Sicherheitsvorfälle können nicht vollständig vermieden werden, weder durch technische Maßnahmen, noch durch erhöhte Sicherheits-Awareness bei Mitarbeitern. Von entscheidender Bedeutung ist es, ein Unternehmen auf das Eintreten derartiger Vorfälle vorzubereiten.
Das Berliner Kammergericht ist in Folge eines Schadsoftwarebefalls seit September 2019 offline – und damit nur ein Beispiel für eine steigende Zahl von Unternehmen und Organisationen, die durch Cyberangriffe oder IT-Störungen massiv in ihrem Betrieb eingeschränkt wurden. Europäische Banken waren bisher nicht betroffenen, aber das Risiko für derart schwerwiegende Sicherheitsvorfälle steigt.
Prävention ist wichtig, aber Sicherheitsvorfälle können nie vollständig vermieden werden. Daher ist es von entscheidender Bedeutung, ein Unternehmen auf das Eintreten derartiger Vorfälle vorzubereiten: Kernprozesse müssen aufrechterhalten, Erholungsphasen klein gehalten und auf unvorhergesehene Umstände angemessen reagiert werden.
Cyber Incidents unter den Top-3-Risikofaktoren für Banken
Cyberkriminalität und IT-Störungen zählen gemäß der jüngsten Risikobewertung der EZB-Bankenaufsicht zu den Top-3-Risikofaktoren für Banken. Die Ursache dafür liegt nicht nur in der steigenden Bedrohung durch Angreifer aus dem Cyberraum. Der enorme Modernisierungs- und Wettbewerbsdruck, dem Banken ausgesetzt sind, führt zu komplexen Systemen und mannigfaltigen Abhängigkeiten – nicht nur in technischer Hinsicht, sondern auf ganze Geschäftsprozesse und digitale Lieferketten bezogen.
Einzelrisiken addieren sich in diesem komplexen Gefüge nicht nur, sondern verstärken sich. Auf dem Spiel stehen Kundendaten ebenso wie Unternehmensdaten, die Aufrechterhaltung des Geschäftsbetriebs, die Reputation und die Wettbewerbsfähigkeit.
Cyberresilienz – weil technikgetriebene Ansätze nicht reichen
Technische Ansätze zur Prävention, Detektion und Reaktion von bzw. auf Sicherheitsvorfälle sind weiterhin unverzichtbar. Gleiches gilt für Awareness-Maßnahmen bei Mitarbeitern, die beispielsweise die Gefahr von Malwareinfektionen (wie im Eingangsbeispiel passiert) reduzieren. Aber egal wie hoch die Investitionen in solche Maßnahmen auch sein mögen – einen hundertprozentigen Schutz kann man damit nicht erzielen.
Diese Maßnahmen sind daher, wenngleich wichtig, nur Bausteine des sehr viel umfassenderen Konzepts der Cyberresilienz. Damit wird die Fähigkeit eines Unternehmens bezeichnet, im Angesicht massiver Angriffe oder Störfälle die Steuerungsfähigkeit beizubehalten und eventuelle Beeinträchtigungen im Geschäftsbetrieb klein zu halten.
Investitionen in klassische Maßnahmen der Informationssicherheit weisen einen abnehmenden Grenznutzen auf: Je höher das bereits erreichte Sicherheitsniveau ist, umso teurer wird eine weitere Verbesserung. Daher ist es auch aus ökonomischer Sicht vernünftig, in Cyberresilienz zu investieren.
Cyberresilienz erfordert ein Umdenken
Für Cyberresilienz ist ein grundlegendes Umdenken erforderlich. Getreu dem Motto von Wilhelm Busch „Erstens kommt es anders, zweitens als man denkt“ muss die Möglichkeit, dass ein schwerwiegender Cybervorfall oder eine Störung auftritt, immer „mitgedacht“ werden. Dazu reicht nicht der punktuelle Blick auf IT-Systeme. Es müssen Geschäftsprozesse, ganze Geschäftsbereiche, die Organisation, die Unternehmensführung und -kultur aus diesem Blickwinkel betrachtet und darauf ausgerichtet werden.
Cyberresilienz erfordert eine übergeordnete Sicht. Verglichen mit den klassischen Ansätzen des Business Continuity Management und des Incident Response Management begibt man sich sozusagen auf die Metaebene: Im Fokus steht nicht allein die konkrete Reaktion auf eine konkrete Störung, sondern wie das Unternehmen überhaupt mit unvorhergesehenen Disruptionen umgeht.
Dieses Umdenken ist auch bei den wichtigsten Finanzaufsichtsbehörden weltweit erfolgt und schlägt sich in der Aufsichtspraxis nieder. So hat die Expertengruppe der G7 (Gruppe der Sieben)-Staaten zum Thema Cybersicherheit im Finanzsektor im Oktober 2017 Empfehlungen verabschiedet, in denen als wünschenswertes Ergebnis eines Assessments unter anderem aufgeführt ist: „There is an understanding that disruption will occur.“
Handlungsfelder für Cyberresilienz
Agilität ist elementar für die Cyberresilienz einer Organisation, denn im Zweifelsfall muss sehr schnell und anders als geplant reagiert werden. Die Unternehmensführung benötigt ausreichende Informationen, um angemessen kontrollieren und steuern zu können. Ganze Lieferketten von Geschäftspartnern müssen transparent gemacht und hinsichtlich ihrer Sicherheit und Resilienz prüfbar werden. Zur Widerstandsfähigkeit gehört auch, dass Software-Entwicklungs- und -Betriebsverfahren weitgehend automatisiert und integriert werden. Und selbstverständlich bedarf es der bewährten Maßnahmen der Informationssicherheit, denn sie senken die Eintrittswahrscheinlichkeit eines Störfalls.
Die Mitarbeiter eines Unternehmens haben in zweierlei Hinsicht eine besondere Bedeutung: Zum einen muss jeder Mitarbeiter und jede Mitarbeiterin die Gefahren kennen, denen er bzw. sie in der täglichen Arbeit begegnen kann, und wie darauf zu reagieren ist. Zum anderen muss der Umgang untereinander, auch mit Vorgesetzten, ein Nachfragen, Rückversichern oder auch Eingestehen von Fehlern ohne große Hemmnisse erlauben.
Ein Beispiel hierfür ist die CEO-Fraud genannte Betrugsmasche, bei der sich ein Betrüger gegenüber einem Mitarbeiter per E-Mail oder Telefon als CEO ausgibt und ihn oder sie zu einer betrügerischen Zahlung verleitet: Eine vertrauensvolle und wertschätzende Unternehmenskultur führt viel eher dazu, dass ein leicht verunsicherter Mitarbeiter sich tatsächlich von Mensch zu Mensch beim vermeintlichen Auftraggeber über die Authentizität des Auftrags vergewissert.
Fazit: Cyberresilienz ist Teil der Sicherheitsstrategie
Cyberresilienz muss ein zentraler Bestandteil der Sicherheitsstrategie von Banken sein. Gestiegenen Cyberrisiken kann nicht allein durch technische Maßnahmen oder erhöhte Awareness bei Mitarbeitern begegnet werden. Sicherheitsvorfälle sind per se nicht vermeidbar. Durch eine ganzheitliche Herangehensweise muss das Unternehmen darauf ausgerichtet werden, auch im Störfall steuerbar zu sein und die Betriebsfähigkeit, wenn überhaupt, nur minimal einzubüßen.