - liegt irgendwo hier eine Verwundbarkeit vor, sind gleich alle betroffen. Wenn beispielsweise eine zentrale Komponente wie ein Hypervisor oder eine Anwendung erfolgreich angegriffen wurde, ist gleich die komplette Cloud-Umgebung unsicher.
Doch auch die Anwendungen der anderen Fachbereiche geraten verstärkt ins Visier von Angreifern, wie der aktuelle Lagebericht des Bundesamts für Sicherheit in der Informationstechnik (BSI) zeigt. Cyberkriminelle kapern SCM-, CRM- und HR-Systeme, um Wettbewerbs- und Personalinformationen abzuziehen, zu ändern oder zu löschen. Schlimmstenfalls kommt der ERP-Betrieb vollständig zum Erliegen. Daher muss das interne Risikomanagement immer die gesamte Systemlandschaft auf dem Schirm haben. Dies betrifft jedoch nicht nur die Infrastruktur, sondern auch die Anwendungen, auf denen die relevanten End-to-End-Geschäftsprozesse - wie Procure-to-Pay - laufen. Berücksichtigt werden müssen sämtliche Systeme. Gerade in hybriden Szenarien ist häufig nicht klar, wer auf welchem System Zugriff auf welche Daten hat. Häufig sind die Daten über mehrere Systeme in der Cloud und im Unternehmen verteilt. Jedes dieser Systeme bietet eine Angriffsfläche auf die Unternehmen.
2. Audit-Prozesse weitgehend automatisieren
Mit den verschärften aufsichtsrechtlichen Vorschriften wächst der Druck auf die CFOs, für einen Compliance-konformen Betrieb der IT- Systemumgebung zu sorgen - ob es um Regelungen zur Vermeidung von Wirtschaftskriminalität, Geldwäsche und Bilanzbetrug oder um Verordnungen zur Einhaltung von Datenschutz und Informationssicherheit geht. Dies stellt die Finanzchefs und internen Compliance- und IT-Sicherheitsbeauftragten vor eine doppelte Aufgabe: Sie müssen die sich ständig ändernden Vorschriften technisch in den Griff bekommen und gleichzeitig der weit verbreiteten Audit-Müdigkeit entgegenwirken. Denn in vielen Unternehmen werden Compliance-Anforderungen als notwendiges Übel betrachtet, das viel Aufwand verursacht, aber keinen nennenswerten Nutzen bringt. Besonders in Cloud-Szenarien verlässt man sich häufig auf die Cloud-Anbieter. Die Verantwortung für die eigenen Daten, die zugehörigen Business-Prozesse und den zugehörigen Zugriff liegt allerdings weiterhin bei den Unternehmen und nicht beim Cloud-Anbieter.
Eine Lösung verspricht die Automatisierung der Audit-Prozesse. Moderne Audit-Tools helfen, den hohen Zeit- und Kostenaufwand manueller Testverfahren zu reduzieren. Ermüdende Routine-Aufgaben entfallen, Personalressourcen werden für wertschöpfende Tätigkeiten freigesetzt. Da menschliche Fehler ausgeschlossen werden, lässt sich eine deutlich höhere Genauigkeit der Berichte erzielen. Im SAP-Umfeld zum Beispiel stehen verschiedene Audit-Werkzeuge zur Verfügung, die tausende Checks für Compliance- und SAP-Sicherheitsrichtlinien umfassen, darunter:
Zugriffskontrollen,
aktive Einbruchserkennung,
Abläufe des Risikomanagements,
Datenschutz sowie die Sicherung und Aufbewahrung von Daten.
Unternehmen können damit über 90 Prozent der erforderlichen Audit-Prozesse automatisieren und ein Sicherheitsniveau etablieren, das regulatorischen Verstößen vorzubeugen hilft.
3. IT-Kontrollen und Patchen institutionalisieren
Permanente Kontrollen sind auch dann angesagt, wenn es um den Schutz von ERP-Systemen vor den immer ausgefeilteren Hackerangriffen geht. So lassen sich in SAP-Umgebungen mithilfe automatischer Analysen Sicherheitslücken im Bereich von Systemkonfigurationen, Eigenentwicklungen und Transporten aufspüren, beheben und vermeiden. SAP-Basisadministratoren, Programmierer und Qualitätssicherer erhalten damit das nötige Rüstzeug, um in ihrem Segment für eine Reduzierung der Cybergefahren zu sorgen.
Besondere Aufmerksamkeit sollten die CFOs und ihre IT-Sicherheitsteams dem Thema Patchen schenken. Viele SAP-Kunden spielen die monatlich veröffentlichten SAP-Sicherheitsupdates nicht ein, weil sie den Aufwand und Systemstillstände fürchten. Mit schwerwiegenden Folgen: Hacker nutzen diese Versäumnisse gezielt aus, indem sie über die gemeldeten Schwachstellen in die SAP-Systeme eindringen. Daher sollten die Unternehmen schleunigst die erforderlichen Rollen und Prozesse für ein systematisches Patchmanagement festlegen. So muss klar geregelt sein, welche Mitarbeiter zu welcher Zeit und an welchen Systemstandorten die aktuellen SAP-Sicherheitspatches einspielen.
Ergänzt werden müssen diese Maßnahmen um kontinuierliche Monitoring- und Reporting-Funktionen. Damit ist es den Finanz- und IT-Sicherheitsverantwortlichen möglich, den Gesamtüberblick über die Sicherheitslage in einem zentralen Dashboard zu behalten. Dieses sollte die Auswertung aller Sicherheits- und Compliance-Vorgaben zusammen mit entsprechenden Bewertungen und Handlungsempfehlungen zur Verfügung stellen. Kommt es dennoch zu Angriffsversuchen, können die IT-Sicherheitsverantwortlichen unmittelbar und automatisiert alarmiert werden, um adäquat reagieren zu können. Dafür zahlen sich Notfallpläne aus.
Lesetipp: IT-Notfallplan - Was Uber, Marriot und Co. falsch gemacht haben
4. Notfall-Konzepte auf die Agenda setzen
Wie groß der finanzielle Schaden eines Cyberangriffs für ein Unternehmen tatsächlich ist, entscheidet sich in der Regel innerhalb weniger Minuten. Daher sollten die CFOs die Entwicklung geeigneter Notfallkonzepte ganz oben auf ihre Agenda setzen. Notfallpläne definieren, welche Maßnahmen in welcher Reihenfolge zu ergreifen sind, sobald es zu einer Cyberattacke kommt. Zudem wird festgelegt, welche Personen im Unternehmen wann über einen Angriff zu informieren sind. Zusätzlich empfiehlt sich bei Sicherheitsvorfällen die Bildung eines Krisenstabs, der von einem Krisenmanager geleitet wird und neben dem CFO aus den IT-Sicherheitsverantwortlichen, den Datenschutzbeauftragten und betroffenen Fachabteilungen besteht. (bw)