Interview

„Das Innovationstempo digitaler Geschäftsmodelle überholt die Sicherheitskonzepte.“

Viele Unternehmen reden von Digitalisierung, haben aber offenkundig die Sicherheit ihrer Daten nicht im Griff. Wie kommt das?
Was häufig falsch gemacht wird, ist die Projektion dieses Themas ausschließlich in Richtung IT. Das mag eigenartig klingen, ist aber so. Die Digitalisierung verändert komplette Unternehmenslandschaften. Deshalb ist Informationssicherheit ein Topmanagementthema. Alle Führungskräfte müssen sich in ihrem jeweiligen Verantwortungsbereich damit befassen.

Was macht das Umdenken so schwierig?
Die Unternehmen merken durchaus, dass ihre bisherigen Maßnahmen nicht ausreichend waren – entweder war ein Angriff erfolgreich, oder sie hatten zwar Glück, erkennen aber ihre Verwundbarkeit. Die dann gestellte Frage nach dem „Warum?“ lässt sich einfach beantworten: Die Komplexität und das Innovationstempo der neuen digitalen Geschäftsmodelle überholt bestehende Sicherheitskonzepte. Die Unternehmen passen sich an die neuen Anforderungen nicht oder nicht schnell genug an. Und ein Sicherheitsmanagementsystem, mit dem aktiv funktional gegengesteuert werden könnte, fehlt schlicht. Für den Aufbau eines solchen Systems benötigen die Unternehmen aber Hilfe von externen Spezialisten.

Was tun Sie da konkret?
Zunächst erstellen wir eine Ad-hoc-Analyse zum Status der Informationssicherheit im Unternehmen. Dazu gehört unter anderem ein Penetration Test, also ein simulierter Hackerangriff, den unsere Spezialisten von außen und von innen führen können. Wir analysieren weiterhin systematisch alle wesentlichen Funktionsbereiche des Unternehmens in operativer und organisatorischer Hinsicht, um Sicherheitsschwachstellen zu finden. Besonders wichtig sind dabei zunehmend die sogenannten Industrial Control Systems, also eingebettete Computer, die die Produktion steuern. Diese werden von den Unternehmen und deren Dienstleistern schleichend, teilweise unbemerkt internetfähig gemacht, sind dafür aber ursprünglich nie gedacht gewesen. Hier handeln sich die Betriebe derzeit durch die Digitalisierung ein Problem nach dem anderen ein.

Wie sehen typische Zielkonflikte aus?
Die erste Frage ist meistens: Kann ich durch eine Digitalisierung mehr Umsatz machen? Die zweite: Wie viel spare ich an Pro­duktionskosten? Dann kommt eine Weile lang nichts. Die Frage nach möglichen Risiken wird sehr ungern gestellt. Alle Beteiligten wissen, wenn jetzt einer kommt und sagt, „da gibt es auch Risiken“, bremst das sofort dieses Digitalisierungsprojekt aus. Da muss ein Umdenken stattfinden. Grundsätzlich geht es aber nicht nur um Hackerangriffe, sondern auch um Compliance, sprich regulatorische und rechtliche Risiken wie etwa beim Datenschutz.

Die Erpressungen der vergangenen Monate haben Schlagzeilen gemacht, aber viel Geld haben die Täter nicht erbeutet. Bei Wanna Cry zahlten nur gut 300 Opfer je 300 Dollar. Wird das Risiko nicht überschätzt?
Wanna Cry und NotPetya waren vor allem stark in der Außenwirkung. Bei NotPetya ging es wohl auch nicht um Erpressung, sondern um politisch motivierte Sabotage in der Ukraine; was in anderen Ländern passierte, waren Kollateralschäden. Viel gefährlicher, massiver und problematischer sind Angriffe im Geheimen, in der Regel auf Basis sogenannter Advanced Persistent Threats (APTs). Hier gehen die Angreifer sehr perfide vor. Sie dringen mit sehr hohem Aufwand, viel Geduld und absoluter Geräuschlosigkeit in ein Unternehmen ein, tun aber erst einmal nichts außer umfassender „Informationserhebung“. Den tatsächlichen Angriff führen sie viel später aus – zu welchem Zweck auch immer. Das kann Sabotage oder Industriespionage sein, Erpressung, Diebstahl von Kundendaten oder Kursmanipulation.

Schützen sich Konzerne besser als Mittelständler?
Wenn ich ein Hacker wäre, würde ich jedenfalls keinen großen Hersteller direkt angreifen, sondern einen Zulieferer. Gelingt mir das, ist die Wahrscheinlichkeit hoch, einen Datenkanal zu entdecken, der mich zum OEM führt. Unternehmen, die im Rahmen digitaler Wertschöpfungsprozesse Informationen austauschen, brauchen dafür ja irgendwo eine digitale Schnittstelle, um sich digital zu vernetzen. Das Risikomanagement muss dafür sorgen, dass diese nicht ständig offen steht oder zumindest angemessen in ihrer gewünschten Funktion geschützt ist.

Und wenn doch etwas passiert?
Woran die Unternehmen mit Hochdruck arbeiten müssten, ist Cyber Resilience. Widerstandsfähigkeit und Wiederanlauffähigkeit. Wenn ich akzeptiere, dass ich früher oder später erfolgreich angegriffen werde, darf ich mich nicht darauf beschränken, Firewalls und Virenscanner anzuschaffen und abgestufte Sicherheitszonen einzurichten. Einen Teil meiner Vorsorgemaßnahmen muss ich in die schnellstmögliche Rückkehr zum Normalbetrieb investieren. Wenn mein Großkunde die Produktion stoppen muss, weil ich nicht mehr liefern kann, werden sonst Strafzahlungen fällig. Da rappelt es im Karton.

Bildnachweis: PWC

Newsletter abonnieren

Mit dem Newsletter verpassen Sie keine Ausgabe der next: Das Magazin für Vorausdenker

Anmelden
Experten kontaktieren

Sie haben Fragen oder möchten mit einem unserer Experten zu diesem Thema sprechen? Melden Sie sich gerne bei uns.

Kontaktieren
Diesen Beitrag teilen

Hier können Sie den Beitrag über soziale Medien teilen.

Teilen