Report Cyber-Kriminalität November 2014

Transkript

1 Report Cyber-Kriminalität November 2014 January 2013 An independent member of Baker Tilly International

2 Management Summary IT in allen Unternehmensbereichen bedeutet auch IT-Sicherheitsrisiken in allen Unternehmensbereichen. Geklaute Kreditkartennummern und Kundendaten, Unternehmensspionage, Sabotage oder gehackte Internetseiten: Cyber-Kriminalität hat längst den Status eines Nischenthemas, mit dem sich ausschließlich nur IT-Experten auseinandersetzen müssen, hinter sich gelassen. Cyber-Kriminalität betrifft keinesfalls nur IT-Experten oder IT-Sicherheitsexperten. Auch aus einer Management- und Unternehmens-Compliance-Perspektive sollten sich Unternehmen und Organisationen mit den möglichen Gefahren moderner Kommunikationsmittel auseinandersetzen und dabei vor allem auch geltenden Gesetzen entsprechen: IT-Sicherheit betrifft die gesamte Unternehmensorganisation. Es gilt vor allem sensible eigene und Kundendaten zu schützen als auch den Geschäftsbetrieb aufrecht zu halten. Die Gefahren betreffen ausnahmslos alle Unternehmen und Organisationen. Die Cybergefahren nehmen stetig weiter zu und lassen sich in verschiedene Kategorien mit jeweils ganz eigenem Muster einteilen. Die deutsche Bundesregierung arbeitet aktuell an einem Gesetz zur Erhöhung der Sicherheitsinformationstechnischer Systeme ( IT-Sicherheitsgesetz ), das schon bald verabschiedet werden soll. Das Gesetz soll vor allem Betreiber kritischer Infrastrukturen besser vor Cyber- Angriffen schützen - und sieht eine ganze Reihe von Auflagen vor. Zum Teil kann es dabei vor allem bei Unternehmen mit noch unzureichender IT-Sicherheit zu erheblichen Mehrkosten in den Bereichen IT-Infrastruktur, Personal, Umsetzung von IT-Sicherheitsstandards und Reputationsschäden durch die kontrovers diskutierte Meldepflicht kommen. Baker Tilly Roelfs hat die Kompetenzen aus den Beratungsbereichen Public Sector und IT Advisory gebündelt und zur Statusaufnahme der IT-Sicherheit in Unternehmen den Security Quick Check (KRITIS) entwickelt, mit dem sich gezielt weitere Schritte im Rahmen vertiefender Soll-/Ist-Analysen einleiten lassen. 2

3 Was ist Cyber-Kriminalität? Das Cyberspace ist nichts anderes als eine Verknüpfung zahlloser digitaler Netzwerke, die verwendet werden, um Dateien zu speichern, zu verändern, auszutauschen und Menschen oder auch Maschinen interaktiv miteinander kommunizieren zu lassen. Es umfasst sowohl das Internet, als auch andere Informationssysteme, die Unternehmen, Infrastruktur und Dienstleistungen unterstützen. Cyber-Risiken sind all jene Gefahren für Unternehmen und Organisationen, denen sie sich im Cyberspace stellen müssen. Cyber-Kriminalität ist dabei eine ganz besondere, stetig wachsende Form eines Cyber-Risikos. Der Prozess, mit dem sich Unternehmen und Privatpersonen vor Cyber-Bedrohungen schützen sollten, besteht vor allem aus der Implementierung von robusten Sicherheitssystemen und entsprechenden Softwarelösungen aber auch aus internen Kontrollen und Richtlinien. Mehr Nutzen mehr Gefahren Wir leben heute in einer Welt, die im höchsten Maße auf Technologie und digitale Kommunikation angewiesen ist: stationär oder mobil direkt sichtbar in Form eines Notebooks oder Smartphones oder gut versteckt beispielweise als Spurassistent in einem Auto. Diese Abhängigkeit von Informationstechnologie bedeutet, dass die Anzahl und die Qualität von Informationen und IT-Dienstleistungen stetig weiter zunehmen. Heutzutage wird kaum mehr jemand daran zweifeln, dass wirtschaftlich sensible Daten seien es nun die eigenen oder die Daten Dritter vertraulich behandelt werden müssen und es einem entsprechenden Aufwand bedarf, diese Daten zu schützen. Mit dem Phänomen Big Data, also der schier endlosen Verknüpfung von Daten und deren intelligenter Auswertung, ist die Bedeutung und damit auch der Wert eines effektiven IT-Sicherheitssystems noch weiter gestiegen. Durch Internet und Cloud Computing haben wir die Kontrolle über unsere Daten und das Wissen, wie und wo genau sie abgespeichert werden, längst verloren. Nicht nur der stetig wachsende Einfallsreichtum von Cyber-Kriminellen lässt den Aufwand von Unternehmen, Regierungen oder auch Privatpersonen stetig weiter wachsen, um Datendiebstahl oder -manipulation zu verhindern und damit elementare Unternehmenswerte zu schützen. Entsprechend hoch ist auch die Verantwortung, sensible Daten zu sichern und gleichzeitig aber auch deren Verfügbarkeit am richtigen Ort für die richtige Person bzw. das richtige System sicherzustellen. 3

4 Worin bestehen die größten Risiken? Die mit Cyber-Kriminalität verbundenen Risiken sind enorm und scheinen sich mindestens genau so schnell wie der technische Fortschritt rund um Informations- und Telekommunikationstechnik weiter zu entwickeln. Entsprechend hoch ist das Risiko finanzieller Verluste, Rufschädigung oder Betriebsstörungen. Wer ist gefährdet? Cyber-Kriminalität kann jede Privatperson und jedes Unternehmen treffen und dies mit tiefgreifenden Auswirkungen. Zwar haben es Digitaltechnik und das Internet möglich gemacht, den Zugang zu neuen, größeren Märkten zu erleichtern und Geschäftsprozesse effizienter zu gestalten. Gleichzeitig wurde aber auch durch den Einsatz der mobilen Medien, Cloud Computing, Social Media oder die Auslagerung bestimmter Dienstleistungen die volle Kontrolle über die eigenen Daten und die Art und Weise wie sie verwendet oder gespeichert werden aus der Hand gegeben. Wertvolle Informationen werden mittlerweile auf einem Computer im Büro, in einer Cloud eines Drittanbieters oder auf dem persönlichen mobilen Gerät eines Mitarbeiters gespeichert, eingesehen und verändert. Effektivität und Komfort bringen jedoch stets auch Risiken mit sich. Entsprechend sollten Unternehmen ihre internen Sicherheitsverfahren und auch die Systeme von etwaigen Dienstleistern oder Lieferanten stets auch unter den Aspekten der Sicherheit betrachten. Die Prävention zu vernachlässigen und nach der Devise Uns wird schon nichts passieren vorzugehen, ist genauso gefährlich wie fahrlässig und stellt nach neuester Rechtsprechung unter Umständen sogar einen Rechtsverstoß dar. Denn unlängst hat sich auch der Gesetzgeber dem Thema angenommen nur zu verständlich, denn zu seinen Aufgaben gehört es auch, für den ordnungsgemäßen Betrieb von Unternehmen und freiem Handel zu sorgen. Virtuelle Gefahr droht aus vielen verschiedenen Richtungen: auf der ganzen Welt sind mit großem Know-how und Erfindungsreichtum ausgestattete Kriminelle stetig auf der Suche nach neuen Schwachstellen, die sie ausnutzen können. Doch auch aus den Reihen der eigenen Mitarbeiter droht Gefahr. Sie erweisen sich oftmals als größter Risikofaktor. Die Gefahren aus dem Cyberspace können in verschiedene Kategorien eingeteilt werden: Cyber-Kriminelle sind Einzelpersonen oder Gruppen, die das Ziel verfolgen, sich durch Betrug oder Diebstahl und dem Verkauf von wertvollen Informationen zu bereichern. 4

5 Markt-Konkurrenten oder Auslandsnachrichtendienste nutzen das Internet für Industriespionage. Angesichts der enormen Summen, die Unternehmen in Forschung und Entwicklung investieren, um sich einen Wettbewerbsvorteil zu verschaffen, können die Schäden immens sein. Hacker sind stetig auf der Suche nach Schwachstellen, um Netzwerke zu stören oder zu unterbrechen. Für die meisten stellen Computersysteme eine Herausforderung dar. Oftmals geht es dabei mehr um die Reputation des eigenen Nicknames, weniger um finanzielle Bereicherung. Hacker-Aktivisten sind Hackern sehr ähnlich verfolgen jedoch eher politische oder ideologische Motive. Die eigenen Mitarbeiter stellen mit ihren legitimen Netzwerk-Zugängen ebenfalls eine große Gefahrenquelle dar. Das betrifft sowohl reinen Zufall oder Unachtsamkeit im Umgang mit der IT beispielsweise durch ein im Restaurant liegen gelassenes Handy als auch vorsätzlichen Missbrauch, beispielsweise durch verprellte oder entlassene Mitarbeiter. Eine genaue Gefahrenanalyse ist oftmals der erste Schritt zu einer effektiven Schutzstrategie. Dabei gilt es zu prüfen, aus welchen Bereichen Bedrohungen des eigenen Geschäfts mit hoher Wahrscheinlichkeit auftreten könnten und entsprechende Gegenmaßnahmen einzuleiten. Unternehmen müssen dabei durchaus akzeptieren, dass ihre Sicherheitsmechanismen immer zu einem bestimmten Punkt durchbrochen werden können und entsprechende Risikobewertungen und Präventionsmaßnahmen, um Schlüsselinformationen als zentrale Vermögenswerte zu schützen, eventuell nicht greifen. Auch hier gilt: wirklich alle Unternehmensbereiche können betroffen sein und es geht nicht nur um IT-Systeme, sondern auch um Unternehmensprozesse. Die Implementierung von zuverlässigen Kontrollen und Prozessen, um sensible Daten zu schützen, sollte in jedem Unternehmen oberste Priorität besitzen. Was sind die Auswirkungen? Cyber-Kriminalität hat in den letzten Jahren weltweit ganz erheblichen Schaden angerichtet, der in Summe kaum zu beziffern ist. Das sicherlich berühmteste bekannt gewordene Beispiel einer IT-Sicherheitslücke ist die Veröffentlichung von offiziellen Regierungsdokumenten durch Wikileaks und Edward Snowden. Cyber-Attacken können sowohl Einzelpersonen als auch Organisationen und Unternehmen jeder Größenordnung treffen. Gleichzeitig kann man sicher sein, dass die Dunkelziffer von IT-Straftaten, die nicht öffentlich werden, extrem hoch ist. Es gibt sogar Fälle, bei denen die bestohlenen Unternehmen nicht einmal bemerkt haben, dass ihre sensiblen Daten kopiert wurden. 5

6 Was sind die Antworten der deutschen Regierung auf die Entwicklung der Cyber-Attacken? Bereits im Jahr 2011 wurde von der damaligen Bundesregierung eine "Cyber-Sicherheitsstrategie für Deutschland" beschlossen. Ihr Kernelement ist neben der Einrichtung eines nationalen Cyber-Abwehrzentrums und der Sensibilisierung der Bevölkerung für das Thema IT- Sicherheit insbesondere der Schutz kritischer Infrastrukturen (KRITIS) im Hinblick auf deren IT- Systeme. Aktuell arbeitet die Bundesregierung mit dem Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme ("IT-Sicherheitsgesetz") verstärkt an einem entsprechenden Gesetzesvorhaben. Im August 2014 wurde nun ein überarbeiteter Referentenentwurf durch das Bundesministerium des Innern veröffentlicht, so dass schon sehr bald mit einer endgültigen Verabschiedung des IT-Sicherheitsgesetzes gerechnet werden kann. Mit dem geplanten Gesetz sollen vor allem sogenannte kritische Infrastrukturen wie Energie- und Telekommunikationsnetze, aber auch eine Vielzahl von kritischen IT-Strukturen im Gesundheitswesen sowie im Notfall- und Rettungsbereich besser vor Hackerangriffen geschützt werden. Neben verpflichtenden Meldungen über IT- Sicherheitsvorfälle seitens der Betreiber solcher Infrastrukturen sollen gesetzliche Mindeststandards für die IT-Sicherheit bei den Betreibern festgelegt werden mit teilweise erheblichem Aufwand für die Unternehmen. Der aktuelle Entwurf sieht beispielsweise alle zwei Jahre verpflichtende Sicherheitsaudits vor. Hierüber sowie über aufgedeckte Sicherheitsmängel ist das Bundesamt für Sicherheit in der Informationstechnik (BSI) alle zwei Jahre mittels einer entsprechenden Aufstellung zu informieren. Was bedeutet die neue Gesetzgebung für Unternehmen und Organisationen? Durch das neue Gesetz werden vor allem auf die Betreiber kritischer Infrastrukturen zum Teil ganz erhebliche Mehraufwendungen für die Schaffung und die Einhaltung eines Mindestniveaus an IT-Sicherheit zukommen ob diese jeweils auch im vollem Umfang gerechtfertigt sind, muss im Einzelfall entschieden werden: 6 IT-Infrastrukturkosten Möglicherweise müssen im Bereich der IT-Infrastruktur selbst Maßnahmen durchgeführt werden, da sich Unternehmen zwar regelmäßig auf das Erkennen und Abwehren von Angriffen konzentrieren, aber eher selten die dazugehörigen organisatorischen Prozesse so konzipiert sind, dass diese für eine strukturierte Weiterleitung von Meldungen an eine Behörde geeignet sind. Hier sind technische, personelle und organisatorische Anpassungen der Sicherheitsumgebungen notwendig; dieses trifft auch auf ausgelagerte Dienstleistungen zu, da diese in die Meldepflicht beim auslagernden Unternehmen einzubeziehen sind.

7 Personalkosten Die Maßnahmenumsetzung bezüglich der konkreten Anforderungen muss gegebenenfalls durch zusätzliche entsprechend qualifizierte Kompetenzen erfolgen; eventuell muss auch juristischer Beistand in Anspruch genommen werden. Beides führt sicherlich zu einer Steigerung der Personalkosten. Weitere Personalkosten werden durch die geforderten Warn- und Alarmierungskontakte entstehen, über die eine jederzeitige Erreichbarkeit gewährleistet sein muss. Dieses lässt sich vermutlich nur durch entsprechende Schicht-, Bereitschafts-, Wochenend- und Feiertagsdienste realisieren, woraus wiederum steigende Personalkosten aufgrund von Zusatzvergütungen und/oder zusätzlichen Personalressourcen resultieren. Kosten durch die Umsetzung von IT-Sicherheitsstandards In jedem Fall ist mit einem Mehraufwand durch die Einführung und Umsetzung der gesetzlich geforderten IT-Mindestsicherheitsstandards zu rechnen. Einerseits sind die eigenen, gegebenenfalls schon hohen Sicherheitsstandards an die neuen nationalen Vorgaben anzupassen. Andererseits muss bei international tätigen Unternehmen eventuell eine internationale Harmonisierung von IT-Sicherheitsstrukturen erfolgen. Reputationsrisiken Weitere Risiken können durch mögliche Reputationsschäden entstehen. Geht das Vertrauen in ein Unternehmen etwa durch Datenabfluss oder Bekanntwerden eines schwerwiegenden IT-Sicherheitsvorfalls verloren, kann sich dieses in einem Rückgang von Kundenzahlen, Umsatzeinbußen oder einem veränderten Investorenverhalten ausdrücken, mit all seinen monetären Folgen. Das wiederum bedeutet, dass die Reputation eine wertvolle Ressource für die Unternehmen darstellt. Um bei dem so wichtigen Thema IT-Sicherheit umfassend und mit größter Sorgfalt vorzugehen, hat Baker Tilly Roelfs die entsprechenden Kompetenzen aus den Beratungsbereichen Public Sector und IT- Advisory gebündelt und zur Statusaufnahme den Security Quick Check (KRITIS) entwickelt, mit dessen Ergebnis, der Statuseinschätzung, gezielt weitere Schritte im Rahmen vertiefender Soll-/Ist-Analysen eingeleitet werden. Baker Tilly Roelfs Security Quick Check (KRITIS) Im Rahmen der von Baker Tilly Roelfs durchgeführten Projekte und Prüfungen stellen wir immer wieder fest, dass innerhalb von Unternehmen und Organisationen ein sehr uneinheitliches Niveau bei der IT-Sicherheit besteht. So verfügen beispielsweise einige Akteure über ein ausgeprägtes Risikomanagement mit übergreifenden Sicherheitskonzepten und regelmäßigen Übungen. Bei anderen sind diese Maßnahmen noch nicht oder nur sehr rudimentär entwickelt. Als Gründe dafür werden häufig ausufernde Komplexität genannt. Der "Security Quick Check (KRITIS)" richtet sich vor allem an Energieversorger, ITK-Unternehmen, Finanzdienstleister und auch Unternehmen des Gesundheitswesens, die so auf zuverlässige und schnelle Art und Weise die Sicherheit ihrer kritischen Infrastrukturen überprüfen können. 7

8 Ihre Ansprechpartner Heiko Jacob Partner Telefon: Baker Tilly Roelfs ehemals RölfsPartner gehört zu den größten partnerschaftlich geführten Beratungsgesellschaften Deutschlands und ist unabhängiges Mitglied im weltweiten Netzwerk Baker Tilly International. Wirtschaftsprüfer, Rechtsanwälte und Steuerberater sowie Unternehmensberater bieten gemeinsam ein breites Spektrum individueller und innovativer Beratungsdienstleistungen an. Baker Tilly Roelfs entwickelt Lösungen, die exakt auf jeden einzelnen Mandanten ausgerichtet sind und setzt diese mit höchsten Ansprüchen an Effizienz und Qualität um. Auf Basis einer unternehmerischen Beratungsphilosophie stellen die mandatsverantwortlichen Partner interdisziplinäre Teams aus Spezialisten zusammen, die den jeweiligen Projektanforderungen genau entsprechen. Die interdisziplinären Kompetenzen sind gebündelt in den Competence Centern Financial Services, Fraud Risk Compliance, Health Care, Private Clients, Public Sector, Real Estate, Restructuring, Sport, Transactions, Valuation sowie Versorgungseinrichtungen. In Deutschland ist Baker Tilly Roelfs mit 750 Mitarbeitern an zwölf Standorten vertreten. Für die Beratung auf globaler Ebene sorgen 161 Partnerunternehmen mit über Mitarbeitern in 137 Ländern innerhalb des weltweiten Netzwerks unabhängiger Wirtschaftsprüfungs- und Beratungsgesellschaften Baker Tilly International. Baker Tilly Roelfs Cecilienallee Düsseldorf Tel.: Fax: An independent member of Baker Tilly International 2014 Baker Tilly Roelfs, Düsseldorf, alle Rechte vorbehalten Like us on Facebook