13 Gebote für Unternehmen

Die Kunst des Cyber-Kriegs

02.12.2014 von Tobias Harmes
Spähangriff, feindliche Übernahme, forward secrecy - alles Begriffe aus Spionagefilmen und aus dem Kalten Krieg, oder? Falsch gedacht. Sie alle entstammen dem Alltag von Unternehmen.

Glaubt man einigen Medien, werden die Wörter nicht mehr so schnell aus unserem Sprachgebrauch verschwinden. Diese beschwören nämlich den "Cyber-Krieg", die "netwars" und den Angriff der "Code-Krieger" herauf.

Kaum ein Tag vergeht, an dem nicht ein Sicherheitsrisiko oder Datenschutzfiasko bekannt wird. So wie zum Beispiel die Sicherheitslücke Heartbleed. Sie ermöglicht es Angreifern, Passwörter, Kreditkartendaten oder Sicherheitszertifikate von Millionen Menschen weltweit auszuspionieren. Da verwundert es nicht, dass das Herz von Unternehmen "in die Hose rutscht". Laut einer Studie des Verbands der deutschen Internetwirtschaft fühlen sich 90 Prozent der Befragten stark und sehr stark von Cyber-Attacken bedroht.

Die Bedrohungslage für die deutschen Internetnutzer wächst.
Foto: eco

Soweit die Theorie. Wie steht’s um die Praxis?

Gehandelt wird oft erst, wenn man mit dem Bunsenbrenner dazu gezwungen wird - ergo wenn ein Sicherheitsrisiko durch die Presse geistert beziehungsweise im eigenen Haus schon etwas passiert ist. Das ist mit hohen finanziellen Kosten und Reibungsverlusten verbunden, die im Vorfeld hätten vermieden werden können. Das Bundesministerium für Wirtschaft und Technologie beziffert das Marktvolumen für IT-Sicherheit in Deutschland für das Jahr 2012 mit 6,6 Milliarden Euro. 59 Prozent der Befragten der oben erwähnten Studie des Verbands der deutschen Internetwirtschaft geht für 2014 von steigenden und stark steigenden Ausgaben für IT-Sicherheit aus.

Unternehmen geben in diesem Jahr mehr Geld für IT-Security aus als noch 2013.
Foto: eco

Ein Rüstungswettkampf wie im Kalten Krieg lässt grüßen. Höhere Ausgaben werden das Kernproblem aber kaum lösen. Die richtige Einstellung fehlt. Immer noch wird IT-Sicherheit als Sand im Getriebe wahrgenommen und nicht als Teil des Wachstumsmotors. Ein Paradigmenwechsel hin zu einer Kultur der Sicherheit ist angebracht.

Mitarbeitern ist selten klar, dass sie mit ihrem Verhalten im Umgang mit Unternehmens- und Kundendaten ihre eigenen Jobs nicht nur sichern, sondern auch gefährden können. Um ein Beispiel aus der Praxis zu nennen: Ein Vertriebsmitarbeiter eines deutschen Produktionsunternehmens bereitete ein Angebot vor. Dafür benötigte er Informationen zum Kunden, zum Produkt und zum Preis. Diese Informationen waren aber gar nicht für ihn bestimmt, sondern für seinen Chef, der zu dem Zeitpunkt im Urlaub war. Diesen wollte der Mitarbeiter mit einem gewonnenen Auftrag beeindrucken. Mit Hilfe einiger Kollegen umging er die Systemberechtigungen und erhielt die Informationen. Allerdings ergatterte in diesem Prozess auch ein illoyaler Mitarbeiter die heiß begehrten Informationen und verkaufte sie teuer an die Konkurrenz. Diese unterbot daraufhin das Angebot um 30 Prozent. Das war nur möglich, weil sie sich die hohen Entwicklungskosten sparen konnte. Der illoyale Mitarbeiter lieferte das Produktkonzept gleich mit. Nach nur einem Jahr hatte das ausspionierte Unternehmen seine Marktführerschaft verloren. Das ist kein frei erfundenes Beispiel, sondern Unternehmensrealität.

Zum Video: Die Kunst des Cyber-Kriegs

Überall Unsichtbare

Das Bewusstsein für IT-Sicherheit ist zwar latent vorhanden, die Sicherheitsmaßnahmen werden aber umgangen, wenn sie für das alltägliche Arbeiten als Störfaktor und nicht als Garant für Unternehmenswachstum wahrgenommen werden. Woher soll dieses Bewusstsein auch kommen? Informationskampagnen sind innerhalb von Unternehmen Mangelware. Selbst Vorgesetzte umgehen Sicherheitsmaßnahmen und ignorieren Verstöße ihrer Mitarbeiter statt sie zu bestrafen. Sogar Geschäftsführer, die für manche Vorfälle persönlich haften, betrachten IT-Sicherheitsmaßnahmen oft als nervige Angelegenheit, die man wohl oder übel installieren muss.

Die Gründe dafür sind vielfältig. IT-Sicherheit wird als ein Kostenfaktor gesehen, der minimiert werden muss. Produkte werden dank IT-Sicherheit nicht besser, ihr Absatz erhöht sich nicht und die Gewinne fallen nicht größer aus. Hinzu kommt: Abgewehrte Angriffe lassen sich nicht zählen und nicht in Euro und Cent beziffern. Ist ein Nutzen in der Geschäftswelt nicht zählbar, existiert er nicht.

Nicht nur der Nutzen ist unsichtbar. Genaue Informationen über die Zahl und Art der Schadensfälle fehlen. Die wenigen Beispiele, die es in die Nachrichten schaffen, sind nur die Spitze des Eisbergs. Wieviel Eisberg noch darunter verborgen liegt, ist der Fantasie eines jeden überlassen. Denn: Noch existiert keine Meldepflicht für Sicherheitsvorfälle. Freiwillig geben nur wenige Unternehmen preis, dass sie von Externen oder Internen attackiert wurden, weil der Imageschaden häufig schwerer wiegt als der Vorfall selbst. In welchen Bereichen sich Investitionen in IT-Sicherheit besonders lohnen ist deshalb unbekannt. Unternehmen glauben gerne, es träfe immer die anderen und nicht die eigene Firma. Aus der Psychologie weiß man, dass Menschen bei fehlendem Wissen, Risiken unterschätzen und sich Sicherheit einreden, wo keine ist.

Bewegliche Ziele

Wir befinden uns in einem "moving-target"-Szenario. Das Ziel ist immer in Bewegung. Dass Strategien und Sicherheitskonzepte fehlen, überrascht deshalb nicht. Selbst, wenn diese in Unternehmen vorhanden sind, werden sie häufig nicht umgesetzt und noch seltener kontrolliert. Wollen Unternehmen jedoch den Cyber-Krieg gewinnen, ist eine strategische Herangehensweise überlebensnotwendig. Ohne Strategie reibt man sich auf, investiert Unsummen in die Ausschaltung falscher Risiken und verliert den Cyber-Krieg doch.

Ein Blick in die Vergangenheit kann sich lohnen. Vor 2500 Jahren schrieb der chinesische Feldherr und Philosoph Sun Tzu 13 Gebote der Kriegskunst nieder. Noch heute zählt die Schrift in Asien zu den meistgelesenen Werken unter Managern und Politikern. Seit den 1990er Jahren gewinnt sie auch in europäischen Managementkreisen an Bedeutung. Vor dem Hintergrund des herrschenden Cyber-Kriegs sind Sun Tzus Weisheiten aktueller denn je.

Die 13 Gebote des Cyber-Kriegs

Mit folgenden 13 Geboten beherrschen Sie die Kunst des Cyber-Kriegs und etablieren eine Kultur der Sicherheit in Ihrem Unternehmen:

Die 13 Gebote des Cyber-Kriegs -
1. Gebot: Planen Sie zuallererst das Sicherheitskonzept!
Definieren Sie Ihren „Goldschatz“ und den richtigen Umgang damit. Machen Sie sich die Stärken und Schwächen Ihres Teams und die des Gegners bewusst. Bedenken Sie die Chancen und Risiken eines Cyberkrieges. Überlegen Sie, wie Sie Ihre Risiken reduzieren können. Erstellen Sie auf dieser Grundlage ein Sicherheitskonzept und ein passendes Kommunikationskonzept.
2. Gebot: Ihr Konzept sollte auf Ihre Prozesse und Bedürfnisse ausgelegt sein!
Ein Konzept von der Stange gibt es nicht. Ihr Sicherheitskonzept muss so individuell sein, wie Ihr Unternehmen. Passen Sie das Konzept Ihren Prozessen und Ihren Bedürfnissen an.
3. Gebot: Kennen Sie Ihre Gegner und deren Strategien!
Ein Informationsvorsprung ist im Cyberkrieg Trumpf. Bringen Sie in Erfahrung, woher die Gefahr für Ihr Unternehmen rührt und mit welchen Maßnahmen Sie ihr adäquat begegnen können. Der Gegner kann die Konkurrenz sein, aus den eigenen Reihen stammen oder Hacker und Spammer sein, die ihre Macht gerne auskosten.
4. Gebot: Wissen Sie, wann was abgesichert werden muss!
Planen Sie Ihre Maßnahmen gründlich. Zum Pflichtprogramm gehören regelmäßige Programmupdates, eine Datendiät, ein Systemberechtigungskonzept, ein passendes Mobile Device Management oder Cloud-Dienste auf europäischem Boden. Überlegen Sie, welche Sicherheitsmaßnahmen Sie darüber hinaus angehen müssten. Bedenken Sie dabei das richtige Timing.
5. Gebot: Erhöhen Sie die sichernden Mauern an der niedrigsten Stelle!
Erkennen Sie Ihre Schwächen und Stärken. Dort, wo Ihre Schwächen liegen, sind Sie schnell und leicht angreifbar. Beheben Sie Ihre Schwächen.
6. Gebot: Ausgaben allein verbessern die Sicherheit nicht!
Finanzen sind wichtig: Gehen Sie mit den finanziellen und personellen Ressourcen sorgsam um. Vermeiden Sie „Hauruck“-Aktionen und Investitionen in falsche Maßnahmen, denn sie schwächen die eigene Position. Bedenken Sie jedoch, dass Ausgaben alleine die Sicherheit nicht verbessern. Die richtige Einstellung zur IT-Sicherheit im Unternehmen ist viel wichtiger für den Erfolg. Eine besondere Bedeutung kommt dabei den Führungskräften zu, die eine Kultur der Sicherheit vorleben und einfordern müssen.
7. Gebot: Organisieren Sie sich so, dass Sie auch auf neue Sicherheitsrisiken schnell, effizient und effektiv reagieren können!
Eine im Unternehmen anerkannte und professionelle IT-Sicherheitsmannschaft ist das A und O. Nur wenn ihre Stimme ein Gewicht hat, wird die Mannschaft kein zahnloser Tiger sein. Entwerfen Sie einen Krisenplan für den Ernstfall. Darin sollte definiert sein, wer, was, wann tun muss. Entwickeln Sie den Krisenplan weiter, indem Sie Ihre Erfahrungen aus Übungen und aus Vorfällen einfließen lassen.
8. Gebot: Bestimmen Sie einen Verantwortlichen für das Sicherheitskonzept!
Ohne einen Verantwortlichen, der die Umsetzung des Konzepts kontrolliert, ist das Sicherheitskonzept nicht das Papier wert, auf dem es steht. Das Konzept muss gelebt werden.
9. Gebot: Kaufen Sie Expertise hinzu, wenn sie Ihnen intern fehlt!
Fehlt Ihnen die Expertise im eigenen Team, können Sie sie kostengünstig und schnell hinzukaufen.
10. Gebot: Kommunizieren Sie über IT-Sicherheitsaspekte und kontrollieren Sie die Umsetzung des Sicherheitskonzepts!
Kommunizieren Sie regelmäßig über IT-Sicherheitsthemen. Wenn Mitarbeiter nicht wissen, wie sie sich richtig verhalten, werden sie es auch nicht tun. Verbindliche Schulungen zu IT-Sicherheitsthemen sind hilfreich. Kontrollieren Sie die Umsetzung des Sicherheitskonzepts. Vergehen dürfen nicht ignoriert werden.
11. Gebot: Gehen Sie als Führungskraft stets mit gutem Beispiel voran!
Wichtiger noch als Vergehen zu ahnden ist es, selbst ein Vorbild für IT-Sicherheit zu sein. Nur wenn Sie das Thema glaubwürdig vertreten, werden Ihre Mitarbeiter IT-Sicherheit ernst nehmen.
12. Gebot: Finden Sie die richtige Balance zwischen IT-Sicherheit und der Arbeitsfähigkeit der Mitarbeiter!
Extreme Sicherheitsmaßnahmen verhindern häufig die Arbeitsfähigkeit der Mitarbeiter. Handeln Sie stets mit Augenmaß. Binden Sie Mitarbeiter bei der Entwicklung von IT-Sicherheitsmaßnahmen ein, um die Auswirkungen der Maßnahmen für den Arbeitsalltag zu verstehen.
13. Gebot: Seien Sie stets über Ihre IT-Sicherheit, über Fortschritte und Gefahren informiert!
Halten Sie sich auf dem Laufenden. Für den Gegner sollten Sie jedoch stets unberechenbar sein. Verschleiern Sie die eigenen Stärken und Schwächen sowie Ihre Strategie. So diktieren Sie die Bedingungen des Cyber-Kriegs.

(sh)