Kein Tag ohne Angriffe, Verluste oder Diebstähle. Was wie ein Kriegsszenario klingt, ist in vielen Unternehmen die Realität: Attacken auf das zentrale Nervensystem - die IT - und die explosionsartige Zunahme von Datendiebstählen.
Dass diese Bedrohungen realer sind als gedacht, zeigte sich spätestens im vergangenen Jahr mit der neu entdeckten Schadsoftware "Stuxnet". Dabei handelt es sich um ein Virenprogramm, das gezielt gegen automatisierte Produktions- und Steuerungsprozesse im Industrieumfeld eingesetzt werden kann. Für betroffene Unternehmen endet ein Befall mit Stuxnet vermutlich im Desaster. Ausgang ungewiss. Umso dringlicher ist es, mit einem übergreifenden Risikomanagement mögliche Gefahrenpotenziale zu minimieren.
Einschätzung der Marktforscher
Die Wirtschaftsprüfungsgesellschaft KPMG kommt in ihrer aktuellen "E-Crime-Studie 2010" zu dem Schluss, dass jedes vierte Unternehmen in den vergangenen drei Jahren von "elektronischen Verbrechen" betroffen war. Und PricewaterhouseCoopers sagt im "Risk-Management-Benchmark 2010", es fehlten in vielen Organisationen die Strategien und Werkzeuge, um eine systematische Gesamtrisikobetrachtung anzustellen. Eine solche Strategie wäre auch in Bezug auf die schärferen rechtlichen Anforderungen, zum Beispiel im Bilanzrechtsmodernisierungsgesetz (BilMoG), hilfreich.
Eine neue Virendimension
Die Qualität der Schadsoftware hat mit Stuxnet eine neue Dimension erreicht. Aufgrund der komplexen Programmierung im Industriesteuerungsbereich mit seiner eigenen IT-Welt gilt der Virus als Paradebeispiel für den hohen technischen Einsatz und das Fachwissen der Entwickler. Sicherheitsexperten schätzen einen Zeiteinsatz von mehreren Monaten für Entwicklung und Tests der Software. Mit anderen Worten: Hier war ein ganzer Mitarbeiterstab mit der Virenentwicklung beschäftigt.
Zum Einsatz kam der Virus unter anderem bei bestimmten Steuerungsanlagen des iranischen Atomprogramms. Von seiner Wirkungsweise kann Stuxnet auch problemlos gegen Industrieunternehmen - von der Automobil- bis hin zu Chemie- und Pharmaindustrie - eingesetzt werden.
Das Fatale: Die Viren nutzen Schwachstellen in Steuerungssystemen von Industrieanlagen aus und manipulieren sie. Diese Systeme können in der Regel nur schwer gepatcht werden und sind daher nicht ausreichend gegen Angriffe geschützt. Quasi ein offenes Tor für staatliche Saboteure oder Wirtschaftskriminelle.
Prozessqualität ist das A und O
Grundsätzlich ist es nicht möglich, Risiken völlig zu vermeiden, ohne sämtliche Aktivitäten zu unterlassen. Die Aufgabe des Risiko-Managements liegt vielmehr darin, die bestehenden Risiken zu verringern - unter Berücksichtigung wirtschaftlicher Aspekte. Hierzu empfiehlt sich eine klare Strategie hinsichtlich der internen Prozesse sowie der Methoden zur Risikoüberwachung und -bewertung. Ein durchgängiges Risiko-Management verlangt einen hohen Reifegrad der Prozesse. Deshalb sind Programme zur Verbesserung der Prozessqualität ein wichtiger erster Schritt.
Szenarioanalysen und Stresstests
Auch die Methode zur Risikobewertung ist entscheidend. State of the Art sind Szenarioanalysen und "Stresstests". Mit ihrer Hilfe lassen sich potenzielle Entwicklungen transparent darstellen, Risikoszenarien durchspielen sowie auf die Gesamtorganisation und das mögliche Gefährdungspotenzial übertragen. Gerade an dieser Stelle wird eine fehlende Integration des Risiko-Managements in die Unternehmensplanung und das Controlling evident.
Um ökonomisch sinnvoll mit Risiken umgehen zu können, müssen sie in den Kontext der Unternehmensplanung gestellt werden. Risiko-Management sollte zum zentralen Bestandteil eines fundierten Unternehmenssteuerungs-Konzepts werden. Eine derart verstandende Risikoorientierung kommt auch beim Management besser an - und sorgt für mehr Unterstützung durch die Führungsebene.
Dazu müssen aber einige Voraussetzungen erfüllt sein: Wichtig ist beispielsweise ein grundsätzliches Verständnis für interdisziplinäre Arbeitsweisen. Zudem muss die gesamt Mitarbeitschaft eingebunden werden. In letzter Konsequenz setzt Risiko-Management eine starke Unternehmenskultur voraus. Und die muss erst einmal wachsen und von allen Unternehmensbereichen verinnerlicht sein.
Tipps für die Virenabwehr
-
Ein durchgängiges Risiko-Management einführen (initiiert und vorgelebt von der Unternehmensleitung);
-
Risiko-Management als Frühwarnsystem etablieren und methodisch hinterlegen ;
-
Eine starke Unternehmenskultur aufbauen (Sensibilisierung gegen Gefahren, Awareness-Programme etc.);
-
Belohnungssysteme etablieren: Vorbildliches Verhalten im Umgang mit potenziellen Risiken wird honoriert;
-
Technische Rahmenbedingungen setzen.
Der USB-Stick als Virenfalle
Daraus ergeben sich bestimmte Parameter, an denen sich eine organisationsinterne Struktur ausrichten sollte. Zum einen ist ein stärkeres Bewusstsein("Awareness") im Umgang mit sensiblen Daten und Informationsträgern aufzubauen. Dies klingt simpel, ist aber in der Praxis vielfach unbeachtet, wie der Fall Stuxnet zeigt. Hier wird vermutet, dass die erste Infektion mit dem Wurm auf dem Weg über ein USB-Speicherrmedium erfolgte.
Vielen Unternehmen macht der sorglose Umgang mit Hardware, Handy-Kameras, USB-Sticks & Co. zu schaffen. So kursiert unter IT-Security-Experten schon lange eine simple Methode, um einen Virus in ein Firmennetzwerk einzuschleusen: Man "verliert" in der Unternehmenstiefgarage einen USB-Stick, auf dem verseuchte Dateien mit interessanten Namen wie "Gehaltsabrechnung Vorstand" oder "Video Betriebsfeier" gespeichert sind. Mit größter Wahrscheinlichkeit wird der Finder der Versuchung nicht widerstehen können.
Technik und Awareness
Um Viren erfolgreich bekämpfen zu können, ist es hilfreich, technische Rahmenbedingungen zu schaffen - zum Beispiel strikte Berechtigungsverfahren oder Schnittstellenschutz. Zudem muss es klare Verhaltensregeln im Umgang mit sensiblen Firmendaten und potenziellen Risiken geben. Eine notwendige Ergänzung sind regelmäßige Awareness-Programme für alle Mitarbeiter. Im Fall Stuxnet müsste man sich dabei vor Augen zu führen, welche Konsequenzen der Ausfall bestimmter Prozesse hätte, wie sich das verhindern ließe, welche Maßnahmen im Ernstfall eingeleitet werden müssten und welche Kosten daraus entstünden.
Eventuell bereits bestehende Schutzvorkehrungen müssen immer wieder kritisch hinterfragt und überprüft werden. Beispielsweise ist es in vielen Unternehmen üblich, dass zwischen den Steuerungsrechnern der Produktion und der "normalen" IT-Infrastruktur keine Verbindung besteht. Das macht neben technischen Vorkehrungen aber auch umfangreiche organisatorische Regelungen erforderlich: Was nutzt die Trennung der kritischen Netze, wenn diese von einem Mitarbeiter mit USB-Sticks überbrückt werden kann?
Bei all diesen Maßnahmen empfiehlt es sich, die Mitarbeitervertretung frühzeitig in den Denkprozess einzubinden. Ein Sanktions- und Belohnungssystem für jeden Mitarbeiter kann ein Katalysator für eine wirkungsvolle und vor allem durchgängige Unternehmenskultur mit transparenten Verhaltensregeln sein.