«Das Thema ist in den Geschäftsleitungen angekommen»
Kaum eine Woche vergeht, in der es keine Nachrichten über einen Hacker-Angriff auf ein Schweizer Unternehmen gibt. Die Thematik ist inzwischen allgegenwärtig, was auch IT-Spezialisten des Organisations- und IT-Beratungsunternehmens CSP mit Hauptsitz in St.Gallen und Niederlassungen in Zürich, Basel und Bern merken: Ihre Kunden setzen sich mit dem Problem sehr viel stärker auseinander als noch vor ein, zwei Jahren.
Verständnis und Transparenz haben zugenommen
«Inzwischen ist das Thema auch in den Geschäftsleitungen angekommen», sagt Peter Flütsch, Projektleiter und Berater mit Schwerpunkt Informationssicherheit bei CSP. Heutzutage müssten sie als IT-Berater nicht mehr argumentieren, warum Informationssicherheitsrisiken ein Unternehmensrisiko sind. Das war nicht immer so: «Ich war achteinhalb Jahre lang IT-Sicherheitsbeauftragter. Vor acht Jahren musste man noch darum kämpfen, dass das Thema IT-Sicherheit auf Geschäftsleitungsstufe akzeptiert wird.»
Wirtschaftsinformatiker Thomas Städler stellt fest, dass Geschädigte inzwischen einen anderen Umgang mit Cyber-Attacken hätten: «Es wird mehr kommuniziert als früher, das führt wohl auch dazu, dass man mehr darüber liest.» Insbesondere würden Unternehmen heute zügig gegenüber ihren Stakeholdern für Transparenz sorgen – Kunden und Lieferanten der geschädigten Unternehmen könnten nämlich selbst auch betroffen sein.
Ziel: Angemessene Sicherheit
Das wachsende Bewusstsein impliziert jedoch nicht zwangsläufig auch konsequentes Handeln. «Wenn in der Presse eine bestimmte Schwachstelle thematisiert wird, dann wollen viele ein Pflästerli für genau diese», sagt Peter Flütsch. Er empfiehlt seinen Kunden, das Thema nachhaltig anzugehen. Dies bedeute beispielsweise, dass im Unternehmen die Rolle eines IT-Sicherheitsbeauftragten mit spezifischen Aufgaben und Kompetenzen definiert und besetzt werden müsse. «Diese Risiken müssen regelmässig in der Geschäftsleitung beurteilt werden.»
Die CSP-Fachleute drängen ihre Kunden nicht, alle erdenklichen Schutzmassnahmen zu ergreifen. «Maximale Sicherheit ist weder wirtschaftlich noch benutzerfreundlich», sagt Peter Flütsch, und Thomas Städler ergänzt: «100 Prozent Schutz gibt es nicht, egal welche Massnahmen ergriffen werden.» Ziel sei vielmehr, dass ein Unternehmen Sicherheitsvorkehrungen trifft, die den Bedürfnissen angemessen sind. Dafür müsse sich ein Unternehmen fragen, wie es weiterarbeiten könne, wenn wesentliche Teile seiner IT-Infrastruktur ausfallen – ist der Einkauf gewährleistet, läuft die Produktion noch? «Das Management muss auch wissen, was es finanziell bedeutet, wenn ein Geschäftsprozess einige Stunden oder gar mehrere Tage nicht läuft», sagt Flütsch. Basierend auf diesem potenziellen Ausfall und Schaden lassen sich Kosten für Sicherheitsmassnahmen rechtfertigen.
Mehr als technische Massnahmen
Der Schutzbedarf eines Systems leitet sich unter anderem von der Sensibilität der verarbeiteten Daten ab – bei einem System mit besonders schützenswerten Personendaten, etwa Gesundheitsdaten, sind auch die Schutzmassnahmen und die Aufwendungen höher.
«Wichtig ist, dass in allen Bereichen ein angemessenes Level erreicht wird und das Unternehmen sich nicht nur auf technische Massnahmen verlässt», betont Peter Flütsch. «Sicherheit ist mehr als Firewall und Virenschutz. Auch organisatorische Aspekte, das Risikomanagement sowie die Awareness müssen stimmen.» Die Awareness steht für das geschulte Bewusstsein aller Mitarbeiter, die mit der IT in Berührung kommen – allzu oft ist der Faktor Mensch das schwächste Glied in einer Kette von Sicherheitsmassnahmen. Insbesondere auch das Thema Business Continuity Management (BCM) müsse hoch gewichtet werden. Mit dem BCM werden die Auswirkungen eines Angriffs gezielt eingegrenzt. «Wenn ein Ereignis passiert ist, will man den Geschäftsbetrieb aufrecht erhalten, wichtige Prozesse weiterhin gewährleisten, auch wenn die Informatik ausfällt», erklärt Thomas Städler. Um das zu erreichen, könnte man im Unternehmen Redundanzen aufbauen oder Kooperationen mit anderen Firmen eingehen, um gewisse Prozesse vorübergehend auszulagern, wie Peter Flütsch erläutert.
Zentrale Risikoanalyse
Zentrale Risikoanalyse
Den Kunden zu helfen, Cyber-Risiken richtig einzuschätzen und angemessene und effektive Massnahmen abzuleiten, gehört zu den zentralen Dienstleistungen der CSP. Prävention, Organisation und Prozesse sind weitere Schwerpunkte. Um das Verständnis für Risiken zu fördern, arbeitet Thomas Städler gerne in Szenarien: Was passiert, wenn die IT ausfällt? Wie soll auf einen Datendiebstahl reagiert werden? Wie gross ist das Schadenspotenzial?
Jeder Risikoanalyse müsse ein Management-Entscheid folgen, erklärt Peter Flütsch: «Setzen wir hier eine Massnahme um, die vielleicht etwas kostet und die Benutzerfreundlichkeit einschränkt, oder nehmen wir das Risiko in Kauf?» Wichtig sei, dass dieser Entscheid bewusst und auf der richtigen Ebene gefällt werde. Am Anfang einer Risikoanalyse steht für manche Firmen die Erkenntnis, dass die Haltung «wir sind nicht interessant für Hacker» ein Trugschluss ist. «Wenn man seine Hausaufgaben in der Prävention nicht gemacht hat, wird man automatisch interessant für einen Ransomware-Angriff», ergänzt Flütsch.
Sicherheit muss Priorität haben
Die beiden CSP-Berater stellen oft fest, dass Sicherheitsaspekte beim Start eines neuen Projekts durchaus berücksichtigt würden. Wenn es im Projekt darum gehe, neue Lösungen aufzubauen, dann habe Time to Market einen höheren Stellenwert. «Es kommt deshalb häufig vor, dass für gewisse Analysen, Risikoabwägungen oder für die Realisierung der Sicherheitsmassnahmen nicht mehr ausreichend Zeit bleibt», erläutert Thomas Städler. Darum brauche es Sensibilität nicht nur in der IT, sondern auch in Geschäftsleitung und Projektmanagement.
Im Projektablauf müsse stets ein Informationssicherheits- und Datenschutzkonzept ein fester Bestandteil sein, fordert Peter Flütsch. «Dieses muss von einem IT-Sicherheitsbeauftragten abgenommen werden, bevor das Projekt freigegeben wird.» Beide CSP-Berater betonen mehrfach, dass ein solcher «Mister Security» im Team der Kunden unabdingbar sei. «Es braucht eine gewisse Hartnäckigkeit», ist Flütsch überzeugt.
Verteidigung in der Tiefe
Lange Zeit wurde versucht, IT-Systeme wie eine Burg mit einer hohen Mauer zu schützen. Früher habe man sehr viel in Prävention investiert, meinen die Spezialisten, heute ginge es auch darum, dass man solche Vorfälle überhaupt erkenne. Bei einem erkannten Angriff mit Ransomware muss man diesen analysieren und eindämmen, bevor man wieder zum Normalbetrieb übergehen kann.
Das Zwiebelprinzip beschreibt unterschiedliche technische und organisatorische Massnahmen in verschiedenen Schichten – oder, um im Bild zu bleiben: Innerhalb der Burg gibt es weitere geschützte Bereiche, einen Bergfried quasi. «Defense in Depth» lautet heute ein Security-Grundsatz, Verteidigung in der Tiefe. Dafür werden nicht – oder nicht nur – eine dicke Mauer, sondern zahlreiche Hürden eingebaut. Damit soll verhindert werden, dass von einem infizierten Client auf weitere Systeme, Datenbanken usw. zugegriffen werden kann.
Damit ist es aber nicht getan: IT-Sicherheit ist eine Daueraufgabe. Grundlagen wie die regelmässige Aktualisierung von Softwarekomponenten, die im Internet verfügbar sind, dürfe man nicht vernachlässigen, mahnen die CSP-Spezialisten. Denn heutzutage sei nicht die Frage, ob man von einem Cyber-Angriff betroffen sein wird, sondern wann dies geschieht und wie gut man darauf vorbereitet ist.