Sicherheitskonzepte sind bei den heutigen Bedrohungsszenarien oft zu eng aufgestellt und zudem nicht auf der Geschäftsführungsebene angesiedelt. Dies behindert professionelle Lösungsansätze.

Die kriminellen Hintermänner der Crypto-Ransomware JIGSAW bieten Opfern seit Neuestem die Möglichkeit eines Live-Chats an und helfen so bei Fragen, wie sich das geforderte Lösegeld am einfachsten und schnellsten bezahlen lässt. Ist das ein Witz, den wir als Randerscheinung abtun können, oder haben sich die «Dienstleistungen» dieser Branche wirklich so professionalisiert?
Es ist überhaupt kein Witz, und wir sehen hier auch nur die Spitze des Eisbergs. Der Internetuntergrund ist eine gut funktionierende Marktwirtschaft. Sie legt Wert auf professionelle Dienstleistungen, die aber in einem anonymen Raum stattfinden. Im Dark-Net haben Sie inzwischen eine grosse Auswahl an Produkten und Dienstleistungen. Da geht es nicht nur, wie in den Medien gerne betont, um Waffen und Drogen. Es geht zum Beispiel um Schadsoftware – ganz praktisch «out oft the box» geliefert. Auch die andere Seite ist professionell organisiert. Die Kunden können mit Bitcoin anonym bezahlen. Wir haben es mit einem in sich geschlossenen Wirtschaftskreislauf zu tun, bei dem Cyber­kriminelle die Treiber sind.

Wir haben es inzwischen nicht mehr mit jugendlichen Hackern, die die Nacht im Keller, von Energy-Drinks und Pizzaschachteln umgeben, zu tun, sondern sind schlicht mit Profis konfrontiert, die wissen, wie ihr Business funktioniert?
Das trifft die Situation. Ich warne aber ­davor, die erste Gruppe, die sie erwähnt haben, abzuschreiben. Wir haben es hier nicht mit einem Ablösungsprozess zu tun. Die «Skript-Kids», wie wir Sicherheitsexperten sie nennen, wird es weiter geben. Solche «Freizeitbeschäftigungen» haben für einige Jugendliche einen Reiz. Es geht hier aber kaum um monetäre Aspekte. Zur Vollständigkeit führe ich hier noch die dritte und vierte Gruppe an. Das sind Hack-Aktivisten, die oft einen politischen Hintergrund haben. Das reicht von Tierschützern bis hin zu Islamisten. Dann gibt es zudem immer mehr Wirtschaftsspionage, die im Netz agiert und staatliche Geheimdienste oder Militärs, die den Cyber-War im Auge haben.

Diese Einordnungen helfen uns, die Akteure besser zu verstehen und schlussendlich auch besser bekämpfen zu können.

Jetzt können wir ein technisches Wettrüsten zwischen Sicherheitsanbietern und den cyberkriminellen Branchen beobachten. Genau in solchen Bereichen verlaufen dann auch medial die strategischen Diskussionen. Viele KMU-­Verantwortliche fühlen sich überfordert. Früher hatte man eine Firewall, und der IT-Verantwortliche aktualisierte die Anti-Viren-Software. Das reicht heute offensichtlich nicht mehr. Wo kann man da strategisch ansetzen, um nicht wie das Kaninchen vor der Schlange zu sitzen?
Es geht darum, eine Sensibilität, genauer eine Awareness, zu entwickeln, die die neue Qualität der Bedrohungen wahrnimmt, ohne sofort eine Lösung haben zu wollen. Es gibt Seiten wie die von MELANIE (Melde- und Analysestelle Informations­sicherung), die einem hier relativ schnell einen Einblick verschaffen. Gleichzeitig sollte man aber Ruhe bewahren. Die Strategie, panisch etwas über das Knie zu brechen, ist sicher die falsche Vorgehensweise. Wir wollen ja nicht den Stecker ziehen und offline arbeiten.

Was heisst dies nun praktisch?
Es geht um die gut geplante und durchgeführte Risikoanalyse. Ich muss wissen, um was für Daten geht es in meinem Unternehmen und welchen Gefährdungsstatus haben sie. Welche Daten muss ich zum Beispiel, schon aus Datenschutzgründen, besonders schützen? Das sind beispielsweise Personaldaten. Dann gibt es Daten, mit denen ich auf dem Weltmarkt Wettbewerbsvorteile habe oder Patente besitze. Auch solche Daten brauchen sichere Gefässe. So gilt es, unterschiedliche Risikoprofile anzulegen. Es handelt sich meist um wenige zentrale Systeme. Genau dort würde ich dann investieren. Es geht dann mindestens um ein tägliches Backup und die Möglichkeit, die Daten zurückzuspielen. Es braucht zudem auch interne Richtlinien, damit gewährleistet ist, dass nur wenige Mitarbeiterinnen und Mitarbeiter Zugriff haben.

Auf der anderen Seite gibt es nun Daten, die weniger kritisch sind. Nehmen Sie ­beispielsweise die Standardbriefe. Da kann man entspannter reagieren und auch Standardanwendungen zum Zug kommen lassen, die ja nicht schlecht sind.

Sind solche Argumentationsfiguren zum Thema strategische Risikobeurteilung bisher nur eine theoretische Aufforderung, oder wird das bei Schweizer KMU-Verantwortlichen wirklich gelebt?
Insbesondere bei den KMU haben wir, was die professionelle Sensibilität des Themas betrifft, noch einige Luft nach oben. Bei grösseren Unternehmen gibt es ja eine ­eigene IT-Abteilung mit Experten, die meist schon darauf achten, auf der Höhe der Zeit zu agieren. Für kleine Unternehmen sind die Kosten meist zu hoch, und sie vertrauen seit Jahren dem gleichen externen Dienstleister. Für Vergleiche hat man keine Zeit.

Es geht bei so sensiblen Daten um meine innersten Werte im Unternehmen, da brauche ich ja zu solchen Dienst­leistern ein Vertrauensverhältnis.
Da gibt es Dienstleister mit langjähriger Erfahrung, Reputation und auch Kundenbeispielen, denen man sich vertrauensvoll zuwenden kann. Ich würde da auch nicht zu einem Start-up gehen.

Wie geht nun Ihr Haus als wissenschaftliche Einrichtung und Lehranstalt mit dieser Diagnose um, dass Unternehmen hier mehr Engagement investieren könnten?
Wir legen den Fokus auf die Risiken in der Digitalisierungsentwicklung. Wir versuchen nicht, klassische Risk-Management-Strategien zu vermitteln oder Sicherheitsanbietern nachzueifern. Mir gefällt die Aussage «It’s a business not bits». Daran lassen wir uns auch leiten, und dies spiegelt den Aufbau unseres Modells. Die Risiken der Digitalisierung liegen nicht nur bei der klassischen Infrastruktur oder im Cybercrime-Bereich, sondern genauso im Bereich der Reputation, der Märkte und v. a. der neuen digitalen Geschäftsmodelle, die wir in die Analyse mit einbeziehen müssen.

Sie sprechen den Unsicherheitsfaktor Mensch an?
Ja, genau. Aber es geht auch um die Einhaltung von rechtlichen Vorgaben, auch aus dem globalen Raum, was zum Beispiel Big Data betrifft. Es geht nicht nur um die ­bösen Angreifer und IT-Risiken, sondern das ganze digitale Geschäftsmodell muss auf den Prüfstand. Last but not least geht es ja auch immer wieder um neue technologische Entwicklungen, wie der zunehmende Einsatz von Drohnen, die Sicherheitsfragen aufwerfen. Es gibt da ein ganzes Set an Herausforderungen, die wir auf dem Schirm haben müssen und auch strukturiert weitervermitteln wollen. Es gilt, die reine technologische Brille abzusetzen und eine ganzheitliche Bewertung vorzunehmen.

Wie sieht es dann mit der Zusammenarbeit zwischen Unternehmen, staatlichen Institutionen und der Wissenschaft aus?
Es gibt schon einige Plattformen und ­Organisationen, die sich um spezifische Branchen, beispielsweise die Finanzbranche, kümmern. Allerdings belieben die Communities fast immer unter sich. Es fehlt der Blick über den Tellerrand der ­eigenen Befindlichkeit. Sicherheit ist ein Thema, über das man auch von Unternehmerseite nicht gerne spricht …

Man würde ja eigene Defizite thematisieren.
Ja, und es braucht hier sehr viel Vertrauen. Und dann bleibt das doch in einem sehr intimen Rahmen. Das ist eine schwierige Situation.

Lassen Sie mich, um hier weiterzukommen, nochmals das Stichwort von der Awareness aufgreifen. Die Sicherheits­fragen sollten in den Geschäftsführeretagen grundsätzlich mehr Aufmerksamkeit bekommen. Leider hat das Thema immer noch eine rein technologische Aufmerksamkeitsseite, die dann gerne in die IT-Abteilung delegiert wird. Es muss aber dazu kommen, dass es einen Digital-Risk-Officer gibt, der auf ­Augenhöhe mit der Geschäftsführung agiert. Er muss einerseits die gesamte Risikopalette im Auge haben und gleichzeitig den Risikoappetit der Geschäftlseitung kennen. Im Digitial Risk Management geht es nicht nur um Minderung, sondern gleichermassen auch um bewusstes Eingehen von Risiken, damit die Chancen der Digitalisierung genutzt werden können.

Weitere Informationen:
www.fh-hwz.ch