Vorstandsthema Cyber Crime?

Die Beute an Daten, die Cyberkriminelle nach ihren Raubzügen durch Rechner und Netze von Unternehmen und privaten Internetnutzern zu Geld machen, geht in die Milliarden. Allein der deutschen Wirtschaft entstand so 2012 laut einer Studie von Corporate Trust ein Schaden von 4,2 Milliarden Euro.

Von Thomas van Zütphen

Auf 25 Milliarden Dollar taxieren zurückhaltende Schätzungen des Center for Strategic and International Studies (CSIS) in Washington den Schaden, den Hacker im gleichen Jahr in der US-Industrie verursachten. Durch Bot-Netze, Rootkits und Spyware zum Beispiel, angesetzt auf IT-Architekturen, Schnittstellen, Betriebssysteme – oder simpelste, alltägliche Anwendungen.

Wargaming im Simulationstraining

Die Drohung an den CEO kam via YouTube – mehr Aufmerksamkeit in weniger Zeit geht nicht. Binnen Sekunden erfuhr die halbe Welt, mit welchem Problem das Hacker-Kollektiv Anonymous den Pharmariesen konfrontierte, und konnte fortan verfolgen, wie wirkungslos über Stunden hinweg die Schadensbegrenzung ausfiel. Der eigene Webauftritt lahmgelegt, das Firmen-VPN blockiert, und für einen halbstündigen, grotesk hohen Datenabfluss fand der Systemadministrator absolut keine Erklärung. Währenddessen stürzt die Konzernaktie an der Börse so weit ab, dass ihr Handel wenig später ausgesetzt wird. Nachrichtensender weltweit berichten vom Cyberangriff auf den Marktführer seiner Branche, und auf Facebook schießen die Spekulationen der internationalen Kunden und Shareholder in die Höhe.

„Szenarien in dieser Ballung mit Angriffen im Minutentakt scheinen völlig unrealistisch und übertrieben dramatisch, sind bis auf kleine Unstimmigkeiten in den internen Handlungsmustern von der wahren Bedrohungslage der Unternehmen aber gar nicht weit entfernt“, sagt Dr. Hermann Kruse. Gerade haben der CIO der Deutschen Bahn und Konzern-CEO Dr. Rüdiger Grube dem kompletten Vorstand des Unternehmens eine Realtime-Cyber-Security-Incident-Simulation präsentieren lassen. Auf 90 Minuten komprimiert ein Team um den T-Systems Executive Consultant Knut Schönfelder dafür „einen interaktiven Handlungsplot als Herzstück eines Simulationstrainings, das unsere Kunden für die Anfälligkeit ihrer IT-Infrastrukturen sensibilisieren soll“.

Monatelang wurde der Tag X vorbereitet, immer mit CIO und Chief Security Officer der Bahn im engen Dialog über branchenspezifische und unternehmensindividuelle Schwachstellen. Das Ergebnis des Assessments, erklärt Knut Schönfelder, „führt auf Basis einer validen Gefährdungsanalyse zu einem Wargaming, mit dem wir testen, wie die bestehenden Abwehrstrukturen eines Unternehmens reagieren“. Dabei konfrontieren multimediale Spielsituation die Executives mit realistischen Angriffen, die auf reale Schwachstellen des Unternehmens zielen. 30 Führungskräfte hat Rüdiger Grube an diesem Tag für fünf Stunden geblockt, weil „Cyber Security ein Thema ist, mit dem wir uns ganz bewusst und strategisch auf Vorstandsebene beschäftigen und es nicht dem Systemadministrator überlassen“.

Strategisches Risikomanagement

Wenn Cyberaktivisten die Fahrkartenbuchung der Bahn lahmlegen, Hacker einen Wurm einschleusen, der sich in wenigen Stunden über das Global Network der Bahn-Tochter Schenker ausbreitet oder Kriminelle die Ticketautomaten, Weichen und Signalanlagen manipulieren – dann zielen die Angriffe auf das Kerngeschäft der Bahn. Wie beim größten Schienennetzbetreiber Europas ist das Core-Business von 40 Prozent aller deutschen Unternehmen einer Studie des Branchenverbands BITKOM zufolge vom Internet abhängig. „Für CIOs und ihre IT Security Officer kommt es darauf an, frühzeitig zu erkennen, wie sie sich auf Angriffe vorbereiten können“, sagt Prof. Dr. Marco Gercke, Leiter des Cybercrime Research Institute an der Universität Köln.

Defense-Strategie breit anlegen

Neben dem Surfen auf unsicheren Seiten ist das von Hackern weltweit genutzte und für Unternehmen größte Einfallstor für Schadsoftware das PDF. Sei es die Kundenbefragung des Marketings, das Stellenangebot der HR oder die Projektausschreibung durch den Einkauf – das Portable Document Format ist allerorten hoch willkommen. Doch wie sollen IT-Chefs und Sicherheitsbeauftragte umgehen mit Formatierungen, die aus der Internetkommunikation nicht wegzudenken sind? Was nutzt der beste Virenschutz, wenn 80 Prozent der Attacken daran vorbeigehen und die Forderung nach Identitätsnachweisen und Verschlüsselungstechnologien 90 Prozent der Kommunikation mit Kunden und Zulieferern zum Erliegen brächte? Welches Sicherheitsprodukt schützt am besten? – „Fragen, die sich im ersten Momentgar nicht stellen“, meint Michael Bartsch, Vertrieb

Sichere Mobile Kommunikation bei T-Systems.

„Denn die Bandbreite der Angriffe, die Vernetzung von Systemen und deren Interaktion sowie die Professionalität der Angreifer machen es nahezu unmöglich, lediglich einzelne Schwachstellen zu identifizieren und isoliert zu beseitigen.“ Vielmehr stehen Unternehmen vor der Aufgabe, vorhandene Prozesse und Mechanismen in ein unternehmensweites Cybersicherheitsmanagement einzubetten. Und ihre IT-Provider vor der Aufga

Fotolia 2014

Fotolia 2014

be, diesen Transformationsprozess entlang der ganzen Wertschöpfungskette von Ende-zu-Ende zu begleiten.

Vorbeugen, erkennen, reagieren

Ein größtmöglicher Schutz basiert auf Prevention, Detection, Reaction – egal, ob die Angriffe generisch oder unternehmensspezifisch sind oder sich gezielt gegen bestimmte Unternehmensressourcen richten. Zur Vorbeugung, so der Experte, brauchen Unternehmen „den Aufbau einer grundlegenden Struktur, auf der die Einzelmaßnahmen aufsetzen, und eine Strategie, um das Risiko tatsächlicher und möglicher Schäden zu managen“. Voraussetzung für ein Sicherheitskonzept ist eine realistische Gefährdungsanalyse, die im Zuge von Sicherheitstests die Schwachstellen (Entry Points) von Strukturen, Geschäftsrisiken und Kommunikationswegen offenlegt und Mitarbeitern verbindliche Verhaltens- und Handlungsanweisungen an die Hand gibt. Basisbausteine sind regelmäßige Awareness-Trainings, wie sie die T-Systems-Tochter IT-Services Hungary als „Security Parcours“ entwickelt hat.

Um überhaupt festzustellen, dass man angegriffen wurde, setzt die DekaBank auf die Früherkennung von Attacken durch ein managed Security Information & Event Management (mSIEM), das mittels mittels Echtzeitforensik, künstlicher Intelligenz und modernster Data-Mining-Techniken sämtliche Log-Daten aller sicherheitsrelevanten Kundensysteme strukturiert und korreliert und rechtzeitig etwa Trojaner erkennt.

Zur effektiven Reaktion gegen Cyberattacken setzen T-Systems-Kunden neben gemanagten Security-Lösungen auf den Cyber-Defense-Informationsdienst der Telekom-Tochter. Dessen Computer Emergency Response Team (CERT) übernimmt im Angriffsfall auf einen Kunden die Kontrolle, koordiniert die Gegenmaßnahmen und wehrt Attacken ab. Dass die hochqualifizierte Eingreiftruppe der Security Incident Handler von den Angreifern ihrer Kunden überrumpelt wird, ist dabei nahezu ausgeschlossen. Mit Honeypot-Systemen simulieren die Spezialisten Angriffsziele im Netz und schaffen somit ein eigenes Frühwarnsystem für den gesamten Telekom-Konzern. Die Software täuscht Schwachstellen in IT-Anwendungen vor und lockt so Angreifer an. Tatsächlich lenkt sie diese von ihrem eigentlichen Ziel ab oder leitet sie in speziell konstruierte Bereiche ohne Funktion weiter, wo sie keine Schäden anrichten können.

Dieser Beitrag ist in der Publikation Best Practice (3-2013) erschienen

>>Hier geht’s zur iPad-Ausgabe

Weiterführende Links:

www.bahn.de
www.t-systems.de/infrastructure-security
www.t-systems.de/bestpractice/report-cert

 

Whitepaper „Digital Marketing“: Gemeinsame Agenda von CMO und CIO. >>Jetzt downloaden