Wichtige Gesetze fürs Unternehmen
IT-Risiko-Management ist eine juristische Pflicht
Neben den vielen Vorteilen, die vernetzte IT-Systeme mit sich bringen, bergen sie auch erhebliche Gefahren. Existenzbedrohende Schäden entstehen insbesondere durch den Verlust von relevanten Daten oder durch unvorhergesehene Störungen der IT. Unternehmen haben deshalb ein großes Eigeninteresse an einer sicheren IT. Darüber hinaus sind die Betriebe aber auch gesetzlich verpflichtet, IT-Risiko-Management zu betreiben. Bei Verstößen drohen empfindliche Geldbußen und Schadensersatzforderungen sowie eine persönliche Haftung des Managements. Was ist zu tun?
Spektakuläre Pleiten
Schlechtes oder fehlendes Risiko-Management wird vor allem im Zusammenhang mit spektakulären Bankenpleiten oder gar drohenden Staatsinsolvenzen genannt. In der Wirtschaft wächst die Erkenntnis, dass ein effizientes und unternehmensbezogenes Risiko-Management unverzichtbar ist.
Wo sind die Risiken in der IT? Konkret droht den Unternehmen die Veränderung beziehungsweise der Verlust von Daten. Das geschieht beispielsweise durch technische Defizite, menschliches Fehlverhalten, interne Sabotage, Whistleblowing, Datenklau oder externe Angriffe (zum Beispiel Viren und Trojaner). Der Einsatz von Cloud-Computing-Lösungen, mobilen Endgeräten sowie drahtlosen Übertragungstechniken wie WLAN, LTE, HSDPA und UMTS erhöht die Gefahr.
Immer wieder gelangen Fälle an die Öffentlichkeit, in denen Unternehmen der mangelhafte IT-Schutz zum Verhängnis wurde. Beispielsweise gelang es Hackern jüngst, mittels Angriffen auf einen Kreditkartendienstleister die Kartennummern samt PIN-Codes von Kunden zweier Banken auszulesen und deren Limits für Bargeldabhebungen anzuheben. Anschließend wurden diese Daten in mehr als 20 Staaten für weltweite Abhebungen mit gefälschten Kreditkartenkopien verwendet.
- Analyse der Informationssicherheit 2013
A.T. Kearney hat den Stand der Informationssicherheit 2013 analysiert. - Die Angreifer liegen immer vorn
A.T. Kearney sieht im Kampf um die IT-Sicherheit von Unternehmen immer die Angreifer vorn. Die Analysten verwenden folgende Abkürzungen: APT (Advanced persistent threat) umschreibt gezielte Angriffe mit hohem Aufwand; DLP steht für Data loss prevention (Schutz vor unbefugtem Daten-Kopieren) und SIEM für Security and event management. DDoS heißt Distributed denial of service (Angriff mit vielen Anfragen, um das System lahmzulegen; IDS (Intrusion detection system) umschreibt die Überwachung aller Netzwerk-Prozesse und IPS (Intrusion prevention system) das Melden verdächtiger Aktivitäten und den Versuch, diese zu blocken. DPI ist das Kürzel für Deep packet inspection (das Überwachen und Filtern von Datenpaketen). Die Grafik zeigt das Ping-Pong-Spiel von Angriffstechnologie und Schutzmechanismus. - Wie Angriffe ablaufen
Wie A.T. Kearney beobachtet, laufen Angriffe typischerweise in fünf Schritten ab. Zunächst wird das Opfer über soziale Netzwerke oder Anrufe identifiziert, um ihm dann Schadsoftware unterzuschieben. In Schritt drei übernimmt der Angreifer die Kontrolle. Er lädt Malware nach und kann seinen Machtbereich dadurch ausweiten. In Schritt vier zieht der Angreifer Informationen des Opfers ab, etwa Kundenlisten, Entwicklungsdaten oder anderes. Im fünften und letzten Schritt schließlich beseitigt er seine Spuren - und baut sich nicht selten noch eine Hintertür für neue Angriffe ein. - Die Angriffsmöglichkeiten in den Unternehmen
Vom Büro-Netzwerk bis zum Rechenzentrum - es lässt sich nicht verhindern, dass Unternehmen viele Angriffspunkte bieten. A.T. Kearney weist nicht nur auf digitale Kriminalität wie etwa Angriffe durch Cloud Computing hin, sondern auch auf ganz Handfestes: Vorstandsbüros seien häufig wenig gegen physischen Zugriff durch Reinigungspersonal oder Handwerker gesichert. - Zyklus der Informationssicherheit
Informationssicherheit sollte dem Plan-Do-Check-Act-Zyklus nach ISO 2700x folgen. Die erste Stufe (Plan - Planung und Konzeption) beinhaltet Risikoanalyse, Strategieentwicklung und die Auswahl der Sicherheitsmaßnahmen. Stufe zwei (Do - Umsetzung und Betrieb) umfasst den Realisierungsplan und die Umsetzung der Maßnahmen sowie Notfallpläne und Schulungen. Auf Stufe drei (Check - Überwachung und Kontrolle) erfolgen das Erkennen von Vorfällen und die Kontrolle der Wirksamkeit der gewählten Maßnahmen. Stufe vier (Act - kontinuierliche Verbesserung) sieht Fehlerbehebung und die Optimierung der Maßnahmen vor. - Angreifergruppen
Wer ein Unternehmen schützen will, darf nicht nur an externe Angreifer denken. Die Analysten von A.T. Kearney benennen fünf verschiedene Gruppen, die gefährlich werden können. Das sind zum Einen organisierte Verbrecher und Geheimdienste. Zum Anderen sind es Hacker, die möglicherweise schlicht und einfach aus Neugier fremde Systeme knacken. Cracker dagegen stehlen Kreditkartendaten; Hacktivisten sind politisch motiviert. Ein erhebliches Schadenspotenzial geht aber auch von Unternehmens-Insidern aus. A.T. Kearney erinnert an die berühmten Steuer-CDs.
Was ist gesetzlich gefordert?
Durch ein effizientes IT-Risiko-Management lassen sich die IT-Risiken naturgemäß nicht vollständig ausschließen, aber zumindest eindämmen. Das unterstreicht einmal mehr, warum Unternehmen ein eigenes Interesse am IT-Risiko-Management haben. Aber sie sind auch gesetzlich dazu verpflichtet.
Der Gesetzgeber definiert IT-Sicherheit als die Einhaltung bestimmter Sicherheitsstandards, die die Schutzgüter Verfügbarkeit, Unversehrtheit beziehungsweise Vertraulichkeit von Informationen durch Sicherheitsvorkehrungen in oder bei der Anwendung von informationstechnischen Systemen, Komponenten oder Prozessen betreffen, so nachzulesen in Paragraf 2 Absatz 2 des Gesetzes über das Bundesamt für Sicherheit in der Informationstechnik (BSIG).
Darüber hinaus schreibt der Gesetzgeber den Unternehmen vor, technische und organisatorische Maßnahmen zum Schutz personenbezogener Daten zu treffen, vergleiche Paragraf 9 des Bundesdatenschutzgesetzes (BGSG). Die Schutzmaßnahmen müssen nach Vorgabe des Gesetzgebers "erforderlich" sein. Das sind solche Maßnahmen nur dann, wenn der damit verbundene Aufwand in einem angemessenen Verhältnis zum Schutzzweck steht. Ob das so ist, muss im Einzelfall bestimmt werden.