CYBERKRIMINALITÄT VERURSACHT GROßEN WIRTSCHAFTLICHEN SCHADEN

Ähnliche Dokumente
WELCOME TO SPHERE SECURITY SOLUTIONS

GPP Projekte gemeinsam zum Erfolg führen

Erfolgreiche Webseiten: Zur Notwendigkeit die eigene(n) Zielgruppe(n) zu kennen und zu verstehen!

Verpasst der Mittelstand den Zug?

IDV Assessment- und Migration Factory für Banken und Versicherungen

Informationssicherheit als Outsourcing Kandidat

Engagement der Industrie im Bereich Cyber Defense. Blumenthal Bruno Team Leader Information Security RUAG Defence Aarau, 25.

RISIMA Consulting: Beratung, Planung, Produkte und Services für kleine und mittelständische Unternehmen.

Outsourcing und Offshoring. Comelio und Offshoring/Outsourcing

Informationssystemanalyse Problemstellung 2 1. Trotz aller Methoden, Techniken usw. zeigen Untersuchungen sehr negative Ergebnisse:

Herzlich Willkommen beim Webinar: Was verkaufen wir eigentlich?

Skills-Management Investieren in Kompetenz

Studie über Umfassendes Qualitätsmanagement ( TQM ) und Verbindung zum EFQM Excellence Modell

ÜBERGABE DER OPERATIVEN GESCHÄFTSFÜHRUNG VON MARC BRUNNER AN DOMINIK NYFFENEGGER

Test zur Bereitschaft für die Cloud

Mobile Intranet in Unternehmen

40-Tage-Wunder- Kurs. Umarme, was Du nicht ändern kannst.

Industriespionage im Mittelstand

15 Social-Media-Richtlinien für Unternehmen!

Cloud-Computing. Selina Oertli KBW

Informationssicherheitsmanagement

Finanzierung für den Mittelstand. Leitbild. der Abbildung schankz

Mit dem richtigen Impuls kommen Sie weiter.

SICHERHEITSANALYSE & PENTEST SCHWÄCHEN ERKENNEN HEISST STÄRKE GEWINNEN.

InfoSEC AWARENESS RESSOURCEN BESTMÖGLICH NUTZEN. RISIKEN PRAKTIKABEL REDUZIEREN. InfoSEC Awareness Ein Workshop von ExpertCircle.

THE KNOWLEDGE PEOPLE. CompanyFlyer.indd :48:05

Lassen Sie sich entdecken!

Feedback in Echtzeit. Social Media Monitoring Services von Infopaq. SOCIAL MEDIA

Secure Mail der Sparkasse Holstein - Kundenleitfaden -

Systemen im Wandel. Autor: Dr. Gerd Frenzen Coromell GmbH Seite 1 von 5

Eva Douma: Die Vorteile und Nachteile der Ökonomisierung in der Sozialen Arbeit

Spotlight 5 Gründe für die Sicherung auf NAS-Geräten

Anleitung zum Computercheck Windows Firewall aktivieren oder eine kostenlose Firewall installieren

Cloud Security geht das?

Der Schutz von Patientendaten

statuscheck im Unternehmen

Staatssekretär Dr. Günther Horzetzky

Konzentration auf das. Wesentliche.

Lineargleichungssysteme: Additions-/ Subtraktionsverfahren

I N F O R M A T I O N V I R T U A L I S I E R U N G. Wir schützen Ihre Unternehmenswerte

Stammdaten Auftragserfassung Produktionsbearbeitung Bestellwesen Cloud Computing

Pensionskasse des Bundes Caisse fédérale de pensions Holzikofenweg 36 Cassa pensioni della Confederazione

IdM-Studie der Hochschule Osnabrück Identity Management lokal oder aus der Cloud?

Social-Media Basis-Paket Ein einfaches und verständliches Unternehmens-Programm für den ersten Schritt

WIR MACHEN SIE ZUM BEKANNTEN VERSENDER

Private oder public welche Cloud ist die richtige für mein Business? / Klaus Nowitzky, Thorsten Göbel

Agile Enterprise Development. Sind Sie bereit für den nächsten Schritt?

Risikomanagement in der Praxis Alles Compliance oder was?! 1. IT-Grundschutz-Tag

Albert HAYR Linux, IT and Open Source Expert and Solution Architect. Open Source professionell einsetzen

Gemeinsam gegen Cyberkriminalität! German Competence Centre against Cyber Crime e. V.

Vertrauen in Medien und politische Kommunikation die Meinung der Bürger

IT-Governance und Social, Mobile und Cloud Computing: Ein Management Framework... Bachelorarbeit

TEUTODATA. Managed IT-Services. Beratung Lösungen Technologien Dienstleistungen. Ein IT- Systemhaus. stellt sich vor!

Wie Sie mit einer Website tausend Geräte bespielen und das auch tun sollten

Tender Manager. Sparen Sie Zeit und Kosten durch eine optimierte Erstellung Ihrer individuellen IT-Ausschreibungen

MOBILE DEVICE MANAGEMENT BERATUNG Mehr Sicherheit für Ihre Entscheidung

Einkaufen im Internet. Lektion 5 in Themen neu 3, nach Übung 10. Benutzen Sie die Homepage von:

IT-Trend-Befragung Xing Community IT Connection

Modul 1 Modul 2 Modul 3

Welchen Weg nimmt Ihr Vermögen. Unsere Leistung zu Ihrer Privaten Vermögensplanung. Wir machen aus Zahlen Werte

Dr. Heiko Lorson. Talent Management und Risiko Eine Befragung von PwC. *connectedthinking

All for One Steeb. Das SAP Haus. ALL FOR ONE STEEB DAS SAP HAUS

Kundenbeziehungsmanagement Plus. Zur Steigerung der Kundenzufriedenheit und bindung. CRM Plus

Cloud Computing. Ergebnisse einer repräsentativen Erhebung für das BMELV

icloud nicht neu, aber doch irgendwie anders

Leistungsstarke Enterprise Apps. Für Menschen erdacht. Für Veränderungen entwickelt.

4 Ideen zur Verbesserung des -Marketings!

Leichte-Sprache-Bilder

Was macht Layer2 eigentlich? Erfahren Sie hier ein wenig mehr über uns.

Behindert ist, wer behindert wird

L10N-Manager 3. Netzwerktreffen der Hochschulübersetzer/i nnen Mannheim 10. Mai 2016

Das vollständige E-Book können Sie nach Eingabe Ihrer Kontakt-Daten herunterladen.

Projekt- Management. Landesverband der Mütterzentren NRW. oder warum Horst bei uns Helga heißt

Telenet SocialCom. verbindet Sie mit Social Media.

Soziale Netzwerke. Basisschutz leicht gemacht. 10 Tipps zur sicheren Nutzung von sozialen Netzwerken wie studivz, Facebook & Co.

Keine Kompromisse. Optimaler Schutz für Desktops und Laptops CLIENT SECURITY

BIA-Wissensreihe Teil 4. Mind Mapping Methode. Bildungsakademie Sigmaringen

IT OUTSOURCING. Wie die IT durch Transparenz zum internen Dienstleister wird. Herford, , Steffen Müter

.. für Ihre Business-Lösung

Inside. IT-Informatik. Die besseren IT-Lösungen.

allensbacher berichte

Europäischer Fonds für Regionale Entwicklung: EFRE im Bundes-Land Brandenburg vom Jahr 2014 bis für das Jahr 2020 in Leichter Sprache

Herzlich Willkommen. «Zielkonflikte im HR Personalverantwortliche im Spannungsfeld der Erwartungen» 5. Juni HR Club Careerplus Folie 1

Die Post hat eine Umfrage gemacht

Prof. Dr. Norbert Pohlmann, Institut für Internet Sicherheit - if(is), Fachhochschule Gelsenkirchen. Lage der IT-Sicherheit im Mittelstand

Mehrwerte aus SAM-Projekte generieren AVISPADOR

Probleme kann man nie mit derselben Denkweise lösen, durch die sie entstanden sind. Albert Einstein BERATUNG

Alle gehören dazu. Vorwort

Das große ElterngeldPlus 1x1. Alles über das ElterngeldPlus. Wer kann ElterngeldPlus beantragen? ElterngeldPlus verstehen ein paar einleitende Fakten

Dieter Brunner ISO in der betrieblichen Praxis

Mehr Effizienz und Wertschöpfung durch Ihre IT. Mit unseren Dienstleistungen werden Ihre Geschäftsprozesse erfolgreicher.

PART Professional Assault Response Training

Was sind Soziale Netzwerke? Stelle dazu selbstständig Überlegungen an!

Das Leitbild vom Verein WIR

Governance, Risk & Compliance für den Mittelstand

Wir organisieren Ihre Sicherheit

erfahren unabhängig weitsichtig

Bedrohung durch Cyberangriffe - Reale Gefahr für Ihr Unternehmen. Networker NRW, 23. Oktober 2012, S-IHK Hagen

Wir beraten Sie. Wir unterstützen Sie. Wir schaffen Lösungen. Wir bringen Qualität. Wir beraten Sie. Wir unterstützen Sie. Wir schaffen Lösungen

Transkript:

AUGUST / SEPTEMBER 2013 AlixPartners Viewpoint Daueraufgabe Cyber-Security Von Andreas Rüter, Managing Director, AlixPartners und Joachim Winterstein, Director, AlixPartners Kreditkartendaten werden gestohlen, Bankkonten geplündert, IP und vertrauliche Informationen entwendet, Identitäten manipuliert, Services lahmgelegt, Viren eingeschleust, falsche Geschäfte vorgetäuscht, Infrastrukturen manipuliert und vieles mehr: Die Liste potenzieller Schadensdelikte verursacht durch Cyberkriminalität ist lang. Schon vor PRISM, Tempora und XKeyscore war die Frage nicht, ob Cyber-Security eine Bedrohung für deutsche Unternehmen und den Standort Deutschland darstellt, sondern wie sich Staat, Privatpersonen und Unternehmen schützen können. Dieser AlixPartners Viewpoint analysiert, welche Voraussetzungen in Unternehmen gegeben sein müssen und welche Voraussetzungen derzeit von der Bundesrepublik Deutschland und der EU geschaffen werden. Jeden Tag werden weltweit schätzungsweise eine Million Menschen Opfer von Cyberstraftaten. Dem Software-Unternehmen Symantec zufolge gibt es täglich fast hundert Profi-Angriffe von Hackern auf Unternehmen. Während die meisten EU-Bürger angeben, zuletzt etwas über Internetkriminalität gesehen oder gehört zu haben, ist das wahre Ausmaß des durch Cyberkriminalität verursachten Schadens kaum bekannt. Und: Nur wenige Unternehmen wissen, wie sie sich gegen derartige Angriffe schützen können. Heute sind zwar mehr als die Hälfte der Firmen mit dem Gefahrenpotenzial gezielter Cyber- Angriffe, Advanced Persistent Threats (APTs) oder Distributed Denial of Service (DDoS) vertraut, die Mehrheit der EU-Bürger aber fühlt sich nicht ausreichend oder überhaupt nicht über die Risiken der Internetkriminalität informiert. Dies geht aus einer Studie hervor, die von TNS Opinion & Social Network in den 27 Mitgliedsstaaten der EU im März 2012 durchgeführt wurde.

2 CYBERKRIMINALITÄT VERURSACHT GROßEN WIRTSCHAFTLICHEN SCHADEN Cyber-Attacken auf britische Unternehmen steigen sprunghaft an Britische Unternehmen werden zunehmend Opfer von Cyberkriminalität fast alle großen und kleinen Firmen waren im letzten Jahr betroffen Milliardenschäden durch Cyber-Attacken Untersuchungen zeigen, dass Großbritannien ein jährlicher Schaden in Milliardenhöhe durch Cyberkriminalität entsteht Unternehmen sehen sich alle paar Tage Sicherheitsverstößen gegenüber Mehr Banken von Cyber-Attacken betroffen als angenommen Sony hat berichtet, dass der Hacker-Angriff auf das PlayStation-Netzwerk und deren damit verbundene Nichtverfügbarkeit die Firma 171 Millionen US-Dollar kosten wird. Beide Zeitungen haben im Januar 2013 berichtet, dass Hacker die Rechner der Firma infiltriert haben mit dem Ziel, Zugang zu Informationen von Reportern zu erhalten, die über China berichten Quelle: AlixPartners Cyberkriminalität ist nicht nur ein Thema für Privatpersonen und Unternehmen, sondern auch volkswirtschaftlich relevant. Der durch Cyberkriminalität entstehende finanzielle Schaden beläuft sich laut einer EU-Studie auf weltweit fast 400 Milliarden US-Dollar jährlich. Aber es ist nicht nur der monetäre Schaden, der Unternehmen schmerzt, sondern auch der Verlust von Reputation, geistigem Eigentum (Intellectual Property) und von Vertrauen bei Geschäftspartnern. Der Aufwand, der betrieben werden muss, um Cyberkriminalität zu bekämpfen im Angriffsfall, aber auch generell in der Compliance-Vorbereitung ist beträchtlich. Denn viele Unternehmen haben verstanden: Es geht nicht darum, ob ein wirklich signifikantes Sicherheitsproblem auftritt, sondern wann das passiert. Die EU und die Bundesrepublik Deutschland bringen Initiativen zur Bekämpfung von Cyberkriminalität auf den Weg. Die Europäische Kommission hat einen Vorschlag zur Errichtung eines im Europäischen Polizeiamt (Europol) in Den Haag angesiedelten Europäischen Zentrums zur Bekämpfung der Cyberkriminalität vorgelegt, das den europäischen Bürgern und Unternehmen im Kampf gegen die zunehmende Bedrohung durch Cyberstraftaten Hilfe leisten soll. Insbesondere soll das Amt gegen illegale Online-Tätigkeiten organisierter krimineller Vereinigungen vorgehen, die hohe illegale Erträge abwerfen, darunter Online-Betrug mit gestohlenen Kreditkarten und Bankkontendaten. Unternehmen und Industrieverbände sollen beraten werden und erster Ansprechpartner bei der Bekämpfung von Cyberkriminalität sein. Kernaufgabe ist die Aufdeckung von organisierten Netzen krimineller Cyber-Banden (zum Beispiel das Botnet Citadel, das amerikanische Banken um 500 Millionen US-Dollar erleichtert hat), die Aufdeckung von Mängeln in der Abwehr von Straftaten sowie die Bekämpfung großangelegter, grenzüberschreitender Online-Delikte. Auf Bundesebene hat Bundesinnenminister Hans- Peter Friedrich Maßnahmen für einen besseren Schutz der kritischen Infrastruktur und für die Erfüllung von Mindeststandards zum Schutz gegen Cyberkriminalität in Unternehmen eingeleitet.

3 Das Gesetz für Cybersicherheit ist in einigen Kernbranchen zwar umstritten und wird wegen befürchteter Überregulierung teilweise abgelehnt, aber die bereits in den USA forcierte Meldepflicht der Unternehmen (insbesondere Betreiber kritischer Infrastrukturen) zu Angriffen aus dem Internet wird auch in der EU und hierzulande kommen. Unternehmen werden eine Art Sicherheitsbilanz erstellen und erhebliche Sicherheitsvorfälle an das Bundesamt für Sicherheit in der Informationstechnik (BSI) melden müssen. Von Unternehmen antizipierte negative Implikationen wie Zusatzaufwand und die Befürchtung, gerade börsennotierter Unternehmen, bei voller Transparenz im Schadensfall gegenüber Geschäftspartnern und Investoren Vertrauens- und Imageverluste zu erleiden, steht positiv gegenüber, dass damit der Druck gegeben ist, sich umfassend im Bereich der Cyber-Security aufzustellen. WER KÜMMERT SICH IM UNTERNEHMEN? Das Thema Cyber-Security ist typischerweise in der IT-Abteilung angesiedelt, was in der Regel leider nur einen, wenn auch wichtigen Aspekt der Schadensbekämpfung berücksichtigt: Die Bereitstellung von IT- Sicherheitslösungen und -maßnahmen. Hinsichtlich des Ausmaßes der Schäden und der Breite der möglichen Einfallstore in ein Unternehmen, springt dieser Ansatz jedoch zu kurz. Cyberkriminalität kann nur umfassend adressiert werden, wenn Geschäftsziele und -anforderungen berücksichtigt und damit abgestimmt sind. Das heißt, beide Business und IT müssen gemeinsam Verantwortung für die Vermeidung und Abwehr von Attacken übernehmen. Denn der Feind sitzt nicht nur anonym außerhalb des Unternehmens. In Analysen werden häufig der leichtfertige Umgang von Mitarbeitern mit Sicher- UMFRAGE ZUR INFORMIERTHEIT ÜBER CYBERKRIMINALITÄT IN DEUTSCHLAND IM JAHR 2012 Wie gut fühlen Sie sich über die Risiken der Cyberkriminalität informiert? Anteil der Befragten in % 37 31 22 7 3 Sehr gut informiert Ziemlich gut informiert Nicht sehr gut informiert Überhaupt nicht informiert Weiß nicht Quelle: Europäische Kommission / Statista

4 heitsstandards, Datenmissbrauch durch eigene Mitarbeiter sowie Diebstahl und Verlust von Hardware als eigentliche Gefahrenquellen für die Sicherheit in Unternehmen genannt. SECURITY VERÄNDERT SICH RASANT Wie Dopingfahnder müssen Unternehmen auf ständig neue Methoden und Mittel der Cyberkriminellen vorbereitet sein. Viele Firmen haben sich darauf eingestellt, indem sie Hacker und Sicherheitsspezialisten beschäftigen; aber gerade Mittelständler sind von einer wirkungsvollen Verteidigungslinie noch weit entfernt oder glauben, mit einem singulären Projekt und einigen wenigen Verbesserungsmaßnahmen das Problem nachhaltig adressiert zu haben. jüngste Vergangenheit beispielsweise der Computerwurm Stuxnet gezeigt, dass es viel mehr, bisher nicht berücksichtigte Angriffspunkte innerhalb und außerhalb eines Unternehmens gibt. Die Einfallstore und Sicherheitslücken sind durch Digitalisierung, Shareconomy und Cloud-Computing deutlich größer geworden. Diese Sicherheitslücken (zum Beispiel Zero-Day-Exploits in Betriebssystemen) haben einen hohen Wert für Cyberkriminelle sowie für IT-Firmen. Das macht den Markt für IT-Sicherheitsfirmen hochbegehrt: Finanzinvestoren und große strategische IT-Firmen kauften in den vergangenen Jahren gezielt Anbieter von Sicherheitslösungen und Software hinzu. Den Unternehmen werden in der Regel technische Einzellösungen angeboten, die aber immer nur Teilaspekte adressieren können. Während es bislang zur Philosophie der meisten Unternehmen gehörte, die bekannten virtuellen Grenzübergänge nach außen zu sichern, hat die Ganzheitliche und nachhaltige Lösungen zur Abwehr von Cyberkriminalität als Daueraufgabe findet man kaum. VERTRAUTHEIT MIT GEFAHREN DURCH COMPUTERKRIMINALITÄT BEI UNTERNEHMEN, WELTWEIT Wie vertraut sind Sie mit dem Gefahrenpotenzial folgender Sicherheitsrisiken für Ihr Unternehmen? Anteil der Befragten in % Gezielte Angriffe 59 Verwendung von Smartphones für Firmenangelegentheit Keylogger Distributed Denial of Service (DDoS-Attacken) Kurz-URLs 55 55 58 58 Quelle: Symantec, SMB Threat Awareness Poll, 2011 / Statista

5 IT SPIELT ZWAR KERNROLLE, ABER KANN CYBER-SECURITY NICHT ALLEIN ADRESSIEREN zwischen Businessabteilungen, IT und Sicherheits- teams und damit nicht zu einer umfassenden Lösungsbearbeitung geführt: Bis vor kurzem sind Cyber-Security-Problemstellungen typischerweise dem Chief Information Officer (CIO) überlassen worden was durchaus richtig und sinnvoll war, wurden doch die meisten Probleme mit technischen Mitteln (zum Beispiel Security Monitoring oder Vulnerability Management) gelöst. Es zeigt sich, dass die gleiche Grundhaltung zum Tragen kommt, die in der Vergangenheit häufig zum Scheitern von Maßnahmen zur Effizienz- und Effektivitätssteigerung in Unternehmen geführt hat: Die Vorstellung, bei einem Problem einfach das passende System oder die passende Software zu erwerben, in die IT-Landschaft zu integrieren und die Ergebnisverantwortung dadurch an die Technik zu delegieren. Eine Auswertung von Schadensfällen über einen langen Zeitraum bestärkt allerdings die Skepsis gegenüber einer rein technisch getriebenen Systemlösung. So sehr Passwörter, Verschlüsselungsalgorithmen und Firewalls die naheliegenden Sicherheitsrisiken im Umgang mit vertraulichen Daten reduzieren können, so machtlos sind sie gegenüber mangelnder Sensibilisierung aller (!) Mitarbeiter, nicht existenten Unternehmensstrategien zum Thema Gesamtsicherheit, unklaren Zuständigkeiten sowie nicht existierenden Policies und Prozessen. Darüber hinaus hat dieses technologisch getriebene Vorgehen häufig zu Abstimmungsschwierigkeiten Eher Sicherheit-sagt-nein - als Sicherheit-cando -Mentalität. Allzu häufig wurden durch die IT-Sicherheitsteams Barrieren und Restriktionen durch obskure Richtlinien (Policies) etabliert. Sicherheitsfunktionen im Unternehmen lassen oft einen geschäfts- oder kundenorientierten Ansatz vermissen und fokussieren sich rein auf die Implementierung einer IT-Lösung, anstatt Geschäftsprobleme sowie Anforderungen an Prozesse zu berücksichtigen. Häufig werden ad-hoc Einmal-Lösungen implementiert, die nicht als dauerhafter, grundsätzlicher Schutz fungieren können: Sicherheitsprobleme werden dann nur als Bereitstellung einer technischen Lösung und nicht durch Verankerung von angemessener Sicherheit in den Kern-Geschäftsprozessen adressiert. Effektive Kommunikation mit dem Business ist durch den typischen IT Talk erschwert und blockiert oft das gemeinsame Engagement für eine wirkungsvolle Lösungsfindung. Zudem werden nicht selten Geschäftsrisiken ohne Berücksichtigung einer Wahrscheinlichkeit des Eintretens bewertet, sondern nur, ob das Risiko existiert oder nicht. Dies hat nicht dazu beigetragen, das Thema Sicherheit auf der Agenda des Top-Managements weiter oben zu platzieren. Fehlende Aufmerksamkeit wiederum führt zu Schwierigkeiten, die notwendige Unterstützung und vor allem Budgets für Sicherheitsinitiativen zu erhalten.

6 DIE HAUSAUFGABEN WAS SOLLEN UNTERNEHMEN BEACHTEN? Um Transparenz zu schaffen hinsichtlich des Status Quo und des Gefahrenpotenzials ist ein Sicherheits- Audit (Cyber Security QuickStrike) zu empfehlen. Experten, ehemalige Sicherheitschefs und Technologieexperten testen die Verwundbarkeit des Unternehmens bei Cyberattacken auf Herz und Nieren und leiten daraus Empfehlungen zur Umsetzung ab. Voraussetzung hierfür ist eine Bestandsaufnahme der wirklichen Assets einer Firma. Dies determiniert eine wichtige Weichenstellung hinsichtlich der eigentlichen Sicherheitsstrategie: Bestehen die Assets in Form von elektronisch gespeicherten Dokumenten, Verfahren, Fähigkeiten, Erkenntnissen und Goodwill oder in der Performanz von Prozessen und Systemen? Sind diese Assets an Individuen, an Gruppen oder abstrakt an die Firma gebunden? Kann ein spezifisches Asset selektiert und sollte dieses spezifische Asset geschützt werden; und bis zu welchem Aufwand ist es noch wirtschaftlich sinnvoll? Nicht jede Datei (und deren siebenundachtzigste Variante) muss wie in Fort Knox gesichert werden; andererseits sollte vielleicht kein Computer in der R&D-Abteilung über eine USB-Schnittstelle verfügen. Nach dieser grundsätzlichen Bestandsaufnahme werden dann, bereits mit dem Kontext Wert des Assets folgende Aspekte neben der reinen Technologie-Bewertung einer Untersuchung unterzogen: Sicherheitsstrategie definieren und umsetzen Nicht die teuerste Lösung, sondern eine nach Risikoprofil ausgewogene und effiziente Sicherheitsstrategie, die auf das Unternehmen und den Geschäftszweck ausgerichtet ist. Verankerung von Policies und einer Sicherheits- Governance im Unternehmen Verantwortlichkeiten im Unternehmen sind festzulegen und entsprechend zu verankern. Ganz wichtig sind klare Regeln, Reporting- und Eskalationspfade im Ernstfall und zwar nicht nur auf IT-, sondern auch auf Business-Seite (siehe unten). Die verantwortlichen Mitarbeiter müssen dediziert geschult sein für den Angriffsfall. Und es ist wichtig, auch den Umgang mit der Kommunikation im Unternehmen und nach außen (Presse) vorzudefinieren. Verstehen, wie die Angreifer ticken Hacker werden nicht nur hinzugezogen, um die neuesten Technologien und Tricks mit einzubeziehen, sondern auch die Philosophie und damit das Vorgehen der Angreifer zu verstehen. Ein Beispiel ist die Vermeidung jeglicher Remote Communication Möglichkeit durch Hacker. Die Kontrolle der Daten Die Kontrolle der Daten ist immer schwerer steuerbar. Daten wandern über Landesgrenzen, zu (manchmal unbekannten) physischen und virtuellen Orten, deren spezifischen Regulierungen und Rechtsprechungen verstanden und berücksichtigt werden müssen. Die neue EU Data Protection- Richtlinie wird die Komplexität weiter erhöhen.

7 Cyber-Security ist Top-Priorität Verankerung im Unternehmen Cyber-Security muss auf der Board Agenda ankommen und volle Unterstützung durch das Management bekommen. Der Kulturwandel funktioniert, wenn Mitarbeiter entsprechend sensibilisiert werden. Die Mitarbeiter werden mit den wesentlichen Risiken konfrontiert und entsprechend geschult, wie sie sich und damit die Firma schützen. Beispiel: Eigene Mobile Devices (BYOD, Bring Your Own Device) sind potenzielle Einfallstore und müssen gesichert werden. Eigene Anwendungen, die in der Cloud liegen, müssen klar isolierbar sein durch BYOD, das heißt Einsatz von privaten Endgeräten und nicht standardisierten Firmengeräten für Geschäftszwecke. Digitalisierung führt zu höherer Datenkomplexität Die Digitalisierung trägt dazu bei, dass sich der Datenaustausch generell verändert. Die Datensicherheit wird komplexer und nicht mehr so einfach linear steuerbar, gerade beim Einsatz von Cloud Computing und Social Media; und weil Informationen immer häufiger auch in öffentlichen Foren geteilt werden. Ebenso verbreiten sich im Problemfall die Nachrichten durch Emails, Social Media und Presse entsprechend schnell an eine breite Öffentlichkeit. Monitoring und Analyse das Sicherheits-Dashboard Relevante Parameter für die Beurteilung der Sicherheit müssen definiert und regelmäßig überprüft und ein Sicherheits- Dashboard (Ongoing Threat Monitoring) muss eingerichtet werden. Wie bei einer Vermögensanlage muss man sich über den Risikograd im Klaren sein. Forensische Untersuchungen können das regelmäßige Monitoring ergänzen. Auch außerhalb des Unternehmens müssen Ansprüche gestellt werden An Lieferanten, Kontraktoren und andere Geschäftspartner müssen ähnliche Sicherheitsstandards gestellt und dort etabliert werden. Die Kunden von Unternehmen sind zunehmend besorgt über Sicherheit und Schutz ihrer persönlichen Daten, seit prominente Fälle von Diebstahl und Veröffentlichung kundespezifischer Daten bekannt geworden sind es bedarf nur eines einzigen Vorfalls, um das Vertrauen zu verspielen. Von Lieferanten wird ein angemessener Sicherheitslevel gefordert, insbesondere da mehr und mehr Abhängigkeiten zu Drittorganisationen etabliert werden, die damit Teil der Wertschöpfungs- und Datenaustauschkette werden. Alle Beteiligten einbinden und frühzeitig Akzeptanz herstellen Die Sicherstellung der Akzeptanz von Lösungen in allen Unternehmensbereichen ist eine häufig unterschätzte Herausforderung bei der Implementierung von neuen Verfahren und Prozessen. Eine frühe Einbindung der Beteiligten und systematisches Change Management sind essenziell zur nachhaltigen Umsetzung einer Cyber-Security-Strategie.

8 DIE ZUKUNFT VON CYBER-SECURITY IST BUSINESS SECURITY Business Security soll das Geschäftsproblem im Auge behalten und die Anforderungen definieren und adressieren, nicht allein die technische Lösung. Business Security hat in erster Linie mit den involvierten Personen zu tun. Die Kern-Entscheidungsträger und betroffene Mitarbeiter, auch die nur indirekt betroffenen Mitarbeiter, sind einzubinden und zu engagieren, um die Ausrichtung der Sicherheitsstrategie in einer für alle verständlichen Sprache zu formulieren. Business Security sollte durch sehr erfahrene Mitarbeiter verantwortet werden. Um Prioritäten setzen zu können, die wichtigen Problemfälle richtig anzugehen und diese im Geschäftskontext zu bewerten, ist spezifisches Know-how erforderlich. Die Security Professionals müssen sicherheitsrelevante Vorkommnisse erkennen, analysieren und schnell beheben können. Und sie müssen in der Lage sein, gemeinsam mit dem Business sichere und innovative Lösungen entwickeln und umsetzen zu können. Kern-Kompetenz der IT-Abteilung ist dabei die Konfiguration, Implementierung und Wartung der Tools. Die Geschäftsbereiche dagegen steuern das Know-how zu den Anforderungen sowie Prozesse und Daten bei. Dem kompletten Verständnis der Datenflüsse von der Generierung bis zum Ende kommt dabei besondere Bedeutung zu. Nur so können die richtigen Anforderungen definiert und priorisiert werden. Jetzt müssen eigentlich nur noch beide Disziplinen ein besseres gegenseitiges Verständnis entwickeln der Geschäftsbereichsverantwortliche macht sich mit den Sicherheitslösungen vertraut und der IT-Sicherheitsverantwortliche baut wachsendes Verständnis für die betroffenen Geschäftsbereiche auf. Leicht gesagt, aber in vielen Unternehmen ist man davon noch weit entfernt. Viele Unternehmen und dort angestellte Sicherheitsteams gehen die Themen Security und Cyber-Security sehr defensiv an. Firewalls werden immer höher und höher bis sich die Frage stellt, wie weit die Sicherheitsteams gehen können, bevor das Unternehmen komplett lahmgelegt und lieferunfähig wird. Ein reiner Technologieansatz ist nicht länger zielführend, da dies, wie ausgeführt, nicht das Verständnis der Geschäftsbereiche umfasst. Die IT-Abteilung stellt Werkzeuge und Lösungen (Technologien) zur Verfügung und unterstützt deren Anpassung an die Bedürfnisse der Geschäftsbereiche. Die Ein Bewusstseinswandel hin zu Prävention und pro-aktiver Bearbeitung des Themas Sicherheit ist im Gange. Auf den Ernstfall vorbereitet sein, auch wenn er noch so absurd oder in weiter Ferne erscheint ist wichtig Discovery, Response, Recovery heißt die Marschroute.

9 FAZIT Cyber-Security ist keine einmalige, sondern eine Daueraufgabe. Es geht nicht nur um Prävention, sondern auch um die Compliance, um im Ernstfall professionell und zielführend reagieren zu können. Zunächst wird die Überprüfung des Status Quo, ein Sicherheits-Audit, empfohlen. Anschließend sind die Erkenntnisse zu analysieren und umzusetzen. Dabei sind drei wesentliche Sicherheitsfragen zu beachten: Ein neuer Ansatz zu (Cyber-) Security wird benötigt, der von einer gemeinsamen Unit aus Business- Verantwortlichen und IT ausgeht, die Business Security in einem praktikablen, pragmatischen und realistischen Ansatz betreibt. Das Ziel ist keine Utopie der zukünftigen Security- Best-in-Class - Lösung dafür dreht sich die Security-Welt viel zu schnell sondern die Fokussierung auf die richtigen nächsten Schritte einer Business Security-Strategie. DREI KERNFRAGEN ZUR SECURITY Derzeitiger Security- Status in der Firma? Wie können wir sicher sein, dass wir in der Gesamtbreite unserer Unternehmung abgesichert sind, und wir trotzdem keine Einschränkungen im Tagesgeschäft in Kauf nehmen müssen? Gibt es bekannte Sicherheits- Problemfelder? Wie können wir dabei die ganzen, ständig wachsenden regulatorischen und prüfungsrelevanten Anforderungen aufnehmen? Effektivität und Einsatz des internen Sicherheitsteams Wie kann unser Unternehmen weiterhin innovativ agieren und neue Technologien einsetzen, ohne Kompromisse bei Sicherheit und Compliance eingehen zu müssen? Quelle: AlixPartners

10 Andreas Rüter ist Managing Director bei AlixPartners Deutschland und verantwortlich für den Bereich Information Management Services mit Fokus auf technologie-intensive Industrien. Er verfügt über mehr als 20 Jahre Erfahrung als Berater, Investor und Manager in Telekommunikations-, IT-, Hightech- und Internet-Firmen. Er hat viele QuickStrike - Projekte, inklusive Security-Fragestellungen, geleitet, in denen es um ein Assessment der Leistungsfähigkeit, aber auch des Risikogrades von Unternehmen ging. Joachim Winterstein ist Director bei AlixPartners Deutschland im Bereich Information Management Services mit dem Schwerpunkt Telekommunikation, Medien & Internet sowie Private Equity. Er verfügt über profunde Branchenerfahrung als Manager in diesen Industrien und als Berater in großen Business Transformation-Projekten, Unternehmens- und IT-Strategie, Reorganisation & Konsolidierung, IT-Outsourcing und Vertriebsoptimierung. Er begleitete Startups im Telekommunikations- und Social Media-Bereich und ist Mitgründer eines m-commerce Startups. Kontakt: arueter@alixpartners.com oder: Tel. +49 89 20 30 40-08 Kontakt: jwinterstein@alixpartners.com oder: Tel. +49 211 97 55 10 49 AlixPartners steht als global tätiges Beratungsunternehmen für die ergebnisorientierte Unterstützung namhafter Unternehmen in komplexen Restrukturierungs- und Turnaroundsituationen und die Umsetzung anspruchsvoller Ertragssteigerungsprogramme. Branchenexpertise und weitreichende Erfahrung in Geschäftsprozessen in Verbindung mit tiefgreifendem Know-how der finanziellen und operativen Restrukturierung ermöglichen es AlixPartners, auf Herausforderungen in Konzernen, Großunternehmen sowie bei mittelständischen Unternehmen einzugehen. In zahlreichen Fällen haben erfahrene Manager von AlixPartners bei herausfordernden Unternehmenssanierungen interimistisch Führungsfunktionen übernommen. AlixPartners hat 1.000 Mitarbeiter in weltweit siebzehn Büros und ist seit dem Jahr 2003 mit eigenen Büros in Deutschland vertreten. AlixPartners ist im Web zu finden unter www.alixpartners.de

2024 © DocPlayer.org Datenschutzbestimmungen | Nutzungsbedingungen | Feedback