Januar 2019

Sieben von zehn Industrieunternehmen in Deutschland sind bereits Opfer digitaler Wirtschaftsspionage, Sabotage oder Datendiebstahl geworden. Dabei ist besonders der Mittelstand im Fokus der Angreifer. Laut einer Studie der Bitkom waren drei von vier Unternehmen in der Größe von 100 bis unter 500 Mitarbeitern von Cyber-Kriminalität betroffen. Marina Döhling, die für die cat out gmbh als Managing Consultant zum Thema Cyber- und Datensicherheit tätig ist, klärt in ihrem Gastbeitrag auf, warum insbesondere eine intensive Digitalisierung und progressive Entwicklung des Unternehmens ohne Investitionen in Cyber Security nicht erfolgreich sein kann.

Es gibt einiges zu holen und die Schäden sind enorm: Eine Studie des Ponemon Institute aus den USA ergab, dass Unternehmen durch Cyber-Attacken Schäden in Höhe von durchschnittlich 6,1 Millionen Euro erleiden. Die Spannbreite reichte dabei von 425 Tausend Euro bis zu 20,2 Millionen pro Jahr – Phishing, Social Engineering und Web-Attacken waren für mehr als 35 Prozent der Kosten verantwortlich.Cyber-Security ist also ein wirtschaftlich bedeutsames und unternehmensübergreifendes Thema. Eine hundertprozentige Sicherheit ist nicht realisierbar, aber Unternehmen sollten eine bestmögliche Absicherung anstreben. Die „Angreifer“ von innen oder außen sind sehr erfinderisch, technisch sehr gut ausgerüstet und organisiert. Emails und Apps werden beispielsweise werden mittlerweile so exzellent gefälscht, dass selbst Security-Experten sehr genau hinsehen müssen, um diese Fälschungen zu erkennen.

Sensibilisierung der Mitarbeiter
Einfach wegschauen – „uns passiert schon nichts“ – oder „wird schon nicht so schlimm“ – ist definitiv nicht die Lösung. Die Annahme „wir sind nicht interessant genug“, erweist sich häufig genug als Fehleinschätzung. Zu schweigen, weil es vermeintlich „peinlich“ ist darüber zu sprechen, z.B. dass im Unternehmen ein CEO-Fraud erfolgreich war, in dem ein Mitarbeitern eine Zahlung für einen von Cyber-Kriminellen fingierten Geschäftsvorgang angewiesen hat, ist nicht das Mittel der Wahl. Heutzutage kann sich kein Unternehmen wirklich sicher sein, nicht doch Opfer eines Cyber-Angriffs zu werden. Besser ist, darüber zu sprechen und sich auszutauschen, um das Thema aus unterschiedlichen Blickwinkeln zu betrachten. Die Mitarbeiter im Unternehmen sollten in die Prozesse des Sicherheitskonzeptes mit einbezogen werden. Aufmerksame Mitarbeiter gehören mit zum besten Schutz gegen Angriffe und Verlust von Unternehmenswerten.

7 von 10 Unternehmen Opfer
Zur Verdeutlichung des Risikos: Der aktuelle Studienbericht 2018 der Bitkom (Bundesverband Informationswirtschaft, Telekommunikation und neue Medien e. V. www.bitkom.org) zeigt, basierend auf einer repräsentativen Umfrage, dass ca. 68 Prozent aller Industrieunternehmen in Deutschland schon Opfer eines Datendiebstahls, Sabotage oder Spionage waren. Weitere 19 Prozent waren vermutlich betroffen. Aufschlussreich ist die Verteilung des Täterkreises: ca. 61 Prozent sind ehemalige Mitarbeiter und ca. 22 Prozent konkurrierende Unternehmen. Der – konservativ geschätzte – Gesamtschaden über 2 Jahre beläuft sich auf ca. 43,3 Mrd Euro. Bei knapp der Hälfte (48 Prozent) der Unternehmen wurden Kommunikationsdaten wie Emails entwendet, in 20 Prozent der Fälle Kunden- und Finanzdaten, bei 11 Prozent kritische Unternehmensdaten.

Cyber-Security als integraler Bestandteil des Risiko-Managementsystems
Unter Berücksichtigung einer angemessenen Personalausstattung und Budget gehört Cyber-Security zum integralen Bestandteil des Risiko-Managementsystems. Eine intensive Digitalisierung und progressive Entwicklung des Unternehmens kann ohne Investition in Cyber-Security nicht erfolgreich sein.Eine Identifizierung und Gewichtung der vorhandenen und zu erwartenden Risiken sowie eine Analyse und Klassifizierung der Daten und Prozesse im Unternehmen sind Voraussetzung für einen möglichst optimalen Einsatz des Budgets. Basierend auf diesen Informationen können die Risiken unter dem Aspekt was für das Unternehmen überlebenswichtig, sekundär oder unwesentlich ist, eingeschätzt und priorisiert werden, gefolgt von konkreten Maßnahmen.

Dabei nur das eigene Unternehmen zu betrachten reicht nicht. Lieferanten, Partner, Lösungsanbieter, Kunden, verbundene Unternehmen, Mitarbeiter sowie externes Personal sind mit einzubeziehen, unter digitalen und auch analogen Aspekten. Cyber-Kriminelle analysieren das gesamte geschäftliche Umfeld des Unternehmens und versuchen sich auch darüber Eintritt in die Systeme zu verschaffen. Eine ausgeprägte Vernetzung, Digitalisierung, flexible Kommunikationswege und Lieferketten öffnen Türen. Cyber-Sicherheitsanforderungen sollten auch in Verträgen und Service-Level-Agreements berücksichtigt werden. In die Überlegungen einzubeziehen ist zudem, ob finanzielle Risiken durch Cyber-Versicherungen abgedeckt werden können, beim Unternehmen selbst und z.B. den Lieferanten.

Viele „Lecks“ in Unternehmen werden nicht immer zeitnah entdeckt.                     Oft dauert es Monate. Auch gab es Fälle, in denen es erst nach Jahren aufgefallen ist, dass Zugänge missbraucht wurden und Informationen aus dem Unternehmen abgeflossen sind. Cyber-Risiken sollte als ein Aspekt des finanziellen Risikos des Unternehmens berücksichtigt werden. Hierzu gehören Kosten wie z.B. die eines Angriffs, Nichtbetriebsfähigkeit, Produktionsausfall, gestohlene Unternehmenswerte. Cyber-Risiken wirken sich unmittelbar auf die finanzielle Performance aus. Die Messung des ROI im Cyber-Bereich ist nicht direkt vergleichbar mit klassischen Investitionen. Es stellt sich die Frage wie, wann und in welcher Höhe der zu erwartende Verlust zu bewerten ist. Die Herausforderung liegt hier in der realen Bewertung der Risiken.

Schutz sensibler Daten und Unternehmenswerte.                                         Investitionen in traditionelle Cyber-Abwehr wie beispielsweise Firewalls, Antivirus-Programme etc. sind heutzutage selbstverständlich. Diese Lösungen sind allein reichen jedoch nicht aus. Bedrohungen kommen nicht nur von außen, sondern auch durch Insider wie Mitarbeiter und Dritte, unbedacht oder vorsätzlich. Durch Einsatz entsprechender Technologien kann auch die Gefahr eines internen oder vorgetäuschten internen Datenverlustes oder -diebstahls reduziert bzw. verhindert werden; konkret durch die Implementierung von Prozessen zur Verfolgung verdächtiger Verhaltensweisen („Anomalie-Erkennung“), Überwachung von Nutzerverhalten mit Zugriff auf kritische Daten („Vorfalls-Analyse“) sowie automatisierte Abwehr von Datenabflüssen. Das Unternehmen kann, basierend auf diesen Informationen, von wem, wie und wann auf sensible Daten zugegriffen wird entsprechende Sicherheitsprozesse implementieren.Ein Beispiel für eine solche Lösung ist die Technologie von Digital Guardian. Sie liefert Echtzeitanalyse, Transparenz und flexible Kontrollen über den Zugriff, Verwendung und Weiterleitungen von Daten und Dokumenten.Darüber hinaus deckt die Lösung von Digital Guardian die Erfordernisse, die das neue Gesetz zum Schutz von Geschäftsgeheimnissen erfordert, ab.

Ab 2019: Neues Gesetz zum Schutz von Geschäftsgeheimnissen:
Informationen, die nicht durch Eigentumsrechte wie z.B. Patente geschützt sind, können für Unternehmen auch von existentiellem Wert sein. Die europäische Richtlinie zum Schutz von Geschäftsgeheimnissen und Know-how (EU 2016/943)zielt darauf ab, Unternehmen vor Geheimnisverrat und Wirtschaftsspionage zu schützen und grenzüberschreitende Innovationen im europäischen Binnenmarkt zu fördern. Voraussichtlich wird der entsprechende Gesetzesentwurf in enger Anlehnung an die EU-Richtlinie Anfang 2019 im Bundestag beschlossen. Ein wesentlicher Unterschied zur bisherigen Gesetzeslage ist, dass bisher schon der Geheimhaltungswille ausreichend war. Entsprechend dem neuen Gesetz muss sich dieser Geheimhaltungswille in konkreten Maßnahmen zum Schutz des Geheimnisses wiederspiegeln. Die Beweislast hat sich also umgekehrt. Es gilt: Die Richtlinie schützt nur den, der die Anforderungen erfüllt. Geschützt werden nur Informationen, die Gegenstand angemessener Geheimhaltungsmaßnahmen sind. Unternehmen müssen zukünftig beweisbare Geheimhaltungsmaßnahmen treffen, um Rechtsschutz zu erlangen. Für Unternehmen ist es empfehlenswert, dass sie ihre Geschäftsgeheimnisse definieren und deren Wert beziffern können. Gleichfalls sollten sie prüfen, inwieweit sie über ausreichende Maßnahmen zu deren Schutz verfügen, sowohl organisatorisch als auch technisch. Ausreichender Geheimnisschutz wird sicherlich auch für potenzielle Investoren ein wichtiges Thema sein.

Dieses neue Gesetz führt noch ein Schattendasein, wird aber an Bedeutung gewinnen, sobald wirtschaftliche Interessen gewahrt werden müssen. Im Rahmen von Cyber-Security und finanzieller Performance eröffnet sich ein weiteres Thema.

Über die Autorin: Marina Döhling, cat out gmbh, ist seit Beginn ihrer beruflichen Laufbahn in der Informationstechnologie tätig: als Consultant für eine renommierte deutsche Unternehmensberatung und amerikanische Systemhäuser, als Geschäftsführerin in IT-Unternehmensberatungen. Basierend auf ihren langjährigen Erfahrungen in Technologie, Geschäftsprozessen und Branchen-Know-how ist sie für die cat out gmbh als Managing Consultant zum Thema Cyber- und Datensicherheit tätig.

Marina Doehling
T: + 49 172 4300429
cat out gmbh
www.cat-out.com

Finanzabteilungen stehen bei Cyber-Kriminellen besonders hoch im Kurs. Zwar ist der Zugang zu Konto-Zugangsdaten dort meist schwerer, dafür ist der Diebstahl für Cyber-Kriminelle aber umso lukrativer. Marina Döhling, die für die cat out gmbh als Managing Consultant zum Thema Cyber- und Datensicherheit tätig ist, klärt in ihrem Gastbeitrag über Cyber-Sicherheit im Rahmen des Risikomanagements auf.

Zu den heutigen Aufgaben von CFO´s und Finanzverantwortlichen gehören das Risikomanagement und die Digitalisierung des Finanzwesens. Und genau hier kommt das Thema Cyber Security im Kontext einer Gesamtstrategie mit IT, HR und Finance zum Tragen. Cyber Security bezieht sich auf die Informationssicherheit als Ganzes. Sie ist eine Kombination aus Technologie, Prozessen, organisatorischen Maßnahmen und rechtlichen Regularien, mit dem Ziel das Unternehmen vor Angriffen, Datenverlust, Datendiebstahl und somit vor wirtschaftlichen Schäden zu schützen – und dadurch Risiken zu minimieren.

Im Rahmen eines Unternehmens-Sicherheitsprogramms sind in Hinsicht auf Vermeidung („Prevention“) und Abwehr („Defense“) zwei Tätergruppen zu unterscheiden. Die Innentäter, nach Erhebungen der größere Teil der Bedrohung, sind ehemalige oder aktuelle Mitarbeiter, Dienstleister, Geschäftspartner. Die Außentäter sind Hacker (wirtschaftlich motiviert oder Amateure) sowie ausländische Organisationen und Nachrichtendienste (Wirtschaftsspionage). Cyberkriminelle nutzen eine Vielzahl von Techniken und Methoden für den Diebstahl von Zugangsdaten, sehr beliebt ist z.B. die Infektion der Arbeitsgeräte (PC) mit Schadsoftware oder – aus der Sicht der Angreifer am leichtesten – das sogenannte „Phishing“. Unter dem Begriff Phishingversteht man Versuche, über gefälschte Webseiten, E-Mails oder Kurznachrichten an persönliche Daten eines Internet-Benutzers zu gelangen und damit Identitätsdiebstahl zu begehen. Die Finanzabteilungen stehen besonders hoch im Kurs bei Cyber-Kriminellen. Hier ist es zwar zumeist schwierige,r direkt an Konto-Zugangsdaten zu gelangen, dafür ist es aber umso lukrativer.

Gerne wird, um an Geld zu gelangen, auch die Betrugsmasche „CEO Fraud“ oder alternative Bezeichnung BEC (Business Email Compromise) gewählt. Hier werden Mitarbeiter mit Zahlungsvollmacht vorzugsweise per Email mit gefälschten Identitäten so manipuliert, dass sie Überweisungen auf Konten der Kriminellen im Ausland tätigen. Diese Summen liegen durchaus auch im hohen 6-stelligen Bereich. Diesen Cyberattacken voraus gehen i.d.R. intensive Social Engineering-Aktivitäten. Informationen über Verhaltensweisen, Email-Adressen, Mitarbeiter, Verantwortlichkeiten im Unternehmen werden dazu z.B. in den sozialen Netzwerken recherchiert, aber auch persönliche Ansprachen („analoges Social Engineering“) werden genutzt.

Ökosystem im Dark Web

Es gibt ein stetig wachsendes Handelsnetz der Internetkriminalität, das intelligente Mechanismen und Tools hierfür entwickelt hat. Die Tools und Dienstleistungen zum Stehlen von Zugangsdaten, Identitäten, u.a. auch die bereits gestohlenen Daten selbst, können im Internet-Untergrund erworben werden. Dieses System aus illegalen Aktivitäten, Erpressung und Lösegeldforderungen, Datendiebstahl wächst kontinuierlich und stellt eine gravierende Bedrohung für Unternehmen dar. Betrachtet man nur Europa, so ist im Zeitraum Januar bis Mai 2018 im Vergleich zu 2017 der Diebstahl von Anmeldeinformationen um 62 Prozent gestiegen (Quelle: Blueliv, The Credential Theft Ecosystem).

Was passiert mit den gestohlenen Daten? Wie werden sie gehandelt?

Cyberkriminelle nutzen die gestohlenen Zugangsdaten in der Regel nicht selbst. Diese gestohlene „Ware“ wird im Dark Net in regelrechten Preislisten angeboten. Beispiel Kosten für Zugangsdaten:

• für Konten mit einem Saldo über $10.000 liegen unter $300
• für Soziale Netzwerke $1,50 bis $9

(Quelle: Blueliv, The Credential Theft Ecosystem)

Welche Möglichkeiten stehen dem Unternehmen, dem CFO oder Finance-Verantwortlichen zur Analyse der aktuellen Situation in Bezug auf gestohlenen Daten zur Verfügung?

Recherchen im Open, Deep und Dark Web darüber, welche Informationen bereits über das Unternehmen angeboten werden; dies erfordert umfangreiches Spezialwissen und erheblichen finanziellen Einsatz. Es gibt hierfür Cyber-Intelligence Anbieter, die diesen Service anbieten. Einer der führenden Anbieter ist Blueliv mit Hauptsitz in Barcelona, Spanien. Deren Suchmaschinen („Crawler“) liefern hochaktuelle, sofort verwertbare Bedrohungsinformationen. Basierend auf diesen Analysen können sofort Sicherheitslücken entdeckt und entsprechende Maßnahmen abgeleitet werden. Gestohlenen Anmeldedaten werden selten in „Echtzeit“ verwendet. So kann eine frühzeitige Erkennung und Abwehr innerhalb weniger Tage die Auswirkung eines Angriffs stark reduzieren. Die abzuleitenden Sicherheits-Maßnahmen können technischer oder organisatorischer Art sein und/oder sich auf eine Sensibilisierung des Verhaltens der Mitarbeiter oder Dienstleister, Partner beziehen.

Die Bereitstellung von Budgets von den Finanz-Verantwortlichen für ein Unternehmens-Cybersicherheits-Programm und das Einbetten in das Risikomanagement-System verhindert so Reputationsverlust, sichert die Geschäftstätigkeit und Marktpräsenz.

Über die Autorin:

Marina Döhling, cat out gmbh, ist seit Beginn ihrer beruflichen Laufbahn in der Informationstechnologie tätig: als Consultant für eine renommierte deutsche Unternehmensberatung und amerikanische Systemhäuser, als Geschäftsführerin in IT-Unternehmensberatungen. Basierend auf ihren langjährigen Erfahrungen in Technologie, Geschäftsprozessen und Branchen-Know-how ist sie für die cat out gmbh als Managing Consultant zum Thema Cyber- und Datensicherheit tätig.

Marina Doehling
T: + 49 172 4300429
cat out gmbh
www.cat-out.com