Die Gefahr durch Cyberangriffe nimmt zu – und das Risiko, einmal Opfer zu werden, lässt sich nie vollständig ausmerzen. Unternehmen sollten daher alles tun, um Resilienz zu erreichen: Sie müssen ihre Angriffsfläche minimieren und Maßnahmen ergreifen, um selbst im Angriffsfall betriebsfähig zu bleiben.

Cybervorfälle und Betriebsunterbrechungen sind die größten Geschäftsrisiken, die den Unternehmen weltweit drohen, so das aktuelle Risk-Barometer des Allianz-Konzerns. Erstmals teilen sich beide Risiken Platz eins der Top Ten in der jährlich durchgeführten Studie. Kein Wunder, denn die fortschreitende Digitalisierung schafft hier eine enge Verbindung: Die IT bildet heute die Basis für nahezu alle Geschäftsprozesse. Fällt sie einmal aus, funktioniert schlimmstenfalls gar nichts mehr. Die Gefahr steigt: So zeigt der Cyber Readiness Report des Spezialversicherers Hiscox, dass die Frequenz der Angriffe zunimmt und die Folgen immer teurer werden. 61 Prozent der deutschen Unternehmen verzeichneten 2018 mindestens einen Angriffe auf IT-Systeme, im Vorjahreszeitraum waren es noch 48 Prozent. International belaufen sich die Kosten für derlei Vorfälle pro Unternehmen durchschnittlich auf 369.000 Dollar, bei deutschen Unternehmen kam es sogar zu einer Schadenssumme von 906.000 Dollar.

Sich gegen Angriffe zu schützen ist jedoch komplex, denn mit der zunehmenden digitalen Vernetzung wächst die Angriffsfläche. In der vernetzten Produktion und bei kritischen Infrastrukturen (Kritis) kommt es außerdem zur Verknüpfung von IT und Betriebstechnik (Operational Technology, OT). So sind Industriesteuerungssysteme (ICS), die traditionell von der Außenwelt abgeschottet waren, plötzlich genauso von außen angreifbar wie ein Bürocomputer. Das Ausmaß des Schadens, das eine solche Attacke anrichten kann, erhöht sich damit immens.

Im schlimmsten Fall gefährden kompromittierte Geräte und Maschinen sogar Menschenleben, etwa wenn Wasserversorgungssysteme ausfallen. Oft sind Richtlinien und Sicherheitsprozesse aber noch nicht an die neuen Herausforderungen angepasst und Mitarbeiter nicht ausreichend sensibilisiert. Dazu kommt, dass neben der IT-Sicherheit (Security) auch die physische Sicherheit von Geräten und Maschinen (Safety) zu berücksichtigen ist.

Auf der Gegenseite sind Hacker heute oft professionell aufgestellt und gut organisiert. Sie verfügen über weitreichende technische und finanzielle Mittel und entwickeln immer fortgeschrittenere Angriffsmethoden. Cyberkriminalität ist ein Geschäftsmodell geworden, aus dem sich Profit schlagen lässt.

Resilienz wird unverzichtbar

Vor diesem Hintergrund müssen Unternehmen umdenken und ihre Sicherheitsstrategie anpassen. Ein Paradigmenwechsel ist gefragt von IT-Security hin zu Resilienz. Es reicht nicht mehr aus, auf Vorfälle zu reagieren oder mit einer Strategie der Art „harte Schale, weicher Kern“ nur die Grenzen der eigenen Infrastruktur mit Firewalls zu sichern. Stattdessen gilt es, das Risiko schon im Vorfeld zu minimieren. Dafür ist es wichtig, die Unternehmens-IT durch präventive technische und organisatorische Maßnahmen zu härten, um die Angriffsfläche zu reduzieren. Da sich Risiken nie komplett ausmerzen lassen, sind gleichzeitig Vorkehrungen nötig, wie man den Geschäftsbetrieb auch im Falle eines erfolgreichen Angriffs aufrechterhalten kann. Resilienz ist ein umfassendes, eher strategisch ausgerichtetes Konzept, das über IT-Sicherheit hinausgeht und stets die Wirtschaftlichkeit berücksichtigen muss. Denn Schutzmaßnahmen kosten Geld und dürfen den laufenden Betrieb nicht beeinträchtigen. Deshalb muss man sie immer in Relation zu den Risiken und dem potenziellen Schaden setzen.

Darüber hinaus gibt es zahlreiche Gesetze und Richtlinien, die Bausteine eines Resilienzkonzepts fordern. Die DSGVO zum Beispiel schreibt Mindestanforderungen an die technische und organisatorische Sicherheit vor. Unternehmen sind zudem in der Pflicht, die Wirksamkeit ihrer Maßnahmen regelmäßig zu überprüfen. Für Kritis-Betreiber wie Energie- oder Wasserversorger gilt außerdem das Umsetzungsgesetz zur EU-NIS-Richtlinie (NIS: Netzwerk- und Informationssicherheit), das das bestehende IT-Sicherheitsgesetz erweitert. Demzufolge müssen Unternehmen aus dem Bereich der kritischen Infrastrukturen IT-Sicherheit nach dem Stand der Technik umsetzen und erhebliche IT-Störungen an das BSI melden. Banken und Kreditinstitute unterliegen zudem dem Kreditwesengesetz. Es schreibt unter anderem besondere organisatorische Pflichten zum Risiko-Management vor – gerade auch für IT-Risiken.

Risiken identifizieren und bewerten

Der erste Schritt auf dem Weg zur Resilienz besteht darin, Risiken zu identifizieren und zu bewerten. Das World Economic Forum (WEF) hat dafür ein Framework entwickelt. Zunächst empfiehlt es sich, eine Liste der wichtigsten Assets aufzustellen und zu analysieren, wie hoch der potenzielle Schaden ist, den ein Angriff auf diese Assets jeweils anrichten könnte. Dann sollten Unternehmen die Wahrscheinlichkeit für einen solchen Angriff errechnen. Sie ergibt sich aus den Schwachstellen der Assets und den Bedrohungen, die diese ausnutzen. Gemäß WEF-Framework gibt es drei Kategorien von Schwachstellen: Menschen und Kultur, Prozesse und Organisation sowie Technologie und Infrastruktur. Aus der Relation zwischen möglichem Schaden und Eintrittswahrscheinlichkeit ergibt sich eine Risikobewertung in den Stufen schwach, mittel und hoch. Entsprechend ihrer Bewertung sollten Unternehmen die Risiken priorisieren und mindern.

Im Bereich Technologie und Infrastruktur hilft eine Vulnerability-Management-Lösung, Schwachstellen aufzudecken und zu beseitigen. Sie scannt alle im Netzwerk angeschlossenen Geräte automatisiert auf mögliche Angriffspunkte. Dabei erkennt das System zum Beispiel fehlende Patches oder unsichere Einstellungen in Programmen. Findet es Sicherheitslücken, listet es diese auf, klassifiziert sie und bewertet sie anhand ihres Risikos. Anschließend kann die IT-Organisation Prozesse anstoßen, um die Schwachstellen zu beseitigen. In einer durchgängigen Sicherheitsarchitektur arbeitet ein Vulnerability-Management-System mit anderen Sicherheitssystemen wie IDS/IPS und Firewalls zusammen. Es teilt seine Informationen mit ihnen und hilft dabei, deren Einstellungen zu optimieren. Dadurch lassen sich Falschmeldungen reduzieren und Sicherheitsressourcen fokussierter nutzen.

Prozesse definieren und Mitarbeiter sensibilisieren

Ebenso wichtig wie die Technik sind organisatorische Maßnahmen. Denn wenn es zu einem Sicherheitsvorfall kommt, ist eine schnelle, effektive Reaktion gefragt, um größeren Schaden zu vermeiden. Unternehmen sollten daher klar festlegen und dokumentieren, wer für was zuständig ist, wie die Kommunikationskette aussieht und was in welcher Reihenfolge zu tun ist. Ein Resilienzkonzept sollte eindeutige Handlungsanweisungen umfassen. Gerade für Kritis-Unternehmen gibt es oft verschiedene, branchenspezifische Regulierungs- und Governance-Richtlinien, die sich gegenseitig in den geforderten Aktionen widersprechen. Das sorgt für Chaos und kostet wertvolle Zeit.

Unübersichtlich werden kann es zum Beispiel durch anzuwendende ISO-Normen wie ISO 13849-2 (Validierung der Sicherheit von Steuerungen) und IEC 62443 (IT-Sicherheit für Netze und Systeme): Um eine Anlage vor einer gerade anlaufenden Welle an Angriffen auf eine bestimmte IT-Schwachstelle zu schützen, sollte man sie patchen (IEC62443-2-3). Jede Veränderung kann aber Einfluss auf notwendige ISO-Zertifizierungen der Betriebssicherheit (ISO 13949) haben. Ein Resilienzkonzept erfasst diese Konfliktpotenziale im Vorfeld und nennt Optionen, wie man diese umgeht. Das können zeitlich begrenzte alternative Sicherheitsmaßnahmen sein, die bis zur endgültigen Freigabe des Patches zum Einsatz kommen.

Resilienz ist ein Konzept, das alle Mitarbeiter mittragen müssen. Schulungen der Belegschaft zur Sensibilisierung für IT-Risiken sind daher eine wichtige Maßnahme. Die größte Schwachstelle ist und bleibt der Mensch: Angriffsmethoden wie Social Engineering und Phishing sind darauf ausgelegt, Mitarbeiter zu täuschen und auszutricksen. Auf diese Weise erschleichen sich Kriminelle Zugangsdaten und Kontoinformationen oder verleiten Mitarbeiter dazu, Schadsoftware herunterzuladen. Auch unbedachtes Verhalten, etwa einen USB-Stick an einen PC oder eine Produktionsmaschine anzustecken, kann gravierende Folgen haben. Laut dem aktuellen BSI-Lagebericht zur IT-Sicherheit in Deutschland führen jedoch fast ein Drittel der deutschen Unternehmen (29 Prozent) keine Schulungen zur Mitarbeitersensibilisierung durch und planen dies auch nicht.

Um Resilienz zu erreichen, müssen Unternehmen das Thema ganz oben auf Geschäftsleitungsebene ansiedeln. Es darf keine reine IT-Angelegenheit sein. Das WEF empfiehlt in seinem Report „Advancing Cyber Resilience: Principles and Tools for Boards“, dass die Geschäftsleitung die oberste Verantwortung und Aufsicht übernehmen sollte. Sie muss dafür sorgen, dass Resilienz in die Unternehmensstrategie integriert und abteilungsübergreifend umgesetzt wird. Außerdem ist es Aufgabe der Geschäftsleitung festzulegen, bis zu welchem Maß das Unternehmen bereit ist, Risiken einzugehen.

Resilienz zur Chefsache machen

Um gegen die wachsende Gefahr durch Cyberangriffe gewappnet zu sein, sollten Unternehmen einen Zustand der Resilienz anstreben. Sie müssen Risiken identifizieren und bewerten, ihre IT-Infrastruktur härten und ein umfassendes Konzept aus technischen und organisatorischen Maßnahmen entwickeln. Die Geschäftsleitung muss diese Strategie in alle Unternehmensbereiche tragen und kontrollieren. Resilienz ist ein anhaltender Prozess, der nie abgeschlossen ist. Unternehmen sollten ihre Maßnahmen deshalb kontinuierlich auf den Prüfstand stellen und weiter optimieren.

Dirk Schrader ist Chief Marketing Officer bei Greenbone, www.greenbone.net.