Schlagzeilen über NSA-Lauschangriffe und Cyberattacken füllen derzeit die Medien. Kaum ein Tag vergeht, an dem nicht über Internetspionage berichtet wird.
Beim aktuellen Hype über diese Form von Angriffen auf vertrauliche Daten werden Risiken, die aus anderen IT-Schwächen resultieren, etwas in den Hintergrund gedrängt. Dabei werden Betriebsgeheimnisse auch von den eigenen Mitarbeitern ganz einfach über Social Media verbreitet und vor den schon fast als zur „old economy“ zählenden EDV-Ausfällen, die durch fehlerhafte System- oder Softwareupdates hervorgerufen werden, ist man noch immer nicht gefeit.
Zu den Autoren
Roland Weilguny ist Group Audit Director bei der Prinzhorn-Holding in Wien
Peter Brauch war Leiter der Konzernrevision bei EADS (heute: Airbus)
Eine missglückte Softwareaktualisierung führte im April 2015 bei den Bundesarbeitsagenturen zu einem stundenlangen Systemausfall. Da die Software zentral betrieben wird, konnten bundesweit in den Jobcentern keine Stellenanzeigen abgerufen werden. Nicht einmal die Terminwahrnehmung der Arbeitssuchenden konnte elektronisch dokumentiert werden.
Schwache interne, automatisierte Kontrollen waren sicher mit ein Grund dafür, dass Jérôme Kerviel der Société Générale in 2008 einen Schaden von EUR 4,8 Milliarden zufügen konnte.
Firmengeheimnisse gibt es auch auf Twitter
Der spektakuläre Fall von Gene Morphis, der 2012 in den USA von seinem Posten als CFO bei Francesca’s Holding Corp. entlassen wurde, weil er Informationen über Board Meetings und Ergebnisse per twitter und Facebook veröffentlicht hat, zeigt, dass nicht unbedingt aufwendige Spionagetechniken notwendig sind, um an Firmengeheimnisse zu gelangen.
Im Juni 2015 wurde ein Hackerangriff auf den Bundestag bekannt, der einfach darauf basierte, dass Angreifer einen schadhaften Link per E-Mail verschickt hatten. Der Link führte zu einer präparierten Webseite, die einen Trojaner im Netzwerk des Bundestags installierte.
Forum IT-Sicherheit
Der Hackerangriff auf den Deutschen Bundestag hat auch dem letzten Vorstand die Augen geöffnet. Kein Unternehmen ist gefeit vor Cyberangriffen. Jede noch so kleine Sicherheitslücke in den IT-Systemen kann zum Einfallstor für Spionage- oder Sabotageattacken werden und Schäden in Millionenhöhe verursachen. Die Verunsicherung in den Unternehmen ist jedenfalls groß. Sind die Sicherheitsvorkehrungen wirklich auf dem allerneusten Stand, um die Kronjuwelen des Unternehmens zu schützen? Kennen die Mitarbeiter alle Indizien, die auf einen Angriff hindeuten? Wie lange brauchen die Alarmsysteme, um einen Angriff zu erkennen? Es gibt viele Fragen, aber nur wenige Experten, die fundierte Antworten liefern können. Zusammen mit Bernd-Oliver Bühler, geschäftsführender Gesellschafter der Janus Consulting und Spezialist für IT-Sicherheit, hat die WirtschaftsWoche die Sicherheitsverantwortlichen in deutschen Unternehmen gebeten, aus ihrer Sicht die größten Probleme und mögliche Lösungen vorzustellen.
Alle Beiträge finden Sie auf www.wiwo.de/it-forum
Diese Beispiele zeigen, dass IT-Schwächen und mangelhaftes Wissen im Umgang mit modernen Medien zum Nachteil von Organisationen ausgenutzt werden. Dies passiert absichtlich oder unabsichtlich und sowohl von eignen Mitarbeitern als auch durch Externe. In vielen Fällen kann der entstandene Schaden nicht einmal direkt bewertet werden, da der Grad der Ausnutzung beziehungsweise des Missbrauchs von gestohlenen, vertraulichen Informationen entweder gar nicht oder nicht sofort bekannt wird. Mitarbeiter, die fahrlässig handeln, müssen mit Konsequenzen rechnen.
Eine IT-Nutzer-Richtlinie ist unbedingt notwendig
Es steht außer Diskussion, dass IT-Schwächen abgesichert werden müssen, um solche Vorfälle, die Organisationen nicht nur Reputationsschäden, sondern auch finanziellen Verlust zufügen, zu vermeiden. Aber welches organisatorische Umfeld muss geschaffen werden und wie können IT-Risiken erkannt werden, um überhaupt adäquate Maßnahmen ergreifen zu können?
Verbrechen 4.0 - das ist möglich
Rund 75 Prozent aller Computer können heute innerhalb von Minuten gehackt werden.
Jeden Tag werden 600.000 Nutzerkonten attackiert, wie das Unternehmen 2011 selbst einräumte. Eine Zahl, die seitdem eher gestiegen ist.
Fast 90 Prozent aller Kleinunternehmen, deren Kundenkartei gestohlen wurde, müssen innerhalb von drei Jahren ihr Geschäft aufgeben.
Mittels manipuliertem GPS-Signal locken Gangster Lastzüge mit Waren oder Luxusyachten in Hinterhalte.
Richtlinien zum Umgang mit IT sollten als Basis jeden Handelns von Mitarbeitern dienen. Eine IT-Nutzer-Richtlinie, in der unter anderem auf die Gefahren im achtlosen Umgang mit EDV hingewiesen wird, sowie eine Social-Media-Richtlinie, in der zum Beispiel die Veröffentlichung von Firmeninformationen geregelt wird, sind unabdingbar. Konkret sollte es darauf Hinweise geben, dass Links und Anhänge von unbekannten Absendern gar nicht oder nur mit äußerster Vorsicht geöffnet werden sollten.
Private Software, ob per E-Mail oder auf USB-Stick mitgebracht, darf auf keinem Firmencomputer installiert werden. Ferner hat kein nicht explizit dafür autorisierter Mitarbeiter Firmeninformationen zu veröffentlichen, es sei denn, sie sind sowieso bereits offiziell bekannt gemacht. Solche Anweisungen mögen zwar trivial anmuten, die Praxis zeigt jedoch, dass sich Mitarbeiter nicht immer entsprechend verhalten.
Nicht nur die Kanzlerin kann über das Handy abgehört werden
Auf die Aufrüstung und den Schutz der Smartphones von Mitarbeitern sollte nicht vergessen werden. Denn mittels unbemerkt eingeschleuster Apps können Telefongespräche, Emails, Chats und SMS abgehört und gelesen werden. Nicht nur die deutsche Kanzlerin ist ein interessantes Opfer für diese Art der Bespitzelung. Auch geheime, noch nicht geschützte Technologien und vertrauliche Geschäftsbeziehungen mit Lieferanten und Kunden stellen ein begehrtes Ziel für Industriespione dar.
Ein angemessenes Umfeld in der IT, das neben Testumgebungen auch Prozesse definiert, wie Änderungen und Updates zu testen und freizugeben sind, sind darüber hinaus ein wesentlicher Basisbestandteil einer ordentlichen EDV. Einen absoluten Schutz vor Fehlern und Systemausfällen gibt es zwar nicht, aber man kann dadurch das Risiko wenigstens auf ein Mindestmaß reduzieren.
Diese Branchen sind am häufigsten von Computerkriminalität betroffen
Der Branchenverband Bitkom hat Anfang 2015 in 1074 Unternehmen ab 10 Mitarbeitern danach gefragt, ob das jeweilige Unternehmen innerhalb der letzten zwei Jahre von Datendiebstahl, Wirtschaftsspionage oder Sabotage betroffen war. Gut die Hälfte der befragten Unternehmen gaben an, tatsächlich Opfer von IT-gestützter Wirtschaftskriminalität geworden zu sein.
Quelle: Bitkom/Statista
Stand: 2015
Im Handel wurden 52 Prozent der befragten Unternehmen in den vergangenen zwei Jahren Opfer von Cyber-Kriminalität.
58 Prozent der befragten Unternehmen in der Medien- und Kulturbranche gaben an, in den letzten zwei Jahren Computerkriminalität erlebt zu haben. Ebenso viele Unternehmen aus der Gesundheitsbranche klagten über IT-Kriminalität.
Das Finanz- und Versicherungswesen ist ein lohnendes Ziel für Hacker, Wirtschaftsspione und Datendiebe: 60 Prozent der befragten Unternehmen konnten von Datendiebstahl oder ähnlichem während der vergangenen zwei Jahre berichten.
Fast zwei Drittel der Unternehmen der Chemie- und Pharmabranche hatten in den vergangenen zwei Jahren mit Datendiebstahl, Wirtschaftsspionage oder Sabotage zu kämpfen.
Auf Platz 1: Der Automobilbau. 68 Prozent der Autobauer klagten über Wirtschaftskriminalität in Form von Datendiebstahl, Wirtschaftsspionage oder Sabotage.
Die Sicherheitsvorkehrungen müssen permanent geprüft werden
Und dennoch, sich zurücklehnen und Däumchen drehen ist nicht angesagt, auch wenn man in einem scheinbar perfekten Umfeld mit Richtlinien, geschulten Mitarbeitern und technischen sowie prozessualen Vorgaben arbeitet. Man ist nie vor Fehlern und Angriffen gefeit. Organisationen und Prozesse ändern sich ständig und die IT entwickelt sich unaufhaltsam weiter. Da kann es leicht passieren, dass unbemerkt neue Sicherheitslücken entstehen und das zuvor noch als perfekt eingeschätzte Umfeld brüchig und schwach wird.
In einem so komplexen und von Veränderung getriebenen Umfeld sind Organisationen gefordert, die Angemessenheit der technischen und organisatorischen Sicherheitsvorkehrungen permanent zu überwachen. Aus diesem Grund ist es ratsam, einen eigenen IT-Risiko-Verantwortlichen zu etablieren, die sich mit den Änderungen und ständig neu auftauchenden Risiken beschäftigt und das eigene Umfeld entsprechend aufrüstet. Ein eigener Social-Media-Manager sollte nicht nur für die optimale Darstellung der Organisation in diesen Medien verantwortlich sein, sondern auch prüfen, ob und welche vertrauliche oder negative Nachrichten darüber verbreitet werden und angemessene, gegensteuernde Maßnahmen ergreifen.
Interne Revision spielt große Rolle
Eine nicht unerhebliche Rolle im Zusammenhang mit IT-Risiken sollte auch die Interne Revision spielen. Da diese an den Prüfungsausschuss oder den Aufsichtsrat berichtet, kann sie in relativer Unabhängigkeit agieren und über Schwächen berichten. Aus den Daten vom IT-System für die Enterprise Resource Planung (ERP) können Prozesse analysiert und Kontrollschwächen identifiziert werden. Schwächen, wie zum Beispiel Bestellungen, die erst am Tag der Lieferung generiert wurden, Lieferungen ohne Bestellungen, Rechnungsfreigaben durch den selben Mitarbeiter, der auch die Bestellung generiert und die Lieferung angenommen hat, können mittels Datenanalyse eruiert werden. Es ist anzunehmen, dass auch im Datendschungel der Société Générale Hinweise auf nicht ordnungsgemäß genehmigte oder zumindest fragwürdige Transaktionen zu finden gewesen wären.
“Datenklau 2015” - Die Ergebnisse im Überblick
Für die Studie “Datenklau 2015” hat die Prüfungs- und Beratungsgesellschaft Ernst & Young Geschäftsführer sowie Führungskräfte aus IT-Sicherheit und Datenschutz von 450 deutschen Unternehmen befragt. Die Befragung wurde im Mai / Juni 2015 vom Marktforschungsinstitut Valid Research durchgeführt.
Quelle: Ernst & Young - Datenklau 2015
Jedes fünfte Unternehmen mit mehr als einer Milliarde Euro Umsatz hat in den vergangenen drei Jahren einen Angriff auf die eigenen Daten bemerkt, zeigt die EY-Studie. 18 Prozent der Betroffenen registrierten sogar mehrere Attacken. Mittlere (ab 50 Millionen Euro Umsatz) und kleinen Unternehmen (bis zu 50 Millionen Euro Umsatz) erlebten seltener Angriffe: 16 beziehungsweise zehn Prozent haben Hinweise auf Spionage oder Datenklau entdeckt.
Nicht nur die Größe entscheidet, wer ins Visier der Hacker gerät. Unternehmen der Energie- (17 Prozent ) und der Finanzbranche (16 Prozent) werden am häufigsten Opfer von Spionage und Datenklau. In der Industrie wurden 15 Prozent der Unternehmen bereits zum Opfer.
In den meisten Fällen (48 Prozent) ließ sich der Täter nicht zuordnen. In 18 Prozent der Fälle konnten laut EY Hackergruppen als Täter identifiziert werden. In 15 Prozent war es ein konkurrierendes ausländisches Unternehmen.
Die größte Gefahr geht aus Sicht der Manager von China aus: “46 Prozent nennen das Land als Region mit dem höchsten Risikopotenzial, dahinter folgen Russland (33 Prozent) und die USA (31 Prozent)”, wertet Ernst & Young aus.
Hinter den Angriffen vermuten die Manager in erster Linie den Versuch an Wettbewerbsvorteile oder finanzielle Vorteile (je 29 Prozent) zu gelangen. Reputationsschädigung (8 Prozent), Racheaktion (6 Prozent) und die Störung des Geschäftsbetriebs (3 Prozent) werden deutlich seltener hinter den Attacken vermutet.
In drei von vier Fällen (74 Prozent) handelte es sich bei den Attacken um Hackerangriffe auf die EDV-Systeme, in 21 Prozent wurden IT-Systeme vorsätzlich lahmgelegt. Deutlich seltener wurden Kunden- oder Arbeitnehmerdaten abgegriffen (elf Prozent), Mitarbeiter abgeworben oder Datenklau durch eigene Mitarbeiter begangen (jeweils zehn Prozent).
Die technischen Risiken sind heute so komplex, dass die Interne Revision eines durchschnittlichen Unternehmens wahrscheinlich nicht über das Know-how verfügt, um alle Einzelheiten testen und aufdecken zu können. Deshalb ist es ratsam, externe Berater zu engagieren, die einen geregelten und überwachten „Hackerangriff“ auf das Netzwerk der Organisation vornehmen. Knackpunkt dafür wird sein, die wesentlichen Risiken angemessen zu erkennen und zu beurteilen. Dies sollte von der Internen Revision gemeinsam mit den relevanten Stakeholdern definiert werden, um dann den richtigen Anbieter mit dem richtigen Know-how auszuwählen.
Geplante "Hackerangriffe" können hilfreich sein
Mit dem externen Anbieter muss genau geregelt werden, was dieser tun darf und was nicht. Keinesfalls darf durch einen „freundlichen“ Hackerangriff ein Schaden entstehen oder gar eine Sicherheitslücke vom Anbieter zu seinem eigenen Vorteil ausgenutzt werden. Es ist empfehlenswert, wenn die Interne Revision den externen Berater durchgehend begleitet und genau darauf achtet, dass dieser nicht zu weit geht.
Aufgedeckte Sicherheitslücken sollten jeweils im Einzelfall bewertet werden und darauf basierend entschieden werden, ob und wie diese Lücke weiter ausgenutzt werden kann beziehungsweise soll. Gegebenenfalls ist der Test an so einer Stelle aber auch abzubrechen, da das Risiko eines Schadens zu groß ist. In solchen Fällen müssen Schutzmaßnahmen mit dem externen Anbieter definiert werden, die auch auf eventuelle oder potenzielle nachgelagerte Schwächen, die nicht mehr getestet wurden, kurieren.
Organisationen haben die vielfältigen Herausforderungen, die durch die globalisierte, vernetzte Welt entstehen, zu meistern. EDV-Systeme, Netzwerke und Daten sind einem permanenten Bedrohungspotenzial ausgesetzt. Dieses Risiko muss durch eine angemessene Sicherheitsinfrastruktur, definierte EDV-Prozesse und klare Verfahrensanweisungen für Mitarbeiter zum Umgang mit Medien minimiert werden.
Die IT-Sicherheit sollte in eine ganzheitliche Sicherheitsstrategie, wie unter anderem auch im Forum-Beitrag vom 29.7.2015 „Das sichere Unternehmen 4.0“ dargelegt, eingebettet werden.
Es ist unumgänglich, das gesamte Umfeld immer wieder auf Schwächen zu prüfen und zu verbessern.
Während die Sicherheitsverantwortlichen für die operative Umsetzung und kontinuierliche Verbesserung der Sicherheitsstrategie und –infrastruktur verantwortlich sind, stellt die Interne Revision eine zusätzliche Kontrollinstanz dar. Sie ist nicht für die Implementierung der Sicherheitsthemen zuständig und somit auch nicht „betriebsblind“. Sie kann die Undurchlässigkeit der Strategie mit ihren eigenen Mitteln und Techniken unabhängig bewerten und IT-Sicherheitslücken aufzudecken. Die so gewonnenen Erkenntnisse werden wiederum von den Sicherheitsverantwortlichen genutzt, um weitere Verbesserungsmaßnahmen vorzunehmen.
