Cyberstrategien für Unternehmen und Behörden

Die zunehmende Digitalisierung, Automatisierung und Vernetzung haben stark zugenommen und zu großen Abhängigkeiten geführt. Geschlossene Netzwerke und Stand-alone-Computersysteme wurden durch Standardisierung, Vernetzung und Mobilität verdrängt. Regierungen, kritische Infrastrukturen, Unternehmen und Gesellschaften digitalisieren und automatisieren ihre Geschäftsmodelle sowie die zugrunde liegenden Geschäftsprozesse und Lebensbereiche, somit sind viele Geschäftsmodelle ohne diese Technologien nicht mehr wettbewerbsfähig betreibbar. Dadurch sind große Chancen und Vorteile, aber auch Risiken entstanden. Die Abhängigkeit von der Informationstechnologie bedeutet, dass die Systeme zuverlässig funktionieren müssen und die Sicherheit gewährleistet sein muss. Für Unternehmen und Regierungen gleichermaßen ist es unerlässlich, dass ihre Prozesse und Systeme unter allen relevanten Umständen geschützt werden. Das gesamte Unternehmen und seine Liefer- und Logistikketten müssen berücksichtigt werden. Es besteht somit der Bedarf und die Notwendigkeit, das Bewusstsein und das Verständnis für Cybersicherheit im Rahmen einer „Sicherheitskultur“ auf allen Ebenen des Unternehmens zu entwickeln. Ein besseres Verständnis der Risiken, Schwachstellen und Bedrohungen für die IT-Systeme und Netzwerke müssen auf allen Managementebenen und bei jedem einzelnen Mitarbeiter etabliert werden.

Die Cyberbedrohungen sind in den letzten Jahren stark angestiegen und alles und jeder steht heute im Visier der Täter – Staaten, kritische Infrastrukturen und Unternehmen jeglicher Größe sowie weite Teile der vernetzten Bevölkerung. Je nach Intention bedienen sich die Täter verschiedener Straftaten wie Cybercrime, Cyberhacktivismus, Cyberspionage oder auch Cybersabotage zur Durchführung des Angriffes. Bei Cybercrime spricht man von Cybercrime im engeren und im erweiterten Sinne. Im engeren Sinn werden alle Straftaten gefasst, die sich gegen Computersysteme, Netzwerke, Daten und das Internet richten oder nur damit durchführen lassen. Im erweiterten Sinne umfasst der Begriff alle Straftaten, die Computersysteme zur Durchführung von weiteren Straftaten (Steuerhinterziehung, Abrechnungsbetrug etc.) verwenden. Unter Cyberhacktivismus versteht man das Manipulieren von Webseiten und digitalen Informationsmedien zur Verbreitung von differenten Statements und Protestnachrichten, die im Allgemeinen ein politisches oder religiöses Ziel verfolgen. Bei Cyberspionage handelt es sich wie bei der klassischen Spionage um die verdeckte Informations- und Datengewinnung. Bei der Cyberspionage geht es darum, einen Wettbewerbsvorteil (Industriespionage) oder einen staatlichen Branchenvorteil (Wirtschaftsspionage) zu erlangen. Bei der Cybersabotage geht es um störende oder zerstörende Angriffe auf strategische Ziele.

Das Täterprofil hat sich in den letzten Jahren stark verändert. Heute ist nicht nur vom klassischen Einzeltäter auszugehen, sondern die Delikte werden oft auch von internationalen Banden und gewerbsmäßig organisierten Tätergruppen begangen. Die Tatmotive sind entweder finanzieller, wirtschaftlicher oder politischer Natur und die Täter bedienen sich Methoden wie DDoS-Attacken, Trojanern, Hacking oder Social Engineering. Oft ist auch kein technisches Spezialwissen zur Durchführung von Online-Straftaten notwendig und auch technisch unwissende Täter können erfolgreich in Computer-Netzwerke eindringen. Im Internet gibt es spezielle Angebote und vorgefertigte Software, die problemlos beschafft und genutzt werden können. Dazu gehören „Crime as a Service“- oder „Malware as a Service“-Angebote, die Angriffe auf Computer und Netzwerke ohne großes Spezialwissen ermöglichen. Die Täterstrukturen und Organisationsformen sind unterschiedlich, es gibt einerseits Täterstrukturen, die oftmals arbeitsteilig ohne klassische hierarchische Strukturen und Organisationsformen arbeiten und andererseits die hoch spezialisierten Organisationsstrukturen, die aufgrund der Komplexität der Systeme und deren Vernetzung ein gewisses Maß an Organisation und Spezialisierung (technisch sowie im Management) zur Durchführung von Angriffen benötigen. Strafverfolgungsbehörden und Nachrichtendienste sind daher mit großen technischen und organisatorischen Herausforderungen konfrontiert. Zur Verfolgung und Bekämpfung von Cyberkriminalität gibt es einerseits die Polizeien und andererseits Allianzen und neuartige Kooperationsmodelle etwa in Form von Public Private Partnerships und die Zentralen Ansprechstellen Cybercrime (ZAC) der deutschen Landeskriminalämter.

Cyberangriffe verursachen nicht nur einen direkten Schaden, sondern generieren auch Kosten, die oft schwer zu bemessen sind. Jedes Unternehmen muss analysieren, welche Eigenschäden (z. B. Betriebsbeeinträchtigungen und -unterbrechungen, Vorfallbearbeitung, Krisenmanagement, Wiederherstellungskosten, Vertragsstrafen und Bußgelder, Reputationskosten etc.) und welche potenziellen Fremdschäden (aus der Abhängigkeit von Kunden und Lieferanten) entstehen können. Durch die Vorfallsbehebung fallen weitere Präventionskosten an, die man ansetzen muss, damit der stattgefundene Cybervorfall sich nicht wiederholen kann und das betroffene Unternehmen besser auf Cyberangriffe vorbereitet ist. Mehr als die Hälfte der deutschen Unternehmen sind bereits Opfer eines Cyberangriffs geworden, durch die ein Schaden in Höhe von 51 Milliarden Euro entstanden ist. Nur knapp die Hälfte der Unternehmen verfügt aber über ein Notfallmanagement und bei mehr als der Hälfte der Unternehmen besteht keine Sicherheitskultur (in Form von Schulungen und Awareness). Der Eigenschutz, der in der Regel in den gängigen Betriebssystemen integriert ist, reicht in vielen Fällen nicht aus. Diese ständig steigende Bedrohungslage, die Professionalisierung der Täter und die technisch ausgereiften Angriffe haben zur Folge, dass man dieser Herausforderung nur mit einem ganzheitlichen Cybersicherheitsansatz entgegentreten kann.

Die Grundstrukturen unserer heutigen Vernetzung und Datenverarbeitung sind zu einem Zeitpunkt entstanden, an dem funktionale Anforderungen im Vordergrund standen. Diese Strukturen und Protokolle aus den 1970er- und 1980er-Jahren bilden heute immer noch die Basis des Internets und sind damit auch die Basis für die Mehrheit der IT-Systeme und diese sind daher per Definition nicht sicher. Damit entstand auch eine Sicherheitsdiskussion, wie diese unsicheren Strukturen und Systeme geschützt werden können. Diese Strukturen können nicht gesichert, sondern bestenfalls nur geschützt werden. Cybersicherheit ist ein integraler Bestandteil für die Sicherheit von IT-Systemen und dass unsichere Systeme nicht durch Sicherheitsprodukte gesichert werden können, da Sicherheitsprodukte nur einen Schutz vor allgemeinen, aber nicht vor spezifischen Sicherheitslücken bieten können. Dieser Umstand führt dazu, dass vermeintlich gut gesicherte Infrastrukturen trotzdem erfolgreich angegriffen werden. Aufgrund der Gesamtkomplexität und der Neuartigkeit des Themenfeldes Cybersicherheit können viele Systeme noch nicht so geschützt werden wie sie sollten. Daher haben sich in den letzten Jahren Täter darauf fokussiert, diesen Umstand als Grundlage für digitale Straftaten zu nutzen.

Die Bedeutung der globalen Bedrohungslage ist für das einzelne Unternehmen wichtig, denn wer der Gegner ist, hängt davon ab, wer man selbst ist. Das bedeutet, welche Art der Bedrohungslage für ein Unternehmen zutreffend ist, hängt unter anderem davon ab, was der Unternehmensgegenstand ist, welche Marktposition ein Unternehmen hat und aufgrund welcher Innovation Wettbewerbsvorteile entstehen. Das Verständnis und die Unterscheidung zwischen Massenphänomenen (DDoS) und Einzelphänomenen (Advanced Persistent Threat) und wie ein Unternehmen getroffen werden kann und welche Auswirkungen entstehen können, sind unternehmensspezifisch und müssen beachtet werden. Jedes Unternehmen sollte sich diesbezüglich Kernfragen, die in diesem Kapitel beschrieben sind, stellen, um die Cyber-Gefährdungslage des Unternehmens besser zu verstehen und damit die Cybersicherheit erhöhen zu können.

Cybersicherheit ist nicht nur IT-Sicherheit, da Cyberrisiken Teil des Gesamtrisikos eines Unternehmens sind und nicht ein isoliertes Problem der IT. Ein reiner IT-Ansatz ist daher nicht zielführend, da die Cyberproblematik über den IT-Ansatz hinausgeht und zusätzlich personelle, physische und organisatorische Aspekte berücksichtigen muss. Es sollte ein allumfassender und risikobasierter Ansatz gewählt werden und für alle erwähnten Teilaspekte die Risiken ermittelt und darauf abgestimmt die geeigneten Sicherheitsmaßnahmen entwickelt werden. Beispiele von organisatorischen, personellen, physischen und technischen Risiken und Maßnahmen sind in diesem Kapitel beschrieben.

Viele Staaten haben die Notwendigkeit der Cybersicherheit erkannt, darauf reagiert und Cyberstrategien entwickelt. Unternehmen sind sehr häufig bei der Entwicklung von Cyberstrategien noch nicht so weit. Eine effektive Cybersicherheit kann langfristig nur etabliert werden, wenn sie auf einer umfassenden Cyberstrategie aufgebaut ist. Es entsteht ein Bedarf an übergreifender Zusammenarbeit, Kooperation sowohl auf regionaler wie auch auf globaler Ebene und an der Entwicklung eines gesamtheitlichen Ansatzes, um diesen Herausforderungen zu begegnen („Whole-of-System-Ansatz“). Auch kann die innere Sicherheit nicht mehr von der äußeren getrennt werden, sondern beide sind heute weitgehend in der Cyberwelt verschmolzen. Diese Veränderungen führen zu einem Sicherheitsgefälle, das sich über alle Ebenen und Bereiche (staatlich, wirtschaftlich und gesellschaftlich) erstreckt. In diesem Kapitel wird beschrieben, wie dieses Sicherheitsgefälle und seine Wechselwirkungen entstehen, was die zentralen Aspekte von Cyberstrategien sind sowie die Ähnlichkeiten und Unterschiede der staatlichen Cyberstrategien am Beispiel Deutschlands und der Schweiz. Auflagen und Regulatoren, wie die Netz- und Informationssicherheit Direktive (NIS-Direktive), sowie IT-Sicherheitsgesetze können kurz-, mittel- und langfristige Auswirkungen auf Unternehmen haben, die ebenfalls beschrieben werden.

Je vernetzter und digitalisierter ein Unternehmen ist, desto wichtiger ist es, eine bereichsübergreifende Cyberstrategie zu entwickeln, da Cyberstrategien eine Teilstrategie der Unternehmensstrategie sind. Eine Cyberstrategie zu entwickeln ist, wenn die richtige Methode und die richtigen Instrumente angewendet werden, keine Zauberei. Unternehmen (insbesondere Kleine und Mittlere Unternehmen – KMU) beschäftigen sich nicht in dem Maß mit der Cyberstrategieentwicklung, wie sie sollten. Die gesamte Energie und Konzentration wird oft in das operative Tagesgeschäft investiert und nicht in den Cyberstrategie-Planungsprozess. Untenstehend werden die vier generischen Schritte zur Cyberstrategieentwicklung beschrieben. Das Unternehmen sollte zuerst die Ausgangslage analysieren und sein Umfeld kennen. Dann sollten die Vision und die strategischen Ziele gesetzt werden und darauf basierend die Cyberstrategie entwickelt werden. Der letzte Punkt ist die Cyberstrategie-Umsetzung. Es ist wichtig, dass das Unternehmen eine Struktur etabliert, die den Umsetzungsprozess aktiv begleitet und anhand eines Monitorings Anpassungen vornimmt. Aufgrund der strategischen Ziele müssen geeignete Handlungsfelder und Maßnahmen definiert werden, die bedarfsgerecht auf das jeweilige Unternehmen ausgerichtet werden. Bei Bedarf kann auch externe Hilfe und Unterstützung hinzugezogen werden, damit eine bedarfsgerechte und maßgeschneiderte Cyberstrategie entwickelt werden kann.

Es gibt im Wesentlichen zwei Arten von Angriffsmethoden, 1) die, die sofort bemerkt werden, wie z. B. ein DDoS-Angriff oder der Einsatz von Ransomware (Erpressungstrojaner) oder 2) die, die erst später oder nie bemerkt werden (Spionagetrojaner). Cyberangriffe haben je nach gewünschtem Ziel unterschiedliche technische Methoden, die jedoch immer einem generischen Muster folgen. Welche Art des Cyberangriffs gewählt wird, entscheidet über die Abwehrmaßnahmen, die jeweils individuell getroffen werden müssen. Das Verständnis des generischen Vorgehens hilft bei der Entwicklung eines Maßnahmenkatalogs, der Angriffe vermeiden hilft oder deren Auswirkungen reduziert. Ein Cyberangriff lässt sich in die folgenden generischen Phasen unterteilen: Vorbereitungsphase, Reaktionsphase, Nutzungs- und Tarnphase. In der Vorbereitungsphase wird der Angreifer versuchen, alle notwendigen Informationen für die Durchführung des Angriffs zu beschaffen. Dazu wird die gesamte Zielumgebung ausspioniert. In der Angriffsphase werden dann technische Mechanismen benutzt, die den Zugang zu IT-Systemen des Opfers ermöglichen. In den meisten Fällen sind dies Trojaner, die über USB-Speichersticks, E-Mails oder sonstige Medien in das System eingebracht werden. In der Nutzungs- und Tarnphase übernimmt der Angreifer administratorische Fähigkeiten der IT-Systeme und kann dadurch auf alle Informationen von außen zugreifen. Gegen Cyberangriffe, die nach einem generischen Muster ablaufen, sollten vorab geeignete Maßnahmen entwickelt werden, damit bereits bekannte Cyberangriffe nicht durchführbar sind und das Unternehmen auf weitere Cyberangriffe vorbereitet ist. Diesbezüglich gibt es ebenfalls drei generische Phasen, die als allgemeingültig gelten können: die Präventionsphase, die Reaktionsphase und die Stabilisationsphase. Welche möglichen Maßnahmen getroffen werden können, um die Cybersicherheit zu erhöhen, wird in diesem Kapitel beschrieben.

Die Digitalisierung, Automatisierung und Vernetzung aller Lebensbereiche – privat wie geschäftlich – ermöglicht ständig neue Möglichkeiten. Man denke nur an das Internet der Dinge, Industrie 4.0, die Robo Advisor der FinTechs, Smart Home etc. Es wird zunehmend „intelligente Endgeräte“ geben, die an das Internet angeschlossen werden und durchgängig vernetzt und immer online sind. Mögliche, damit einhergehende Risiken sind in diesem Kapitel grob beschrieben, jedoch sind die reellen Risiken heutzutage nicht detailliert abschätzbar und müssen individuell für jeden Einsatzbereich betrachtet werden.