04F02 Umgang mit Cyber-Risiken – Entscheidungsmodell aus der Luftfahrt FOR-DEC
|
Bedrohungen für die Informationssicherheit haben sich durch die Digitalisierung und Vernetzung stark verändert. Cyber-Attacken stellen eine akute Bedrohung für die Sicherheit der kritischen IT-Anwendungen, IT-Systeme und Daten dar. Unternehmen müssen ihre Schutz- und Reaktionsmaßnahmen auf diese veränderten Bedrohungen ausrichten. Dies gelingt mit integrierten und disziplinübergreifenden Konzepten im Rahmen eines Cyber Resilience Management. Es ist keine Frage, „ob” man Opfer einer Attacke wird, sondern nur „wann”. So kommt der schnellen Reaktionsfähigkeit mittels eines Cyber-Krisenmanagements eine große Bedeutung zu, um mögliche Schäden für das Unternehmen zu vermeiden und kritische Prozesse am Laufen zu halten.
Im Beitrag werden die Elemente einer Cyber-Resilienz vorgestellt. Das Cyber-Krisenmanagement ist ein wesentlicher Baustein dieses Frameworks. Es wird geklärt, worin sich ein Cyber-Krisenmanagement vom klassischen Krisenmanagement unterscheidet, und das bewährte Vorgehen „Crew Resource Management” und „FOR-DEC” aus der Luftfahrt knapp vorgestellt.
Das Entscheidungsmodell „FOR-DEC” unterstützt Piloten dabei, in kritischen Situationen zwischen Handlungsalternativen abzuwägen und zielführende Entscheidungen zu treffen. Eine Fähigkeit, die auch für die Beherrschung von Cyber-Lagen zwingend erforderlich ist. Arbeitshilfen: von: |
1 Veränderte Cyber-Bedrohungen durch Digitalisierung und Vernetzung
IT ist Grundlage kritischer Unternehmensprozesse
Die IT ist heute für nahezu alle Produktions- und Administrationsprozesse zwingende Voraussetzung. Häufig gibt es aufgrund der zu verarbeitenden Datenmengen, vielfältigen Systemschnittstellen und Verarbeitungslogiken sowie Anforderungen aus Governance und Compliance keine alternativen Umgehungslösungen, um einen IT-Ausfall abzufedern. IT-Ausfälle oder z. B. Datenverlust durch Ransomware führen so unmittelbar zum Ausfall kritischer Administrations- und/oder Produktionsprozesse. Auf der einen Seite ist die Abhängigkeit von IT-Anwendungen, IT-Systemen und Daten der Prozesse deutlich gestiegen, während auf der anderen Seite die Risiken eines IT-Ausfalls stark zunehmen. Zu diesen Risiken zählen neben menschlichen Fehlern (z. B. Programmierfehler, Fehler beim Systembetrieb), Versäumnissen (z. B. Unterlassen von Patches und Updates) und technischen Fehlern (z. B. Systemabstürze) insbesondere auch Risiken durch Cyber-Attacken. Diese müssen nicht zwingend gezielt gegen das Unternehmen gerichtet sein. So gilt das Argument, ein Unternehmen sei zu klein oder zu unbekannt, um als Angriffsziel ins Visier von Angreifern zu geraten, nicht für Cyber-Attacken. Zahlreiche weltweit durchgeführte Ransomware-Attacken mit schwerwiegenden Folgen in der jüngsten Vergangenheit zeigen, dass jedes Unternehmen jederzeit Opfer werden kann.
Die IT ist heute für nahezu alle Produktions- und Administrationsprozesse zwingende Voraussetzung. Häufig gibt es aufgrund der zu verarbeitenden Datenmengen, vielfältigen Systemschnittstellen und Verarbeitungslogiken sowie Anforderungen aus Governance und Compliance keine alternativen Umgehungslösungen, um einen IT-Ausfall abzufedern. IT-Ausfälle oder z. B. Datenverlust durch Ransomware führen so unmittelbar zum Ausfall kritischer Administrations- und/oder Produktionsprozesse. Auf der einen Seite ist die Abhängigkeit von IT-Anwendungen, IT-Systemen und Daten der Prozesse deutlich gestiegen, während auf der anderen Seite die Risiken eines IT-Ausfalls stark zunehmen. Zu diesen Risiken zählen neben menschlichen Fehlern (z. B. Programmierfehler, Fehler beim Systembetrieb), Versäumnissen (z. B. Unterlassen von Patches und Updates) und technischen Fehlern (z. B. Systemabstürze) insbesondere auch Risiken durch Cyber-Attacken. Diese müssen nicht zwingend gezielt gegen das Unternehmen gerichtet sein. So gilt das Argument, ein Unternehmen sei zu klein oder zu unbekannt, um als Angriffsziel ins Visier von Angreifern zu geraten, nicht für Cyber-Attacken. Zahlreiche weltweit durchgeführte Ransomware-Attacken mit schwerwiegenden Folgen in der jüngsten Vergangenheit zeigen, dass jedes Unternehmen jederzeit Opfer werden kann.
Zunehmende Angriffsflächen für Cyber-Attacken
Die stark zunehmende Digitalisierung z. B. durch das Internet of Things (IoT) und die Vernetzung von technischen und IT-Systemen – auch über Unternehmensgrenzen hinweg – führt zu einer erhöhten Exposition der IT gegenüber diesen IT-Risiken. Steuerungssysteme für die Regelung und Überwachung von technischen Anlagen verfügen mittlerweile über gängige Betriebssysteme – mitsamt deren Schwachstellen – und Internetanbindung zur Fernadministration. Die Angriffsfläche und damit die Verwundbarkeit der IT steigen mit dem Grad der Digitalisierung und Vernetzung. Nicht erkannte oder nicht behobene Schwachstellen ermöglichen es Angreifern, tief in die IT-Systeme einzudringen und schwerwiegende Schäden für das Unternehmen anzurichten. Bei den Angreifern handelt es sich um ein breites Täterspektrum vom Einzeltäter bis hin zur arbeitsteilig agierenden organisierten Kriminalität und ausländischen staatlichen Diensten. Die Angreifer reagieren zudem extrem flexibel auf neue technische Entwicklungen. Toolkits zur Ausnutzung von Schwachstellen (z. B. Zero-Day-Exploits), Schadsoftware und Services können einfach nach Bedarf über das Internet bezogen und nutzungsabhängig abgerechnet werden (Cybercrime as a Service). Das Risiko einer Cyber-Attacke, bestehend aus der Eintrittswahrscheinlichkeit und zu erwartender Schadenshöhe, ist in der Folge entsprechend hoch.
Die stark zunehmende Digitalisierung z. B. durch das Internet of Things (IoT) und die Vernetzung von technischen und IT-Systemen – auch über Unternehmensgrenzen hinweg – führt zu einer erhöhten Exposition der IT gegenüber diesen IT-Risiken. Steuerungssysteme für die Regelung und Überwachung von technischen Anlagen verfügen mittlerweile über gängige Betriebssysteme – mitsamt deren Schwachstellen – und Internetanbindung zur Fernadministration. Die Angriffsfläche und damit die Verwundbarkeit der IT steigen mit dem Grad der Digitalisierung und Vernetzung. Nicht erkannte oder nicht behobene Schwachstellen ermöglichen es Angreifern, tief in die IT-Systeme einzudringen und schwerwiegende Schäden für das Unternehmen anzurichten. Bei den Angreifern handelt es sich um ein breites Täterspektrum vom Einzeltäter bis hin zur arbeitsteilig agierenden organisierten Kriminalität und ausländischen staatlichen Diensten. Die Angreifer reagieren zudem extrem flexibel auf neue technische Entwicklungen. Toolkits zur Ausnutzung von Schwachstellen (z. B. Zero-Day-Exploits), Schadsoftware und Services können einfach nach Bedarf über das Internet bezogen und nutzungsabhängig abgerechnet werden (Cybercrime as a Service). Das Risiko einer Cyber-Attacke, bestehend aus der Eintrittswahrscheinlichkeit und zu erwartender Schadenshöhe, ist in der Folge entsprechend hoch.
Verwundbarkeit der Unternehmen
Die Statistiken zeigen die große Verwundbarkeit der Unternehmen deutlich: „Knapp 70 % der Unternehmen und Institutionen in Deutschland sind in den Jahren 2016 und 2017 Opfer von Cyber-Angriffen geworden. In knapp der Hälfte der Fälle waren die Angreifer erfolgreich und konnten sich zum Beispiel Zugang zu IT-Systemen verschaffen, die Funktionsweise von IT-Systemen beeinflussen oder Internet-Auftritte von Firmen manipulieren. Jeder zweite erfolgreiche Angriff führte dabei zu Produktions- bzw. Betriebsausfällen. Hinzu kamen häufig noch Kosten für die Aufklärung der Vorfälle und die Wiederherstellung der IT-Systeme sowie Reputationsschäden”. „Nur knapp 42 % gingen davon aus, dass der Betrieb im Fall eines Cyber-Angriffs durch Ersatzmaßnahmen aufrechterhalten werden könnte. Als besonders gefährdet betrachteten sich große Konzerne. Von diesen glaubten nur knapp 38 %, dass der Betrieb im Fall eines Cyber-Angriffs fortgeführt werden könnte.”, so der Lagebericht 2018 des Bundesamtes für Sicherheit in der Informationstechnik [1]. In der ersten Jahreshälfte 2018 waren bereits 4,5 Milliarden Datensätze durch Cyber-Attacken kompromittiert. Dies entspricht 291 betroffenen Datensätzen je Sekunde. Dies ist die höchste jemals gemessene Schadensfrequenz (Gemalto's Breach Level Index [2]).
Die Statistiken zeigen die große Verwundbarkeit der Unternehmen deutlich: „Knapp 70 % der Unternehmen und Institutionen in Deutschland sind in den Jahren 2016 und 2017 Opfer von Cyber-Angriffen geworden. In knapp der Hälfte der Fälle waren die Angreifer erfolgreich und konnten sich zum Beispiel Zugang zu IT-Systemen verschaffen, die Funktionsweise von IT-Systemen beeinflussen oder Internet-Auftritte von Firmen manipulieren. Jeder zweite erfolgreiche Angriff führte dabei zu Produktions- bzw. Betriebsausfällen. Hinzu kamen häufig noch Kosten für die Aufklärung der Vorfälle und die Wiederherstellung der IT-Systeme sowie Reputationsschäden”. „Nur knapp 42 % gingen davon aus, dass der Betrieb im Fall eines Cyber-Angriffs durch Ersatzmaßnahmen aufrechterhalten werden könnte. Als besonders gefährdet betrachteten sich große Konzerne. Von diesen glaubten nur knapp 38 %, dass der Betrieb im Fall eines Cyber-Angriffs fortgeführt werden könnte.”, so der Lagebericht 2018 des Bundesamtes für Sicherheit in der Informationstechnik [1]. In der ersten Jahreshälfte 2018 waren bereits 4,5 Milliarden Datensätze durch Cyber-Attacken kompromittiert. Dies entspricht 291 betroffenen Datensätzen je Sekunde. Dies ist die höchste jemals gemessene Schadensfrequenz (Gemalto's Breach Level Index [2]).
Ursachen für Cyber-Vorfälle
Zu den häufigsten Ursachen für Cyber-Vorfälle zählen laut Cyber Resilience Report 2018 des britischen Business Continuity Instiute BCI [3]:
Zu den häufigsten Ursachen für Cyber-Vorfälle zählen laut Cyber Resilience Report 2018 des britischen Business Continuity Instiute BCI [3]:
| • | Phishing-Attacken und Social Engineering (z. B. „Chefmasche” oder CEO-Fraud): 72 % |
| • | Malware: 54 % |
| • | Ransomware: 31 % |
| • | DoS oder DDoS-Attacken: 28 % |
| • | Out-of-Data-Software: 26 % |
| • | Insider: 21 % |
NotPetya-Attacke
Eine der bislang ökonomisch folgenschwersten Cyber-Attacken war die Ransomware Petya/NotPetya. Die Ransomware wurde ab April 2017 in mehreren Wellen über die Update-Funktion der in der Ukraine weit verbreiteten Buchhaltungssoftware M. E.Doc verteilt. Ausgehend von Russland und der Ukraine verbreitete sich die Schadsoftware über Europa, die USA und Asien. Zahlreiche Unternehmen waren durch IT-Ausfälle betroffen. Das dänische Unternehmen Maersk, die weltweit größte Containerschifflinie der Welt, musste nach dem erfolgreichen Angriff die gesamte IT-Infrastruktur mit 4.000 Servern, 45.000 PC und rund 2.500 Programmen komplett neu aufsetzen. Die Neuinstallation der IT benötigte zehn Tage. Während dieser Zeit mussten die Geschäftsprozesse vollkommen analog bearbeitet werden. Eine enorme Herausforderung, denn alle 15 Minuten entlädt ein Schiff von Maersk zwischen 10.000 und 20.000 Container in einem Hafen. Erst nach drei Wochen konnte der Normalbetrieb für die Containerlogistik wieder gewährleistet werden. Der von Maersk bezifferte Schaden betrug zwischen 200 und 300 Millionen Dollar. Auch in Deutschland waren Unternehmen betroffen. Der Konsumgüterkonzern Beiersdorf bestätigte, er sei Ziel des Angriffs geworden, IT und Telefonsysteme seien ausgefallen.
Eine der bislang ökonomisch folgenschwersten Cyber-Attacken war die Ransomware Petya/NotPetya. Die Ransomware wurde ab April 2017 in mehreren Wellen über die Update-Funktion der in der Ukraine weit verbreiteten Buchhaltungssoftware M. E.Doc verteilt. Ausgehend von Russland und der Ukraine verbreitete sich die Schadsoftware über Europa, die USA und Asien. Zahlreiche Unternehmen waren durch IT-Ausfälle betroffen. Das dänische Unternehmen Maersk, die weltweit größte Containerschifflinie der Welt, musste nach dem erfolgreichen Angriff die gesamte IT-Infrastruktur mit 4.000 Servern, 45.000 PC und rund 2.500 Programmen komplett neu aufsetzen. Die Neuinstallation der IT benötigte zehn Tage. Während dieser Zeit mussten die Geschäftsprozesse vollkommen analog bearbeitet werden. Eine enorme Herausforderung, denn alle 15 Minuten entlädt ein Schiff von Maersk zwischen 10.000 und 20.000 Container in einem Hafen. Erst nach drei Wochen konnte der Normalbetrieb für die Containerlogistik wieder gewährleistet werden. Der von Maersk bezifferte Schaden betrug zwischen 200 und 300 Millionen Dollar. Auch in Deutschland waren Unternehmen betroffen. Der Konsumgüterkonzern Beiersdorf bestätigte, er sei Ziel des Angriffs geworden, IT und Telefonsysteme seien ausgefallen.
WannaCry-Attacke
Im Mai 2017 hat die WannaCry-Ransomware-Attacke rund 300.000 Computer in 150 Ländern betroffen und ist bis dato damit die weltweit größte Cyber-Attacke. Die Schäden werden auf 4 Milliarden Dollar geschätzt.
Im Mai 2017 hat die WannaCry-Ransomware-Attacke rund 300.000 Computer in 150 Ländern betroffen und ist bis dato damit die weltweit größte Cyber-Attacke. Die Schäden werden auf 4 Milliarden Dollar geschätzt.
Indirekte Schadensfolgen
Neben den direkten Auswirkungen auf die Verfügbarkeit der IT führen Cyber-Attacken zu weiteren indirekten Schadensfolgen:
Neben den direkten Auswirkungen auf die Verfügbarkeit der IT führen Cyber-Attacken zu weiteren indirekten Schadensfolgen:
| • | Reputationsschäden |
| • | Verlust von Kunden und Geschäftspartnern |
| • | Marktanteilverluste |
| • | Verstöße gegen gesetzliche (z. B. Datenschutz, IT-Sicherheitsgesetz) und regulatorische Anforderungen (z. B. Mindestanforderungen des BaFin an das Risikomanagement für Finanzdienstleister) |
| • | Gewinneinbußen |
| • | Unterbrechungen der Lieferketten |
| • | Beeinträchtigungen der physischen Sicherheit |
Durchschnittliche finanzielle Schäden
Die durchschnittlichen finanziellen Schäden von Cyber Incidents betragen laut Cyber Readiness Report 2018 des Spezialversicherer Hiscox [4] 229.000 Dollar in zwölf Monaten. Die durchschnittliche jährliche Schadenshöhe wie auch die Höhe der Einzelschäden von Cyber Incidents nimmt mit der Größe des Unternehmens zu. In Deutschland betrug für große Unternehmen mit mehr als 1.000 Mitarbeitern die durchschnittliche Schadenssumme in zwölf Monaten 640.000 Dollar, jedoch mit Einzelwerten von bis zu 20 Mio. Dollar. Für kleinere und mittlere Unternehmen (< 1.000 Mitarbeiter) betrug die durchschnittliche jährliche Schadenssumme zwischen 55.000 (bis 249 Mitarbeiter) und 400.000 Dollar (250 bis 999 Mitarbeiter). Zu diesen direkten finanziellen Schäden addieren sich finanzielle Folgeschäden aus dem Verlust von Kunden und Verträgen.
Die durchschnittlichen finanziellen Schäden von Cyber Incidents betragen laut Cyber Readiness Report 2018 des Spezialversicherer Hiscox [4] 229.000 Dollar in zwölf Monaten. Die durchschnittliche jährliche Schadenshöhe wie auch die Höhe der Einzelschäden von Cyber Incidents nimmt mit der Größe des Unternehmens zu. In Deutschland betrug für große Unternehmen mit mehr als 1.000 Mitarbeitern die durchschnittliche Schadenssumme in zwölf Monaten 640.000 Dollar, jedoch mit Einzelwerten von bis zu 20 Mio. Dollar. Für kleinere und mittlere Unternehmen (< 1.000 Mitarbeiter) betrug die durchschnittliche jährliche Schadenssumme zwischen 55.000 (bis 249 Mitarbeiter) und 400.000 Dollar (250 bis 999 Mitarbeiter). Zu diesen direkten finanziellen Schäden addieren sich finanzielle Folgeschäden aus dem Verlust von Kunden und Verträgen.
2.1 Konzept der Cyber Resilience
Ziel
Cyber Resilience stellt einen grundlegenden Paradigmenwechsel gegenüber der klassischen IT-Sicherheitsindustrie dar, die oftmals einen starken Fokus auf technische Einzelmaßnahmen zur Abwehr hat. Demgegenüber steht beim Konzept der Cyber Resilience eine ganzheitliche Sicht auf Gefahrenabwehr und Reaktionsfähigkeit im Vordergrund, wie es sich auch aus dem generellen Ansatz eines wirksamen Informationsschutzmanagements ergeben sollte. Ziel ist, die Widerstandskraft des Unternehmens gegenüber Cyber-Attacken zu erhöhen. Dies umfasst sowohl die Prävention zum Schutz des Unternehmens vor Cyber-Risiken als auch die Fähigkeiten, die Folgen einer Cyber-Attacke zu beherrschen und zu bewältigen (Cyber-Krisenmanagement).
Cyber Resilience stellt einen grundlegenden Paradigmenwechsel gegenüber der klassischen IT-Sicherheitsindustrie dar, die oftmals einen starken Fokus auf technische Einzelmaßnahmen zur Abwehr hat. Demgegenüber steht beim Konzept der Cyber Resilience eine ganzheitliche Sicht auf Gefahrenabwehr und Reaktionsfähigkeit im Vordergrund, wie es sich auch aus dem generellen Ansatz eines wirksamen Informationsschutzmanagements ergeben sollte. Ziel ist, die Widerstandskraft des Unternehmens gegenüber Cyber-Attacken zu erhöhen. Dies umfasst sowohl die Prävention zum Schutz des Unternehmens vor Cyber-Risiken als auch die Fähigkeiten, die Folgen einer Cyber-Attacke zu beherrschen und zu bewältigen (Cyber-Krisenmanagement).
