Dieser Beitrag richtet seinen Blick zwei Jahre in die Zukunft und skizziert diewesentlichen Sicherheitsbedrohungen für die Informations- und Kommunikations-technologien der Unternehmen in Deutschland. Drei Bereiche rücken ins Zentrumdes Interesses: Gefahren von außen, Bedrohungen innerhalb der Organisationenund Auswirkungen staatlicher Regulierung. Ziel ist, die oft vernachlässigten orga-nisatorischen Herausforderungen hervorzuheben, mit denen sich Institutionen allerArt konfrontiert sehen. Eine bloße Situationsbeschreibung würde jedoch zu kurzgreifen. Erste organisatorische Lösungsansätze haben sich über Best-Practice-Erfahrungswerte herausgebildet. Sie werden nach jedem Sinnabschnitt kurz angerissen.Für viele Unternehmen bedeuten diese Lösungen nur den ersten Schritt hin zu einemnachhaltig angelegten Informationssicherheits-Managementsystem.
Unternehmen, Behörden, Institutionen aller Art sehen sich im Jahr 2012 mit immer neuen undsich schnell wandelnden Bedrohungen für ihre IT Infrastruktur konfrontiert – das Rückgrat ihrerUnternehmungen. Die Geschäftsleitung muss nicht selbst ein IT-versierter Spezialist sein, umalle Gefahren für seine Organisation zu erkennen und zu verstehen. Jedoch muss die Unter-nehmensführung sich der strategischen Herausforderungen bewusst sein. Sie muss anfangen,über Jahre vorauszudenken. Den Blick über den Tellerrand des Jahres 2012 zu wagen, bedeutetnicht im Informationsrauschen der heutigen Zeit zu versinken. Vielmehr müssen Unternehmensystematisch Bedrohungsszenarien für ihre Geschäftsinformationen identifizieren, dokumentie-ren und die damit verbundenen Risiken in den Griff bekommen. Dieser Artikel gibt ein Beispielfür eine strukturierte Aufbereitung verschiedener Sicherheitsthemen, die sich in der Gegenwartals kritisch herauskristallisieren und in wenigen Jahren Wirtschaft und Staat in vollem Umfangbeschäftigen werden. Wie trifft man bei der Vielzahl der Themen nun eine Auswahl – wieunterscheidet man Wichtiges von Unwichtigem? Zunächst sollte sich jeder im Klaren darübersein, dass er nicht allein dasteht. Um die Herausforderungen für die Unternehmenssicherheitzu meistern, sollte man sich Verbündete suchen. Eines der etablierten internationalen Foren zurInformationssicherheit bildet das Information Security Forum (ISF). Das ISF ist nichts wenigerals der Zusammenschluss von einigen der größten Unternehmen weltweit. Über Konferenzen,Workshops und einen ganzjährigen, online-basierten ständigen Austausch zwischen den Mit-gliedern hat sich über die letzten zwanzig Jahre ein wertvoller Erfahrungspool angesammelt.Mit Hilfe dieses Wissensbestands lässt sich die Spreu vom Weizen der Sicherheitsthemen tren-nen. Im Nachfolgenden erhält der Leser einen ersten Einblick in die Analysen und möglichenHandlungsempfehlungen, die diese Gemeinschaft von Informationssicherheits-Experten ange-sichts zukünftiger Sicherheitsprobleme zusammengestellt hat (ISF, 2012). Ergänzt werden die-se Ausführungen durch Verweise auf aktuelle Informationssicherheitsvorfälle, von denen dieeinen mehr, die anderen weniger bekannt sind. Betroffen sind am Ende alle: die Wirtschaft, derStaat und der einfache Bürger.Die verschiedenen Bedrohungen der nächsten Jahre lassen sich grob drei Bereichen zuordnen:
In seiner letzten Cyber-Crime-Studie von 2010 zeigt das Bundeskriminalamt, wie die Zahl derStraftaten im Bereich Informations- und Kommunikationstechnologie jährlich um fast 20 Prozentansteigt. Unterteilt in einzelne Delikte ist im Bereich „Ausspähen/Abfangen von Daten“ eineSteigerung von 32 Prozent festzustellen (BKA, 2010). Diese Verbrechen machen auch vor demKonkurrenzkampf in der Wirtschaft nicht halt. Cyber-Spionage hat bereits heute einen hohenProfessionalisierungsgrad erreicht und immer wieder geraten gezielt Führungskräfte ins Faden-kreuz der Angreifer.Deutlich öfter als bei uns tauchen in den USA immer wieder Meldungen auf wie z. B.Anfang Mai 2012 als eine groß angelegte Cyber-Attacke gegen Gaspipeline-Unterneh-men ausgeführt wurde. Die Angreifer versuchten mit sorgfältig ausgearbeiteten „Spear-Phishing“-Attacken in die Netzwerke der Unternehmen einzudringen (USA Today, 2012).Im Gegensatz zum „Phishing“ – einer wahllosen Spam-Attacke, um Internet-Nutzer aufverseuchte Webseiten zu locken oder sie zum Öffnen gefährliche Anhänge zu überre-den – ist „Spear-Phishing“ der auf eine spezifische Person abgestimmte Angriff, weil maneine entscheidende Schwachstelle der IT Systeme ausnutzen will. Hierzulande nimmt dieÖffentlichkeit noch sehr selten Notiz von Angriffen auf die nationalen Infrastrukturen. DieSituation in Amerika gibt aber einen Vorgeschmack auf die kommenden Jahre.Die Häufigkeit, die Komplexität und Wirkung externer Angriffe werden steigen undUnternehmen müssen darauf schneller und effektiver reagieren. Kriminelle Angriffe nehmenalles was von Wert ist ins Visier: Bankdaten, geistiges Eigentum und selbst Informationenüber den Emissionshandel. Menschen und die mit ihnen verwobenen Prozesse werden atta-ckiert. Letztes Beispiel ist der Diebstahl von Passwörtern des sozialen Netzwerks „LinkedIn“,das vor allem berufliche Netzwerke ermöglichen soll. Nach Meinung von Sicherheitsexpertenhatte der Hackerangriff gezielt die Passwörter und nicht die „LinkedIn“-Profile im Blick. Wer-den die Passwörter nämlich auch für andere Seiten genutzt, sind z. B. Bankdaten gefährdet(NYT, 2012). Das weltweit für die Wirtschaft und Regierungen Verschlüsselungstechnikenbereitstellende Unternehmen RSA wurde auf diese Weise gehackt, verursachte ein enormesSicherheitsproblem für all seine Kunden und musste einen schweren Reputationsschadeneinstecken (NYT 2011). Letztes Ziel eines anderen Angriffs wurde Ende Juni Digital Bond,eine amerikanische Firma, die Sicherheitstechnik für Industriesysteme anbietet. Nur der ge-schulte Blick des betroffenen Mitarbeiters und sein sicherheitsversiertes Verhalten verhinder-ten einen Einbruch über eine höchst aufwendig zusammengestellte Spear-Phishing-E-Mail(arstechnica, 2012).
Neben den externen Bedrohungen erwarten das Unternehmen zugleich weitere Heraus-forderungen: einerseits möchte man mit der Geschwindigkeit der technischen Entwicklungmithalten, andererseits sind es die Mitarbeiter, die diese technische Entwicklung mit ihrenFähigkeiten tragen müssen. Hier gilt das amerikanische Sprichwort: „A fool with a tool isstill a fool.“ Und oft genug kann es eines der schwächsten Glieder sein, welches die Brückezum Einsturz bringt.Auch darf nicht die menschliche Schwäche ausgeblendet werden, die im bekannten “FraudTriangle” versinnbildlicht ist. Neue Chancen und Arbeitsprozesse durch innovative Techniken undOrganisationsformen wecken womöglich Begehrlichkeiten, die sich allzu leicht in Betrug undKorruption niederschlagen können.Führen Unternehmen neuartige IT-Systeme ein ohne den ständigen Rat von Experten zusuchen, sind negative Konsequenzen auf die Geschäfte fast vorprogrammiert. In dieser Situationwerden die existierenden Sicherheitsvorkehrungen völlig nutzlos und die Geschäftsprozesse sindden Gefahren schutzlos ausgeliefert.Ähnliches gilt für kurzfristig profitable Entscheidungen zum Outsourcing der IT. Ohne kla-re strategische Idee und ohne den Input der IT und der Sicherheitsverantwortlichen wird dasOutsourcing am Ende meist kostspieliger. Denn man erschafft ein komplexeres IT-Umfeld, dasschwieriger zu beschützen ist. Zudem besteht das Risiko, unternehmensinternes Fachwissen undintime Kenntnisse spezifischer Systeme zu verlieren. Ohne dieses Wissen werden auch die Risikenunklar.
Zusätzlich zu den externen und internen Bedrohungen bewegt sich die Wirtschaft auch in einemnationalstaatlichen und internationalen Rahmen. Hier erwartet die Unternehmen eine Vielzahl vonHerausforderungen. Unklare und sich ständig ändernde gesetzliche Anforderungen machen es schein-
bar einfach, den schwarzen Peter staatlichen Akteuren zuzuschieben. Zu oft findet sich aber natürlich keineinzelner „böser Staat“, keine kollektiv zielgerichtet handelnde Bürokratie. Dennoch führt die Verkettungvon Gesetzgebung, Rechtsprechung und Verwaltungsakten zu jenen Belastungen, die sich in derunzureichenden oder überbordenden Regulierung der Wirtschaft widerspiegeln.Die schlimmsten Dinge passieren oft mit den besten Absichten. Immer öfter müssen nichtnur die Sicherheitsvorfälle en Detail beschrieben, sondern auch Auskünfte über die zugrunde lie-gende Sicherheitsstruktur gegeben werden. Für Angreifer sind dies wertvolle Informationen, zu-mal wenn mehrere Unternehmen ähnliche Schwachstellen berichten und diese publik werden.Wie lassen sich die Kosten für Compliance sinnvoll unter Kontrolle halten ohne wegen schwa-cher Sicherheitsvorkehrungen mittel und langfristig große Reputationsschäden zu riskieren?Es gibt Licht am Ende des Tunnels: Deutlich kommunizierte Sicherheitsrisiken können dasnotwendige Budget freimachen, um die gesuchten Lösungen zu finden. Eine sichere Art im Um-gang auch mit kleineren Vorfällen und das Vorzeigen einer „State of the Art“ Sicherheitsinfra-struktur wird das Vertrauen der Geschäftspartner und Kunden enorm steigern und zugleich neueInvestitionsmöglichkeiten eröffnen.
Arstechnica (2012). James Bond-style malware targets firm that secures industrial systems; Abgerufen am 13. Juni 2012 von http://arstechnica.com/security/2012/06/james-malware-targets-industrial-systems-experts/. Bundeskriminalamt (2010). Cybercrime Bundeslagebild 2010; Abgerufen am 12. Juni 2012 von http://www.bka.de/nn_205960/DE/Publikationen/JahresberichteUndLagebilder/jahresberichteUndLagebilder__node.html?__nnn=true. Information Security Forum (2012). Threat Horizon 2014. Managing risks when threats collide; Abgerufen am 11. Mai 2012 von www.securityforum.org. NYT (2011). RSA Security faces angry user over breach; Abgerufen am 13. Juni 2012 von http://www.nytimes.com/2011/06/08/business/08security.html?ref=computersecurity. NYT (2012). LinkedIn breach exposes light security even at data companies; Abgerufen am 12. Juni 2012 von http://www.nytimes.com/2012/06/11/technology/linkedin-breach-exposes-light-security-even-at-data-companies.html?ref=computersecurity. USA Today (2012). Natural gas pipelines under cyber attack since December; Abgerufen am 13. Mai 2012 von http://content.usatoday.com/communities/ondeadline/post/2012/05/natural-gas-pipelines-under-cyber-attack-since-december/1.
Prof. Dr. Dirk LoomansFachhochschule Mainz,Fachbereich Wirtschaft,55128 Mainz