Typische Risikopotenziale

Das skizzierte, fiktive mittelständische Unternehmen ist besonders gefährdet. Die weltweite Vernetzung und die starke Integration der Abläufe und damit der IT-Systeme in die Prozess- und IT-Landschaft der Autohersteller rufen spezielle Risiken hervor. Zudem bestehen die Gefahren für alle Teilnehmer, die in dem Verbund aus Zulieferern, Autobauern und Logistik arbeiten, weil die einzelnen Unternehmen über ein gemeinsames Netzwerk verknüpft sind. Damit setzen sie sich auf folgenden Ebenen verschiedenen Risiken aus.

• Organisation und Prozesse bieten Angriffsflächen für Social-Engineering-Angriffe wie Täuschungs- und Phishing-Versuche.

• Die Applikationen sind der Gefahr von klassischen Attacken wie Code-Injection oder Denial-of-Service ausgesetzt.

• Eingeschleuste Schadprogramme (Malware) wie Viren, Würmern und Trojaner können die Plattformen beeinflussen.

• Netze lassen sich aufgrund ungesicherter Kommunikationskanäle abhören.

• Wo keine physikalische Sicherheit gewährleistet ist, drohen Diebstahl von Geräten und Informationen wie Patentschriften sowie Lauschangriffe (Abhören von Räumen).

Auch die Schnittstellen zwischen Internet-Provider und Partnerverbund bergen Risiken, zum Beispiel das mögliche Abhören ungesicherter Kommunikationsstrecken. Die Gefahren, die es auf den Ebenen Organisation und Prozesse sowie Anwendungen gibt, wurden in der Vergangenheit oft unterschätzt oder haben sich nicht angemessen in einer IT-Security-Strategie niedergeschlagen.