04F02 Umgang mit Cyber-Risiken – Entscheidungsmodell aus der Luftfahrt FOR-DEC
|
Bedrohungen für die Informationssicherheit haben sich durch die Digitalisierung und Vernetzung stark verändert. Cyber-Attacken stellen eine akute Bedrohung für die Sicherheit der kritischen IT-Anwendungen, IT-Systeme und Daten dar. Unternehmen müssen ihre Schutz- und Reaktionsmaßnahmen auf diese veränderten Bedrohungen ausrichten. Dies gelingt mit integrierten und disziplinübergreifenden Konzepten im Rahmen eines Cyber Resilience Management. Es ist keine Frage, „ob” man Opfer einer Attacke wird, sondern nur „wann”. So kommt der schnellen Reaktionsfähigkeit mittels eines Cyber-Krisenmanagements eine große Bedeutung zu, um mögliche Schäden für das Unternehmen zu vermeiden und kritische Prozesse am Laufen zu halten.
Im Beitrag werden die Elemente einer Cyber-Resilienz vorgestellt. Das Cyber-Krisenmanagement ist ein wesentlicher Baustein dieses Frameworks. Es wird geklärt, worin sich ein Cyber-Krisenmanagement vom klassischen Krisenmanagement unterscheidet, und das bewährte Vorgehen „Crew Resource Management” und „FOR-DEC” aus der Luftfahrt knapp vorgestellt.
Das Entscheidungsmodell „FOR-DEC” unterstützt Piloten dabei, in kritischen Situationen zwischen Handlungsalternativen abzuwägen und zielführende Entscheidungen zu treffen. Eine Fähigkeit, die auch für die Beherrschung von Cyber-Lagen zwingend erforderlich ist. Arbeitshilfen: von: |
1 Veränderte Cyber-Bedrohungen durch Digitalisierung und Vernetzung
IT ist Grundlage kritischer Unternehmensprozesse
Die IT ist heute für nahezu alle Produktions- und Administrationsprozesse zwingende Voraussetzung. Häufig gibt es aufgrund der zu verarbeitenden Datenmengen, vielfältigen Systemschnittstellen und Verarbeitungslogiken sowie Anforderungen aus Governance und Compliance keine alternativen Umgehungslösungen, um einen IT-Ausfall abzufedern. IT-Ausfälle oder z. B. Datenverlust durch Ransomware führen so unmittelbar zum Ausfall kritischer Administrations- und/oder Produktionsprozesse. Auf der einen Seite ist die Abhängigkeit von IT-Anwendungen, IT-Systemen und Daten der Prozesse deutlich gestiegen, während auf der anderen Seite die Risiken eines IT-Ausfalls stark zunehmen. Zu diesen Risiken zählen neben menschlichen Fehlern (z. B. Programmierfehler, Fehler beim Systembetrieb), Versäumnissen (z. B. Unterlassen von Patches und Updates) und technischen Fehlern (z. B. Systemabstürze) insbesondere auch Risiken durch Cyber-Attacken. Diese müssen nicht zwingend gezielt gegen das Unternehmen gerichtet sein. So gilt das Argument, ein Unternehmen sei zu klein oder zu unbekannt, um als Angriffsziel ins Visier von Angreifern zu geraten, nicht für Cyber-Attacken. Zahlreiche weltweit durchgeführte Ransomware-Attacken mit schwerwiegenden Folgen in der jüngsten Vergangenheit zeigen, dass jedes Unternehmen jederzeit Opfer werden kann.
Die IT ist heute für nahezu alle Produktions- und Administrationsprozesse zwingende Voraussetzung. Häufig gibt es aufgrund der zu verarbeitenden Datenmengen, vielfältigen Systemschnittstellen und Verarbeitungslogiken sowie Anforderungen aus Governance und Compliance keine alternativen Umgehungslösungen, um einen IT-Ausfall abzufedern. IT-Ausfälle oder z. B. Datenverlust durch Ransomware führen so unmittelbar zum Ausfall kritischer Administrations- und/oder Produktionsprozesse. Auf der einen Seite ist die Abhängigkeit von IT-Anwendungen, IT-Systemen und Daten der Prozesse deutlich gestiegen, während auf der anderen Seite die Risiken eines IT-Ausfalls stark zunehmen. Zu diesen Risiken zählen neben menschlichen Fehlern (z. B. Programmierfehler, Fehler beim Systembetrieb), Versäumnissen (z. B. Unterlassen von Patches und Updates) und technischen Fehlern (z. B. Systemabstürze) insbesondere auch Risiken durch Cyber-Attacken. Diese müssen nicht zwingend gezielt gegen das Unternehmen gerichtet sein. So gilt das Argument, ein Unternehmen sei zu klein oder zu unbekannt, um als Angriffsziel ins Visier von Angreifern zu geraten, nicht für Cyber-Attacken. Zahlreiche weltweit durchgeführte Ransomware-Attacken mit schwerwiegenden Folgen in der jüngsten Vergangenheit zeigen, dass jedes Unternehmen jederzeit Opfer werden kann.
Zunehmende Angriffsflächen für Cyber-Attacken
Die stark zunehmende Digitalisierung z. B. durch das Internet of Things (IoT) und die Vernetzung von technischen und IT-Systemen – auch über Unternehmensgrenzen hinweg – führt zu einer erhöhten Exposition der IT gegenüber diesen IT-Risiken. Steuerungssysteme für die Regelung und Überwachung von technischen Anlagen verfügen mittlerweile über gängige Betriebssysteme – mitsamt deren Schwachstellen – und Internetanbindung zur Fernadministration. Die Angriffsfläche und damit die Verwundbarkeit der IT steigen mit dem Grad der Digitalisierung und Vernetzung. Nicht erkannte oder nicht behobene Schwachstellen ermöglichen es Angreifern, tief in die IT-Systeme einzudringen und schwerwiegende Schäden für das Unternehmen anzurichten. Bei den Angreifern handelt es sich um ein breites Täterspektrum vom Einzeltäter bis hin zur arbeitsteilig agierenden organisierten Kriminalität und ausländischen staatlichen Diensten. Die Angreifer reagieren zudem extrem flexibel auf neue technische Entwicklungen. Toolkits zur Ausnutzung von Schwachstellen (z. B. Zero-Day-Exploits), Schadsoftware und Services können einfach nach Bedarf über das Internet bezogen und nutzungsabhängig abgerechnet werden (Cybercrime as a Service). Das Risiko einer Cyber-Attacke, bestehend aus der Eintrittswahrscheinlichkeit und zu erwartender Schadenshöhe, ist in der Folge entsprechend hoch.
Die stark zunehmende Digitalisierung z. B. durch das Internet of Things (IoT) und die Vernetzung von technischen und IT-Systemen – auch über Unternehmensgrenzen hinweg – führt zu einer erhöhten Exposition der IT gegenüber diesen IT-Risiken. Steuerungssysteme für die Regelung und Überwachung von technischen Anlagen verfügen mittlerweile über gängige Betriebssysteme – mitsamt deren Schwachstellen – und Internetanbindung zur Fernadministration. Die Angriffsfläche und damit die Verwundbarkeit der IT steigen mit dem Grad der Digitalisierung und Vernetzung. Nicht erkannte oder nicht behobene Schwachstellen ermöglichen es Angreifern, tief in die IT-Systeme einzudringen und schwerwiegende Schäden für das Unternehmen anzurichten. Bei den Angreifern handelt es sich um ein breites Täterspektrum vom Einzeltäter bis hin zur arbeitsteilig agierenden organisierten Kriminalität und ausländischen staatlichen Diensten. Die Angreifer reagieren zudem extrem flexibel auf neue technische Entwicklungen. Toolkits zur Ausnutzung von Schwachstellen (z. B. Zero-Day-Exploits), Schadsoftware und Services können einfach nach Bedarf über das Internet bezogen und nutzungsabhängig abgerechnet werden (Cybercrime as a Service). Das Risiko einer Cyber-Attacke, bestehend aus der Eintrittswahrscheinlichkeit und zu erwartender Schadenshöhe, ist in der Folge entsprechend hoch.
Verwundbarkeit der Unternehmen
Die Statistiken zeigen die große Verwundbarkeit der Unternehmen deutlich: „Knapp 70 % der Unternehmen und Institutionen in Deutschland sind in den Jahren 2016 und 2017 Opfer von Cyber-Angriffen geworden. In knapp der Hälfte der Fälle waren die Angreifer erfolgreich und konnten sich zum Beispiel Zugang zu IT-Systemen verschaffen, die Funktionsweise von IT-Systemen beeinflussen oder Internet-Auftritte von Firmen manipulieren. Jeder zweite erfolgreiche Angriff führte dabei zu Produktions- bzw. Betriebsausfällen. Hinzu kamen häufig noch Kosten für die Aufklärung der Vorfälle und die Wiederherstellung der IT-Systeme sowie Reputationsschäden”. „Nur knapp 42 % gingen davon aus, dass der Betrieb im Fall eines Cyber-Angriffs durch Ersatzmaßnahmen aufrechterhalten werden könnte. Als besonders gefährdet betrachteten sich große Konzerne. Von diesen glaubten nur knapp 38 %, dass der Betrieb im Fall eines Cyber-Angriffs fortgeführt werden könnte.”, so der Lagebericht 2018 des Bundesamtes für Sicherheit in der Informationstechnik [1]. In der ersten Jahreshälfte 2018 waren bereits 4,5 Milliarden Datensätze durch Cyber-Attacken kompromittiert. Dies entspricht 291 betroffenen Datensätzen je Sekunde. Dies ist die höchste jemals gemessene Schadensfrequenz (Gemalto's Breach Level Index [2]).
Die Statistiken zeigen die große Verwundbarkeit der Unternehmen deutlich: „Knapp 70 % der Unternehmen und Institutionen in Deutschland sind in den Jahren 2016 und 2017 Opfer von Cyber-Angriffen geworden. In knapp der Hälfte der Fälle waren die Angreifer erfolgreich und konnten sich zum Beispiel Zugang zu IT-Systemen verschaffen, die Funktionsweise von IT-Systemen beeinflussen oder Internet-Auftritte von Firmen manipulieren. Jeder zweite erfolgreiche Angriff führte dabei zu Produktions- bzw. Betriebsausfällen. Hinzu kamen häufig noch Kosten für die Aufklärung der Vorfälle und die Wiederherstellung der IT-Systeme sowie Reputationsschäden”. „Nur knapp 42 % gingen davon aus, dass der Betrieb im Fall eines Cyber-Angriffs durch Ersatzmaßnahmen aufrechterhalten werden könnte. Als besonders gefährdet betrachteten sich große Konzerne. Von diesen glaubten nur knapp 38 %, dass der Betrieb im Fall eines Cyber-Angriffs fortgeführt werden könnte.”, so der Lagebericht 2018 des Bundesamtes für Sicherheit in der Informationstechnik [1]. In der ersten Jahreshälfte 2018 waren bereits 4,5 Milliarden Datensätze durch Cyber-Attacken kompromittiert. Dies entspricht 291 betroffenen Datensätzen je Sekunde. Dies ist die höchste jemals gemessene Schadensfrequenz (Gemalto's Breach Level Index [2]).
