Business Continuity Management

Cyberrisiken zwingen zur systematischen Vorsorge

Siegfried Riedel gründete im Jahr 2000 ein Beratungshaus, aus dem die ITSM Group hervorgegangen ist. Vorher war er von 1987 bei einer führenden Hypothekenbank beschäftigt, wo er zuletzt als Abteilungsdirektor weltweit die dezentralen Systeme und Benutzerbetreuung verantwortete. Sein Fokus lag bereits zu dieser Zeit auf dem qualitätsgesteuerten IT Service Management und der Umsetzung komplexer technischer Projekte im ITSM-Umfeld.
Der Nutzen der Digitalisierung ist unbestritten. Aber indem sie zu immer neuen und komplexeren Vernetzungskonzepten führt, wachsen auch zwangsläufig die Gefahren durch digitale Angriffe.

Je mehr die Unternehmen Anwendungen und Daten aus ihrer unmittelbaren Obhut geben, desto stärker wachsen auch die Gefahren, dass die Mechanismen der unternehmensübergreifend miteinander verwachsenden IT nicht immer vollständig funktionieren. Auch mögliche Cyber-Angriffe können die technische Infrastruktur beeinträchtigen.

Dies gilt etwa auch für die Industrie 4.0- und IoT-Entwicklung. Beide Technologieperspektiven werden den digitalen Vernetzungsgrad noch wesentlich komplexer gestalten und im Falle der IoT-Devices auch die privaten Haushalte einbeziehen.

Innerhalb der nächsten Jahre wird das Cyber-Risiko stark ansteigen.
Innerhalb der nächsten Jahre wird das Cyber-Risiko stark ansteigen.
Foto: Maksim Kabakou - shutterstock.com

So geht eine Studie im Auftrag von DHL und Cisco davon aus, dass bis 2020 weltweit 50 Milliarden Geräte vernetzt sein werden, die jeweils automatisiert Bestellungen und damit auch logistische Anforderungen auslösen können. Damit drängen aber auch eine Vielzahl Konsumergeräte ins Netz, die über keinerlei oder nur geringe Sicherheitsfunktionen verfügen.

Die steigenden Risiken lassen sich beispielsweise an den Erkenntnissen des Microsoft Security Intelligence Reports sehr deutlich ablesen. Demnach sind die Cyberangriffe auf Nutzerkonten in der Cloud binnen Jahresfrist um 300 Prozent gestiegen. Aber auch wer seine Daten weiterhin in der eigenen Obhut hält, befindet sich in einer fragilen Situation.

So haben in der ersten Jahreshälfte Dax-Unternehmen wie Thyssen Krupp oder Beiersdorf die erheblichen Folgen von Cyberattacken schmerzlich erfahren müssen. Und nicht zuletzt durch die Schadsoftware WannaCry wurden im Frühsommer dieses Jahres weltweit rund 250 Konzerne und große Institutionen infiziert, darunter Daimler Benz und die Post AG.

Wie lassen sich digitale Attacken schnell bewältigen?

Natürlich wird inzwischen deutlich mehr für die Informationssicherheit getan, nicht zuletzt auch infolge der rechtlichen Erfordernisse durch das IT-Sicherheitsgesetz. Doch durch den allseits forcierten Ausbau der Digitalisierung stehen die Unternehmen vor ständig neuen Anforderungen.

So erfordert Cloud Computing veränderte Datensicherungskonzepte und Wiederanlaufprozesse, aber auch die Kontrollmechanismen bei Vendor-Management-Strategien mit Einsatz mehrerer Cloud- und Outsourcing-Provider müssen angepasst werden. Zudem diversifizieren sich die digital gesteuerten Lieferketten, was neue Risikofelder entstehen lässt.

Das Kernproblem in solchen Situationen lautet: Wie lassen sich die Schäden möglichst schnell in den Griff bekommen? Schließlich geraten in einer digitalisierten Welt die Prozesse und Geschäftsmodelle der Unternehmen in eine vollständige Abhängigkeit von der Verfügbarkeit ihrer IT-Systeme. Werden in kritischen Situationen wichtige Unternehmensfunktionen nur zeitweise unterbrochen, können erhebliche wirtschaftliche Konsequenzen drohen. Wie gravierend sie sein können, zeigt das Beispiel Beiersdorf: Das Unternehmen hatte nach dem Cyberangriff weltweite Produktionsausfälle zu verzeichnen.

Die Antwort auf diese Frage lautet zwangsläufig: Business Continuity Management (BCM). Darunter wird ein unternehmensweiter Ansatz verstanden, der Unternehmen systematisch auf die Bewältigung von Schadensereignissen vorbereitet und mit dem die kritischen Geschäftsfunktionen bei Bedrohungssituationen beispielsweise durch Naturkatastrophen, Wirtschaftskriminalität oder die genannten Cyber-Angriffe aufrechterhalten oder zeitnah wiederhergestellt werden können. Zumal auch neue rechtliche Anforderungen wie das IT-Sicherheitsgesetz (IT-SiG ) und die europäische Datenschutzverordnung (EU-DSGVO) eine hohe Verfügbarkeit der technischen Systeme verlangen.

Darauf müssen sie bei BCM achten...

Inhalt dieses Artikels