Die Welt wird in einem beispiellosen Tempo digitalisiert. Etablierte Geschäftsmodelle stehen am Ende ihres Lebenszyklus. Neue Marktteilnehmer betreten disruptiv die Arena mit "Asset-Light"-Bilanzen, die auf Plattformen und Apps aufbauen und die Dynamik des Wettbewerbs auf den Kopf stellen.
Viele TIME-Unternehmen sind führend in der digitalen Transformation und stehen an der Speerspitze dieser Bewegung. Zugleich sind sie jedoch auch anfälliger für Cyber-Angriffe, wie Forschungsergebnisse von Ernst & Young im Rahmen der Global Information Security Survey (GISS) 2019 mit dem Schwerpunkt TIME (PDF) nahelegen.
Die Digitalisierung macht TIME-Unternehmen nicht nur operativ agiler und schlanker, sondern auch verwundbarer. Traditionelle Branchen wie Fertigung und Transport können erhebliche Wechselkosten für die Kunden mit sich bringen. Nicht so bei vielen Unternehmen der TIME-Branche - in der Wettbewerber nur wenige Klicks entfernt auf unzufriedene Kunden der Konkurrenz warten.
Das IoT und konvergierende Infrastrukturen schaffen neue Angriffsfläche
TIME-Unternehmen legen großen Wert auf die Sicherung des Internet der Dinge (IoT). Für 43 Prozent aller Studienteilnehmer hat das oberste Priorität. Das IoT hat zwar viele Vorteile für TIME-Unternehmen - ob die Digitalisierung des Netzes eines TK-Unternehmens oder die Roboterautomatisierung einer Halbleiterfabrik - aber es kann auch ein höheres Cyberrisiko darstellen. Insbesondere durch die Konvergenz von Betriebstechnik (OT) und IP-basierten IT-Netzen sind Produktionssysteme zunehmend Störungen und Ausfällen ausgesetzt. Indem beispielsweise die Betriebsabläufe eines Unternehmens auf eine IoT-Plattform gestellt werden, entstehen neue Schwachstellen und wesentlich gravierendere Folgen bei einer Sicherheitspanne (etwa durch Ransomware- oder DDoS-Angriffe auf Produktionssysteme). Erhebliche Betriebsunterbrechungen sind mitunter die Folge.
Die sich verändernde Bedrohungslandschaft stellt nach wie vor eine große Herausforderung dar. Nur wenige TIME-Unternehmen haben ein hohes Maß an Zuversicht, Angriffe gegen ihre Systeme zu erkennen und feststellen zu können, ob sensible Daten gefährdet sind. Weniger als jede vierte (23 Prozent) TIME-Führungskraft glaubt, dass das eigene Unternehmen sehr wahrscheinlich einen größeren Angriff überhaupt erkennen könnte. Auch TIME-Unternehmen sind, wie viele andere, mit einem akuten Fachkräftemangel in Sachen Cybersicherheit konfrontiert. Dadurch sind sie Cybergegnern stark ausgesetzt.
Unzureichend gewappnet
Laut der Rangliste des Fortune Magazine für 2019 stammen 50 Prozent der zehn weltweit am meisten bewunderten Unternehmen aus dem TIME-Bereich - weit mehr als aus irgendeinem anderen Sektor. Der Aufbau der Marke, die Bindung eines Unternehmens an seine Kunden, kann Dekaden dauern und Milliarden kosten, aber durch einen einzigen Cyberangriff nachhaltig in Mitleidenschaft gerissen werden.
Wie im Bericht von Ernst & Young hervorgehoben, gaben Unternehmen im Jahr 2016 fast 600 Milliarden US-Dollar für den Aufbau ihrer Marken aus, stellten aber nur etwa ein Zehntel davon für die Cybersicherheit bereit. Angesichts des Ausmaßes der Cyberangriffe scheinen die getätigten Investitionen und Vorkehrungen in erheblichem Missverhältnis zu stehen.
Tatsächlich zeigen die Ergebnisse des Berichts, dass TIME-Unternehmen weniger als die Hälfte dessen ausgeben, was benötigt wird, um ein akzeptables Maß an Cyber-Resilienz zu erreichen. Die Branche kommt nicht annähernd an das Engagement heran, das für den Schutz der Kundendaten und ihrer Marke als notwendig erachtet wird. Im Durchschnitt planen TIME-Unternehmen, ihr Cybersicherheitsbudget in den nächsten 12 Monaten um 10,4 Prozent zu erhöhen. Allerdings wäre ein Wachstum von 21 Prozent erforderlich, um die Unternehmen effektiv zu schützen - so das Fazit von Ernst & Young.
Datendiebstahl und Sabotage sind die größten Sorgenkinder
Kundendaten sind meist das Hauptziel der Cyberkriminellen. Eine schwere Datenpanne kann die Reputation als vertrauenswürdiger Geschäftspartner ins Wanken bringen. Das Internet vergisst bekanntlich nichts und mitunter dauert es Jahre, um verlorenes Vertrauen wiederherzustellen - Zeit die im digitalen Zeitalter niemand aufbringen kann.
Neben dem Datenschutz rückt auch Business Continuity Management (BCM) in den Fokus. Auf der Kehrseite der digitalen Transformation, sind TIME-Unternehmen besonders stark auf die Verfügbarkeit ihrer verschiedenen Dienste und Plattformen angewiesen. So können beispielsweise Distributed-Denial-of-Service (DDoS)-Angriffe Unternehmen stundenlang lahm legen oder vom eigentlichen Geschehen (beispielsweise ein parallel stattfindender Datendiebstahl) ablenken. DDoS-Angriffe sind in Größe, Komplexität und Häufigkeit deutlich gewachsen und stellen eine lauernde Gefahr für TIME-Unternehmen dar.
Dank verschiedener illegaler Marktplätze im Darkweb war es noch nie so einfach, sich mit Cyberkriminalität zu beschäftigen und einen Hacker zu beauftragen. Ob durch eigene Mitarbeiter, verärgerte Kunden, Aktivistengruppen, organisierte Kriminalität oder seitens staatlicher Akteure, Cyber-Bedrohungen sind längst an der Tagesordnung. Obwohl die Risiken bekannt sind, messen TIME-Unternehmen bis Weilen nicht genügend Priorität bei, um sie zu effektiv abzuwenden.
Zusammenfassung
Cyber-Bedrohungen halten nicht nur an, sondern nehmen an Geschwindigkeit und Komplexität zu, einschließlich zielgerichteter Angriffe auf Kundendaten, Cloud-Anbieter, Automatisierung und IoT-Produkte. Da die Marke ein kritischer Vermögenswert ist, gehört der Schutz aller markenbezogenen Vermögenswerte bei den TIME-Unternehmen auf den Prüfstand. Dazu gehören Absichern von personenbezogenen Daten (Personally Identifiable Information, PII), Passwörtern und Transaktionen.
Über das Risiko vom Datendiebstahl hinaus sollten TIME-Unternehmen auch ihre Widerstandsfähigkeit und die Integrität ihrer Dienste überdenken. Sind beispielsweise Plattformen, Apps oder Medieninhalte aufgrund von Systemausfällen nicht mehr verfügbar, stehen Umsatz und Reputation auf dem Spiel.
Sollte es zu einem Sicherheitsvorfall kommen, helfen ein vorabgestimmter Kommunikations- und Maßnahmenplan, um Betroffene postwendend zu informieren und die schnelle und routinierte System-Wiederherstellung zu gewährleisten. Dadurch kann im Schadensfall wertvolle Zeit gewonnen und Folgeschäden minimiert werden. (jd)