•  

Die Unternehmenslenker müssen sich der Cyber-Herausforderung stellen

Paul Taylor, Partner und UK Head of Cyber Security bei der KPMG

Die heutige Wirtschaftswelt ist voll von Unternehmen, die neue Technologien entwickeln und einführen, um ihre Konkurrenten mit Innovationen zu übertreffen. Die Unternehmen versuchen, ihre Effizienz und Produktivität zu steigern, indem sie ihre Infrastruktur erneuern, ihr Geschäft zunehmend digitalisieren und Automatisierungslösungen integrieren. Technologische Fortschritte eröffnen heute eine Fülle von Möglichkeiten – von Verbesserungen bei der Geschwindigkeit und Genauigkeit medizinischer Diagnosen bis hin zur Entwicklung selbstfahrender Fahrzeuge mit automatisierten Steuerungssystemen, die selbstständig die besten Fahrrouten ermitteln. Und Eisenbahnnetze implementieren sogar Systeme für Führerstandssignalisierung und Verkehrsmanagement [1], um die Züge effizienter zu machen.

Allerdings kann der Wettlauf mit der Konkurrenz mitunter dazu führen, dass andere Prioritäten – wie beispielsweise die Cybersicherheit – ins Hintertreffen geraten. So können Schwachstellen entstehen, die gravierende Folgen haben, häufig finanzieller Natur. Entwicklungen wie das Internet der Dinge, die die Grenze zwischen Geräten und Systemen verschwimmen lassen, verschlimmern das Problem noch, weil sie im Endeffekt die Angriffsfläche von Unternehmen vergrößern.

Solche Schwachstellen sind Einfallstore für die wachsende Zahl opportunistischer und gewiefter Cyberkrimineller, die viel Zeit und Energie in neue Technologien investieren und damit ein gewaltiges Risiko schaffen, dem Unternehmen begegnen müssen. Man muss sich nur vorstellen, wie verheerend ein Hackerangriff sein könnte, bei dem Eisenbahn-signale gestört oder die Fahrwege autonomer Kraftfahrzeuge geändert werden, oder sich die enormen finanziellen Folgen für Unternehmen bewusst machen, um sofort zu verstehen, wozu mangelnde Rücksicht auf die Cybersicherheit führen kann.

Unternehmen arbeiten bei der Umsetzung von Innovationen so schnell, dass die Cyber-sicherheit häufig zu spät in die Gleichung einbezogen wird – die Folge sind Imageschäden wie auch finanzielle Verluste. Über Auswirkungen mangelnder Cyberresilienz ist schon viel berichtet worden. Bei dem Angriff auf Sony, der vor einigen Jahren Schlagzeilen machte, konnten Kriminelle eine Zero-Day-Lücke ausnutzen und auf diese Weise das Firmennetz lahmlegen sowie hochsensible Unternehmensinformationen veröffentlichen. Fiat Chrysler musste 2015 einen Rückruf für 1,4 Millionen Autos starten, nachdem entdeckt worden war, dass das Entertainment-System der Wagen gehackt werden konnte. Und seither hat sich das Problem keineswegs vermindert. So wurde im vergangenen Jahr das britische Eisenbahnnetz mindestens vier Mal von Hackern angegriffen, was einmal mehr zeigte, wozu Cyberkriminelle potenziell in der Lage sind – etwa dazu, Zügen mittels Software falsche Standortinformationen zu übermitteln oder sie anzuweisen, zu beschleunigen, statt zu bremsen. Zudem ist es Hackern auf der diesjährigen DEF CON gelungen, Schwach-stellen in fünf verschiedenen Arten von Wahlmaschinen auszunutzen, und zur Entdeckung der ersten Anfälligkeit brauchten sie gerade mal eineinhalb Stunden. 

Das Problem war bisher, dass die Cybersicherheit als Routineangelegenheit betrachtet wurde oder einfach als Sache der IT-Abteilung. Doch heute ist es wichtiger denn je, Cyberbedrohungen als das zu sehen, was sie wirklich sind – ein Geschäftsrisiko und integraler Bestandteil des Risikokatalog eines Unternehmens. (ISC)², der weltweit größte Verband für Fachkräfte in der Informationssicherheit, hat vor kurzem ein Whitepaper mit dem Titel „What Every Business Leader Should Know About Cyber Risk“ veröffentlicht, in dem aufgezeigt wird, dass Unternehmen die Cybersicherheit in ihre umfassendere Geschäftsplanung eingliedern müssen. Sie müssen zusehen, dass Projekte gestoppt werden, bei denen die Cyberrisiken vernachlässigt wurden, müssen bei allen neuen IT-bezogenen Projekten Cyberrisiko-Einschätzungen verbindlich machen und zudem eine Kultur fördern, die darauf abzielt, Sicherheit von Grund auf in die Entwicklung zu integrieren. Dafür zu sorgen, dass der CISO maßgeblich an der Risikoeinschätzung beteiligt wird, ist ebenfalls ein wichtiger Schritt, um das Unternehmen sicherer zu machen. Und schließlich sollten alle Abläufe, die verändert oder integriert werden, priorisiert und auf Cyberschwachstellen geprüft werden.

Die Einführung und Entwicklung neuer Technologien wird sich voraussichtlich noch beschleunigen und die Unternehmen und die Wirtschaft weiter verändern. Unternehmen müssen daher unbedingt dafür sorgen, dass alle potenziellen Schwachstellen, die infolge dieser großen Veränderungen auftreten, erstens beachtet und zweitens beseitigt werden, um die Cyberangriffe zu bewältigen, die heute praktisch unvermeidlich sind. Der beste Weg zur Eindämmung der Risiken besteht darin, für eine offene Kommunikation zwischen den verschiedenen Tätigkeitsbereichen zu sorgen, einschließlich des Finanzteams, damit alle Beteiligten gemeinsam auf größtmögliche Sicherheit hinwirken können, während sie Innovationen vorantreiben.

Alles in allem liegt die Verantwortung für die Cyberrisiken nicht nur bei den Cybersicherheitsexperten – sie liegt genauso bei den Unternehmenslenkern.

Autor: Paul Taylor, Partner und UK Head of Cyber Security bei der KPMG

Opens external link in new window[1]

Autor: Paul Taylor

Diesen Artikel empfehlen