Skip to main content
main-content

Über dieses Buch

Die Autoren beschreiben in diesem Buch, wie eine Cybersicherheitsstrategie entwickelt und umgesetzt wird. Dabei beleuchten sie die geopolitischen Einflüsse wie auch die organisatorischen und technischen Rahmenbedingungen.

Cyberrisiken entstehen durch den Einsatz von Informationstechnologien, beinhalten aber auch organisatorische und technische Risiken und sind somit nicht nur ein Problem der IT-Abteilung, sondern der Unternehmensleitung. Eine Cyberstrategie sollte daher ein Teil der Unternehmensstrategie sein und nicht nur ein Teil der IT-Strategie.

Die staatliche und die unternehmerische Sicherheitsvorsorge werden bei der Cyberproblematik immer enger zusammenarbeiten müssen. Nur so können Wirtschafträume im Cyberspace langfristig gesichert werden.

Inhaltsverzeichnis

Frontmatter

1. Management Summary

Das Internet ist zu einem der wichtigsten Wirtschafts- und Handelsräume (E-CommerceE-Commerce, Industrie 4.0Industrie 4.0, Internet of ThingsInternet of Things etc.) für den Staat, die Wirtschaft und die Gesellschaft geworden. Es bringt große Chancen, aber auch Risiken mit sich, und kann von staatlichen und nicht staatlichen Akteuren missbraucht werden. Die IT-Systeme sind nicht das Ziel, sie sind lediglich das Mittel zum Zweck. Die Angreifer nutzen zur Erreichung ihrer Ziele Methoden wie Cybercrime, Cyberspionage oder Cybersabotage, um einen finanziellen, politischen, wirtschaftlichen oder militärischen Vorsprung zu erlangen. Vor diesem Hintergrund wird auch klar, dass die Cybersicherheit hauptsächlich eine Management-Verantwortung darstellt. Dieses Buch gibt einen Überblick über die Bedrohungslage im und durch das Internet, die Täter und deren Motivation digitale Straftaten zu begehen und welche Folgen für Behörden und Unternehmen entstehen. Die Entwicklung einer Cyberstrategie sollte der erste Schritt zur Erhöhung der Widerstandsfähigkeit bei Cyberangriffen sein. Das Vorgehen zur Entwicklung einer Cyberstrategie und deren Maßnahmenkataloge sowie die Struktur einer Cyberstrategie werden ebenfalls vorgestellt. Ein Ausblick auf die zukünftige Cyberbedrohungslage im Zuge der weiteren Digitalisierung immer weiterer Lebensbereiche wird abschließend dargestellt.

Michael Bartsch, Stefanie Frey

A: Erkennung der Cyberproblematik

Frontmatter

2. Hintergrundinformationen zur Cyber-(Un)Sicherheit

Die zunehmende Digitalisierung, Automatisierung und Vernetzung haben stark zugenommen und zu großen Abhängigkeiten geführt. Geschlossene Netzwerke und Stand-alone-Computersysteme wurden durch Standardisierung, Vernetzung und Mobilität verdrängt. Regierungen, kritische Infrastrukturen, Unternehmen und Gesellschaften digitalisieren und automatisieren ihre Geschäftsmodelle sowie die zugrunde liegenden Geschäftsprozesse und Lebensbereiche, somit sind viele Geschäftsmodelle ohne diese Technologien nicht mehr wettbewerbsfähig betreibbar. Dadurch sind große Chancen und Vorteile, aber auch Risiken entstanden. Die Abhängigkeit von der Informationstechnologie bedeutet, dass die Systeme zuverlässig funktionieren müssen und die Sicherheit gewährleistet sein muss. Für Unternehmen und Regierungen gleichermaßen ist es unerlässlich, dass ihre Prozesse und Systeme unter allen relevanten Umständen geschützt werden. Das gesamte Unternehmen und seine Liefer- und Logistikketten müssen berücksichtigt werden. Es besteht somit der Bedarf und die Notwendigkeit, das Bewusstsein und das Verständnis für Cybersicherheit im Rahmen einer „Sicherheitskultur“ auf allen Ebenen des Unternehmens zu entwickeln. Ein besseres Verständnis der Risiken, Schwachstellen und Bedrohungen für die IT-Systeme und Netzwerke müssen auf allen Managementebenen und bei jedem einzelnen Mitarbeiter etabliert werden.

Michael Bartsch, Stefanie Frey

3. Bedrohungslage

Die Cyberbedrohungen sind in den letzten Jahren stark angestiegen und alles und jeder steht heute im Visier der Täter – Staaten, kritische Infrastrukturen und Unternehmen jeglicher Größe sowie weite Teile der vernetzten Bevölkerung. Je nach Intention bedienen sich die Täter verschiedener Straftaten wie Cybercrime, Cyberhacktivismus, Cyberspionage oder auch Cybersabotage zur Durchführung des Angriffes. Bei Cybercrime spricht man von Cybercrime im engeren und im erweiterten Sinne. Im engeren Sinn werden alle Straftaten gefasst, die sich gegen Computersysteme, Netzwerke, Daten und das Internet richten oder nur damit durchführen lassen. Im erweiterten Sinne umfasst der Begriff alle Straftaten, die Computersysteme zur Durchführung von weiteren Straftaten (Steuerhinterziehung, Abrechnungsbetrug etc.) verwenden. Unter Cyberhacktivismus versteht man das Manipulieren von Webseiten und digitalen Informationsmedien zur Verbreitung von differenten Statements und Protestnachrichten, die im Allgemeinen ein politisches oder religiöses Ziel verfolgen. Bei Cyberspionage handelt es sich wie bei der klassischen Spionage um die verdeckte Informations- und DatengewinnungDatengewinnung. Bei der Cyberspionage geht es darum, einen Wettbewerbsvorteil (Industriespionage)Wettbewerbsvorteil (Industriespionage) oder einen staatlichen Branchenvorteil (Wirtschaftsspionage)staatlichen Branchenvorteil (Wirtschaftsspionage) zu erlangen. Bei der Cybersabotage geht es um störende oder zerstörende Angriffe auf strategische Ziele.

Michael Bartsch, Stefanie Frey

4. Täter und Täterorganisationsstruktur

Das Täterprofil hat sich in den letzten Jahren stark verändert. Heute ist nicht nur vom klassischen Einzeltäter auszugehen, sondern die Delikte werden oft auch von internationalen Banden und gewerbsmäßig organisierten Tätergruppen begangen. Die Tatmotive sind entweder finanzieller, wirtschaftlicher oder politischer Natur und die Täter bedienen sich Methoden wie DDoS-Attacken, Trojanern, Hacking oder Social Engineering. Oft ist auch kein technisches Spezialwissen zur Durchführung von Online-Straftaten notwendig und auch technisch unwissende Täter können erfolgreich in Computer-Netzwerke eindringen. Im Internet gibt es spezielle Angebote und vorgefertigte Software, die problemlos beschafft und genutzt werden können. Dazu gehören „Crime as a Service“- oder „Malware as a ServiceCrime as a Service- oder Malware as a Service“-Angebote, die Angriffe auf Computer und Netzwerke ohne großes Spezialwissen ermöglichen. Die Täterstrukturen und Organisationsformen sind unterschiedlich, es gibt einerseits Täterstrukturen, die oftmals arbeitsteilig ohne klassische hierarchische Strukturen und Organisationsformen arbeiten und andererseits die hoch spezialisierten Organisationsstrukturen, die aufgrund der Komplexität der Systeme und deren Vernetzung ein gewisses Maß an Organisation und Spezialisierung (technisch sowie im Management) zur Durchführung von Angriffen benötigen. StrafverfolgungsbehördenStrafverfolgungsbehörden und NachrichtendiensteNachrichtendienste sind daher mit großen technischen und organisatorischen Herausforderungen konfrontiert. Zur Verfolgung und Bekämpfung von Cyberkriminalität gibt es einerseits die PolizeienPolizeien und andererseits AllianzenAllianzen und neuartige KooperationsmodelleKooperationsmodelle etwa in Form von Public Private PartnershipsPublic Private Partnerships und die Zentralen Ansprechstellen Cybercrime (ZAC) der deutschen LandeskriminalämterLandeskriminalämter.

Michael Bartsch, Stefanie Frey

5. Schadenspotenzial und Kosten

Cyberangriffe verursachen nicht nur einen direkten Schaden, sondern generieren auch Kosten, die oft schwer zu bemessen sind. Jedes Unternehmen muss analysieren, welche EigenschädenEigenschäden (z. B. Betriebsbeeinträchtigungen und -unterbrechungen, Vorfallbearbeitung, KrisenmanagementKrisenmanagement, Wiederherstellungskosten, Vertragsstrafen und Bußgelder, ReputationskostenReputationskosten etc.) und welche potenziellen Fremdschäden (aus der Abhängigkeit von Kunden und Lieferanten) entstehen können. Durch die Vorfallsbehebung fallen weitere Präventionskosten an, die man ansetzen muss, damit der stattgefundene Cybervorfall sich nicht wiederholen kann und das betroffene Unternehmen besser auf Cyberangriffe vorbereitet ist. Mehr als die Hälfte der deutschen Unternehmen sind bereits Opfer eines Cyberangriffs geworden, durch die ein Schaden in Höhe von 51 Milliarden Euro entstanden ist. Nur knapp die Hälfte der UnternehmenUnternehmen verfügt aber über ein NotfallmanagementNotfallmanagement und bei mehr als der Hälfte der Unternehmen besteht keine Sicherheitskultur (in Form von SchulungenSchulungen und AwarenessAwareness). Der EigenschutzEigenschutz, der in der Regel in den gängigen Betriebssystemen integriert ist, reicht in vielen Fällen nicht aus. Diese ständig steigende Bedrohungslage, die Professionalisierung der Täter und die technisch ausgereiften Angriffe haben zur Folge, dass man dieser Herausforderung nur mit einem ganzheitlichen Cybersicherheitsansatz entgegentreten kann.

Michael Bartsch, Stefanie Frey

6. Komplexität der IT-Systeme

Die Grundstrukturen unserer heutigen Vernetzung und Datenverarbeitung sind zu einem Zeitpunkt entstanden, an dem funktionale Anforderungen im Vordergrund standen. Diese Strukturen und Protokolle aus den 1970er- und 1980er-Jahren bilden heute immer noch die Basis des Internets und sind damit auch die Basis für die Mehrheit der IT-Systeme und diese sind daher per Definition nicht sicher. Damit entstand auch eine Sicherheitsdiskussion, wie diese unsicheren Strukturen und Systeme geschützt werden können. Diese Strukturen können nicht gesichert, sondern bestenfalls nur geschützt werden. Cybersicherheit ist ein integraler Bestandteil für die Sicherheit von IT-Systemen und dass unsichere Systeme nicht durch Sicherheitsprodukte gesichert werden können, da Sicherheitsprodukte nur einen Schutz vor allgemeinen, aber nicht vor spezifischen Sicherheitslücken bieten können. Dieser Umstand führt dazu, dass vermeintlich gut gesicherte Infrastrukturen trotzdem erfolgreich angegriffen werden. Aufgrund der Gesamtkomplexität und der Neuartigkeit des Themenfeldes Cybersicherheit können viele Systeme noch nicht so geschützt werden wie sie sollten. Daher haben sich in den letzten Jahren Täter darauf fokussiert, diesen Umstand als Grundlage für digitale Straftaten zu nutzen.

Michael Bartsch, Stefanie Frey

7. Von der globalen zur individuellen Bedrohungslage

Die Bedeutung der globalen Bedrohungslage ist für das einzelne Unternehmen wichtig, denn wer der Gegner ist, hängt davon ab, wer man selbst ist. Das bedeutet, welche Art der Bedrohungslage für ein Unternehmen zutreffend ist, hängt unter anderem davon ab, was der Unternehmensgegenstand ist, welche Marktposition ein Unternehmen hat und aufgrund welcher Innovation Wettbewerbsvorteile entstehen. Das Verständnis und die Unterscheidung zwischen MassenphänomenenMassenphänomenen (DDoS) und EinzelphänomenenEinzelphänomenen (Advanced Persistent ThreatAdvanced Persistent Threat) und wie ein Unternehmen getroffen werden kann und welche Auswirkungen entstehen können, sind unternehmensspezifisch und müssen beachtet werden. Jedes Unternehmen sollte sich diesbezüglich Kernfragen, die in diesem Kapitel beschrieben sind, stellen, um die Cyber-GefährdungslageGefährdungslage des Unternehmens besser zu verstehen und damit die Cybersicherheit erhöhen zu können.

Michael Bartsch, Stefanie Frey

B: Lösungsansätze und Maßnahmenentwicklung

Frontmatter

8. Cybersicherheit: ein allumfassender und risikobasierter Lösungsansatz

Cybersicherheit ist nicht nur IT-Sicherheit, da Cyberrisiken Teil des Gesamtrisikos eines Unternehmens sind und nicht ein isoliertes Problem der IT. Ein reiner IT-Ansatz ist daher nicht zielführend, da die Cyberproblematik über den IT-Ansatz hinausgeht und zusätzlich personelle, physische und organisatorische Aspekte berücksichtigen muss. Es sollte ein allumfassender und risikobasierter Ansatz gewählt werden und für alle erwähnten Teilaspekte die Risiken ermittelt und darauf abgestimmt die geeigneten Sicherheitsmaßnahmen entwickelt werden. Beispiele von organisatorischen, personellen, physischen und technischen Risiken und Maßnahmen sind in diesem Kapitel beschrieben.

Michael Bartsch, Stefanie Frey

9. Staatliche Lösungsansätze

Viele Staaten haben die Notwendigkeit der Cybersicherheit erkannt, darauf reagiert und Cyberstrategien entwickelt. Unternehmen sind sehr häufig bei der Entwicklung von Cyberstrategien noch nicht so weit. Eine effektive Cybersicherheit kann langfristig nur etabliert werden, wenn sie auf einer umfassenden Cyberstrategie aufgebaut ist. Es entsteht ein Bedarf an übergreifender Zusammenarbeit, Kooperation sowohl auf regionaler wie auch auf globaler Ebene und an der Entwicklung eines gesamtheitlichen Ansatzes, um diesen Herausforderungen zu begegnen („Whole-of-System-AnsatzWhole-of-System-Ansatz“). Auch kann die innere Sicherheit nicht mehr von der äußeren getrennt werden, sondern beide sind heute weitgehend in der Cyberwelt verschmolzen. Diese Veränderungen führen zu einem Sicherheitsgefälle, das sich über alle Ebenen und Bereiche (staatlich, wirtschaftlich und gesellschaftlich) erstreckt. In diesem Kapitel wird beschrieben, wie dieses Sicherheitsgefälle und seine Wechselwirkungen entstehen, was die zentralen Aspekte von Cyberstrategien sind sowie die Ähnlichkeiten und Unterschiede der staatlichen Cyberstrategien am Beispiel Deutschlands und der SchweizSchweiz. Auflagen und RegulatorenRegulatoren, wie die Netz- und Informationssicherheit Direktive (NIS-Direktive), sowie IT-Sicherheitsgesetze können kurz-, mittel- und langfristige Auswirkungen auf Unternehmen haben, die ebenfalls beschrieben werden.

Michael Bartsch, Stefanie Frey

10. Grundsätze der Strategieentwicklung

Je vernetzter und digitalisierter ein Unternehmen ist, desto wichtiger ist es, eine bereichsübergreifende Cyberstrategie zu entwickeln, da Cyberstrategien eine Teilstrategie der Unternehmensstrategie sind. Eine Cyberstrategie zu entwickeln ist, wenn die richtige Methode und die richtigen Instrumente angewendet werden, keine Zauberei. Unternehmen (insbesondere Kleine und Mittlere Unternehmen – KMUKMU) beschäftigen sich nicht in dem Maß mit der Cyberstrategieentwicklung, wie sie sollten. Die gesamte Energie und Konzentration wird oft in das operative Tagesgeschäft investiert und nicht in den Cyberstrategie-Planungsprozess. Untenstehend werden die vier generischen Schritte zur CyberstrategieentwicklungCyberstrategieentwicklung beschrieben. Das Unternehmen sollte zuerst die Ausgangslage analysieren und sein Umfeld kennen. Dann sollten die Vision und die strategischen Ziele gesetzt werden und darauf basierend die Cyberstrategie entwickelt werden. Der letzte Punkt ist die Cyberstrategie-Umsetzung. Es ist wichtig, dass das Unternehmen eine Struktur etabliert, die den Umsetzungsprozess aktiv begleitet und anhand eines Monitorings Anpassungen vornimmt. Aufgrund der strategischen Ziele müssen geeignete Handlungsfelder und Maßnahmen definiert werden, die bedarfsgerecht auf das jeweilige Unternehmen ausgerichtet werden. Bei Bedarf kann auch externe Hilfe und Unterstützung hinzugezogen werden, damit eine bedarfsgerechte und maßgeschneiderte Cyberstrategie entwickelt werden kann.

Michael Bartsch, Stefanie Frey

11. Entwicklung und Umsetzung von Maßnahmen zur Erhöhung der Cybersicherheit

Es gibt im Wesentlichen zwei Arten von AngriffsmethodenAngriffsmethoden, 1) die, die sofort bemerkt werden, wie z. B. ein DDoS-Angriff oder der Einsatz von Ransomware (Erpressungstrojaner) oder 2) die, die erst später oder nie bemerkt werden (Spionagetrojaner). Cyberangriffe haben je nach gewünschtem Ziel unterschiedliche technische Methoden, die jedoch immer einem generischen Muster folgen. Welche Art des Cyberangriffs gewählt wird, entscheidet über die Abwehrmaßnahmen, die jeweils individuell getroffen werden müssen. Das Verständnis des generischen Vorgehens hilft bei der Entwicklung eines Maßnahmenkatalogs, der Angriffe vermeiden hilft oder deren Auswirkungen reduziert. Ein Cyberangriff lässt sich in die folgenden generischen Phasen unterteilen: Vorbereitungsphase, Reaktionsphase, Nutzungs- und Tarnphase. In der Vorbereitungsphase wird der Angreifer versuchen, alle notwendigen Informationen für die Durchführung des Angriffs zu beschaffen. Dazu wird die gesamte Zielumgebung ausspioniert. In der Angriffsphase werden dann technische Mechanismen benutzt, die den Zugang zu IT-Systemen des Opfers ermöglichen. In den meisten Fällen sind dies Trojaner, die über USB-Speichersticks, E-Mails oder sonstige Medien in das System eingebracht werden. In der Nutzungs- und Tarnphase übernimmt der Angreifer administratorische Fähigkeiten der IT-Systeme und kann dadurch auf alle Informationen von außen zugreifen. Gegen Cyberangriffe, die nach einem generischen Muster ablaufen, sollten vorab geeignete Maßnahmen entwickelt werden, damit bereits bekannte Cyberangriffe nicht durchführbar sind und das Unternehmen auf weitere Cyberangriffe vorbereitet ist. Diesbezüglich gibt es ebenfalls drei generische Phasen, die als allgemeingültig gelten können: die Präventionsphase, die Reaktionsphase und die Stabilisationsphase. Welche möglichen Maßnahmen getroffen werden können, um die Cybersicherheit zu erhöhen, wird in diesem Kapitel beschrieben.

Michael Bartsch, Stefanie Frey

C: Ausblick

Frontmatter

12. Die Bedrohungen der Zukunft

Die Digitalisierung, Automatisierung und Vernetzung aller Lebensbereiche – privat wie geschäftlich – ermöglicht ständig neue Möglichkeiten. Man denke nur an das Internet der Dinge, Industrie 4.0, die RoboRoboAdvisorAdvisor der FinTechsFinTechs, SmartSmartHomeHome etc. Es wird zunehmend „intelligente Endgeräteintelligente Endgeräte“ geben, die an das InternetInternet angeschlossen werden und durchgängig vernetzt und immer online sind. Mögliche, damit einhergehende Risiken sind in diesem Kapitel grob beschrieben, jedoch sind die reellen Risiken heutzutage nicht detailliert abschätzbar und müssen individuell für jeden Einsatzbereich betrachtet werden.

Michael Bartsch, Stefanie Frey

Backmatter

Weitere Informationen

Premium Partner

Neuer Inhalt

BranchenIndex Online

Die B2B-Firmensuche für Industrie und Wirtschaft: Kostenfrei in Firmenprofilen nach Lieferanten, Herstellern, Dienstleistern und Händlern recherchieren.

Whitepaper

- ANZEIGE -

Product Lifecycle Management im Konzernumfeld – Herausforderungen, Lösungsansätze und Handlungsempfehlungen

Für produzierende Unternehmen hat sich Product Lifecycle Management in den letzten Jahrzehnten in wachsendem Maße zu einem strategisch wichtigen Ansatz entwickelt. Forciert durch steigende Effektivitäts- und Effizienzanforderungen stellen viele Unternehmen ihre Product Lifecycle Management-Prozesse und -Informationssysteme auf den Prüfstand. Der vorliegende Beitrag beschreibt entlang eines etablierten Analyseframeworks Herausforderungen und Lösungsansätze im Product Lifecycle Management im Konzernumfeld.
Jetzt gratis downloaden!

Bildnachweise