Im Zusammenhang mit der digitalen Transformation fallen Begriffe wie „Künstliche Intelligenz“ (KI), „Smart Factory“, „Industrie 4.0“, „selbstlernende Maschinen“, das „Internet der Dinge“ und „Cloud Computing“ immer wieder. Sie stehen für eine kontinuierlich steigende Vernetzung von digitalen Geräten innerhalb der industriellen Fertigung, wodurch die Angriffsfläche für Cyberangriffe maßgeblich erhöht wird. Zudem bringen sie hohe Risiken für die Sicherheit der operativen Technologien (Operational Technology, OT), der verarbeiteten Daten sowie der IT-Konvergenz mit sich. Ein Beispiel: Laut Bundesamt für Sicherheit in der Informationstechnik (BSI) erlitten etwa 70 Prozent aller Unternehmen innerhalb der letzten zwei Jahre mindestens zwei Cyberangriffe mit geschäftsschädigenden Folgen und teils massiven Datenschutzverletzungen. Diese hatten einen vollständigen Ausfall oder zumindest eine massive Störung von Prozessen sowie Produktions- und Betriebsmitteln zur Folge.
Durch die digitale Transformation der Produktion werden neben dem eigenen Unternehmen auch die Lieferketten der Zulieferer, Partner und Kunden digital in das Unternehmensnetz für OT und IT integriert. Diese zusätzliche Verbindung macht das Unternehmen jedoch auch angreifbarer – denn die Angriffsfläche für Attacken aus dem Internet potenziert sich. Ein entscheidendes Kriterium hat sich mittlerweile gewandelt, denn während in den Anfangsjahren der digitalen Transformation vorrangig Privatnutzer beispielsweise mit Phishing-Mails betrogen wurden, geraten heutzutage besonders Mittelständler und international operierende Unternehmen in den Fokus der Hacker. Diese sind auf der Suche nach Infrastrukturen, die genutzt werden können, um Zugang zu kritischen Vermögenswerten zu erhalten.
Prävention als Teil der Lösung
Das Thema Cybersicherheit gehört unter den genannten Vorzeichen ganz oben auf die Agenda. Den meisten Firmen ist klar geworden, dass sie Maßnahmen zur Vorsorge ergreifen müssen und ihr eigenes Risiko dazu evaluieren müssen. Dazu gehört beispielsweise die Schaffung eines digitalen Bewusstseins unter den eigenen Mitarbeitern und die Verbesserung der Sicherheits-maßnahmen der IT-Infrastruktur und der Prozesssteuerung. Insgesamt hängt die Erreichung einer ausgereiften Cyberresilienz von Menschen, Technologien und Prozessen sowie der Fähigkeit zum Monitoring und zur kontinuierlichen Nachverfolgung ab.
Darüber hinaus sollten Unternehmen ihre Cyberversicherungspolice genau kennen. Eine aktuelle Studie des Industriesachversicherers FM Global ergab, dass sieben von zehn leitenden Finanzmanagern der weltweit größten Unternehmen davon überzeugt sind, dass eine Versicherung fast alle möglichen Schäden abdeckt. Oft wird dabei übersehen, dass ein Cyberangriff auch eine teils massive Rufschädigung, einen Umsatzrückgang und/oder den Verlust von Marktanteilen sowie Compliance-Probleme mit sich bringt. Bei Kapitalgesellschaften ist auch eine Schwächung des Aktienkurses denkbar.
Das inhärente Cyberrisiko messbar machen
Unternehmen, die sich vor Angriffen aus dem Internet schützen wollen, sollten einen technischen Ansatz zur Identifikation des Cyberrisikos wählen, um Verluste zu vermeiden. Für die Ermittlung des individuellen Gefährdungspotenzials ist das inhärente Risiko von Bedeutung. Es beschreibt die Risikoanfälligkeit sowohl von Unternehmen als auch von Organisationen aufgrund der Branchen-herkunft, des Hauptsitzes sowie der Existenz von Niederlassungen bzw. Tochterunternehmen im Ausland.
- Branchenherkunft
Wie Angreifer aus dem Internet Unternehmen attackieren, unterscheidet sich von Branche zu Branche. Die Industriezugehörigkeit bezieht sich hauptsächlich auf die Geschäftstätigkeit und die Art, wie dieses Unternehmen Umsatz generiert. Ein weiterer Aspekt, der hier eine Rolle spielt, ist das Erkennen der wichtigsten Unternehmenswerte. Ein Beispiel aus der Praxis ist ein Brausehersteller. Hier sind es im Kern die Rezepte, die für die Getränke relevant sind. Gelangen diese durch einen Cyberangriff in die Hände Unbefugter, ist die Wettbewerbsfähigkeit, das Urheberrecht und die Markenreputation negativ beeinflusst. Es müssen nicht immer Vermögenswerte das Ziel einer Cyberattacke sein: bei kritischen Infrastrukturen (KRITIS) – zu denen auch Energieversorger gehören – legen es Hacker eher darauf an, dass die Energieversorgung ausfällt.
- Hauptsitz des Unternehmens
Diejenigen Unternehmen, deren Muttergesellschaft in einer Industrienation ansässig ist, profitieren von der guten Qualität der digitalen Infrastruktur. Mit ihrer Hilfe können die Verantwortlichen einerseits Innovationen vorantreiben und die Produktivität optimieren, andererseits kann dieses gut entwickelte IT-Umfeld das inhärente Risiko für Cyberattacken erhöhen. Der Hauptsitz eines Unternehmens vereint häufig Management, Finanzen und Wissen unter einem Dach. Dort ist die Marke besonders lebendig, das Unternehmen ist bekannt und am stärksten sichtbar. Aus diesem Grund ist der Hauptsitz eines Unternehmens bei Angriffen aus dem Internet stark betroffen.
In entwickelten Staaten sind außerdem bereits Gesetze zu den Themen Datensicherheit und Cybersecurity entwickelt und etabliert, mit deren Hilfe das Schutzniveau wesentlich gesteigert werden kann. In der gesamten EU wurde beispielsweise im Mai 2018 die Datenschutz-grundverordnung (DSGVO) in Kraft gesetzt, die einen hohen Schutzstandard für personenbezogene Daten festlegt. Es ist wichtig, die unterschiedlichen rechtlichen und regulatorischen Anforderungen in den einzelnen Präsenzländern zu verfolgen und sich gegebenenfalls an Veränderungen anzupassen.
- Niederlassungen und Tochterunternehmen
Gerade Unternehmen mit Sitz in Europa sollten ihr Augenmerk auf ihre Niederlassungen und Tochterunternehmen richten, die außerhalb von Europa tätig sind. Vor allem die DSGVO hat maßgeblich dazu beigetragen, die Datenschutzrichtlinien über die Ländergrenzen hinweg zu vereinheitlichen, außerdem drohen bei Verstößen strikte Bußgeldzahlungen und Haftungsfragen. Dennoch ist es unmöglich, ein solches Sicherheitsniveau überall zu etablieren, sodass die Umsetzung von Gesetzen und Richtlinien zum Datenschutz dauerhaft überprüft und verfolgt werden muss. Außerdem werden manche Sicherheitsaspekte im Ausland weniger stark beachtet.
Doch auch andere Faktoren können einen wesentlichen Einfluss haben und dazu führen, dass Cyberpraktiken und -gesetze nicht implementiert werden. Zu nennen wären hier finanzielle Gründe, fehlende politische Stabilität, die Gefahr von Terrorismus und Unruhen sowie das Bestehen von sogenannten „Hacking Cultures“, die die Unzufriedenheit mit einer Situation auf das Internet projizieren.
Die zweifellos wichtigste Erkenntnis ist und bleibt, dass technische Innovationen wie die digitale Transformation sowie die Anwendung von Künstlicher Intelligenz die Angriffsfläche für einen Angriff durch Cyberkriminelle ausdehnen. Vor allem produzierende Unternehmen, die viele Sensoren bei der Herstellung einsetzen, sind von einem höheren Risiko betroffen. Bei der Entwicklung einer solchen Lösung wird der Sicherheitsaspekt allerdings häufig außen vorgelassen oder zu wenig beachtet. Denn selbst das kleinste Datenleck einer Maschinensteuerung kann einem Cyberangriff Tür und Tor öffnen und potenziell dazu beitragen, dass das Unternehmen für längere Zeit lahmgelegt wird.
Wurde anhand der durchgeführten Analysen und Untersuchungen festgestellt, dass ein Unterneh-men gefährdet ist, muss ein Abwehrkonzept vorliegen, das sämtliche Unternehmensbereiche miteinschließt. Früher oder später sollte sich jedes Unternehmen Gedanken um ihre OT und IT-Datensicherheit machen sowie ein ganzheitliches Maßnahmenpaket beim Eintritt eines Cyberangriffes auf den Weg bringen, um die negativen Folgen zu verringern.
Existiert eine Risikoklassengesellschaft?
Es gibt keinerlei Modus Operandi, um das inhärente Cyberrisiko eines Unternehmens zu bewerten. Es basiert immer auf den ganz individuellen Daten und Fakten eines Unternehmens, die helfen, ein Sicherheitspaket zu schnüren, um es optimal vor Angriffen zu schützen. Dennoch geben die oben ausgeführten Punkte klare Hinweise darauf, ob nun ein geringes, ein mittleres oder ein hohes Risiko für ein Unternehmen vorliegt.
FM Global setzt zum Schutz vor Cyberrisiken auf ingenieur- und forschungsbasierte Ansätze, um das inhärente Risiko zu definieren. Das Motto „Resilience is a Choice“ gilt auch hier, weswegen die Prinzipien der Schadensverhütung bzw. der Prävention aktiv eingesetzt werden, um Probleme zu vermeiden oder die negativen Auswirkungen beispielsweise einer Hacking-Attacke zu minimieren. Dies ist notwendig, um Bedrohungen aus dem Internet zu erkennen und angemessen zu bewerten.
Autor: Tiago Dias, Assistant Vice President und Cyber Risk Consultant for Europe, Middle East and Africa bei FM Global.