Cybersicherheit für Unternehmen E-Book

CYBERSICHERHEIT FÜR UNTERNEHMEN

LARRY CLINTON

Die Originalausgabe erschien unter dem Titel

„Cybersecurity for Business“ bei Kogan Page Limited.

ISBN 978-1-398-60614-2

Copyright der Originalausgabe 2022:

Copyright © Larry Clinton, 2022

Copyright © Internet Security Alliance, 2022

All rights reserved.

This translation of Cybersecurity for Business is published by arrangement with Kogan page.

Copyright der deutschen Ausgabe 2024:© Börsenmedien AG, Kulmbach

Übersetzung: Börsenmedien AG

Coverfoto: Shutterstock

Gestaltung und Satz: Sabrina Slopek

Vorlektorat: Sebastian Politz

Korrektorat: Rotkel. Die Textwerkstatt

Druck: GGP Media GmbH, Pößneck

ISBN 978-3-86470-949-4

eISBN 978-3-86470-950-0

Alle Rechte der Verbreitung, auch die des auszugsweisen Nachdrucks, der fotomechanischen Wiedergabe und der Verwertung durch Datenbanken oder ähnliche Einrichtungen vorbehalten.

Bibliografische Information der Deutschen Nationalbibliothek:

Die Deutsche Nationalbibliothek verzeichnet diese Publikation in der Deutschen Nationalbibliografie; detaillierte bibliografische Daten sind im Internet über <http://dnb.d-nb.de> abrufbar.

Postfach 1449 • 95305 Kulmbach

Tel: +49 9221 9051-0 • Fax: +49 9221 9051-4444

E-Mail: [email protected]

www.plassen.de

www.facebook.com/plassenbuchverlage

www.instagram.com/plassen_buchverlage

LARRY CLINTON (HRSG.)

CYBERSICHERHEIT FÜR UNTERNEHMEN

PROFI-STRATEGIEN ZUR ABWEHR VON GEFAHREN AUS DEM NETZ

INHALT

Vorwort von Peter Gleason

Vorwort von Sebastian Lange

Vorbemerkung

Über die Autoren

1 Cybersicherheit ist (nicht) ein IT-Problem

Fünf wichtige Erkenntnisse, die Sie aus diesem Kapitel mitnehmen können

Einleitung

Warum wir bei der Sicherung des Cyberspace keine Fortschritte machen

Die digitale Transformation macht Cybersicherheit zu einem Businessthema

Die neue Grenze: Künstliche Intelligenz (KI) und Angriffe, die lernen

Warum es schwierig ist, Unternehmenswachstum, Rentabilität und Cybersicherheit in Einklang zu bringen

Die Covid-19-Pandemie: Cybergestützte Unternehmen und erhöhtes Risiko

Das Cybersicherheitsproblem ist ernst und wird schnell gravierender

Technische Schwachstellen sind ein Problem – aber nicht das einzige Problem

Warum Cyber-Infrastrukturen angegriffen werden – folgen Sie dem Geld

Die Wirtschaftlichkeit der Cybersicherheit steht auf dem Kopf

Das wirtschaftliche Gleichgewicht im Cyberspace begünstigt die Angreifer

Gute Cyberhygiene ist nicht genug

Sicherheit vs. Compliance

Das Sanktionsmodell zur Erzwingung angemessener Sicherheit

Was kann ein Unternehmen für die Cybersicherheit tun?

Schlussfolgerung

2 Wirksame Cybersicherheitsgrundsätze für das Board

Fünf wichtige Erkenntnisse, die Sie aus diesem Kapitel mitnehmen können

Einleitung

Welche Rolle spielt das Board bei der Cybersicherheit?

Wie sich das Denken des Boards über Cybersicherheit entwickelt hat

Entwicklung und Validierung von Grundsätzen für die Cybersicherheit auf Ebene des Boards

Prozess zur Entwicklung der internationalen Grundsätze für Boards und Cybersicherheit

Fünf übereinstimmende Grundsätze für effektive Cybersicherheit auf Ebene des Boards

Erläuterung der Grundsätze der Cybersicherheit im Board

Schlussfolgerung

3 Strukturierung für das digitale Zeitalter

Fünf wichtige Erkenntnisse, die Sie aus diesem Kapitel mitnehmen können

Einleitung

Die Abkehr von digitalen Silos

Schaffung eines Managementrahmens für die Cybersicherheit

Wir sind noch nicht integriert

Abgeschottete Cybersicherheitssysteme sind kontraproduktiv

Wie zentralisiert sollte der Aufgabenbereich Cybersicherheit sein?

Wem ist der Leiter der Cybersicherheitsabteilung unterstellt?

Wer gehört zum Cybersicherheitsteam?

Die richtige Struktur für das Cybersicherheitsteam finden

Anpassung der Unternehmensarchitektur

In der Finanzdienstleistungsbranche initiierte Kooperationsmodelle

Schlussfolgerung

4 Ein moderner Ansatz zur Bewertung von Cyberrisiken

Fünf wichtige Erkenntnisse, die Sie aus diesem Kapitel mitnehmen können

Einleitung

Was ist ein Cyberrisiko?

Vergleich traditioneller Cyberrisiko-Methoden

Eine bessere Herangehensweise

Die moderne Risikobewertung

Vereinfachen Sie die Betrachtung von Cyberrisiken

Übersetzung traditioneller Cybersicherheitskennzahlen in finanzielle Details

Bereitstellung eines Instruments für eine standardisierte und wiederholbare Cyberrisiko-Bewertung

Prognostizierte finanzielle Belastung durch Cyberrisiken

Bereitstellung einer Reihe von priorisierten Abhilfe- und Transferanleitungen

Cyberrisiko mit unternehmensweitem Risikomanagement-Berichtswesen abstimmen

Schlussfolgerung

5 Die Rolle der Personalabteilung bei der Skalierung der Cybersicherheit und dem Aufbau von Vertrauen

Fünf wichtige Erkenntnisse, die Sie aus diesem Kapitel mitnehmen können

Einleitung

Bedrohung durch Insider: Die Achillesferse

Telearbeit: Die neueste Komplikation

Entwicklung einer sicherheitsorientierten Unternehmenskultur

Entwicklung von Prozess- und Betriebskontrollen

Der Wert der Personalarbeit im Bereich der Cybersicherheit

Anwerbung, Einstellung und Bindung

Ausbildung: Eine ständige Verpflichtung für die Sicherheit

Austrittsprozess

Schlussfolgerung

6 Cybersicherheit und die Rechtsabteilung

Fünf wichtige Erkenntnisse, die Sie aus diesem Kapitel mitnehmen können

Einleitung

Warum die Cybersicherheit ein proaktives Vorgehen des Justiziars erfordert

Hauptverantwortlichkeiten – die Grundlagen

Überwachung und Beratung bei Änderungen der gesetzlichen, regulatorischen und branchenspezifischen Anforderungen

Regulatorische Anforderungen

Die Rolle des Justiziars im Cybersicherheits-Risikomanagement

Schlussfolgerung

7 Überlegungen zu Cybersicherheitsprüfung und Compliance

Fünf wichtige Erkenntnisse, die Sie aus diesem Kapitel mitnehmen können

Einleitung

Die aktuelle Landschaft der Compliance- und Prüfungsanforderungen

Einhaltung der Cybersicherheitsvorschriften im Rahmen des Risikomanagements von Unternehmen

Die Rolle des Audits

Das Modell der drei Verteidigungslinien

Die Rolle der externen Auditoren

Die Rolle der Technologie bei zukünftigen Compliance- und Auditmaßnahmen

Schlussfolgerung

8 Cyberrisiko-Management für die Lieferkette und für Drittparteien

Fünf wichtige Erkenntnisse, die Sie aus diesem Kapitel mitnehmen können

Einleitung

Herangehensweise an das Cyberrisiko-Management für die Lieferkette

Berücksichtigung von Cybersicherheitsmanagement und IT-Governance bei der Berechnung der Gesamtbetriebskosten

Verhandlungsstrategien unter Einbeziehung von Cybersicherheits-Versicherungsbestimmungen

Umsetzung inklusiver Service-Level-Agreements

Einbeziehung der Cybersicherheit in das aktuelle Risikomanagement der Lieferkette

Schulung der Mitarbeiter der Lieferkette zur Erkennung von Cybersicherheitsrisiken und zur Durchführung von Maßnahmen zur Risikominderung

Due Diligence von Cyberlieferketten-Drittanbietern

Einbeziehung von Cyberanforderungen in das Risikomanagementprogramm für Dritte

Sicherstellung, dass Vereinbarungen mit Cyberdrittanbietern angemessene Kontrollen für rechtliche Risiken und Compliance bieten

Schlussfolgerung

9 Technischer Betrieb

Fünf wichtige Erkenntnisse, die Sie aus diesem Kapitel mitnehmen können

Einleitung

Technische Transaktionen – die Notwendigkeit einer konsequenten Koordinierung von „Defense in Depth“

Prävention – technische Maßnahmen

Erkennung – technische Maßnahmen

Reaktion – technische Maßnahmen

Schlussfolgerung

10 Krisenmanagement

Fünf wichtige Erkenntnisse, die Sie aus diesem Kapitel mitnehmen können

Einleitung

Was ist ein Plan zur Reaktion auf Zwischenfälle (IRP)?

Warum brauchen Sie einen Plan?

Unternehmerische Fähigkeiten und Aufgabenbereiche, die zur Unterstützung der Reaktion auf Vorfälle erforderlich sind

Fragen, die die Geschäftsleitung bei der Ausarbeitung eines IRP berücksichtigen sollte

Zu benachrichtigende Dritte

Schlussfolgerung

11 Überlegungen zur Cybersicherheit während der M&A-Phasen

Fünf wichtige Erkenntnisse, die Sie aus diesem Kapitel mitnehmen können

Einleitung

Wann ist der beste Zeitpunkt für die Durchführung der Risikobewertung in puncto M&A? Je früher, desto besser

Strategie- und Zielfindungsphase

Due-Diligence- und Abwicklungsphase

Integrationsphase

Schlussfolgerung

12 Aufbau von Beziehungen mit dem Cybersicherheitsteam

Fünf wichtige Erkenntnisse, die Sie aus diesem Kapitel mitnehmen können

Einleitung

Eine gesunde Unternehmenskultur

Einfühlungsvermögen: Die Gefühle anderer zu verstehen ist Teil der Cybersicherheit

Die Rolle des CISO

Beziehungen zum Cybersicherheitsteam

Beziehungen innerhalb des Unternehmens

Beziehungen außerhalb des Unternehmens

Leistung bewerten

Schlussfolgerung

Endnoten

VORWORT

WEGWEISER DURCH DIE GRAUZONE

VON PETER GLEASON, PRÄSIDENT UND GESCHÄFTSFÜHRER, NATIONALER VERBAND DER UNTERNEHMENSLEITER

Wenn es um Unklarheiten und Risiken geht, sind nur wenige Führungskräfte besser mit der Herausforderung vertraut, fundierte Ratschläge zu erteilen, als die Leiter von Unternehmen auf der ganzen Welt. Die Mitglieder von Organisationen wie der National Association of Corporate Directors (NACD) und der Internet Security Alliance (ISA) suchen nach einer Orientierungshilfe, mit der sie die Bedrohung durch Cyberangriffe überblicken und ihre Organisationen dementsprechend leiten können. Dabei müssen sie mit einer zunehmenden Bandbreite von Grautönen rechnen – und zwar im Hinblick darauf, wie sie reagieren und wen sie alarmieren sollen und was getan werden kann, um sich vor diesem existenziellen Risiko zu schützen.

In einem Blogbeitrag vom Dezember 2020 bezeichnete Elizabeth Braw, Gastwissenschaftlerin am American Enterprise Institute, den Datendiebstahl durch nordkoreanische, staatlich gesponserte Hacker bei einem der am Projekt „Warp Speed“ beteiligten Unternehmen als „Grauzonen“-Kriegsführung. Eine kurze Suche nach dem Begriff zeigt bereits, dass unter Außenpolitikern und Sicherheitsforschern Uneinigkeit darüber herrscht, wie dieser Begriff zu definieren ist. Eines ist aber sicher: Cyberangriffe sind eines von vielen und möglicherweise das beste Werkzeug in der Grauzone, um Unternehmen, die in der traditionell grenzenlosen Welt des Internets tätig sind, Schaden zuzufügen. In einer Welt, in der beispielsweise lebensrettende Impfstoffe und kritische Lieferketten gemeinsam und grenzüberschreitend in der Cloud entwickelt werden, haben bösartige Akteure jeglicher Herkunft die Macht, Menschen und Unternehmen erheblichen Schaden zuzufügen.

Trotz der Bemühungen, sensible Daten zu schützen und auf die Vorschriften verschiedener Nationalstaaten zu reagieren, schwindet international das Vertrauen in Institutionen wie nationale Regierungen und Unternehmen, die mit der Daten- und Netzwerksicherheit betraut sind. Laut einer im Juni 2019 von Pew Research durchgeführten Umfrage unter in den Vereinigten Staaten lebenden Menschen gaben 66 Prozent an, dass die Risiken die Vorteile der gemeinsamen Nutzung von Daten mit der Regierung überwiegen. Dieselbe Gruppe berichtete von einem noch größeren Misstrauen gegenüber Unternehmen. 81 Prozent der Befragten gaben an, dass die Risiken, die damit verbunden sind, dass Unternehmen ihre Daten sammeln dürfen, die möglichen Vorteile überwiegen.

Wirtschaft, Regierung und Gesellschaft stehen zweifellos an einem Scheideweg. Laut dem Global Risk Report des Weltwirtschaftsforums für das Jahr 2020 gibt es einerseits die wirtschaftliche und menschliche Verheißung der vierten industriellen Revolution und all dem, was die damit verbundenen Technologien mit sich bringen können. Andererseits herrschen

in zunehmendem Maße geopolitische Spannungen durch Grauzonen-Taktiken, ein möglicherweise fragmentiertes Internet, verursacht durch Maßnahmen umkämpfter Nationalstaaten, und die daraus resultierende Erstickung von einst vielversprechenden Innovationen. Der Bericht des Forums für das Jahr 2021 stellt fest, dass die geopolitische Fragmentierung tatsächlich zu einer Zunahme von Cyberangriffen geführt hat. Wenn unsere Institutionen weiterhin nicht konform mit den anerkannten Governance-Grundsätzen arbeiten, könnten Cyberangriffe in Umfang und Schwere weiter zunehmen.

Die Partnerschaft zwischen der NACD und der ISA zur Entwicklung einer Reihe globaler Cybersicherheitsgrundsätze gibt den Institutionen, die dieses sich ständig verändernde Risiko überwachen, den richtigen Weg vor. In diesem Buch werden diese Grundsätze, die in Kapitel 2 eingehender erörtert werden, auf die Managementebene ausgeweitet. Es bietet eine Anleitung zu spezifischen Prozessen, die aktuelle und angehende Führungskräfte in ihren jeweiligen Bereichen umsetzen sollten, um die Erwartungen ihres Boards an ein solides Management der komplizierten und ständig zunehmenden Cyber-risiko-Herausforderungen in Unternehmen zu erfüllen.

Befassen Sie sich daher bitte mit den in diesem Band erörterten Grundsätzen und bereiten Sie sich darauf vor, sie anzuwenden und in Ihren Boardetagen und darüber hinaus für sie einzutreten. Die Grundsätze zielen darauf ab, die Cyber-Governance für Unternehmen, Anbieter und andere Beteiligte erschwinglicher, effizienter, transparenter und nachvollziehbarer zu machen und zu standardisieren. Es ist noch genug Zeit, den Weg durch die Grauzone schwarz auf weiß aufzuzeigen.

Legen wir los.

VORWORT

VON SEBASTIAN LANGE, SAP CHIEF SECURITY OFFICER

In der Wirtschaft des 21. Jahrhunderts sind Daten von hoher Bedeutung, ähnlich der Rolle von Öl im 20. Jahrhundert. Daten im Zusammenspiel mit Sicherheitsmaßnahmen bilden die Grundlage moderner Unternehmensprozesse. Ob für die Erstellung von Webseiten oder die Rationalisierung von Aufgaben mittels Technologie – Daten werden von Unternehmen genutzt, um Wettbewerber zu überholen und die Produktivität zu steigern. Buchstäblich jeder Unternehmensprozess, jedes System oder jede Anwendung umfasst die Generierung oder Verarbeitung wichtiger Informationen. Die Wahrung des Schutzes von Mitarbeiter-, Kunden- und Betriebsdaten spielt eine erhebliche Rolle, um in der digitalen Wirtschaft erfolgreich zu sein.

Trotz der umfassenden Nutzung von Technologien in Geschäftsprozessen haben viele mit unzureichenden Cybersicherheitsstrategien zu kämpfen. Dieser Missstand entsteht oftmals durch den Irrglauben, dass Cybersicherheit ein rein technisches Anliegen sei. Dieses Vorwort schafft die Voraussetzung für eine Neubewertung dieser zu eng gefassten Perspektive und unterstreicht, wie wichtig es ist, dass das allgemeine Verständnis sich wandelt und der größeren Bedeutung von Cybersicherheit Rechnung trägt. Dieses Buch beschäftigt sich eingehend mit der wachsenden Bedeutung von Cybersicherheit und zeigt auf, wie diese über die Grenzen der IT hinaus sich auf alle Bereiche erfolgreicher Unternehmensführung erstreckt. Cybersicherheit betrifft nicht nur technische Experten, sondern jeden, von Berufseinsteigern bis hin zur Unternehmensführung. Dieses Buch verdeutlicht, weshalb sich Cybersicherheit nicht länger nur auf IT beschränkt; sie ist ebenso von Bedeutung für die Geschäftsführung, Rechtsberatung, das Personalwesen und alle weiteren Unternehmensbereiche. Während der Vorstand für Informationstechnologie mit dem Vorstand für Informationssicherheit zusammenarbeitet, um den Schutz des Betriebs zu gewährleisten, strebt der Verwaltungsrat an, eine transformative Unternehmenskultur zu fördern.

Speziell in der heutigen Zeit ist das Fördern einer Sicherheitskultur in Unternehmen eine Priorität für das Personalwesen und dessen Vorstand. Diese Zusammenarbeit dient dazu, das Bewusstsein für und die Einhaltung von Sicherheitsmaßnahmen zu erhöhen. Konkret bedeutet das, dass die Personalabteilung eine zentrale Rolle in der Implementierung von Sicherheitstrainings und der Einhaltung der etablierten Richtlinien spielt. Ihr Mitwirken erstreckt sich von der Vergabe von spezifischen Rollen und Zugangsberechtigungen über Zuverlässigkeitsprüfungen im Einklang mit den Grundsätzen der Cybersicherheit. Bedrohungen wie böswillige Insider, die Exfiltration von Daten und die Ausweitung von Privilegien sind nur einige der Cybersicherheitsrisiken, vor denen Unternehmen ihre Systeme schützen müssen, und das Personalwesen bildet durch die Stärkung der Sicherheitsstellung des Unternehmens die vorderste Abwehrfront.

Unternehmen sind sich bewusst darüber, dass Menschen das schwächste Glied sind, jedoch erfordert das Ändern der Kultur und der Mentalität der Mitarbeitenden nicht nur einen großen Einsatz vonseiten des Personalwesens, sondern ebenso von anderen Funktionsbereichen innerhalb der Organisation. Bei der Förderung einer Sicherheitskultur und dem Etablieren einer Denkweise mit dem Fokus auf Sicherheit handelt es sich wahrlich um funktionsübergreifende Initiativen.

Es wird diskutiert, wie Cybersicherheitsrisiken und deren Minderung essenzielle Bestandteile bei der Erstellung einer Strategie für jeden Funktionsbereich einer Organisation darstellen, ob Rechtsabteilung, das Supply-Chain-Management, Audit und Compliance, Fusions- und Akquisitionsabteilung, Krisenmanagement, Kommunikation oder weitere Bereiche. All diese Funktionen müssen zusammenarbeiten, um eine risikoresistente Cybersicherheitsstrategie zu entwickeln.

Als Nächstes blicken wir auf Compliance und Auditierung. Ebenso wie sich Technologie stetig entwickelt, tun dies auch die damit einhergehenden Risiken. Dies macht eine Weiterentwicklung von Compliance-Konzepten notwendig. Um die Cybersicherheit zu stärken, ist es wichtig, sich auf Unternehmensebene mit Sicherheit zu befassen. Unternehmen müssen daher eine große Menge an Ressourcen für die Einhaltung gesetzlicher Auflagen bei gleichzeitiger Wahrung des Datenschutzes aufwenden. Wirtschaftsprüfung muss über konventionelle Methoden hinausgehen, um umfangreiche Einblicke in unternehmensweite Risiken zu liefern. Trotz der Notwendigkeit von Compliance darf die Einhaltung gesetzlicher Auflagen nicht als einziger Maßstab für Sicherheit dienen.

Im letzten Kapitel wird dargelegt, wie die Zusammenarbeit des Informationssicherheitsteams mit weiteren Funktionsbereichen innerhalb eines Unternehmens, Kunden und weiteren Interessenvertretern gestaltet werden soll, um schlussendlich einen Plan für die Risikomanagement-Richtlinien des Unternehmens zu entwickeln. Für jeden Interessenvertreter steht viel auf dem Spiel, weshalb sie alle in Abstimmung miteinander an einer zuverlässigen Sicherheitskultur arbeiten sollten.

Als Vorstandsmitglieder der Internet Security Alliance schlugen wir eine Reihe an Grundsätzen vor, basierend auf unserem Expertenwissen und unserer langjährigen Erfahrung in der Industrie. Die Effektivität dieser Grundsätze wurde unabhängig durch PwC im Rahmen ihrer Umfrage zur Global Information Security bestätigt. Sie sollen als Basis für die Entwicklung einer Risikomanagement-Richtlinie dienen.

SAP, ein Weltmarktführer im Bereich Enterprise- und Unternehmenssoftware, priorisiert die Sicherheit von Kundendaten und agiert im Rahmen einer umfangreichen und unternehmensweiten Sicherheitsstrategie, um zuverlässige und sichere Softwarelösungen anzubieten. Durch die Implementierung der Grundsätze, die in diesem Buch beschrieben werden, möchte SAP die Funktionen von Personen, Prozessen und Technologien für den Aufbau von Vertrauen unterstützen und dabei den Fokus auf Transparenz, Compliance, Sicherheit und Datenschutz legen. Innerhalb der Organisation liegt der Fokus darauf, allen Abteilungen und Mitarbeitenden Trainings zu bieten, statt die Verantwortung für Cybersicherheitsvorkehrungen technischen Teams zu überlassen. Die Sicherheit und der Schutz von Kundendaten genießt bei SAP höchste Priorität.

VORBEMERKUNG

Dieses Buch ist im Wesentlichen ein Ratgeber für Firmenmanager, der es ihnen ermöglicht, ihre Aktivitäten besser zu verstehen und mit den wachsenden Erwartungen der Boards in Einklang zu bringen, während sie daran arbeiten, die Cyberrisiken ihrer Organisation zu verwalten.

Seit 2014 und bis zum Zeitpunkt der Veröffentlichung und darüber hinaus haben Organisationen, die hinter den Unternehmensvorständen aus der ganzen Welt stehen, Programme durchgeführt, um die Rolle des Boards bei der Beaufsichtigung von Cyberrisiken besser zu verstehen und zu formulieren. Diese Bemühungen haben zu einer Reihe von Handbüchern zum Thema Cyberrisiken geführt, die von diesen Organisationen in Zusammenarbeit mit der ISA erstellt wurden. Der aktuelle Band wurde vom Board der ISA verfasst.

Die Handbücher sind nun auf vier Kontinenten in fünf verschiedenen Sprachen erhältlich. Zwar wurde jedes der Handbücher individuell an die spezifischen Bedürfnisse, die Kultur und die Struktur der verschiedenen Regionen angepasst, aber alle unterstützen die gleichen Grundprinzipien für Boards bei der Wahrnehmung ihrer Aufsichtspflichten in Bezug auf Cyberrisiken.

Wie in Kapitel 2 näher erläutert wird, sind diese Handbücher weltweit von einem breiten Spektrum an Direktoren, Organisationen und Regierungen unterstützt worden. Darüber hinaus wurde die Wirksamkeit der in diesen Handbüchern dargelegten Grundsätze von PwC in ihrem Global Information Security Survey unabhängig bestätigt. Daher etablieren sich diese Grundsätze zunehmend zum Standard für Führungskräfte in Unternehmen, die sich um die Bewältigung der wachsenden Cyberrisiken bemühen, mit denen Unternehmen konfrontiert sind.

Dieses Buch greift die Grundsätze auf, die Boards bei der Überwachung von Cyberrisiken anwenden, und überträgt sie auf die Führungsebene. Es beginnt mit einer Neukonzeptionierung der Art der Cyberbedrohung. Während man sich bei Cyberbedrohungen traditionell fast ausschließlich auf die technischen Abläufe konzentriert hat, zeigt dieses Buch, dass Cyberrisiken zunehmend als strategisches Geschäftsthema betrachtet werden müssen. Obwohl die technischen Abläufe nach wie vor eine wichtige Rolle bei der Verwaltung von Cyberrisiken spielen, werden die wirtschaftlichen Aspekte der Cybersicherheit immer mehr zu einem entscheidenden Element für das Verständnis der digitalen Transformation in Unternehmen.

Anschließend beschreiben wir, wie Unternehmen dynamische neue Strukturen entwickeln, um multidimensionale Cyberrisiko-Teams zu schaffen, die einen unternehmensweiten und nicht nur einen IT-zentrierten Ansatz für die Cybersicherheit ermöglichen. Auf der Grundlage dieses sich entwickelnden Verständnisses des Boards für Cyberrisiken aus der Geschäftsperspektive und der strukturellen Reformen in den Unternehmen beschreiben wir, wie sich die Bewertung von Cyberrisiken weiterentwickelt – und weiterentwickelt werden muss –, damit Cyberrisiken auf einer empirischen und wirtschaftlichen Grundlage verstanden werden können.

Im Einklang mit dieser sich abzeichnenden unternehmensweiten Anerkennung des Cyberrisiko-Managements erörtern wir anschließend, wie Cyberrisiken nun zu einem Faktor bei einer Vielzahl unternehmerischer Aufgaben und -funktionen werden müssen. Dazu gehört die Rolle des technischen Betriebs, aber auch eine Beschreibung, wie Bereiche wie Personalwesen, Recht, Lieferketten, Audit, Mergers & Acquisitions, externe Kommunikation und Krisenmanagement jetzt eine Cyberrisiko-Analyse beinhalten müssen. Abschließend wird erörtert, wie sich die Beziehungen zwischen diesen zuvor voneinander getrennten Bereichen nun entwickeln müssen, um das unternehmensweite Modell des Cyberrisiko-Managements zu ermöglichen, das die Boards zunehmend erwarten.

ÜBER DIE AUTOREN

Die Internet Security Alliance ist führend auf dem Gebiet der Cybersicherheit und arbeitet mit der US-Regierung zusammen, um sich für eine öffentliche Politik einzusetzen, die die Interessen der Cybersicherheit fördert.

Larry Clinton ist Präsident und CEO der Internet Security Alliance. Er berät Industrie und Regierung in Fragen der Cyberpolitik und tritt regelmäßig in den Medien als Experte auf. Er hat die NATO, die Organisation Amerikanischer Staaten (OAS), die G20 und den US-Kongress instruiert. Zweimal wurde er in die NACD-Liste „Directorship 100“ der einflussreichsten Personen auf dem Gebiet der Corporate Governance aufgenommen.

KAPITEL 1

CYBERSICHERHEIT IST (NICHT) EIN IT-PROBLEM

VON LARRY CLINTON, PRÄSIDENT UND GESCHÄFTSFÜHRER DER INTERNET SECURITY ALLIANCE, UND CARTER ZHENG, FORSCHUNGSMITARBEITER DER ISA

Fünf wichtige Erkenntnisse, die Sie aus diesem Kapitel mitnehmen können

1

Die Unternehmen haben bei der Bewältigung von Cyberrisiken nur geringe Fortschritte gemacht, weil sie das Thema zu sehr als eine rein technische/operative Angelegenheit betrachtet haben.

2

Um in der modernen Wirtschaft wettbewerbsfähig zu sein, müssen Unternehmen die digitale Transformation in Angriff nehmen.

3

Die digitale Transformation kann das Wachstum und die Rentabilität erheblich steigern, aber auch die Risiken erheblich erhöhen.

4

Grundlegende technische Sicherheitsmaßnahmen sind notwendig, reichen aber allein nicht aus, um Cyberbedrohungen zu bekämpfen. Cybersicherheit muss ein Thema des unternehmensweiten Risikomanagements sein.

5

Unternehmen können sich nicht vollständig absichern, aber sie können ihr Cyberrisiko mit einem angemessenen Verständnis, einer geeigneten Struktur sowie entsprechenden Investitionen und Risikomanagement-Methoden steuern.

Einleitung

Eine der unumstößlichsten Tatsachen im Bereich der Cybersicherheit ist, dass die Angreifer den Kampf um den Cyberspace gewinnen – und zwar mit großem und wachsendem Vorsprung.

Im Februar 2020 sprach der geschäftsführende Direktor des Cybersecurity-Centers des Weltwirtschaftsforums, Troels Oerting, vor der G-20-Arbeitsgruppe für digitale Wirtschaft in Riad, Saudi-Arabien, und berichtete, dass Cyberkriminalität die Weltwirtschaft im vergangenen Jahr zwei Billionen Dollar gekostet habe. Das WEF schätzt, dass die Verluste in drei Jahren auf sechs Billionen Dollar ansteigen werden.1 Die G20 ist eine Gruppe der größten Volkswirtschaften der Welt. Obwohl man dem Gemeinwesen der Cyberkriminalität kein eigenes BIP zumessen kann, entspricht der Schaden durch Cyberkriminalität insgesamt dem BIP der zehn größten G-20-Länder – knapp vor dem Vereinigten Königreich.2

Es gibt eine Reihe von Gründen, warum Cyberkriminalität ein so großes und wachsendes Problem ist, aber keiner ist wesentlicher als die Tatsache, dass das Thema Cybersicherheit völlig missverstanden wird. Die meisten Regierungen, Unternehmen und Privatpersonen betrachten die Cybersicherheit als ein technisches oder ein IT-Problem. Das ist ein Irrglaube. Cybersicherheit ist ein unternehmensweites Problem des Risikomanagements. Natürlich ist die Technologie ein wichtiger Teil dieses Problems, aber sie ist nicht der einzige Teil des Problems – vielleicht nicht einmal der wichtigste Teil.

In dem von der NACD veröffentlichten Cyber Risk Oversight Handbook ist dazu zu lesen:

In der Vergangenheit stuften viele Unternehmen und Organisationen die Informationssicherheit als technisches oder betriebliches Problem ein, das von der IT-Abteilung zu behandeln ist. Dieses Missverständnis wurde durch isolierte Betriebsstrukturen genährt, die dazu führten, dass sich Funktionen und Geschäftsbereiche innerhalb des Unternehmens von der Verantwortung für die Sicherheit ihrer eigenen Daten abgekoppelt fühlten. Stattdessen wurde diese kritische Verantwortung an die IT-Abteilung abgegeben, eine Abteilung, die in den meisten Unternehmen über zu wenig Ressourcen und Budget verfügt. Darüber hinaus verhinderte die Verlagerung der Verantwortung auf die IT-Abteilung eine kritische Analyse von Sicherheitsproblemen und die Kommunikation darüber und behinderte die Einführung effektiver, unternehmensweiter Sicherheitsstrategien.3

Folglich ist die überwiegende Mehrheit der Initiativen zur Behebung von Cybersicherheitsproblemen technischer und operativer Natur, und die Personen, die mit der Bewältigung des Problems betraut werden, sind fast immer IT-Spezialisten.

Das Ergebnis dieses historischen Musters wurde in einer aktuellen Studie von EY, einer der Big-4-Wirtschaftsprüfungsgesellschaften, aufgezeigt:

77 Prozent der Unternehmen arbeiten immer noch mit nur begrenzter Cybersicherheit und Widerstandsfähigkeit [gegen Cyberbedrohungen], während 87 Prozent der Unternehmen darauf hinweisen, dass sie noch nicht über ausreichende Mittel verfügen, um das gewünschte Maß an Cybersicherheit und Widerstandsfähigkeit zu gewährleisten.4

Warum wir bei der Sicherung des Cyberspace keine Fortschritte machen

Dieser traditionelle, weitgehend taktische Ansatz in puncto Cybersicherheit muss zwar Teil eines umfassenden Programms für das Management von Cyberrisiken sein, reicht aber nicht aus, um ein widerstandsfähiges Unternehmen zu schaffen. Die Realität zeigt, dass Cybersicherheit nicht nur ein IT-Thema ist. Sie muss als strategisches, unternehmensweites Risiko verstanden werden, nicht nur als IT-Risiko.

Es gibt viele verschiedene Arten von Risiken, die eine mangelhafte Cybersicherheit mit sich bringen kann: Datenverlust, Datenverfälschung, Erpressung, Schädigung des Rufs des Unternehmens sowie rechtliche und Compliance-Risiken. Die Verantwortung für das Management dieser Cyberrisiken erstreckt sich auf das gesamte Unternehmen. Viele Studien haben beispielsweise gezeigt, dass die Hälfte oder mehr der Cyberverstöße durch menschliches Versagen – also durch die Personalabteilung – und nicht durch technische Pannen verursacht werden. Das charakteristische Merkmal des Internets ist die umfassende Vernetzung zwischen Anbietern, Partnern, Kunden und anderen Personen. Diese Beziehungen werden in der Regel durch Verträge oder Dienstleistungsvereinbarungen bestimmt, was bedeutet, dass die Rechtsabteilung – vielleicht in Verbindung mit einem separaten Lieferantenmanagement-Team – der Knotenpunkt des Cybersicherheitsproblems sein kann. Immer dann, wenn (nicht falls) es zu Cyberverletzungen kommt, sind die meisten Unternehmen zu Recht besorgt über die Auswirkungen der Verletzung auf ihren Ruf. Die Verwaltung des Cybersicherheitsrisikos in dieser Phase ist also weitgehend Aufgabe der Kommunikations-/PR-Abteilung.

Leider sind die Beziehungen zwischen dem Bereich Cybersicherheit und anderen kritischen Unternehmensbereichen oft von Missverständnissen und Misstrauen geprägt. Eine Umfrage von EY aus dem Jahr 2020 ergab, dass in den meisten Unternehmen die Kommunikation zwischen dem Bereich Cybersicherheit und den Geschäftsbereichen systematisch gestört ist. So stellte EY beispielsweise fest, dass in 74 Prozent der Unternehmen die Beziehung zwischen dem Cybersicherheitsbereich und der Marketingabteilung als bestenfalls neutral bis misstrauisch oder nicht existent bezeichnet wurde. Fast die Hälfte der Personalabteilungen schilderte ihre Beziehung zum Cybersicherheitsbereich auf die gleiche Weise, ebenso wie die Forschungs- und Entwicklungsabteilungen und die Finanzabteilungen.5

Kurz gesagt, die Cybersicherheit liegt in der Verantwortung aller. Aber wie das alte Sprichwort sagt: Wer als Werkzeug nur einen Hammer hat, sieht in jedem Problem einen Nagel. Wenn ein Unternehmen Cybersicherheit im Wesentlichen als technisches Problem betrachtet und das Management von Cyberrisiken ausschließlich den IT-Abteilungen überlässt, wird es in erster Linie IT-Lösungen erhalten, die wahrscheinlich nicht ausreichen, um das gesamte Cyberrisiko zu bewältigen.

Wie ein anderes altes Sprichwort sagt: Wer die falschen Fragen stellt, bekommt die falschen Antworten. Um zu gewährleisten, dass ein Unternehmen die richtigen Fragen zur Cybersicherheit stellt, müssen die Führungskräfte des Unternehmens verstehen, dass Cybersicherheit nicht von den IT-Mitarbeitern erledigt werden kann. Die Cybersicherheit muss als integraler Bestandteil der Geschäftstätigkeit und des Auftrags des Unternehmens verstanden und umfassend verwaltet werden.

ESI ThoughtLab hat Anfang 2020 eine Studie mit mehr als 1.000 Unternehmen durchgeführt und ist zu dem Schluss gekommen, dass Chief Information Security Officers (CISOs) weit über die Einhaltung von technischen Rahmenbedingungen hinausgehen müssen, um die Risikowahrscheinlichkeit zu reduzieren.6 Cybersicherheits-Führungskräfte müssen diese technischen Rahmenbedingungen in ihre Geschäftsziele, Strategien und individuellen Risikoprofile integrieren.

Die digitale Transformation macht Cybersicherheit zu einem Businessthema

Eine der wichtigsten Fragen, mit denen sich Unternehmen im 21. Jahrhundert konfrontiert sehen, ist, wie sie die wirtschaftliche Notwendigkeit der digitalen Transformation mit den erheblichen Cybersicherheitsrisiken in Einklang bringen können, die mit einer solchen Transformation einhergehen. Melissa Hathaway, die leitende Beraterin für Cybersicherheit sowohl für Präsident George W. Bush als auch für Präsident Obama, stellte fest:

Unternehmen haben sich die Informations- und Kommunikationstechnologie zu eigen gemacht, sie übernommen und in ihre Netzwerkumgebungen und Infrastrukturen eingebettet und durch verbesserte Dienstleistungen, höhere Produktivität und geringere Kosten ein phänomenales Geschäfts- und Wirtschaftswachstum erzielt … Dieser digitale Wandel, der durch erschwingliche Kommunikationsmittel und günstige Geräte unterstützt wird, hat jedoch neue Risiken mit sich gebracht.7

Das NACD-Handbuch über Cyberrisiken weist darauf hin, dass sich in den letzten 25 Jahren die Art des Unternehmenswerts erheblich verändert hat, weg vom physischen hin zum virtuellen Wert.8 Diese rasante Digitalisierung von Unternehmenswerten hat zu einem entsprechenden Wandel von Strategien und Geschäftsmodellen geführt – und damit auch zur Digitalisierung von Unternehmensrisiken. Unternehmen nutzen völlig neue Möglichkeiten, um mit Kunden und Lieferanten in Kontakt zu treten, mit Mitarbeitern zu kommunizieren und die Effizienz und die Wirksamkeit interner Prozesse zu verbessern.

Seit einigen Jahren ist es in Mode, von disruptiven Technologien zu sprechen, die innovative und produktive Geschäftsmodelle hervorbringen. Unternehmen haben die Vorteile des digitalen Zeitalters schnell in ihre Geschäftspläne eingebaut, zum Beispiel die globale Ausweitung der Märkte, die Senkung der Betriebskosten, den Aufbau neuer strategischer Partnerschaften oder die Verbesserung der Arbeitsbedingungen der Mitarbeiter durch die Ermöglichung von Geschäften über mobile und ferne Standorte.

Allerdings haben die Unternehmen die Schattenseiten der digitalen Revolution viel langsamer erkannt. Die traurige Realität ist, dass die digitale Transformation zwar Wachstum und Rentabilität fördert, aber oft auch die Sicherheit untergräbt. Dies kann persönliche Verbraucherdaten, geschütztes geistiges Eigentum, den Ruf des Unternehmens und sogar wichtige Dienstleistungen, die für die kollektive nationale Sicherheit unerlässlich sind, gefährden. So können viele Technologien wie Mobilkommunikation, Cloud-Computing und „intelligente“ Geräte zwar erhebliche Kosteneinsparungen und geschäftliche Effizienzsteigerungen bewirken, aber auch große Sicherheitsprobleme verursachen, wenn sie unüberlegt eingesetzt werden.

In einer kürzlich durchgeführten Studie gaben 83 Prozent der Direktoren an, dass sie das Management bei der Durchführung potenziell disruptiver Innovationsprojekte unterstützen würden, wenn diese das Potenzial haben, den langfristigen Wert zu steigern, auch wenn zusätzliche Risiken damit verbunden sind.10 Ein regionales Beispiel hierfür ist Lateinamerika, wo mobile Kommunikationsplattformen (insbesondere im Bereich der Finanzdienstleistungen) in großem Umfang eingeführt wurden, um die dringend benötigte wirtschaftliche Entwicklung anzukurbeln.11 Diese rasche Einführung hat jedoch dazu geführt, dass es in diesem Sektor zu schwerwiegenden Sicherheitsverletzungen gekommen ist, da ein Großteil der eingesetzten Technologie nicht über die erforderlichen Sicherheitskontrollen verfügt.

Studien, unter anderem der Organisation Amerikanischer Staaten (OAS), haben gezeigt, dass die Cybersicherheit inzwischen ganz oben auf der Liste der Risiken für die lateinamerikanischen Märkte steht, wobei Brasilien, Argentinien und Mexiko auf den Plätzen 3, 8 beziehungsweise 10 in der weltweiten Rangliste der Ursprungsländer von Cyberangriffen rangieren.12 Allein die Ransomware hat in Lateinamerika seit 2016 um 131 Prozent zugenommen.

Auch die durch die Digitalisierung geförderten Trends bei den Geschäftspraktiken wie BYOD (Bring your own device), 24/7-Zugang zu Informationen, die Zunahme anspruchsvoller Big-Data-Analysen und die Nutzung langer internationaler Lieferketten können so kosteneffizient sein, dass sie für ein Unternehmen funktional erforderlich sind, um wettbewerbsfähig zu bleiben. Allerdings können diese Praktiken, wenn sie nicht ordnungsgemäß in das gesamte Geschäftsmodell integriert sind, auch die Sicherheit des Unternehmens drastisch schwächen. Wir werden diese Bedrohungen in Kapitel 8 ausführlich erörtern.

Die neue Grenze: Künstliche Intelligenz (KI) und Angriffe, die lernen

Die Integration von künstlicher Intelligenz (KI) in Geschäftsprozesse ist eine der vielversprechendsten, derzeit realisierten Wegbereiter für Unternehmen. In praktisch allen Branchen suchen Unternehmen nach diesen verbesserten Technologien – und setzen sie ein –, um damit neue Wirkungen zu erzielen und Gewinn und Wachstum zu fördern. Gleichzeitig haben KI-gestützte Angriffe jedoch das Potenzial, das Cyberrisiko erheblich zu erhöhen. Dank ihrer Lern- und Anpassungsfähigkeit wird die KI die Cyberkriminalität verändern, da sie Angreifern die Möglichkeit gibt, individuellere und heimtückischere Angriffe durchzuführen. Diese sich schnell verändernde Cyberumgebung schafft ein immer dynamischeres Bedrohungsbild, das einen multidimensionalen, unternehmensweiten Ansatz für die Cybersicherheit erfordert.

KI-Angriffe sind insofern einzigartig, als sie, wenn sie in ein System eindringen, Informationen über das Verteidigungssystem erhalten und sich entsprechend weiterentwickeln, um zu kontern. Diese Versuche gelingen nicht immer auf Anhieb, aber aufgrund der gewonnenen Erkenntnisse sind sie bei nachfolgenden Versuchen oft erfolgreich.13

Einem McKinsey-Bericht zufolge könnte KI bis 2030 jährlich 13 Billionen Dollar für die Weltwirtschaft erwirtschaften, was bedeutet, dass auch die Gewinnspanne für die Cyberkriminalität exponentiell wachsen wird.14

Das Weltwirtschaftsforum hat in seinem jüngsten Bericht festgestellt, dass KI die neueste Waffe der Cyberkriminalität ist:

Cyberkriminelle sind geschickt darin, alle Techniken oder Innovationen zu übernehmen, die ihnen einen Vorteil gegenüber der Cybersicherheitsabwehr verschaffen. Erste Fallstudien und Untersuchungen zeigen, wo Verteidiger bereits die ersten Auswirkungen sehen: bei der Verteidigung gegen „starke“ KI – bei der Kriminelle Systeme einsetzen, die wie Menschen arbeiten, denken und handeln – und gegen „schwache“ oder „enge“ KI – bei der Systeme dem menschlichen Verhalten nachempfunden sind, um bestimmte Aufgaben auszuführen. Angesichts ihrer potenziellen Einsatzmöglichkeiten wird erwartet, dass KI systemische Veränderungen in der Cybersicherheitslandschaft vorantreiben und in naher Zukunft zentrale Herausforderungen für die Cybersicherheit schaffen wird.15

Obwohl das Bewusstsein für KI-Risiken bei den Führungskräften in den Unternehmen tendenziell zunimmt, verfügen nur wenige von ihnen über genügend Fachwissen, um KI-Risiken mit dem gesamten Umfang der damit verbundenen gesellschaftlichen, wirtschaftlichen und organisatorischen Risiken in Verbindung zu bringen. Infolgedessen vertrauen die Führungskräfte oft auf die Fähigkeiten des Unternehmens zur Risikominderung und beauftragen IT-Spezialisten mit dieser Aufgabe.16 Diese eindimensionale Sichtweise auf KI dürfte sich angesichts der weitreichenden Auswirkungen, die diese neueren Technologien auf ein Unternehmen insgesamt haben werden, als kontraproduktiv erweisen. Unternehmen, die sich der Cyberrisiken besser bewusst sind, werden eher eine Form der mehrdimensionalen Risikomanagement-Strukturen (wie in Kapitel 3 erörtert) einführen, die die Perspektive auf das notwendige Gleichgewicht zwischen Wachstum und Risiko erweitern können. Dies wird zu einem nachhaltigeren, KI-gestützten Geschäftsmodell führen.

Leitende Führungskräfte werden erkennen, dass die Cybersicherheit ein integraler Bestandteil der kritischen und oft sehr herausfordernden Veränderungen ist, die ihre Unternehmen vornehmen, um im digitalen Zeitalter zu wachsen und wettbewerbsfähig zu sein. Das ergab die Umfrage von EY aus dem Jahr 2020:

Boardmitglieder sehen in der technologischen Disruption die größte strategische Chance für Unternehmen und ergreifen diese Gelegenheit, indem sie einen technologischen Wandel vollziehen. Dies erfordert eine noch engere Zusammenarbeit zwischen dem CISO, dem Board, der Geschäftsleitung und den Geschäftsbereichen, um die Cybersicherheit in einem viel früheren Stadium neuer Geschäftsinitiativen zu verankern und eine Kultur der Sicherheit durch Design zu schaffen.17

Das bedeutet, dass sich die Schlüsselfragen zur digitalen Transformation nicht mehr darauf beschränken, wie technologische Innovationen Geschäftsprozesse ermöglichen können, sondern vielmehr darauf, wie große digitale Transformationen mit einem effektiven Management der inhärenten Cyberrisiken, die die langfristigen strategischen Interessen des Unternehmens gefährden können, in Einklang gebracht werden können.

Das richtige Management dieses schwierigen (und oft reibungsträchtigen) Gleichgewichts beginnt mit dem Verständnis, dass Cyberrisiken nicht auf enge technische Bereiche beschränkt sind, sondern sich auf das gesamte Unternehmen erstrecken und sich direkt auf wichtige Geschäftsergebnisse auswirken. Managementteams müssen das Spannungsverhältnis zwischen der Notwendigkeit strategischer Innovation – die durch die digitale Transformation immer stärker vorangetrieben wird – und den Erfordernissen der Wahrung von Sicherheit und Vertrauen erkennen. Dieses umfassendere, strategische Element muss die IT-Experten eindeutig mit einbeziehen, übersteigt aber mit Sicherheit deren Fachkenntnisse in Bereichen, die für die Entwicklung eines stimmigen und nachhaltigen Geschäftsmodells im digitalen Zeitalter berücksichtigt werden müssen.

Mit einem ausgeklügelten Management und angemessenen Ressourcen ist es für Unternehmen möglich, sich zu schützen und gleichzeitig wettbewerbsfähig zu bleiben und die Rentabilität aufrechtzuerhalten. Erfolgreiche Cybersicherheit darf jedoch nicht einfach am Ende von Geschäftsprozessen als Anhängsel hinzugefügt werden. Sie muss vom Anfang bis zum Ende in die wichtigsten Systeme, Prozesse und die Kultur eines Unternehmens integriert werden. Nach erfolgreicher Umsetzung kann dies zum Aufbau von Wettbewerbsvorteilen beitragen.

Richard Clarke und Robert Knake stellten in ihrem kürzlich erschienenen Buch The Fifth Domain fest:

Unternehmen können heute ein recht hohes Maß an Cybersicherheit erreichen, wenn sie genügend Geld ausgeben, moderne IT- und Cyberlösungen einsetzen und die richtigen Richtlinien und Verfahren anwenden.18

Der Schlüssel liegt darin, die richtigen Maßnahmen und Lösungen zu bestimmen und die Kosten dieser Mechanismen im Kontext des Businessplans eines bestimmten Unternehmens zu bewerten.

Warum es schwierig ist, Unternehmenswachstum, Rentabilität und Cybersicherheit in Einklang zu bringen

Cybersicherheit kann nicht in einem Vakuum betrachtet werden. Unternehmen müssen ein angemessenes Gleichgewicht zwischen dem Schutz der Sicherheit des Unternehmens und der Reduzierung von Verlusten finden und gleichzeitig die Rentabilität und das Wachstum in einem wettbewerbsorientierten Umfeld sicherstellen.

Führende Unternehmen betrachten Cyberrisiken auf die gleiche Weise wie andere kritische Risiken – im Sinne eines Risiko-Ertrags-Verhältnisses. Dieser Ansatz stellt jedoch aus zwei Gründen eine Herausforderung dar. Erstens hat die Komplexität von Cyberbedrohungen dramatisch zugenommen und entwickelt sich weiter. Unternehmen sehen sich heute mit immer ausgefeilteren Bedrohungen konfrontiert, die herkömmliche Verteidigungsmaßnahmen übersteigen, und die Bedrohungsakteure sind vielfältiger geworden; dazu gehören nicht nur Cyberkriminelle, sondern auch ideologisch motivierte Hacktivisten und Nationalstaaten. Gleichzeitig ist der Wettbewerbsdruck, neue und aufkommende Technologien einzusetzen, um Kosten zu senken, den Kundenservice zu verbessern und Innovationen voranzutreiben, größer denn je. Wie wir dargelegt haben, kann die Einführung dieser technologischen Innovationen und Fähigkeiten hohe Gewinne bringen, aber auch das Cyberrisiko erhöhen. Wenn sie richtig eingesetzt werden, können sie die Sicherheit erhöhen, aber nur zu einem gewissen Preis. Das Management muss Methoden finden, um zu bestimmen, welche Kosten im Verhältnis zur Risikobereitschaft des Unternehmens, die durch den Businessplan bestimmt wird, angemessen sind. Traditionelle, IT-zentrierte Methoden zur Bewertung von Cyberrisiken waren für diese Aufgabe ungeeignet. Wie im Folgenden näher erläutert wird, werden jedoch neue Methoden entwickelt, die weitaus besser geeignet sind, die Bewertung von Cyberrisiken mit dem Auftrag der Organisation zu verknüpfen, und zwar auf empirischer Basis.

Cybersicherheitsdiskussionen können nicht länger als körperloses Anhängsel behandelt werden, das am Ende einer Boardsitzung als Erweiterung des IT-Berichts einfach angefügt werden kann. Im digitalen Zeitalter gibt es praktisch keine wesentliche Geschäftsentscheidung mehr, die nicht eine Cybersicherheitskomponente enthält. Wenn ein Unternehmen eine Fusion oder Übernahme in Betracht zieht, werden zwei oder mehr hochkomplexe Informationssysteme zusammengeführt. Die Wahrscheinlichkeit, dass dadurch massive neue Schwachstellen entstehen, die geistiges Eigentum oder Kundendaten gefährden, ist groß. Wenn das Unternehmen ein neues Produkt entwickelt, das nur durch die Nutzung langer internationaler Lieferketten kosteneffizient ist, müssen die Cybersicherheitspraktiken nicht nur des Kerngeschäfts, sondern auch der Partner entlang der Lieferkette – bis hin zur zweiten und dritten Ebene der Kette – berücksichtigt werden. Wenn die intelligenten neuen Mitarbeiter der Millennials und der Gen Z rekrutiert und gehalten werden sollen, könnten die Personalverantwortlichen die Notwendigkeit betonen, bessere Richtlinien für BYOD (Bring your own device) zu entwickeln. Bei neuen „Internet of Things“(IoT)- und anderen innovativen Produkten muss die Cybersicherheit bereits in der Forschungs- und Entwicklungsphase berücksichtigt werden und sich durch die gesamte Produktion, Fertigung und sogar Vermarktung ziehen.

Die Covid-19-Pandemie: Cybergestützte Unternehmen und erhöhtes Risiko

Die weltweite Covid-19-Pandemie, die Ende 2019 begann, führte zur größten und schnellsten Veränderung der Arbeitsweise in der Geschichte. Sie hat auch die Situation bei den Cyberrisiken weiter verkompliziert.21 Vor der Pandemie arbeiteten etwa 20 Prozent der US-Beschäftigten gelegentlich von zu Hause aus, und praktisch über Nacht wechselten 80 Prozent zu Onlineplattformen als notwendiger Schritt zur Erhaltung der Lebensfähigkeit.22

Die PwC-Umfrage Digital Trust Insights Pulse Survey – im Wesentlichen ein Nachbericht über die ersten Reaktionen auf die Covid-19-Pandemie – ergab:

Die digitale Wirtschaft hat die gesamte Wirtschaft gestützt, als die Unternehmen während des Ausbruchs des Coronavirus ihre Arbeitsplätze schlossen.23

Eine viel größere Umfrage von ESI ThoughtLab bestätigte die Ergebnisse von PwC:

Schon vor der Covid-19-Krise sahen die Unternehmen in Schadsoftware-Phishing und der Wiederverwendung von Passwörtern die größten Risiken. Doch mit der Krise hat sich das Risiko erhöht. Immer mehr Verbraucher arbeiten aus der Ferne – oft über weniger sichere Geräte und Verbindungen.24

Der zunehmende Einsatz von Technologie, eine weitere Begleiterscheinung von Covid-19, forderte ebenfalls seinen Tribut. Eine CrowdStrike-Studie ergab, dass 56 Prozent der Menschen aufgrund des Virus nun von zu Hause aus arbeiteten, wobei 60 Prozent ihre privaten Geräte für die Arbeit nutzten.25 Die Zahl der Cyberangriffe stieg bereits im ersten Quartal 2020 (mit doppelt so vielen Angriffen wie im gesamten Jahr 2019), und der Bericht geht davon aus, dass die Angriffe im gesamten Jahr 2020 deutlich zunehmen werden. Das FBI berichtete, dass die Zahl der Cyberangriffe – von denen viele Covid-19 als Köder nutzten – innerhalb weniger Wochen nach dem Auftreten des Virus in den USA um fast 200 Prozent gestiegen war.26

Die Pandemie – die zu den bestehenden technologischen und geschäftlichen Veränderungen hinzukam – leitete einen völlig neuen Ansatz für die Cybersicherheit ein. PwC berichtete, dass infolge der Pandemie 98 Prozent der Chief Security Officers ihre Cybersicherheitsstrategien änderten.27

Das Cybersicherheitsproblem ist ernst und wird schnell gravierender

Die Statistiken des Weltwirtschaftsforums über das Ausmaß der Cyberkriminalität, die zu Beginn dieses Kapitels zitiert wurden, liegen am oberen Ende der Skala.28 Einige Prognosen gehen davon aus, dass die finanziellen Auswirkungen der Cyberkriminalität bis zum Jahr 2025 auf bis zu 10,5 Billionen Dollar pro Jahr ansteigen könnten.29

Fairerweise muss man sagen, dass es äußerst schwierig ist, die genauen wirtschaftlichen Auswirkungen der Cyberkriminalität zu berechnen, da wir wahrscheinlich von den meisten Cyberangriffen erst lange nach ihrem Auftreten erfahren – wenn überhaupt. Es ist äußerst schwierig, die tatsächlichen wirtschaftlichen Auswirkungen von gestohlenem (in der Regel digital kopiertem) geistigem Eigentum zu berechnen, und selbst wenn Unternehmen Angriffe entdecken, werden sie oft nicht öffentlich gemeldet.

Doch selbst vorsichtigere Schätzungen deuten auf atemberaubende wirtschaftliche Kosten von Cyberangriffen hin. Abbildung 1.1 vergleicht die vom WEF geschätzten Kosten der Cyberkriminalität mit den Einnahmen der führenden Industrienationen der Welt. Vorsichtigeren Schätzungen zufolge sind die jährlichen Einnahmen aus der Cyberkriminalität mit denen von Ländern wie Schweden, Polen und Belgien vergleichbar.30 Selbst bei derart zurückhaltenden Schätzungen sind die Einnahmen, die Cyberkriminelle erzielen, mit denen einer großen Industrienation vergleichbar.

Die Berechnung der finanziellen Auswirkungen erfolgreicher Cyberangriffe ist nur ein Aspekt der Cybersicherheitskosten. Cyberangriffe haben alle möglichen Kosten verursacht, die zwar beträchtlich sind, sich aber nicht einfach in Dollar und Cent berechnen lassen. So haben beispielsweise alle 17 US-Geheimdienste bestätigt, dass die Russen erfolgreich versucht haben, die US-Präsidentschaftswahlen 2016 mit Cybermitteln zu beeinflussen.31 Die Kosten dieser Angriffe sind – selbst wenn man die möglichen Auswirkungen auf den Wahlausgang außer Acht lässt – im Hinblick auf die Untergrabung der amerikanischen Demokratie und des Vertrauens in den demokratischen Prozess buchstäblich unermesslich. Im Jahr 2015 wurde das US-amerikanische Amt für Personalverwaltung erfolgreich angegriffen, wodurch möglicherweise wichtige Geheimdienstinformationen gefährdet wurden und das Leben von US-Geheimdienstmitarbeitern in Gefahr geriet.32 Deutschland und andere Länder haben von ähnlichen Angriffen berichtet.33 Die chinesische Regierung soll versucht haben, sich in medizinische Datenbanken der USA einzuhacken, um geistiges Eigentum im Zusammenhang mit der Forschung zur Entwicklung eines Heilmittels für Covid-19 zu stehlen oder möglicherweise zu zerstören.34

ABBILDUNG 1.1 Kosten der Cyberkriminalität im Vergleich zu den Einnahmen der Nationalstaaten

Die globale Bedrohungsanalyse von CrowdStrike aus dem Jahr berichtete:

Eine dunkle Wendung in der Cyberkriminalität, die sich gegen Schulen, städtische Behörden und andere chronisch unterfinanzierte und überlastete öffentliche Einrichtungen richtet … Die Störung des Jahres 2019 war geprägt von anhaltenden Operationen, die auf die Grundlagen unserer Gesellschaft abzielten … die weitverbreitete Störungen und Zwietracht unter Einzelpersonen, Institutionen und sogar ganzen Ländern und Bevölkerungen säten, alles im Streben nach politischem und wirtschaftlichem Gewinn.35

Und die Aussicht, dass abtrünnige Terrorgruppen irgendwann in der Lage sein werden, kritische Infrastrukturen zu zerstören, da hoch entwickelte Cyberwaffen immer benutzerfreundlicher werden, wächst weiter.

Anfang 2021 erfuhr die US-Regierung, dass die russische Regierung in mehrere US-Behörden eingedrungen war – unter anderem in das Ministerium für Heimatschutz – und dass dieser Angriff monatelang unbemerkt geblieben war. Außerdem war dieser Angriff nicht auf eine einzelne Einrichtung gerichtet, wie es bei vielen früheren hochkarätigen Hacks der Fall gewesen war. In diesem Fall griffen die Angreifer die SolarWinds-Orion-Software an, die von buchstäblich Tausenden von Regierungsorganisationen und Industrieunternehmen verwendet wird. Bei SolarWinds handelte es sich um eine andere Art von Angriff – einen Angriff auf das System selbst und nicht nur auf ein bestimmtes Ziel. Es wird allgemein davon ausgegangen, dass der Angriff selbst, auch wenn er jetzt bekannt ist, möglicherweise noch jahrelang andauern könnte, und auch seine langfristigen Auswirkungen sind zum jetzigen Zeitpunkt buchstäblich unberechenbar.36

Technische Schwachstellen sind ein Problem – aber nicht das einzige Problem

In Anbetracht des enormen Schadenspotenzials von Cyberangriffen, der stetigen Zunahme des Problems über mehrere Jahre hinweg und der zig Milliarden Dollar, die für die Bekämpfung des Problems ausgegeben wurden, ist es erstaunlich, dass bei der Bekämpfung der Cyberkriminalität keine größeren Fortschritte erzielt wurden. Ein wahrscheinlicher Grund für diesen Mangel an Fortschritten könnte sein, dass das Problem im Allgemeinen durch eine zu enge und begrenzte Linse betrachtet wurde – im Wesentlichen als eine technische, operative Angelegenheit.

Die bisherige Geschichte der Cybersicherheit ist geprägt von der überwältigenden Konzentration auf die Schwachstellen in der Betriebstechnologie. Natürlich sind technische Schwachstellen im System ein wichtiges Element des Problems der Cybersicherheit, aber sie sind nicht das einzige Element des Problems.

Es liegt auf der Hand, dass unsere Cybersysteme technisch anfällig sind. Tatsächlich ist das gesamte System – oder genauer gesagt das System der Systeme, das wir Internet nennen – angreifbar. In der Tat wurde das Internet so konstruiert, dass es angreifbar ist: als offenes System. Es wurde nicht unter Sicherheitsaspekten konzipiert.

Michael Daniel, in der Regierungszeit von Präsident Obama Chefberater für Cybersicherheit, hat oft erwähnt, dass er in seiner Position die Gelegenheit hatte, einige der Verfasser der zentralen Protokolle, auf denen das Internet basiert, zu treffen.37 In diesen Gesprächen erfuhr Daniel unter anderem, dass die Erfinder des Internets recht bescheidene Absichten hatten. Sie versuchten lediglich, ein System zu schaffen, das es Wissenschaftlern ermöglichte, Forschungsdaten hin- und herzuschicken. Sie versuchten nicht, ein System zu entwerfen, mit dem die ganze Welt funktioniert. Genau das haben wir allerdings mittlerweile getan. Im 21. Jahrhundert ist praktisch alles digitalisiert – inklusive aller nur denkbaren Schwachstellen.

Das Internet ist nicht nur in seinem Kern verwundbar, sondern wir machen es mit der Weiterentwicklung des Systems auch technisch immer verwundbarer. Praktisch niemand schreibt Code von Grund auf neu. Die gängige Technik besteht darin, auf den (anfälligen) Protokollen aufzubauen, die bereits vorhanden sind. Mit der Weiterentwicklung der Systeme werden sowohl die Angriffsfläche als auch die Schwachstellen immer größer. So berichtete beispielsweise ein einzelner Technologieanbieter dem Wall Street Journal im Jahr 2020, dass er in einem Jahr 150 Millionen Patches auf eines seiner neueren Systeme aufspielen musste.38 Es ging dabei tatsächlich nur um ein einziges System und ein Unternehmen.

Das Patch-Modell wurde von Microsoft im Jahr 2003 mit der Einführung des „Patch Tuesday“ institutionalisiert, an dem das Unternehmen seither regelmäßig über neue Patches zur Behebung von Sicherheitslücken in seinen Produkten berichtet – manchmal sind es Dutzende, manchmal Hunderte von Patches. Auch andere Hersteller veröffentlichen Patches, wenn auch unregelmäßiger und weniger transparent. Einige Experten haben festgestellt, dass auf den „Patch Tuesday“ unweigerlich der „Vulnerable Wednesday“ folgt, an dem böswillige Akteure, die von den Sicherheitslücken erfahren haben, die verwundbaren Systeme angreifen.

Viele Teile unserer Cybersysteme weisen Schwachstellen auf, für die es keine Patches gibt. So ergab eine Studie von Risk IQ, dass einige der beliebtesten Websites im Internet auf Systemen laufen, die besonders gefährdet sind. Das Unternehmen stellte fest, dass etwa 25 Prozent der 10.000 größten Domains auf mindestens eine Komponente mit einer Schwachstelle zurückgreifen, die im Common Vulnerability Scoring System als „hoch“ oder „kritisch“ eingestuft wird:

Zwar gibt es in einigen dieser Fälle Patches oder andere Maßnahmen, die verhindern, dass die festgestellten Schwachstellen und Gefährdungen ausgenutzt werden, in vielen Fällen werden jedoch überhaupt keine Maßnahmen ergriffen.39

Der Begriff „Patch“ selbst kann irreführend sein. Patches sind nicht wie Pflaster, die schnell auf eine Schwachstelle geklebt werden können, um das Gerät zu sichern. Patches können Auswirkungen auf andere Elemente eines integrierten Informationssystems haben und müssen daher auf unerwartete Auswirkungen getestet werden, die sogar andere kritische Anwendungen lahmlegen können. Als Goldstandard für die Implementierung eines Patches gelten 30 Tage.40 Dies hat zur Folge, dass die meisten Unternehmen einfach nicht in der Lage sind, ihre Systeme als Reaktion auf neu aufgedeckte Schwachstellen zeitnah zu aktualisieren.

Die Tatsache, dass ein System anfällig ist, bedeutet allerdings nicht zwangsläufig, dass es auch angegriffen wird. Viele unserer kritischen physischen Infrastrukturen sind extrem anfällig und werden dennoch selten angegriffen. Unser Wasserversorgungssystem ist extrem anfällig für viele Arten von giftigen Chemikalien, die der Bevölkerung erheblichen Schaden zufügen könnten. Unser Lebensmittelsystem ist fast ebenso verwundbar, und auch unsere ausgedehnte Transportinfrastruktur ist extrem verwundbar. Doch trotz ihrer Anfälligkeit hören wir selten von Angriffen auf diese Systeme.

Unsere Cybersysteme hingegen sind geradezu ständigen Angriffen ausgesetzt. Im Jahr 2020 meldete ein Internetdienstleister, dass er täglich durchschnittlich 80 Milliarden bösartige Scans erhält. Im Cybersicherheit-Lagebericht von EY aus dem Jahr 2019 wurde über einen einzigen Angriff berichtet, bei dem 773 Millionen Datensätze offengelegt wurden.41 Microsoft hat berichtet, dass es jeden Monat 77.000 Fälle von bösartigem Code entdeckt.42