13 Gebote für Unternehmen

Die Kunst des Cyber-Kriegs

Tobias Harmes ist Fachbereichsleiter bei der mindsquare GmbH.
Spähangriff, feindliche Übernahme, forward secrecy - alles Begriffe aus Spionagefilmen und aus dem Kalten Krieg, oder? Falsch gedacht. Sie alle entstammen dem Alltag von Unternehmen.

Glaubt man einigen Medien, werden die Wörter nicht mehr so schnell aus unserem Sprachgebrauch verschwinden. Diese beschwören nämlich den "Cyber-Krieg", die "netwars" und den Angriff der "Code-Krieger" herauf.

Kaum ein Tag vergeht, an dem nicht ein Sicherheitsrisiko oder Datenschutzfiasko bekannt wird. So wie zum Beispiel die Sicherheitslücke Heartbleed. Sie ermöglicht es Angreifern, Passwörter, Kreditkartendaten oder Sicherheitszertifikate von Millionen Menschen weltweit auszuspionieren. Da verwundert es nicht, dass das Herz von Unternehmen "in die Hose rutscht". Laut einer Studie des Verbands der deutschen Internetwirtschaft fühlen sich 90 Prozent der Befragten stark und sehr stark von Cyber-Attacken bedroht.

Die Bedrohungslage für die deutschen Internetnutzer wächst.
Die Bedrohungslage für die deutschen Internetnutzer wächst.
Foto: eco

Soweit die Theorie. Wie steht’s um die Praxis?

Gehandelt wird oft erst, wenn man mit dem Bunsenbrenner dazu gezwungen wird - ergo wenn ein Sicherheitsrisiko durch die Presse geistert beziehungsweise im eigenen Haus schon etwas passiert ist. Das ist mit hohen finanziellen Kosten und Reibungsverlusten verbunden, die im Vorfeld hätten vermieden werden können. Das Bundesministerium für Wirtschaft und Technologie beziffert das Marktvolumen für IT-Sicherheit in Deutschland für das Jahr 2012 mit 6,6 Milliarden Euro. 59 Prozent der Befragten der oben erwähnten Studie des Verbands der deutschen Internetwirtschaft geht für 2014 von steigenden und stark steigenden Ausgaben für IT-Sicherheit aus.

Unternehmen geben in diesem Jahr mehr Geld für IT-Security aus als noch 2013.
Unternehmen geben in diesem Jahr mehr Geld für IT-Security aus als noch 2013.
Foto: eco

Ein Rüstungswettkampf wie im Kalten Krieg lässt grüßen. Höhere Ausgaben werden das Kernproblem aber kaum lösen. Die richtige Einstellung fehlt. Immer noch wird IT-Sicherheit als Sand im Getriebe wahrgenommen und nicht als Teil des Wachstumsmotors. Ein Paradigmenwechsel hin zu einer Kultur der Sicherheit ist angebracht.

Mitarbeitern ist selten klar, dass sie mit ihrem Verhalten im Umgang mit Unternehmens- und Kundendaten ihre eigenen Jobs nicht nur sichern, sondern auch gefährden können. Um ein Beispiel aus der Praxis zu nennen: Ein Vertriebsmitarbeiter eines deutschen Produktionsunternehmens bereitete ein Angebot vor. Dafür benötigte er Informationen zum Kunden, zum Produkt und zum Preis. Diese Informationen waren aber gar nicht für ihn bestimmt, sondern für seinen Chef, der zu dem Zeitpunkt im Urlaub war. Diesen wollte der Mitarbeiter mit einem gewonnenen Auftrag beeindrucken. Mit Hilfe einiger Kollegen umging er die Systemberechtigungen und erhielt die Informationen. Allerdings ergatterte in diesem Prozess auch ein illoyaler Mitarbeiter die heiß begehrten Informationen und verkaufte sie teuer an die Konkurrenz. Diese unterbot daraufhin das Angebot um 30 Prozent. Das war nur möglich, weil sie sich die hohen Entwicklungskosten sparen konnte. Der illoyale Mitarbeiter lieferte das Produktkonzept gleich mit. Nach nur einem Jahr hatte das ausspionierte Unternehmen seine Marktführerschaft verloren. Das ist kein frei erfundenes Beispiel, sondern Unternehmensrealität.

Überall Unsichtbare

Das Bewusstsein für IT-Sicherheit ist zwar latent vorhanden, die Sicherheitsmaßnahmen werden aber umgangen, wenn sie für das alltägliche Arbeiten als Störfaktor und nicht als Garant für Unternehmenswachstum wahrgenommen werden. Woher soll dieses Bewusstsein auch kommen? Informationskampagnen sind innerhalb von Unternehmen Mangelware. Selbst Vorgesetzte umgehen Sicherheitsmaßnahmen und ignorieren Verstöße ihrer Mitarbeiter statt sie zu bestrafen. Sogar Geschäftsführer, die für manche Vorfälle persönlich haften, betrachten IT-Sicherheitsmaßnahmen oft als nervige Angelegenheit, die man wohl oder übel installieren muss.

Die Gründe dafür sind vielfältig. IT-Sicherheit wird als ein Kostenfaktor gesehen, der minimiert werden muss. Produkte werden dank IT-Sicherheit nicht besser, ihr Absatz erhöht sich nicht und die Gewinne fallen nicht größer aus. Hinzu kommt: Abgewehrte Angriffe lassen sich nicht zählen und nicht in Euro und Cent beziffern. Ist ein Nutzen in der Geschäftswelt nicht zählbar, existiert er nicht.

Nicht nur der Nutzen ist unsichtbar. Genaue Informationen über die Zahl und Art der Schadensfälle fehlen. Die wenigen Beispiele, die es in die Nachrichten schaffen, sind nur die Spitze des Eisbergs. Wieviel Eisberg noch darunter verborgen liegt, ist der Fantasie eines jeden überlassen. Denn: Noch existiert keine Meldepflicht für Sicherheitsvorfälle. Freiwillig geben nur wenige Unternehmen preis, dass sie von Externen oder Internen attackiert wurden, weil der Imageschaden häufig schwerer wiegt als der Vorfall selbst. In welchen Bereichen sich Investitionen in IT-Sicherheit besonders lohnen ist deshalb unbekannt. Unternehmen glauben gerne, es träfe immer die anderen und nicht die eigene Firma. Aus der Psychologie weiß man, dass Menschen bei fehlendem Wissen, Risiken unterschätzen und sich Sicherheit einreden, wo keine ist.

Bewegliche Ziele

Wir befinden uns in einem "moving-target"-Szenario. Das Ziel ist immer in Bewegung. Dass Strategien und Sicherheitskonzepte fehlen, überrascht deshalb nicht. Selbst, wenn diese in Unternehmen vorhanden sind, werden sie häufig nicht umgesetzt und noch seltener kontrolliert. Wollen Unternehmen jedoch den Cyber-Krieg gewinnen, ist eine strategische Herangehensweise überlebensnotwendig. Ohne Strategie reibt man sich auf, investiert Unsummen in die Ausschaltung falscher Risiken und verliert den Cyber-Krieg doch.

Ein Blick in die Vergangenheit kann sich lohnen. Vor 2500 Jahren schrieb der chinesische Feldherr und Philosoph Sun Tzu 13 Gebote der Kriegskunst nieder. Noch heute zählt die Schrift in Asien zu den meistgelesenen Werken unter Managern und Politikern. Seit den 1990er Jahren gewinnt sie auch in europäischen Managementkreisen an Bedeutung. Vor dem Hintergrund des herrschenden Cyber-Kriegs sind Sun Tzus Weisheiten aktueller denn je.

Die 13 Gebote des Cyber-Kriegs

Mit folgenden 13 Geboten beherrschen Sie die Kunst des Cyber-Kriegs und etablieren eine Kultur der Sicherheit in Ihrem Unternehmen:

(sh)