Review: Command Control 2018

Der neue Cybersicherheitsgipfel Command Control (CMD CTRL SUMMIT 2018) feierte vom 20. bis 22. September 2018 mit rund 800 Teilnehmern aus 14 Ländern Premiere, mit dabei auch ich, IT-Security - und DSGVO-Consultant bei der Thinking Objects GmbH.

Mehr als 75 Top-Speaker aus Industrie, Wissenschaft und Politik diskutierten im Internationalen Congress Center München gemeinsam mit Geschäftsführern, CEOs, CISOs, CIOs, Datenschutzbeauftragten und Risikomanagern darüber, wie eine sichere Digitalisierung gelingen kann. Im Zentrum standen neben Strategien zur Abwehr von Bedrohungen insbesondere die Chancen, die das Thema den Unternehmen bietet.

Eine Kernaussage, die von vielen US-amerikanischen Sprechern untermauert wurde, ist: „Je weiter die Digitalisierung voranschreitet, desto mehr Aufmerksamkeit müssen Unternehmen dem Sicherheitsaspekt widmen. Was früher ein reines IT-Thema war, muss heute auf höchster Ebene gesteuert werden“. Kaum ein Unternehmen kann diese Herausforderung alleine stemmen.

Cyber-Sicherheit als Business Enabler

Bei den verschiedenen Key Notes, Panel-Diskussionen und Best-Practice-Workshops lag der Fokus nicht auf Blackout-Szenarien. Stattdessen stand die Frage im Mittelpunkt, wie Entscheider die Digitalisierung ihres Unternehmens sicher gestalten und Cyber-Sicherheit dabei als Business Enabler nutzen können.

Werte-Kommunikation wie z.B. Security Awareness Maßnahmen sichern nicht nur Integrität, Authentizität und Glaubwürdigkeit nach innen, sondern sind als Business- und Image-Enabler auch ein unverzichtbares Modul der integrierten Kommunikation.

Cryptominer, Exploit-Kits, Ransomware und Banking-Trojaner standen im dritten Quartal 2018 im Mittelpunkt, so eine Aussage auf dem Summit. Insgesamt gab es einen Anstieg von 1,7 Millionen mehr Erkennungen weltweit im dritten Quartal als im zweiten Quartal.

Die Unternehmen wurden in Q3-2018 deutlich vermehrt getroffen, insbesonders im Vergleich zu den Verbrauchern. Die Erkennungsraten stiegen bei den Unternehmen um 55 %, während sie bei den Verbrauchern nur um 4 % stiegen. Das zeigt, dass Cyber-Kriminelle danach streben, „mehr für ihr Geld“ mit den Unternehmen zu erreichen. Und anstelle der üblichen Methode zum Auffinden und Missbrauchen verwundbarer Websites, zielten Cryptominer auf Router.

Die Gefährdung der Unternehmen steigt hemmungslos und rasant an

Der dramatische Anstieg der Informationssicherheitsvorfälle an sich ist für Spezialisten nicht unerwartet, jedoch ist die Breite der Auswirkungen und deren Wahrnehmung in Unternehmen ein neuer Trend. Fast die Hälfte der Unternehmen wird an mehreren Tagen einer Woche attackiert. Die Zahl der erkannten Cyber-Vorfälle steigt mit der Unternehmensgröße. Experten schätzen, dass eine beachtliche Dunkelziffer an Angriffen sogar unerkannt bleibt, und dies besonders in kleinen Unternehmen.

Die Schadenspotenziale sind mannigfach

Die Liste möglicher Auswirkungen von Cyber-Angriffen ist umfangreich. Sie reicht vom Produktionsausfall (erst im Sommer 2018 gab es einen Produktionsausfall für eine komplette Woche(!) bei einem in Baden-Württemberg namhaften Hersteller von Elektrowerkzeugen und Anbieter von Zubehör für professionelle Anwender) über Know-how-Verlust und Imageschaden bis hin zu persönlichen Konsequenzen für Führungskräfte. Nahezu die Hälfte der befragten Führungskräfte stuft das Risiko, durch einen Cyber-Angriff gravierend geschädigt zu werden, als eher groß bis sehr groß ein, 10 % sehen sogar ein sehr großes Risiko für gravierende Schäden. Die Bewertungen der Führungskräfte zeigen auch, dass die Wahrnehmung des Schadensrisikos mit der eigenen Unternehmensgröße steigt.

Risikofaktor Mensch

Der Zugriff auf Unternehmensdaten von überall her (Martini IT: anytime – anyplace – anywhere) stellt die Unternehmen vor enorme Herausforderungen, wenn Unternehmensgrenzen verschwinden und das virtuelle Büro in den Zug, in den Flieger, ins Hotel oder sogar an den Strand verlegt wird. Dass Mitarbeiter – unwissentlich, versehentlich oder vorsätzlich – leichtfertig mit Daten oder Sicherheitsstandards umgehen und verhaltensbedingt Schaden anrichten, scheint für Führungskräfte mit Abstand die häufigste Gefahrenquelle zu sein.

Unsicherheiten im Umgang mit den Risiken

Die Mehrheit der Führungskräfte aus dem Bereich KMU räumte ein, dass man im eigenen Unternehmen nicht genau wisse, welche Arten von Angriffen es aktuell in der eigenen Branche gibt und worauf man sein Unternehmen einstellen muss. Bemerkenswerterweise bestehen solche Unsicherheiten auch bei Führungskräften, deren Unternehmen täglich IT-Angriffen ausgesetzt sind. In dem Zusammenhang ist auch hervorzuheben, dass gesetzliche oder regulatorische Anforderungen der Mehrheit der Führungskräfte nicht oder nicht genau bekannt sind.

Ist Cyber Security nun Chefsache?

Das Thema Cyber Security scheint auf der Agenda der europäischen Geschäftsleitungsebene angekommen zu sein. In 75% der Unternehmen beschäftigen sich die Leitungskader mit dem Thema Cyber Security. Im Umkehrschluss bedeutet das allerdings, dass sich in jedem vierten Unternehmen die Unternehmensführung nur wenig bis gar nicht damit auseinandersetzt. Zudem steht bei einem Drittel der Vorstände beziehungsweise Geschäftsführer Cyber Security lediglich anlassbezogen oder gar nicht auf der Tagesordnung. Nur eine Minderheit sieht in ihren Unternehmen ausreichend Fachkompetenz im Bereich Cyber Security auf Geschäftsleitungsebene, um sich damit überhaupt eingehend zu beschäftigen. In Organisationen, die über einen Aufsichtsrat verfügen, befasst sich dieser nur in 50 Prozent der Fälle mit dem Thema.

Deutsche Unternehmen sind aufgrund ihres Know-hows beliebte Angriffsziele. Ist an sich ja auch kein Wunder, denn Deutschland belegt Platz 3 im Wettbewerbsfähigkeits-Ranking des Weltwirtschaftsforums, nur Amerika und Singapur sind besser. Angreifer streben nach Informationen über Produkte und Geschäftsprozesse, um aus erbeuteten Daten Profit zu schlagen. Herauszustellen ist, dass eine effektive Cyber Security, wie alle Maßnahmen zur Risikoerkennung und zum Risikomanagement, eine fortlaufende Tätigkeit der Unternehmensführung erfordert. Es dürfen nicht nur einmalig Sicherheitsmaßnahmen entwickelt, implementiert und durchgeführt werden, sondern vielmehr müssen diese Maßnahmen vor dem Hintergrund der Entwicklung der Risiken und sich verändernder Abläufe und Unternehmensprozesse stetig auf ihre Effizienz überprüft, angepasst und verbessert werden (beschrieben im PDCA-Verfahren; Plan-Do-Check-Act). Fortlaufende Überwachung und Verbesserung können von der Chefetage nicht allein erfüllt werden.

In vielen Unternehmen wird die Funktion des Chief Information Security Officer (CISO) mit dem Thema Cyber Security betraut. Ein Datenschutzbeauftragter (DSB) hat sein spezielles Themenfeld im Blick. Mit der Verantwortung für die physische Sicherheit ist in der Regel die Corporate Security betraut. Alle diese Funktionen müssen harmonisch zusammenwirken und orchestriert werden, um die erforderliche Informationssicherheit im Unternehmen zu gewährleisten.

Es ist beachtenswert, so der Tenor auf dem Summit, dass einem Großteil der deutschen Führungskräfte die regulatorischen Anforderungen an ihr Unternehmen im Bereich Cyber Security häufig unbekannt sind.

Ein wesentlicher Eindruck war, dass der Stellenwert der IT-Security und Awareness in den USA einen höheren Stellenwert hat als bei uns in „good, old Europe“. Mag es daran liegen, dass wir in der letzten Zeit uns eher mit der DSGVO beschäftigten oder daran, dass das Sicherheitsbewusstsein der Amerikaner seit 9/11 im Jahre 2001 wesentlich geschärft wurde? Es wird höchste Zeit, dass auch hierzulande die deutschen Unternehmen sich auch entsprechend positionieren und die Systeme härten, um nicht von außen abgehorcht zu werden.

Eine Anmerkung zum Schluss:
Das Problem der Cyber Security ist nicht die mangelnde Verfügbarkeit technischer Lösungen, sondern die zu geringe Zahl kompetenter Köpfe.

Dies könnte Sie auch interessieren

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

CAPTCHA *