Es ist wichtig, einen kühlen Kopf zu bewahren, nicht in Panik zu geraten und Beweise zu sammeln. Und seien Sie vorbereitet.
In der heutigen Online-Welt ist es unmöglich, die Kontinuität Ihres Unternehmens ohne Investitionen in die Cybersicherheit zu gewährleisten. Dennoch rangieren sie bei den Unternehmen am Ende ihrer Investitionsprioritäten. Nur wenige Führungskräfte sind sich darüber im Klaren, dass es Jahre dauern kann, bis die Folgen von Angriffen auf den Ruf und die Finanzen behoben sind. Erfahren Sie mehr in unserem Interview mit dem Cybersecurity-Experten Lubomir Kopacek.
Wie gehen slowakische Unternehmen mit dem Thema Cybersicherheit um?
Die meisten befassen sich erst mit diesem Thema, wenn es zu spät ist. Meistens dann, wenn ein Unternehmen bereits mit einem Angriff konfrontiert wurde, gesetzlichen Vorschriften unterliegt, eine Muttergesellschaft im Ausland hat oder eine Cybersicherheitsanforderung von seinen Geschäftspartnern erfüllen muss. Es muss gesagt werden, dass die Situation in Unternehmen mit ausländischer Beteiligung, in denen Cybersicherheit ernst genommen wird, deutlich besser ist. Dies gilt insbesondere für Unternehmen mit Ursprung in Deutschland und Frankreich.
Ist die Situation in staatlichen Einrichtungen ähnlich?
Diese versuchen überwiegend nur, die Anforderungen des Cybersecurity Act formell zu erfüllen. Seit dessen Inkrafttreten leben sie in der Illusion, dass das Thema nach dem Audit für sie abgeschlossen ist. Sie sind sich nicht darüber im Klaren, dass das Audit in regelmäßigen Abständen wiederholt werden wird und dass die Cybersicherheit daher systematisch verwaltet werden muss.
Vielen Führungskräften fehlt der Einblick in die Problematik von Cyberangriffen. Welchen Rat würden Sie ihnen geben?
Der Umzug vom Nullpunkt ist oft der schwierigste Teil. An dieser Stelle müssen Sie um Hilfe und Unterstützung bitten. Zunächst ist es wichtig, das Ausmaß der Bedrohung zu kennen, zumindest in groben Zügen. Zu diesem Zweck empfehle ich das einfache Tool„Data at Risk?„. Sie beantworten 10 kurze Fragen in 5 Minuten und erhalten dann eine Einschätzung, die Ihnen zeigt, wie Sie das Problem angehen sollten. Am wichtigsten ist jedoch, dass es Ihnen die nächsten Schritte zur Lösung des Problems aufzeigt.
Was ist das Motiv der Angreifer, wenn sie es auf Unternehmen und Organisationen abgesehen haben?
Es gibt kein einheitliches Motiv, aber die häufigsten Motive sind Geld und Schaden für die Organisation.
Können Sie angeben, wie viele Angriffe auf slowakische Unternehmen und staatliche Einrichtungen im Jahresdurchschnitt erfolgen?
Das kann ich nicht. Die Betroffenen zögern, die Angriffe zuzugeben, da sie darin ein Reputationsrisiko sehen und einen Imageschaden fürchten. Staatliche Einrichtungen und Organisationen, die unter das Cybersicherheitsgesetz fallen, sind gesetzlich verpflichtet, schwerwiegende Vorfälle an eine Behörde zu melden, in diesem Fall die Nationale Sicherheitsbehörde. Diese Informationen unterliegen jedoch der Vertraulichkeit und daher erfährt niemand außer der betroffenen Institution und der NSA davon.
Gibt es Einrichtungen, die keinen Cyberangriffen ausgesetzt sind?
Wenn ein Unternehmen so denkt, dann ist das eine Utopie und ein klarer Beweis dafür, dass es keinerlei Transparenz hat. In Wirklichkeit wissen sie nichts von irgendwelchen Vorfällen, weil sie nicht in der Lage sind, sie zu identifizieren. Vorfälle gibt es ausnahmslos bei jedem Unternehmen und jeder staatlichen Einrichtung. Nach dem, was Sie sagen, klingt es so, als würden slowakische Einrichtungen der Cybersicherheit nicht genug Aufmerksamkeit schenken. Obwohl sie in der heutigen Online-Welt unerlässlich ist, um die Kontinuität ihres Geschäftsbetriebs zu gewährleisten. Meistens halten sie es für eine unnötige Investition. Sie sind sich nicht darüber im Klaren, dass sie wertvolle Daten und sensible Informationen verlieren können, dass ihr Produktionsprozess gefährdet sein kann und dass auch der Verlust der Glaubwürdigkeit gegenüber Kunden oder Lieferanten, die sie sich über Jahre hinweg aufgebaut haben, auf dem Spiel steht. Fähige Führungskräfte wissen sehr wohl, wie schwierig es ist, ein Unternehmen aufzubauen, und sie können sich sicher vorstellen, dass es noch schwieriger wäre, ihren Ruf nach einem solchen Vorfall wiederherzustellen. Viele Unternehmen wenden sogar eine Strategie an, bei der sie den Schaden in einem Worst-Case-Szenario berechnen, diese Zahl mit dem Betrag vergleichen, den sie in die Cybersicherheit investiert haben, und entscheiden, dass der potenzielle Schaden auf einer einmaligen Basis akzeptabel ist. Das mag aus rein wirtschaftlicher Sicht sinnvoll sein. Ja, aber es hat Schönheitsfehler. Das Worst-Case-Szenario kann wieder eintreten, und zwar mehr als einmal. Es wird sich so lange wiederholen, bis ein Unternehmen damit beginnt, die Cybersicherheit proaktiv so zu verwalten, dass Angriffe verhindert werden können. Hier macht die wirtschaftliche Betrachtungsweise nicht so viel Sinn. Vorfälle können auch für Unternehmen verheerend sein.
Was muss sich ändern, damit moderne Manager in der Lage sind, Zwischenfälle zu verhindern?
Idealerweise hätten Unternehmen ein echtes Interesse daran, sich mit der Cybersicherheit zu befassen, ohne dass sie dazu aufgefordert werden. Dies ist jedoch nicht der Fall. Es bedarf eines Umdenkens und der Ausbildung von Managern, denn kein Manager lässt sich einfach aufklären und sagen: Lasst uns 5 Prozent des Gewinns für Cybersicherheit ausgeben. Sie müssen sowohl über die Bedrohungen als auch über die Schutzmöglichkeiten Bescheid wissen, damit das Management nicht einen Disaster Recovery (DR) Plan aktivieren muss, der den Betrieb des Unternehmens wieder zum Laufen bringt. Kurz gesagt, es muss von einem reaktiven Ansatz zu einem proaktiven Ansatz übergehen.
Sie sprachen über den Notfallwiederherstellungsplan, der ein wesentlicher Bestandteil des Business Continuity Plan (BCP) ist. Aber was bedeutet das im Zusammenhang mit der Cybersicherheit?
Es ist notwendig, verschiedene Szenarien vorzubereiten und vor allem regelmäßig zu testen, die sich auf den Betrieb und das Überleben der Organisation im Rahmen verschiedener „Katastrophen“ auswirken. Ein aktuelles Beispiel ist die obligatorische Telearbeit. Da das Homeoffice vom Staat vorgeschrieben wurde, kann man dies aus geschäftlicher Sicht als Katastrophe bezeichnen. Wenn ein Unternehmen einen Plan hat, um z.B. mit einem totalen und längeren Stromausfall fertig zu werden, kann es diesen Plan auch für die verpflichtende Heimarbeit aktivieren, denn es handelt sich um genau dasselbe. Wenn ein Unternehmen über einen längeren Zeitraum keinen Strom hat, kann es auch einfach die meisten Mitarbeiter nach Hause schicken. Um diesen Ausfall zu überstehen, muss das Unternehmen ein Szenario für die Organisation der Heimarbeit bereithalten und testen. Die gute Nachricht ist, dass man nichts auf eigene Faust erfinden muss, wenn es um Cybersicherheit geht, denn es gibt Normen und internationale Standards, die uns Schritt für Schritt bei der Erstellung eines BCP beraten, wie man solche Pläne erstellt.
Was muss also in einem Business Continuity Plan berücksichtigt werden?
Selbst ein paar Dutzend Seiten würden für eine detaillierte Antwort nicht ausreichen. Die kurze Zusammenfassung: Es ist wichtig, Pläne zu haben, damit die nicht verwaltete Cybersicherheit nicht zu einem Mittel wird, die Auswirkungen einer Katastrophe zu verstärken. Ein konkretes Beispiel ist, dass Unternehmen es vermeiden sollten, Mitarbeiter im Falle einer erzwungenen Telearbeit von zu Hause aus an ihren Heimcomputern arbeiten zu lassen. Der Grund dafür ist einfach. Das Unternehmen hat keine Kontrolle über diese Computer und sie könnten zu einem Mittel für einen Cyberangriff auf das Unternehmen werden.
Unterscheiden sich die Pläne und das Niveau der Sicherheit gegen Cyberangriffe je nach Größe, Art oder Schwerpunkt des Unternehmens?
Ja, natürlich. Sie brauchen eine Sicherheit, die darauf zugeschnitten ist, ob es sich um ein Finanzinstitut, ein Online-Geschäft oder um ein Unternehmen aus der Industrie und dem verarbeitenden Gewerbe handelt. Es gibt nicht nur Unterschiede zwischen den einzelnen Sektoren, auch das Sicherheitsniveau ist von Unternehmen zu Unternehmen unterschiedlich. Es sollte dem Zweck und den wirtschaftlichen Möglichkeiten des Unternehmens angemessen sein. Dies kann klar festgelegt werden. Die Kunst besteht darin, die Proportionalität zwischen der Höhe der Investitionen und dem potenziellen Schaden zu finden. Es gilt jedoch für alle, dass Daten am wertvollsten sind, und in diesem Fall ist es unerheblich, um welchen Sektor es sich handelt.
Wie sollte also die Vorbereitung auf einen Cyberangriff aussehen?
Wir müssen in der Lage sein, auf einen Angriff zu reagieren und ihn im Idealfall zu verhindern. Man kann sich an etwas orientieren, das sich bewährt hat, und wenn wir uns daran halten, sind wir eher in der Lage, auf einen Angriff zu reagieren. Ich spreche zum Beispiel von ISO 27001 oder dem Dekret 362/2018 und anderen geeigneten Standards.
Ist es möglich, den Angriff am Ende zu stoppen?
Nur wenn wir in der Lage sind, ihn zu erkennen und über die Leute und Mittel verfügen, um ihn zu stoppen oder zumindest seine Auswirkungen abzuschwächen. In der Praxis würde ich Managern in einer solchen Situation raten, einen kühlen Kopf zu bewahren, nicht in Panik zu geraten und so viele Beweise wie möglich zu sammeln. Wenn sie die Sache nicht selbst in die Hand nehmen können, sollten sie ein spezialisiertes Unternehmen mit der Abwicklung des gesamten Vorgangs beauftragen. Es ist sicherlich nicht ratsam, dies allein zu tun.
Wie lautet Ihre abschließende Empfehlung?
Warten Sie nicht auf irgendetwas! Ich werde mich wiederholen, aber jedes einzelne Unternehmen ist gefährdet, und nur wenige sind darauf vorbereitet. Ein kleiner Schritt ist besser als nichts zu tun. Für den Anfang empfehle ich das bereits erwähnte einfache Tool„Data at Risk?„.
