Sieben von zehn Industrieunternehmen in Deutschland sind bereits Opfer digitaler Wirtschaftsspionage, Sabotage oder Datendiebstahl geworden. Dabei ist besonders der Mittelstand im Fokus der Angreifer. Laut einer Studie der Bitkom waren drei von vier Unternehmen in der Größe von 100 bis unter 500 Mitarbeitern von Cyber-Kriminalität betroffen. Marina Döhling, die für die cat out gmbh als Managing Consultant zum Thema Cyber- und Datensicherheit tätig ist, klärt in ihrem Gastbeitrag auf, warum insbesondere eine intensive Digitalisierung und progressive Entwicklung des Unternehmens ohne Investitionen in Cyber Security nicht erfolgreich sein kann.
Es gibt einiges zu holen und die Schäden sind enorm: Eine Studie des Ponemon Institute aus den USA ergab, dass Unternehmen durch Cyber-Attacken Schäden in Höhe von durchschnittlich 6,1 Millionen Euro erleiden. Die Spannbreite reichte dabei von 425 Tausend Euro bis zu 20,2 Millionen pro Jahr – Phishing, Social Engineering und Web-Attacken waren für mehr als 35 Prozent der Kosten verantwortlich.Cyber-Security ist also ein wirtschaftlich bedeutsames und unternehmensübergreifendes Thema. Eine hundertprozentige Sicherheit ist nicht realisierbar, aber Unternehmen sollten eine bestmögliche Absicherung anstreben. Die „Angreifer“ von innen oder außen sind sehr erfinderisch, technisch sehr gut ausgerüstet und organisiert. Emails und Apps werden beispielsweise werden mittlerweile so exzellent gefälscht, dass selbst Security-Experten sehr genau hinsehen müssen, um diese Fälschungen zu erkennen.
Sensibilisierung der Mitarbeiter
Einfach wegschauen – „uns passiert schon nichts“ – oder „wird schon nicht so schlimm“ – ist definitiv nicht die Lösung. Die Annahme „wir sind nicht interessant genug“, erweist sich häufig genug als Fehleinschätzung. Zu schweigen, weil es vermeintlich „peinlich“ ist darüber zu sprechen, z.B. dass im Unternehmen ein CEO-Fraud erfolgreich war, in dem ein Mitarbeitern eine Zahlung für einen von Cyber-Kriminellen fingierten Geschäftsvorgang angewiesen hat, ist nicht das Mittel der Wahl. Heutzutage kann sich kein Unternehmen wirklich sicher sein, nicht doch Opfer eines Cyber-Angriffs zu werden. Besser ist, darüber zu sprechen und sich auszutauschen, um das Thema aus unterschiedlichen Blickwinkeln zu betrachten. Die Mitarbeiter im Unternehmen sollten in die Prozesse des Sicherheitskonzeptes mit einbezogen werden. Aufmerksame Mitarbeiter gehören mit zum besten Schutz gegen Angriffe und Verlust von Unternehmenswerten.
7 von 10 Unternehmen Opfer
Zur Verdeutlichung des Risikos: Der aktuelle Studienbericht 2018 der Bitkom (Bundesverband Informationswirtschaft, Telekommunikation und neue Medien e. V. www.bitkom.org) zeigt, basierend auf einer repräsentativen Umfrage, dass ca. 68 Prozent aller Industrieunternehmen in Deutschland schon Opfer eines Datendiebstahls, Sabotage oder Spionage waren. Weitere 19 Prozent waren vermutlich betroffen. Aufschlussreich ist die Verteilung des Täterkreises: ca. 61 Prozent sind ehemalige Mitarbeiter und ca. 22 Prozent konkurrierende Unternehmen. Der – konservativ geschätzte – Gesamtschaden über 2 Jahre beläuft sich auf ca. 43,3 Mrd Euro. Bei knapp der Hälfte (48 Prozent) der Unternehmen wurden Kommunikationsdaten wie Emails entwendet, in 20 Prozent der Fälle Kunden- und Finanzdaten, bei 11 Prozent kritische Unternehmensdaten.
Cyber-Security als integraler Bestandteil des Risiko-Managementsystems
Unter Berücksichtigung einer angemessenen Personalausstattung und Budget gehört Cyber-Security zum integralen Bestandteil des Risiko-Managementsystems. Eine intensive Digitalisierung und progressive Entwicklung des Unternehmens kann ohne Investition in Cyber-Security nicht erfolgreich sein.Eine Identifizierung und Gewichtung der vorhandenen und zu erwartenden Risiken sowie eine Analyse und Klassifizierung der Daten und Prozesse im Unternehmen sind Voraussetzung für einen möglichst optimalen Einsatz des Budgets. Basierend auf diesen Informationen können die Risiken unter dem Aspekt was für das Unternehmen überlebenswichtig, sekundär oder unwesentlich ist, eingeschätzt und priorisiert werden, gefolgt von konkreten Maßnahmen.
Dabei nur das eigene Unternehmen zu betrachten reicht nicht. Lieferanten, Partner, Lösungsanbieter, Kunden, verbundene Unternehmen, Mitarbeiter sowie externes Personal sind mit einzubeziehen, unter digitalen und auch analogen Aspekten. Cyber-Kriminelle analysieren das gesamte geschäftliche Umfeld des Unternehmens und versuchen sich auch darüber Eintritt in die Systeme zu verschaffen. Eine ausgeprägte Vernetzung, Digitalisierung, flexible Kommunikationswege und Lieferketten öffnen Türen. Cyber-Sicherheitsanforderungen sollten auch in Verträgen und Service-Level-Agreements berücksichtigt werden. In die Überlegungen einzubeziehen ist zudem, ob finanzielle Risiken durch Cyber-Versicherungen abgedeckt werden können, beim Unternehmen selbst und z.B. den Lieferanten.
Viele „Lecks“ in Unternehmen werden nicht immer zeitnah entdeckt. Oft dauert es Monate. Auch gab es Fälle, in denen es erst nach Jahren aufgefallen ist, dass Zugänge missbraucht wurden und Informationen aus dem Unternehmen abgeflossen sind. Cyber-Risiken sollte als ein Aspekt des finanziellen Risikos des Unternehmens berücksichtigt werden. Hierzu gehören Kosten wie z.B. die eines Angriffs, Nichtbetriebsfähigkeit, Produktionsausfall, gestohlene Unternehmenswerte. Cyber-Risiken wirken sich unmittelbar auf die finanzielle Performance aus. Die Messung des ROI im Cyber-Bereich ist nicht direkt vergleichbar mit klassischen Investitionen. Es stellt sich die Frage wie, wann und in welcher Höhe der zu erwartende Verlust zu bewerten ist. Die Herausforderung liegt hier in der realen Bewertung der Risiken.
Schutz sensibler Daten und Unternehmenswerte. Investitionen in traditionelle Cyber-Abwehr wie beispielsweise Firewalls, Antivirus-Programme etc. sind heutzutage selbstverständlich. Diese Lösungen sind allein reichen jedoch nicht aus. Bedrohungen kommen nicht nur von außen, sondern auch durch Insider wie Mitarbeiter und Dritte, unbedacht oder vorsätzlich. Durch Einsatz entsprechender Technologien kann auch die Gefahr eines internen oder vorgetäuschten internen Datenverlustes oder -diebstahls reduziert bzw. verhindert werden; konkret durch die Implementierung von Prozessen zur Verfolgung verdächtiger Verhaltensweisen („Anomalie-Erkennung“), Überwachung von Nutzerverhalten mit Zugriff auf kritische Daten („Vorfalls-Analyse“) sowie automatisierte Abwehr von Datenabflüssen. Das Unternehmen kann, basierend auf diesen Informationen, von wem, wie und wann auf sensible Daten zugegriffen wird entsprechende Sicherheitsprozesse implementieren.Ein Beispiel für eine solche Lösung ist die Technologie von Digital Guardian. Sie liefert Echtzeitanalyse, Transparenz und flexible Kontrollen über den Zugriff, Verwendung und Weiterleitungen von Daten und Dokumenten.Darüber hinaus deckt die Lösung von Digital Guardian die Erfordernisse, die das neue Gesetz zum Schutz von Geschäftsgeheimnissen erfordert, ab.
Ab 2019: Neues Gesetz zum Schutz von Geschäftsgeheimnissen:
Informationen, die nicht durch Eigentumsrechte wie z.B. Patente geschützt sind, können für Unternehmen auch von existentiellem Wert sein. Die europäische Richtlinie zum Schutz von Geschäftsgeheimnissen und Know-how (EU 2016/943)zielt darauf ab, Unternehmen vor Geheimnisverrat und Wirtschaftsspionage zu schützen und grenzüberschreitende Innovationen im europäischen Binnenmarkt zu fördern. Voraussichtlich wird der entsprechende Gesetzesentwurf in enger Anlehnung an die EU-Richtlinie Anfang 2019 im Bundestag beschlossen. Ein wesentlicher Unterschied zur bisherigen Gesetzeslage ist, dass bisher schon der Geheimhaltungswille ausreichend war. Entsprechend dem neuen Gesetz muss sich dieser Geheimhaltungswille in konkreten Maßnahmen zum Schutz des Geheimnisses wiederspiegeln. Die Beweislast hat sich also umgekehrt. Es gilt: Die Richtlinie schützt nur den, der die Anforderungen erfüllt. Geschützt werden nur Informationen, die Gegenstand angemessener Geheimhaltungsmaßnahmen sind. Unternehmen müssen zukünftig beweisbare Geheimhaltungsmaßnahmen treffen, um Rechtsschutz zu erlangen. Für Unternehmen ist es empfehlenswert, dass sie ihre Geschäftsgeheimnisse definieren und deren Wert beziffern können. Gleichfalls sollten sie prüfen, inwieweit sie über ausreichende Maßnahmen zu deren Schutz verfügen, sowohl organisatorisch als auch technisch. Ausreichender Geheimnisschutz wird sicherlich auch für potenzielle Investoren ein wichtiges Thema sein.
Dieses neue Gesetz führt noch ein Schattendasein, wird aber an Bedeutung gewinnen, sobald wirtschaftliche Interessen gewahrt werden müssen. Im Rahmen von Cyber-Security und finanzieller Performance eröffnet sich ein weiteres Thema.
Über die Autorin: Marina Döhling, cat out gmbh, ist seit Beginn ihrer beruflichen Laufbahn in der Informationstechnologie tätig: als Consultant für eine renommierte deutsche Unternehmensberatung und amerikanische Systemhäuser, als Geschäftsführerin in IT-Unternehmensberatungen. Basierend auf ihren langjährigen Erfahrungen in Technologie, Geschäftsprozessen und Branchen-Know-how ist sie für die cat out gmbh als Managing Consultant zum Thema Cyber- und Datensicherheit tätig.
Marina Doehling
T: + 49 172 4300429
cat out gmbh
www.cat-out.com