ÐндÑей ЯланÑкий -
Risikomanagement: Die Herausforderungen für den Mittelstand
Welche Bedeutung einzelne Cyberrisiken für das eigene Unternehmen haben, gilt es zu klären. Das ist mit Herausforderungen verbunden. Die wichtigsten fünf sind hier zusammengefasst.
Im Mai 2022 verkündeten CEOs aus aller Welt auf dem Weltwirtschaftsforum in Davos den Cyber Resilience Pledge, eine Allianz aus der Cybersicherheits- und der Energiewirtschaft, um die wachsenden Cyberrisiken vor allem in der Energiewirtschaft einzudämmen.
Diese Initiative unterstreicht die Bedeutung, die das Thema Cyberrisiko-Management inzwischen in den Führungsebenen vieler Unternehmen einnimmt. Bei vielen deutschen Mittelständlern war es konkreter das Thema Ransomware, dass Cyberrisiken und deren Management zur Chefsache werden ließen.
Vielfach stellt das Management dieser Cyberrisiken Unternehmen vor eine Reihe von Herausforderungen. Die wichtigsten fünf werden im folgenden Beitrag beleuchtet und aufgezeigt, welche Wege die Verantwortlichen vor Ort beschreiten müssen, um ihnen zu begegnen.
Grundsätzlich bedeutet, Cyberrisiken zu managen, sich vor allem auf zwei Aspekte zu konzentrieren, erstens sich kontinuierlich die Bedeutung für das eigene Unternehmen bewusst zu machen – dafür ist es notwendig, zunächst Transparenz zu schaffen, also einen Überblick zu verschaffen und diesen zu behalten, zweites ist es wichtig, Fähigkeiten zu entwickeln, die sowohl Cyberrisiken präventiv reduzieren als auch Vorkehrungen zur Behebung und Eindämmung von Cybervorfällen zu treffen. Dies lässt sich zu dem Dreiklang aus Transparenz, Kontext und Umsetzungsfähigkeit zusammenfassen, der kontinuierlich an sich verändernde Bedrohungen anpasst.
Spannungsfeld Legacy IT & Digitalisierung
Die strategische Planung der Digitalisierung, die Adaption neuer Technologien wie 5G, Cloud oder künstlicher Intelligenz steht schon länger auf der Agenda in den Chefetagen deutscher Mittelständler, trotzdem hat sich an der grundsätzlichen Herausforderung, wann und in welchem Umfang beziehungsweise wie die Digitalisierung im Kontext des Unternehmens geplant wird, nichts geändert.
Die Fragestellung, welche Legacy-IT-Systeme weiter betrieben werden sollen, ist mindestens genau so sehr eine technisches wie eine betriebswirtschaftliche Betrachtung.
Entscheidungen sind leicht, wenn ein klares Wertegerüst zur Verfügung steht und belastbare Daten die Auswirkungen von Entscheidungen systematisch zur Verfügung stellen. Leider ist das gerade im Spannungsfeld von Legacy IT-Systemen und neuen innovativen digitalisierten Services gerade oft nicht der Fall.
Bei einer Betrachtung des Spannungsfelds aus dem Blickwinkel der Legacy IT muss man klar feststellen, dass die Grundvoraussetzung für eine gute Entscheidungsgrundlage Transparenz über die eigenen Systeme und deren Verwendung im Unternehmen ist. Leider ist dem oft nicht so.
Das stellt sich insbesondere im Mittelstand zum Teil als herausfordernd dar, denn die hohe Heterogenität der IT-Landschaft aus Legacy IT-Systemen mit zum Teil 15 plus Jahre alten Systemen, einem geringen Dokumentationsgrad und kombiniert mit dem Ansatz – „Never change a running System“ führt fast zwingend zu Leichen im Keller, bei denen keiner mehr so genau weiß, wofür man das eigentlich braucht. Entsprechend sind wachsende Cyberrisiken, die man aus Zeit und Ressourcen Mangel oft ignoriert, bis es zu spät sind die Folge.
Andererseits kommt hinzu, dass Unternehmen sich der Digitalisierung stellen wollen und zum Teil sich das sperrige Thema Digitalisierung etwas zu leicht machen.
Als „Schöne neue Welt“ könnte man den Ansatz bezeichnen, bei dem bisweilen in Unternehmen versucht wird, der Komplexität der bestehenden IT-Systeme Herr zu werden, indem neue Systeme eingeführt werden. Dieser Ansatz ist jedoch häufig nicht erfolgreich, wenn Unternehmen nicht vorher einen gründlichen Überblick geschaffen haben, was sie eigentlich brauchen beziehungsweise was Sie aktuell nutzen.
Dabei ist die Vorbereitung entscheidend, die grundsätzliche Fragestellung nach Transparenz – was habe ich eigentlich, was brauche ich, was werde ich brauchen und wie wirkt sich das auf mein Cyberrisiko wird nur unzureichend beantwortet, – oft stellt man ein gewisses Bias fest, dass jeder gerne sofort neue Systeme Nutzen möchte, die Frage nach dem Warum und der Auswirkung auf das Unternehmen wird aber oft nur partiell und unzureichend beantwortet.
Neue Systeme steigern daher oft noch den Komplexitätsgrad, erfordern Aufmerksamkeit und Ressourcen in der IT und schaffen teilweise neue Cyberrisiken, die wiederum betrachtet werden sollten, Stichwort „Third-Party Application Security Risks“ – bei denen wiederum Unternehmen vor der Herausforderung stehen, die Frage zu beantworten, was bedeutet das jetzt für mein Unternehmen und meine IT-Sicherheit. Die Digitalisierungsgewinne werden so teilweise aufgefressen durch fehlende Vorarbeit, neue komplexe Abhängigkeiten und mangelnde Fähigkeiten im Unternehmen Risiken richtig einzuschätzen.
Auflösen lässt sich dieser Konflikt nur mit einer gründlichen und regelmäßigen Bestandsaufnahme eines integrierten Cyberrisiko Management Systems, dessen Ergebnisse das Top-Management nutzt, um klare Ziele zu formulieren, die ein gemeinsames Verständnis in der Organisation erwirken und dadurch ein entsprechendes Cyberrisiko orientiertes Vorgehen erwirkt. Und gerade, weil die Zeit oft drängt, muss die Organisation hier so fähig werden, dass diese Prozesse schnell durchlaufen werden können.
Digitalisierte Wertschöpfungskette – Cyber Security als Leitplanken der Digitalisierung
Bei vielen Unternehmen werden inzwischen nicht nur Teilbereiche, sondern die gesamte Wertschöpfungskette zunehmend digitalisiert. Zumeist wird IT-Security implizit erwartet, aber oft nicht von Anfang an mitgedacht, beziehungsweisegeplant. Security-by-Design-Konzepte fehlen bei vielen digitalen Geschäftsstrategien, die zwar innovativ sind, jedoch den Unternehmen größeren Risiken aussetzt als zuvor.
Dabei kommt erschwerend hinzu, dass die IT oftmals nicht mit einer unternehmensweit abgestimmten Strategie als Treiber einer digitalisierten Wertschöpfungskette gestaltet, sondern einfach als Service angesehen wird und so wird die IT-Security als Teil der IT vor enorme Herausforderungen gestellt. Den Verantwortlichen fehlen vielfach Zeit und Unterstützung durch die Fachabteilungen, um neue Strategien zu entwerfen oder die erdachten Konzepte umzusetzen – oder sie werden zu spät in die Planungs- und Auswahlprozesse integriert.
Ein Beispiel aus einem produzierenden Unternehmen zeigt die Problematik auf. Bei Fertigungsunternehmen liegt historisch gesehen die „Macht“ und der „Einfluss“ auf die Ausrichtung der Unternehmensstrategie in der Produktion. Dieser Umstand wandelt sich nun weg von der Produktion hin zur IT, weil die IT nun ein stärkerer Teil der Wertschöpfungskette wird und den anderen Abteilungen nicht nur aushelfen kann, sondern sie dazu befähigt, sogar neue Geschäftsmodelle zu adaptieren oder sogar zu kreieren.
Der Katalysator der Digitalisierung ist die IT-Abteilung, die muss aber auch in die wertschöpfenden Prozesse Einblick bekommen, um überhaupt in der Lage zu sein, diese abzusichern. Aus Managementsicht sollte diese Herausforderung durch ein proaktives Management der Kommunikation zwischen Fachabteilung und IT unterstützt werden, um die Entwicklung von zielorientierten Lösungen, die auch die Cybersicherheit im Blick haben, zu unterstützen.
Fachkräftemangel
Eine Herausforderung, vor der alle Unternehmen gleichermaßen stehen, ist der Fachkräftemangel. Besonders in der Informations- und IT-Sicherheit ist er besonders groß und Fachleute darüber hinaus in größerer Anzahl für viele mittelständischen Unternehmen auch nicht zu bezahlen. Laut der alle zwei Jahre durchgeführten Cybersecurity Workforce Study der (ISC)2 fehlen weltweit nach wie vor 2,72 Million Fachkräfte. Und dies obwohl bereits mehr als 4 Millionen Arbeitskräfte in diesem Feld arbeiten.
Besonders für Mittelständler ist die Konkurrenzsituation groß, die Anzahl der Universitäten mit entsprechenden Studiengängen nimmt zwar zu, die Komplexität des Berufs mit seinen zahlreichen Tätigkeitsfeldern und Spezialisierungen jedoch ebenfalls.
Gleichzeitig darf nicht der Fehler gemacht werden, das Thema Cyber Security an 1-2 Spezialisten im Haus abzuschieben, das ist weder umsetzbar noch sinnvoll, vielmehr ist auch hier der Ansatz sinnvoll die Organisation einerseits im Cyber-Security-Bereich zu befähigen und andererseits die Cyber-Security-Spezialisten als Dreh und Angelpunkt für die Zusammenarbeit mit Partnern aus dem Security-Bereich aufzubauen. Es ist klar zu empfehlen, dass das Management neben der Entwicklung von eigenen Fähigkeiten in der Cyber Security auch eine Partnerstrategie für Cybersicherheit entwickelt.
Cyberbedrohungen
Trotz der Zerschlagung der Infrastruktur hinter der wohl erfolgreichsten und dadurch gefährlichsten Ransomware Emotet im Januar 2021, nehmen die Cyberangriffe mit dieser Schadsoftware zu. Das BSI hat in seinem Lagebild zur IT-Sicherheit in Deutschland 2021 einen Anstieg bei sogenannten Ransomware Daten-Leak-Seiten um 360 Prozent festgestellt. Gleichzeitig sehen wir eine Zunahme der Höhe von Cyberschäden um 70 Prozent von letztem auf dieses Jahr.
Vielfach werden Unternehmen inzwischen nicht nur über Phishing und ähnliche Social-Engineering-Methoden mit Ransomware infiziert, sondern die Daten auch noch auf speziellen Leak-Seiten veröffentlicht und von den Cyberkriminellen mit der weiteren Infektion von Zulieferern oder Kunden gedroht. Es lässt sich davon sehr stark auszugehen, dass die davon abgeleiteten Cyberrisiken dadurch in naher Zukunft eher noch an Bedeutung gewinnen werden und die Cyberbedrohungen immer noch deutlich unterschätzt werden. Dass die Angriffe auf das eigene Unternehmen erfolgen werden, gilt als sicher.
Sich entsprechend proaktiv auf Angriffe vorzubereiten, sollte inzwischen bei jedem Unternehmen auf der Agenda stehen, denn diese sind nicht vermeidbar, wohl aber sind die Auswirkungen sehr unterschiedlich, je nachdem, wie man sich vorbereitet hat. Das Management sollte es daher als essenziellen Teil der Sorgfaltspflicht für das Unternehmen verstehen, die Vorbereitung auf entsprechende Vorfälle sicherzustellen.
Risikoorientierte IT-Sicherheit
Für das Management stellt die Umsetzung einer risikoorientierten Strategie zunächst die Herausforderung dar, dass diese erfordert, dass man seine Risiken und deren Implikationen auch versteht.
Risikoorientierte IT-Sicherheit meint sowohl quantifizierbare Aspekte – sprich die monetären Auswirkungen von Cyberrisiken - und die Qualifizierbarkeit von Cyberrisiken – sprich, wie gut kenne ich zum Beispiel meine Assets als Grundlage für Entscheidungen zu nutzen. Quantifizierbare Analysen sind nötig, um die Folgenabschätzung, also die Kosten eines Sicherheitsvorfalls besser kalkulieren zu können. Qualitative Analysen bewerten hingegen, wie gut bestimmte Absicherungsmechaniken im Unternehmen bereits umgesetzt werden, helfen aber auch dabei gegebenenfalls auftretende Überlappungen von Security-Maßnahmen zu identifizieren und Lücken in der Absicherung aufzuzeigen.
„Die IT-Sicherheit eines Unternehmens sollte risikoorientiert aufgestellt sein und sich regelmäßig neu an den verändernden Cyberrisiken ausrichten.“
Thaddäus Schwab, Dyrisk
Prozessual sollten die Maßnahmen immer vom Thema Asset Management ausgehen – man kann nur schützen, was man kennt – und daher sollte ein Überblick über alle im Unternehmen eingesetzten Geräte, Anwendungen und deren Einsatzfunktion der erste Schritt sein. Konsequenter Weise schließt sich ein Schwachstellen Management, welches Lücken in der Absicherung identifiziert zum Beispiel durch veraltete Patch-Stände an das Asset Management an und wird durch eine Bewertung der auf die Assets wirkenden Bedrohungen ergänzt.
Durch diese konsequente Analyse der Risiken wird eine Priorisierung der nächsten Schritte ermöglicht, zum Beispiel welche Schwachstellen bei der Behebung zu priorisieren sind.
Die IT-Sicherheit eines Unternehmens sollte risikoorientiert aufgestellt sein und sich regelmäßig neu an den verändernden Cyberrisiken ausrichten, weil sich dadurch einerseits die Resilienz in Unternehmen schneller, effizienter und risikoorientierter entwickeln lässt und andererseits, weil eine 100 Prozent Absicherung schlicht für die meisten Unternehmen unmöglich ist. Gleichzeitig schafft ein proaktives Cyberrisiko-Management für viele Unternehmen inzwischen die Grundlage überhaupt noch Cyberversicherbar zu werden oder bleiben und somit Restrisiken abzusichern.
Verfügbarkeit, Integrität und Vertraulichkeit
Letztlich steht und fällt jedes Risikomanagement im Cybersicherheits-Bereich mit der Fähigkeit eines Unternehmens für die Verfügbarkeit von Anwendungen und Systemen, die Integrität dieser Systeme und der dort verarbeiteten Daten sowie deren Vertraulichkeit zu sorgen. Dabei sollte immer ein differenzierter Ansatz entsprechend der Wertigkeit der Assets im Unternehmen gewählt werden um, die Risiken strukturiert und systematisch zu managen.
Ausblick
Die Verantwortlichen sollten bei einer Analyse der Cyberrisiken eines mittelständischen Unternehmens die oben aufgeführten fünf Punkte sorgsam beachten. Sie sind bei der Absicherung jedoch nur ein erster Schritt und es empfiehlt sich externe Unterstützung auch bei diesem Thema zu holen, die einer dem Cyberrisikoprofil entsprechenden Partnerstrategie entspricht, damit sie im Falle eines schweren Angriffs nicht allein dastehen und ihre Resilienz stärken.
Über den Autor:
Thaddäus Schwab ist Head of Customer Support bei der Dyrisk GmbH. Dyrisk unterstützt mittelständische Unternehmen bei der Analyse ihrer qualitativen und quantitativen Cyberrisiken sowie bei der Implementierung der tatsächlich für sie relevanten IT-Sicherheitslösungen. Dyrisk ist eine Tochtergesellschaft von Munich Re.
Die Autoren sind für den Inhalt und die Richtigkeit ihrer Beiträge selbst verantwortlich. Die dargelegten Meinungen geben die Ansichten der Autoren wieder.