Suchen

IT-Sicherheit

Gehen Chefs zu sorglos mit der IT-Sicherheit um?

| Autor/ Redakteur: Hans-Jürgen Bittermann* / Anke Geipel-Kern

Cyberattacken auf Energieversorger, Wasserwerke oder Telekommunikationsnetze gehören zu den Schreckensszenarien dieser Tage. Das BSI (Bundesamt für Sicherheit in der Informationstechnik) verzeichnet 2018 deutlich mehr IT-Sicherheitsvorfälle als 2017. Warum sinkt das Risikobewusstsein von Führungskräften dennoch?

Firmen zum Thema

Seit Anfang 2016 trägt das KIT (Karlsruher Institut für Technologie) Akteure der IT-Sicherheitsforschung zusammen und verortet diese auf einer „IT-Security Map“.
Seit Anfang 2016 trägt das KIT (Karlsruher Institut für Technologie) Akteure der IT-Sicherheitsforschung zusammen und verortet diese auf einer „IT-Security Map“.
(Bild: KIT Karlsruher Institut für Technologie)

In Venezuela kam es Anfang März zu einem großflächigen Stromausfall: Betroffen waren neben der Hauptstadt Caracas 15 (von gesamt 23) Bundesstaaten des Landes. Der Energieminister Luis Motta sprach von einem Sabotageangriff auf das Wasserkraftwerk am Guri-Stausee zurück. Es zählt zu den weltweit größten Wasserkraftwerken, liefert bis zu 70 Prozent der Energie des südamerikanischen Landes.

Auch das staatliche Elektrizitätsunternehmen Corpoelec machte eine ‚Attacke‘ für den Ausfall verantwortlich. Auch wenn der Vorfall –wie Kritiker der Regierung sagen – auf mangelnden Investitionen in das Stromnetz beruhte: Das Beispiel zeigt, wie sehr ganze Staaten von funktionierenden Infrastrukturen abhängen.

Bildergalerie

Angriff auf die IT-Systeme

Das gilt auch für Industrieunternehmen: Einer der größten Aluminiumhersteller der Welt, der norwegische Konzern Norsk Hydro, wurde ebenfalls im März von Hackern angegriffen. Wie der Konzern mitteilte, waren die IT-Systeme in den meisten Geschäftsfeldern betroffen. Die Nationale Sicherheitsbehörde (NSM) unterstützt Hydro bei der Untersuchung. Die Situation wurde als ‚sehr ernst‘ eingestuft. Einige Werke mussten auf manuellen Betrieb umgestellt werden.

BSI: Zahl der Meldungen nimmt zu

Es ist nicht zu übersehen: Die Sicherheitslage für Unternehmen aus den Bereichen Energie, Wasserwirtschaft und Telekommunikation ist angespannt. Die Zahl der Meldungen über IT-Sicherheitsvorfälle habe sich allein im zweiten Halbjahr 2018 auf 157 erhöht, während das BSI von Juni 2017 bis Ende Mai 2018 nur 145 solcher Meldungen erhielt (im Zeitraum davor waren es 34).

Einschränkend muss man wissen, dass die Zahl der Meldungen von IT-Sicherheitsvorfällen nicht mit der Zahl von Cyberangriffen gleichgesetzt werden darf – gemeldet werden auch Störungen der IT-Infrastruktur etwa durch technische Fehler, kurzfristige Stromausfälle oder Störungen von Kommunikationskanälen. Doch geht das BSI bei Cyberattacken von einer wachsenden Dunkelziffer aus.

Lagebeobachtung und Reaktion auf Vorfälle

Das IT-Lage- und Analysezentrum des BSI beobachtet rund um die Uhr die Sicherheitslage, bewertet Angriffe auf die IT-Sicherheit und erstellt Berichte darüber. Zudem unterstützt das IT-Lagezentrum Betroffene bei der Bewältigung dieser Sicherheitsvorfälle. Es ist damit ein wichtiges Instrument für die Frühwarnung vor Cyber-Angriffen.

Die gute Nachricht: Die Meldeprozesse im Rahmen des IT-Sicherheitsgesetzes hätten sich etabliert, die Zusammenarbeit mit den Unternehmen funktioniere gut, so das BSI. So können andere Unternehmen vor konkreten Bedrohungen besser geschützt werden.

Katherina Reiche, Hauptgeschäftsführerin des VKU (Verband kommunaler Unternehmen) forderte in der Tageszeitung FAZ: „Die Stromversorgung als Herzschlag der digitalen Gesellschaft muss im Interesse der nationalen Sicherheit auch Teil der deutschen Cyber-Sicherheitsarchitektur werden.“ Eine zentrale Bundeszuständigkeit zur Cyber-Sicherheit sei notwendig, um mit schlanken Strukturen und kurzen Entscheidungswegen frühzeitig auf Cyber-Bedrohungen aller Art zu reagieren. Die Stadtwerke und Netzbetreiber müssten dabei einbezogen sein.

Das wird derzeit realisiert, will doch die Bundesregierung mit einer neuen Agentur für Cybersicherheit den Schutz vor Angriffen im Internet stärken. Angesiedelt werden soll sie in der Region Halle-Leipzig.

Mit der Allianz für Cyber-Sicherheit betreibt das BSI eine Kooperationsplattform zur Stärkung der Cyber-Sicherheit in der Wirtschaft. Im Dialog mit Herstellern, Betreibern sowie Wissenschaft und Forschung nimmt sich das BSI spezifischer Themen wie der Sicherheit industrieller Steuerungsanlagen an und begleitet die technologische Entwicklung z.B. im Bereich des Trusted Computing.

IT-Security Map: IT-Sicherheitsforschung in Europa

Seit Anfang 2016 trägt das Karlsruher Institut für Technologie (KIT) Akteure der IT-Sicherheitsforschung zusammen und verortet diese auf einer „IT-Security Map“. Was als eine Übersicht von deutschen Beteiligten begann, verzeichnet nun auch Akteure der europäischen IT-Sicherheit Community.

Dabei sollen nicht nur universitäre und institutionelle Forschungseinrichtungen Teil des Netzwerks sein, sondern gerade kleine und mittlere Unternehmen (KMU) davon profitieren, indem sie über das Portal für den Technologietransfer wichtige Forschungspartner in ihrer Nähe finden.

So können bestehende Partnerschaften zwischen Forschungseinrichtungen und Unternehmen bei ihrer Arbeit unterstützt und erweitert werden. Intelligente Filtermöglichkeiten verfeinern die Suche nach Art, Größe oder auch Expertise und erleichtern die Identifizierung gemeinsamer Forschungsschwerpunkte.

Risikobewusstsein von Führungskräften sinkt

Wie sehen die Entscheider die Möglichkeiten zur Abwehr von Hackerangriffen & Co.? 60 Prozent der Politiker glauben, ein wirksamer Schutz sei möglich – aber nur 32 Prozent der Führungskräfte, ist im Deloitte Cyber Security Report 2018 zu lesen.

„Es zeigt sich, dass ein großer Handlungsbedarf in Unternehmen besteht. Dazu gehören neben einer optimierten Risikokultur und strategischen Einbindung der IT-Sicherheit auch Kooperationen mit allen Akteuren der Supply Chain“ – Peter Wirnsperger, Partner und Leiter Cyber Risk bei Deloitte.
„Es zeigt sich, dass ein großer Handlungsbedarf in Unternehmen besteht. Dazu gehören neben einer optimierten Risikokultur und strategischen Einbindung der IT-Sicherheit auch Kooperationen mit allen Akteuren der Supply Chain“ – Peter Wirnsperger, Partner und Leiter Cyber Risk bei Deloitte.
(Bild: Deloitte)

„Es zeigt sich, dass ein großer Handlungsbedarf in Unternehmen besteht. Dazu gehören neben einer optimierten Risikokultur und strategischen Einbindung der IT-Sicherheit auch Kooperationen mit allen Akteuren der Supply Chain“, so Peter Wirnsperger, Partner und Leiter Cyber Risk bei Deloitte.

Zwar sind knapp die Hälfte der befragten Unternehmen täglich bis mehrmals pro Woche mit Cyber-Attacken konfrontiert, doch das Risikobewusstsein des Top-Managements sinkt. 60 Prozent der Befragten gaben in der aktuellen Untersuchung an, dass Hackerangriffe bei ihnen keine besonders großen Schäden anrichten würden. 2017 waren es noch 54 Prozent (2016 nur 46 Prozent). Aufgrund des geringen Risikobewusstseins von Geschäftsleitungen werden logischerweise auch nicht alle Möglichkeiten zur Gefahrenabwehr ausgeschöpft.

Bildergalerie

Bildergalerie mit 26 Bildern

Dahinter könnte die Erfahrung aus der Praxis stecken, dass ein absolut hundertprozentiger Schutz vor jedem einzelnen Cyber Threat-Typus weder technisch machbar noch kostenmäßig tragbar ist. Statt der Suche nach immens aufwendigen Lösungen für eine totale Abwehr setzen immer mehr Unternehmen in der Cyber Protection etwa auf Strategien der Resilienz, die auch unter akutem Angriff noch wirksam sind. Dazu werden Assets nach strategischen Gesichtspunkten eingestuft und individuell geschützt. So kann das angegriffene Unternehmen auch während eines Zwischenfalls weiter handlungsfähig bleiben.

Und wie schaut es mit einem Gegenangriff, einem ‚Hack-Back‘ aus? Findet ein Cyber-Angriff statt, ist ein Gegenangriff schließlich in manchen Situationen womöglich die beste Verteidigung, etwa durch Stilllegung der angreifenden Server oder durch das Löschen von entwendeten Daten. 54 Prozent der Führungskräfte aus Unternehmen befürworten grundsätzlich das Instrument des staatlichen Hack-Back. Selbst in die Hand nehmen sollten betroffene Unternehmen dieses scharfe Instrument allerdings nicht, da sind sich Führer aus Politik und Wirtschaft einig.

Krisenmanagement: Sind Sie bereit?

Welche Krise könnte Sie in Ihrem beruflichen Umfeld ereilen? Ein Brand in der Produktion, ein Unfall im Labor, eine Cyberattacke auf Ihre Daten? Wissen Sie, was dann zu tun ist? Die gute Nachricht: Man kann sich auf Krisen vorbereiten und es gibt ein Standardinstrumentarium, das einem dabei hilft.

Tipp: Entwickeln Sie ein mögliches Krisenszenario für Ihre Organisation und spielen Sie es mit einem Krisenstab einmal durch – dabei erkennen Sie sehr schnell, welche Rollen, Informationen und Kommunikationsströme kritisch werden können.

Passend zum Thema veranstaltet die Dechema am 3. und 4. Juni 2019 in Frankfurt das ‚Praxisforum Krisenmanagement‘: Zwei Tage mit Erfahrungsberichten, Vorträgen und interaktiven Übungen.

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Kontaktieren Sie uns über: support.vogel.de (ID: 45823117)