Strategische Sicherheitsplanung Wenn das Unternehmen wie eine Uhr tickt

Seite 3/5

Verständnis von "Sicherheit"

Viele Gespräche mit Fachkollegen, das Studium von Fachzeitschriften und Publikationen von Fachverbänden und Herstellern von Sicherheitslösungen vermitteln jedoch einen gegensätzlichen Eindruck. Die skizzierten Bedrohungslagen fokussieren sich leider immer noch auf den „Angriff von außen“ und damit auf deliktische Handlungen. Solche Vorgänge sind meist spektakulär und „machen im Betrieb die Runde“. Dabei wird jedoch freundlich übersehen, dass mit dem Aufgreifen des „Täters“ die Sache nicht erledigt ist. Die Handlungen dokumentieren dem Wissenden anschaulich, wie schlecht es um die Führungs- und Unternehmenskultur bestellt sein muss. Eine Bestrafung (Abmahnung, Entlassung) schreckt dann nicht ab, wenn die Stellschraube „Führung“ nicht zugleich verbessert wird.

Das Aufdecken strafbarer Vorgänge besagt noch nichts über deren tatsächliche Zahl und die dadurch ausgelösten Beeinträchtigungen der Geschäftsprozesse, die auch erheblich sein können, zumeist auch über Jahre andauern und das Betriebsergebnis schädigen. Der „Head von Investigation“ ändert daran nichts! Die zu betrachtenden Umstände sind wesentlich komplexer und bedürfen einer ganzheitlichen Analyse, die zumeist in Änderungen des Führungsverhaltens mündet. Die Anschaffung von System steht ganz am Schluss, und nicht, wie immer wieder von den Verkäufern von Sicherheitseinrichtungen vorgegaukelt wird, am Beginn! Der Weg zum Erfolg führt einzig und allein über diesen Weg.

Damit stehen wir nun „mittendrin“ im Verständnis von „Sicherheit“ und der Steuerung der Geschäftsprozesse. Die durch Störungen, Eingriffe und Beeinträchtigungen ausgelösten Betriebsunterbrechungen, die aus Gewohnheit hingenommen werden, führen zu andauernden Leerkosten. „Da kann man nichts machen!“ Es ist dieser Schlendrian durch fehlende Regelungen und Steuerung ausgelöste Schlendrian, der im ganzen Unternehmen (Betrieb und Verwaltung) zu hohen und wirtschaftlich nicht zu rechtfertigenden Aufwendungen führt. Es fehlt häufig am unternehmerischen Führungs- und Risikoverständnis. Die Sicherheit wird unter Kostengesichtspunkten verstanden, wohl auch deshalb, weil man ihren Beitrag zur Wertschöpfung nicht erkennt und das Thema gerne verdrängen möchte. Wundert es, dass die Sicherheit unter diesen Voraussetzungen nicht funktionieren kann? Es fehlt am betriebswirtschaftlichen Verständnis, mehr noch an der Integration der Aufgabe „Sicherheit“ in den Prozessen. Das weist auf ein unzureichendes betriebswirtschaftliches Gesamtverständnis hin.

Elf Anzeichen, dass Sie gehackt wurden
Software installiert sich selbstständigUngewollte und unerwartete Installationsprozesse, die aus dem Nichts starten, sind ein starkes Anzeichen dafür, dass das System gehackt wurde. In den frühen Tagen der Malware waren die meisten Programme einfache Computerviren, die die "seriösen" Anwendungen veränderten - einfach um sich besser verstecken zu können. Heutzutage kommt Malware meist in Form von Trojanern und Würmern daher, die sich wie jede x-beliebige Software mittels einer Installationsroutine auf dem Rechner platziert. Häufig kommen sie "Huckepack" mit sauberen Programmen - also besser immer fleißig Lizenzvereinbarungen lesen, bevor eine Installation gestartet wird. In den meisten dieser Texte, die niemand liest, wird haarklein aufgeführt, welche Programme wie mitkommen. Quelle: gms
Was zu tun ist: Es gibt eine Menge kostenlose Programme, die alle installierten Applikationen auflisten und sie verwalten. Ein Windows-Beispiel ist Autoruns, das zudem aufzeigt, welche Software beim Systemstart mit geladen wird. Das ist gerade in Bezug auf Schadprogramme äußerst aussagekräftig - aber auch kompliziert, weil nicht jeder Anwender weiß, welche der Programme notwendig und sinnvoll und welche überflüssig und schädlich sind. Hier hilft eine Suche im Web weiter - oder die Deaktivierung von Software, die sich nicht zuordnen lässt. Wird das Programm doch benötigt, wird Ihnen das System das schon mitteilen… Quelle: AP
Die Maus arbeitet, ohne dass Sie sie benutzenSpringt der Mauszeiger wie wild über den Bildschirm und trifft dabei Auswahlen oder vollführt andere Aktionen, für deren Ausführung im Normalfall geklickt werden müsste, ist der Computer definitiv gehackt worden. Mauszeiger bewegen sich durchaus schon einmal von selbst, wenn es Hardware-Probleme gibt. Klick-Aktionen jedoch sind nur mit menschlichem Handeln zu erklären. Stellen Sie sich das so vor: Der Hacker bricht in einen Computer ein und verhält sich erst einmal ruhig. Nachts dann, wenn der Besitzer mutmaßlich schläft (der Rechner aber noch eingeschaltet ist), wird er aktiv und beginnt, das System auszuspionieren - dabei nutzt er dann auch den Mauszeiger. Quelle: dpa
Was zu tun ist: Wenn Ihr Rechner des Nachts von selbst "zum Leben erwacht", nehmen Sie sich kurz Zeit, um zu schauen, was die Eindringlinge in Ihrem System treiben. Passen Sie nur auf, dass keine wichtigen Daten kopiert oder Überweisungen in Ihrem Namen getätigt werden. Am besten einige Fotos vom Bildschirm machen (mit der Digitalkamera oder dem Smartphone), um das Eindringen zu dokumentieren. Anschließend können Sie den Computer ausschalten - trennen Sie die Netzverbindung (wenn vorhanden, Router deaktivieren) und rufen Sie die Profis. Denn nun brauchen Sie wirklich fremde Hilfe. Anschließend nutzen Sie einen anderen (sauberen!) Rechner, um alle Login-Informationen und Passwörter zu ändern. Prüfen Sie Ihr Bankkonto - investieren Sie am besten in einen Dienst, der Ihr Konto in der folgenden Zeit überwacht und Sie über alle Transaktionen auf dem Laufenden hält. Um das unterwanderte System zu säubern, bleibt als einzige Möglichkeit die komplette Neuinstallation. Ist Ihnen bereits finanzieller Schaden entstanden, sollten IT-Forensiker vorher eine vollständige Kopie aller Festplatten machen. Sie selbst sollten die Strafverfolgungsbehörden einschalten und Anzeige erstatten. Die Festplattenkopien werden Sie benötigen, um den Schaden belegen zu können. Quelle: dpa
Online-Passwörter ändern sich plötzlichWenn eines oder mehrere Ihrer Online-Passwörter sich von einem auf den anderen Moment ändern, ist entweder das gesamte System oder zumindest der betroffene Online-Dienst kompromittiert. Für gewöhnlich hat der Anwender zuvor auf eine authentisch anmutende Phishing-Mail geantwortet, die ihn um die Erneuerung seines Passworts für einen bestimmten Online-Dienst gebeten hat. Dem nachgekommen, wundert sich der Nutzer wenig überraschend, dass sein Passwort nochmals geändert wurde und später, dass in seinem Namen Einkäufe getätigt, beleidigenden Postings abgesetzt, Profile gelöscht oder Verträge abgeschlossen werden. Quelle: dpa
Was zu tun ist: Sobald die Gefahr besteht, dass mit Ihren Daten handfest Schindluder getrieben wird, informieren Sie unverzüglich alle Kontakte über den kompromittierten Account. Danach kontaktieren Sie den betroffenen Online-Dienst und melden die Kompromittierung. Die meisten Services kennen derartige Vorfälle zu Genüge und helfen Ihnen mit einem neuen Passwort, das Konto schnell wieder unter die eigene Kontrolle zu bekommen. Einige Dienste haben diesen Vorgang bereits automatisiert. Wenige bieten sogar einen klickbaren Button "Mein Freund wurde gehackt!" an, über den Dritte diesen Prozess für Sie anstoßen können. Das ist insofern hilfreich, als Ihre Kontakte oft von der Unterwanderung Ihres Kontos wissen, bevor Sie selbst etwas davon mitbekommen. Werden die gestohlenen Anmeldedaten auch auf anderen Plattformen genutzt, sollten sie dort natürlich schnellstmöglich geändert werden. Und seien Sie beim nächsten Mal vorsichtiger! Es gibt kaum Fälle, in denen Web-Dienste E-Mails versenden, in denen die Login-Informationen abgefragt werden. Grundsätzlich ist es immer besser, ausschließlich Online-Dienste zu nutzen, die eine Zwei-Faktor-Authentifizierung verlangen - das macht es schwieriger, Daten zu entwenden. Quelle: dapd
Gefälschte Antivirus-MeldungenFake-Warnmeldungen des Virenscanners gehören zu den sichersten Anzeichen dafür, dass das System kompromittiert wurde. Vielen Anwendern ist nicht bewusst, dass in dem Moment, wo eine derartige Meldung aufkommt, das Unheil bereits geschehen ist. Ein Klick auf "Nein" oder "Abbrechen", um den Fake-Virusscan aufzuhalten, genügt natürlich nicht - die Schadsoftware hat sich bestehende Sicherheitslücken bereits zunutze gemacht und ist ins System eingedrungen. Bleibt die Frage: Warum löst die Malware diese "Viruswarnung" überhaupt aus? Ganz einfach: Der vorgebliche Prüfvorgang, der immer Unmengen an "Viren" auftut, wird als Lockmittel für den Kauf eines Produkts eingesetzt. Wer auf den dargestellten Link klickt, gelangt auf eine professionell anmutende Website, die mit positiven Kundenbewertungen und Empfehlungen zugepflastert ist. Dort werden Kreditkartennummer und andere Rechnungsdaten abgefragt - und immer noch viel zu viele Nutzer fallen auf diese Masche herein und geben ihre Identität freiwillig an die Kriminellen ab, ohne etwas davon zu merken. Quelle: dpa/dpaweb

Sicherheit ist eine ursprüngliche betriebswirtschaftliche Aufgabe, auch wenn das von der Lehre so noch nicht verstanden und beschrieben wird. Die Theorie ist „grau“, in der Praxis zählen nur sichere, effektive und damit effiziente Prozesse und Ergebnisse.

Betrachten wir nun den Anspruch der „Regelkonformität“. Ein hohes Ziel, und die Praxis? In der Praxis „parkt der Chef / die Führungskraft“ mit dem (privat zu nutzenden) Dienstfahrzeug verbotswidrig und für alle Beschäftigten sichtbar in (ausgewiesenen) Verbotszonen, der Meister nutzt die (vorgeschriebene) Persönliche Schutzausrüstung (PSA) nicht und die Passwörter der PC-Nutzer sind Allgemeingut. Die sogenannte „Zutrittskontrollanlage“ wird durch offene Seitentüren unwirksam „geschaltet“, eine Zugangsordnung für fremde Personen existiert ebenso wenig wie ein aktuelles Berechtigungsmanagementsystem, von einem umfassenden Zugangssystem ganz zu schweigen. Wenn dann zusätzlich im Brandschutz „gespart“ wird, die Regeln der Lagerung von leichtbrennbaren Stoffen missachtet werden, nutzt auch die beste Feuerwehr nichts. Stichwort „Feuerwehr“. Für den Schutz der betrieblichen Daten verlassen sich alle „User“ auf die „Firewall“. Das hält sie jedoch nicht ab, in öffentlichen Räumen zu telefonieren und diese als „Büro“ zu nutzen. Die Erkenntnis, sich nicht gegen die „NSA“ erfolgreich schützen zu können, hat diesen Trend offenbar noch verstärkt. Der IT-Schutz ist in der Folge anfälliger geworden. Nutzen Sie in diesem Sinne die Wartezeiten am Gate oder in der Bahn – Kurzweile wird garantiert, sofern Sie das ständige Telefonieren und das Geflimmer der Bildschirme nicht stören.

Sprechen wir in diesem Zusammenhang nun von „Schlendrian“ oder beschreiben die geschilderten Zustände nicht eher die vorsätzliche Missachtung von Prozessen im Zusammenhang mit Regeltreue? Gleich wie Sie diese Frage auch beantworten, die Wertschöpfung nimmt Schaden, das Risiko ist gewaltig.

Sicherlich habe ich einen schaurigen Zustand beschrieben, doch er beschreibt die Praxis. Das bleibt auch Fachkollegen nicht verborgen, die darüber berichten, auch von der Aussichtslosigkeit, daran etwas ändern zu können. Darum schwingt in Fachgesprächen die Frustration hörbar mit, auch ein gewisser Unterhaltungswert.

Der „Crash“ im VW-Konzern und die wiederholten vernichtenden Großbrände in einem Konzern der Nahrungsmittelindustrie weisen exemplarisch auf große Defizite hin, bestehende Risiken zu erkennen (zu wollen) und (auch) „anzugehen“. Der Pressesprecher begründet wortreich, warum „es geschehen musste“, „ es nicht zu verhindern war“, das „eigentlich niemand dafür verantwortlich sei“ und so weiter. Viele Worte, wenig Inhalt. Business as usually. Und das erklärt, warum es weiterhin „brennen“ wird. Viele Prozesse leiden unter diesem Missverständnis, einer mangelhaften Steuerung und den immer wieder auftretenden Regelverletzungen, die nicht unbedingt spektakulär sein müssen. „Kleinvieh macht auch Mist“! Es kumulieren sich Risiken, die irgendwann eine Störung / einen Schaden auslösen. Das Bild vom „Schneeball und der Lawine“ kommt in den Sinn. Wirtschaftliches Verhalten sieht anders aus.

Wie kann dieser Zustand im wirtschaftlichen Verständnis verbessert werden?

Inhalt
Artikel auf einer Seite lesen
© Handelsblatt GmbH – Alle Rechte vorbehalten. Nutzungsrechte erwerben?
Zur Startseite
-0%1%2%3%4%5%6%7%8%9%10%11%12%13%14%15%16%17%18%19%20%21%22%23%24%25%26%27%28%29%30%31%32%33%34%35%36%37%38%39%40%41%42%43%44%45%46%47%48%49%50%51%52%53%54%55%56%57%58%59%60%61%62%63%64%65%66%67%68%69%70%71%72%73%74%75%76%77%78%79%80%81%82%83%84%85%86%87%88%89%90%91%92%93%94%95%96%97%98%99%100%