Das Opfer von Cyber-Attacken zu werden muss nicht zwangsläufig heute oder morgen passieren. Allerdings führt die sich stetig ausbreitende Digitalisierung zu einem höheren Vernetzungsgrad, den sich Angreifer zu nutze machen werden, um ihre Attacken zu planen.
Das Dilemma der Digitalisierung
Die Angriffe auf JP Morgan, die Xbox und nicht zuletzt auf Sony im vergangenen Jahr haben gezeigt, dass jedes Unternehmen ein potentielles Ziel für Cyberattacken darstellt. Ob nun aus Spaß, finanziellem Interesse oder politischer Motivation, das Bedrohungspotential wächst kontinuierlich. Dabei sollte nicht vernachlässigt werden, dass weitestgehend nur die großen Fälle in den Medien erscheinen. Angriffe auf kleine und mittelständische Unternehmen bleiben unerwähnt oder schlimmer, werden von den Betroffenen gar nicht oder erst viel zu spät erkannt.
Foto: gregflat - shutterstock.com
Ausgelöst durch den digitalen Wandel sind Unternehmen gefordert an mehreren Fronten proaktiv zu handeln. Die Kunden erwarten einen 24/7 Zugriff auf Online-Angebote. Bereits ein Ausfall von nur ein bis zwei Stunden führt zu negativen Reaktionen und folglich zu einem Imageschaden für das Unternehmen. Die Situation verschlimmert sich, wenn der Ausfall ganze Lieferketten (SCM) und Produktionssysteme betrifft und gegebenenfalls auch Partner und Zulieferer beeinträchtigt.
Mit dem Einzug des "Internet of Things" bzw. dem "Industrial Internet" befinden sich die Verantwortlichen für Produktions- und Logistiksysteme in einer Art "digitalen Dilemma". Zwar versprechen voll automatisierte Prozessabläufe eine bessere Effizienz und eine flexiblere Fertigung. Allerdings führt die vollvermaschte Vernetzung von Produktionssystemen untereinander und deren Kommunikation über externe IP-Netze zu einem größeren Gefahrenpotential durch IT-Angriffe.
Industrial Internet = Gefahr
Bislang wurden Industrie- und Produktionsanlagen von der Außenwelt weitestgehend unabhängig betrieben und sowohl physikalisch, als auch logisch hermetisch abgeriegelt. Eine strenge Separierung der Produktionsumgebungen von den eigentlichen IT-Infrastrukturen ist im Industrial Internet allerdings nicht mehr möglich.
Foto: Crisp Research AG
Weiterhin werden mobile und Cloud-basierte Arbeitsplatzkonzepte durch Millennials und die Generation Y nachdrücklich eingefordert. Arbeiten von überall und der Zugriff auf kritische Unternehmensdaten auch außerhalb des Firmennetzes scheint diesen alltäglich, auch wenn dies den Sicherheitskonzepten im Hintergrund deutlich mehr abverlangt, als auf dem nutzerfreundlichen Display erkennbar ist.
Da die Mehrheit der Unternehmen nicht verpflichtet ist, über digitale Attacken oder Datenverlust zu berichten, ist die Anzahl der mit Namen in den Medien bekannten Fälle trotz aller Statistiken recht gering. Der Sony-Hack und die Angriffe auf eBay oder JPMorgan Chase zeigen jedoch, wie brisant das Thema ist. Dennoch ziehen viele Senior Executives, Vorstände und Geschäftsführer hieraus den falschen Schluss - nämlich, dass das firmeneigene Risiko, Opfer eines Angriffs, Erpressung oder digitaler Sabotage zu werden, relativ gering ist. Dem ist in den meisten Fällen nicht so, wie Security-Audits in mittelständischen und großen Unternehmen immer wieder zeigen. Eigen- und Fremdwahrnehmung durch externe Experten klaffen in Europa derzeit noch weit auseinander.
Für eine strategische und betriebswirtschaftliche Bewertung des Risikos benötigen Geschäftsführer und Vorstände ein tiefes Verständnis hinsichtlich der möglichen Angriffsvektoren und "verwundbaren" Teile des eigenen digitalisierten Wertscho?pfungsnetzes.
Security-Strategien für die digitale Welt
Unternehmen müssen eine genaue Bewertung ihrer individuellen Sicherheitslage vornehmen, um zu bestimmen, welche Auswirkungen ein Cyberangriff auf sie haben wird. Hierzu muss ermittelt werden, über welches Sicherheitsniveau das Unternehmen verfügt und wie und in welcher Form Verbesserungen vorgenommen werden können. Denn erst mit einer ganzheitlichen digitalen Sicherheitsstrategie lassen sich die Unternehmenswerte vor den potenziellen Gefahren schützen. Zu den wichtigsten Aspekten einer umfassenden und nachhaltigen Sicherheitsstrategie im Rahmen der digitalen Transformation zählen:
Alle Unternehmensebenen einbeziehen
Auf den Ernstfall vorbereitet sein
Berücksichtigung aller IT-Betriebskonzepte und -Dienste
Kombination unterschiedlicher Sicherheitsmechanismen
Mobile Cloud Security
Die durch innovative Geschäftsmodelle glänzende digitale Welt hat auch ihre Schattenseiten. Denn ein hoher Vernetzungsgrad korrespondiert mit einem hohen Verletzungsgrad, da Cyberkriminelle die Schwachstellen der komplexen Infrastrukturen unerbittlich ausnutzen. Für die lohnt es sich. Denn im digitalen Zeitalter erhalten Daten einen ganz neuen Stellen- und Unternehmenswert. Die Folge: Der Verlust oder Missbrauch von Daten, verursacht durch gezielte Attacken, richtet für Unternehmen erhebliche Schäden an. Mit dem steigenden Wert der Unternehmensdaten, steigt somit auch die Verantwortung auf Vorstands- und Geschäftsführungsebene ("C-Level").
Mit der voranschreitenden digitalen Transformation verändern sich somit die Herausforderungen und Verantwortlichkeiten auf Vorstandsebene. Unternehmenslenker müssen einerseits die Potentiale der Digitalisierung für ihr Unternehmen erschließen. Andererseits stehen sie in der Pflicht für einen ganzheitlichen Schutz der Unternehmenswerte zu sorgen. Und dies gilt nicht nur für den CIO.
Vor diesem Hintergrund hat Crisp Research in Zusammenarbeit mit Websense Deutschland ein Strategiepapier erstellt, welches die Schattenseite der digitalen Transformation betrachtet und damit die Herausforderungen für das C-Level offenbart. Das Strategiepapier steht kostenlos unter "Die dunkle Seite der digitalen Transformation" zum Download bereit. (bw)