Das inhärente Cyberrisiko verstehen
Um sich vor Angriffen aus dem Internet zu schützen, sollten Firmen möglichst alle Risikofaktoren ermitteln. Je nach beispielsweise Branche, Unternehmensstandort und Technikkultur eines Landes gibt es charakteristische Besonderheiten zu beachten - die inhärenten Risiken.
Bild: ©KanawatVector/stock.adobe.comDurch Digitaltechnik in der Produktion werden neben dem eigenen Unternehmen häufig auch die Zulieferer, Partner und Kunden digital in das Unternehmensnetz und in die Prozesse integriert. Diese zusätzliche Verknüpfung macht das Unternehmen jedoch auch angreifbarer. Für die Anwender von industriellen Kontrollsystemen (IKS) offenbarte sich diese neue Realität im Jahr 2010, als der Stuxnet-Wurm in der iranischen Atomanlage in Natanz entdeckt wurde. Seitdem haben Experten eine wachsende Anzahl von Schwachstellen in diesen Systemen aufgedeckt. Umso wichtiger ist es für Unternehmen, ein Verständnis für diese Bedrohungslage zu entwickeln, während die Versicherungswirtschaft wiederum viel darüber nachgedacht hat, wie die neuen Risiken abzudecken sind.
Management von IKS-Risiken
Obwohl bislang noch keine schwerwiegenden Verluste durch IKS-Cyberangriffe bekannt geworden sind, zeigen dokumentierte Attacken eindeutig das Ausmaß der Bedrohung, wenn solche Infrastrukturen in den Fokus geraten. Für IKS-Betreiber ist das Management dieser sich abzeichnenden Risiken entscheidend. Hierzu gehört das Erkennen und Absichern von Schwachstellen, das Verstehen der Bedrohungen und die Wahl geeigneter Schritte zur Abwehr von Cyberangriffen. Darüber hinaus geht es um die Identifizierung von Schlüsselpersonen innerhalb eines Unternehmens, die mit dem IKS arbeiten müssen. Hier sollte sichergestellt sein, dass sie über Cyberrisiken und die Einhaltung von Best Practices zur Gefahrenabwehr informiert sind. Auch die Festlegung von physischen und logischen Kontrollen für den Zugang zu Schlüsselsystemen und Sicherheitsbereichen ist ein wichtiger Aspekt. Es zeigt sich deutlich, dass unterschiedliche Unternehmen und Organisationen unterschiedlich stark von Cyberrisiken betroffen sind. Für produzierende Unternehmen ist die steigende Vernetzung im Rahmen von Fertigungs- und Logistikketten ein wesentlicher Bestandteil einer umfassenden Risikoanalyse. Doch noch zahlreiche andere Aspekte spielen eine Rolle, wenn das individuelle inhärente Cyberrisiko evaluiert und daraus ein Risikoprofil erstellt werden soll.
Inhärentes Cyberrisiko messen
Unternehmen, die sich vor Angriffen aus dem Internet schützen wollen, sollten mit Hilfe eines technischen Ansatzes ihr Cyberrisiko identifizieren, um Verluste zu vermeiden. Um das individuelle Gefährdungspotential zu ermitteln, ist das inhärente Risiko von Belang. Es beschreibt die Risikoanfälligkeit sowohl von Unternehmen als auch von Organisationen aufgrund ihrer Branchenherkunft, des Hauptsitzes sowie der Existenz von Niederlassungen bzw. Tochterunternehmen im Ausland.
? Branchenherkunft
Wie Angreifer aus dem Internet Unternehmen attackieren, unterscheidet sich von Branche zu Branche. Die Industriezugehörigkeit bezieht sich hauptsächlich auf die Geschäftstätigkeit und die Art, wie dieses Unternehmen Umsatz generiert. Ein weiterer Aspekt, der hier eine Rolle spielt, ist die Ansiedlung seiner wichtigsten Unternehmenswerte. Ein Beispiel aus der Praxis: Für einen namhaften Brausehersteller sind primär die Rezepte für die Getränke relevant. Gelangen diese durch einen Cyberangriff in die Hände Unbefugter, werden die Wettbewerbsfähigkeit, das Urheberrecht und die Markenreputation negativ beeinflusst. Es müssen also nicht immer finanzielle Werte als schutzwürdig erachtet werden. Bei kritischen Infrastrukturen (KRITIS) - zu denen auch Energieversorger gehören - legen es Hacker eher darauf an, dass die Energieversorgung destabilisiert wird.
? Hauptsitz des Unternehmens
Diejenigen Unternehmen, deren Muttergesellschaft in einer Industrienation ihren Sitz hat, profitieren von der guten Qualität der digitalen Infrastruktur. Mit ihrer Hilfe können die Verantwortlichen einerseits Innovationen vorantreiben und die Produktivität optimieren, andererseits kann dieses gut entwickelte IT-Umfeld dafür sorgen, das inhärente Risiko für Cyberattacken zu erhöhen. Im Hauptsitz eines Unternehmens sind häufig Führung, Finanzen und das Wissen unter einem Dach vereint. Hier ist die Marke besonders produktiv, das Unternehmen ist bekannt und besitzt die größte Sichtbarkeit. Aus diesem Grund kann der Hauptsitz eines Unternehmens bei Angriffen aus dem Internet unter Umständen stark betroffen sein. In Industrieländern sind außerdem bereits Gesetze zu den Themen Datensicherheit und Cybersecurity entwickelt und etabliert, mit deren Hilfe das Schutzniveau wesentlich gesteigert werden kann. In der gesamten EU wurde beispielsweise am 25. Mai 2018 die Datenschutzgrundverordnung (DSGVO) in Kraft gesetzt, die einen hohen Schutzstandard für personenbezogene Daten von EU-Bürgern festlegt.
? Niederlassungen und Tochterunternehmen
Gerade Unternehmen mit Sitz in Europa sollten ihr Augenmerk auf ihre Niederlassungen und Tochterunternehmen richten, die außerhalb von Europa tätig sind. Vor allem die DSGVO hat maßgeblich dazu beigetragen, die Datenschutzrichtlinien über die Ländergrenzen hinweg zu vereinheitlichen, außerdem drohen bei Verstößen strikte Bußgeldzahlungen. Dennoch ist es unmöglich, ein solches Sicherheitsniveau überall zu etablieren; daher muss die Umsetzung von Compliance-Richtlinien zum Datenschutz ständig überprüft und nachverfolgt werden. Außerdem werden manche Sicherheitsaspekte im Ausland weniger stark beachtet. Doch auch andere Faktoren können einen wesentlichen Einfluss haben, die dazu führen, dass Cyberpraktiken und -gesetze nicht implementiert werden. Zu nennen wären hier finanzielle Gründe, fehlende politische Stabilität, die Gefahr von Terrorismus und Unruhen sowie das Bestehen von sogenannten Hacking Cultures, die die Unzufriedenheit mit einer Situation auf das Internet projizieren.
Resilienz in der eigenen Hand
FM Global setzt zum Schutz vor Cyberrisiken auf ingenieur- und forschungsbasierte Ansätze, um das inhärente Risiko zu definieren. Unternehmen haben die Wahl, die eigene Resilienz gegenüber Cyberattacken zu erhöhen. Deshalb sollten die Prinzipien der Schadensprävention auch in diesem Bereich aktiv eingesetzt werden, um Probleme zu vermeiden oder die negativen Auswirkungen zu minimieren. Zielführend sind vor allem holistische Ansätze, die sowohl die IT-Abteilung als auch das Riskmanagement sowie das Operations Team des Unternehmens einschließen. Dies ist notwendig, um Bedrohungen aus dem Internet zu erkennen und angemessen zu bewerten.
Um sich vor Angriffen aus dem Internet zu schützen, sollten Firmen möglichst alle Risikofaktoren ermitteln. Je nach beispielsweise Branche, Unternehmensstandort und Technikkultur eines Landes gibt es charakteristische Besonderheiten zu beachten - die inhärenten Risiken.
Bild: ©KanawatVector/stock.adobe.comDurch Digitaltechnik in der Produktion werden neben dem eigenen Unternehmen häufig auch die Zulieferer, Partner und Kunden digital in das Unternehmensnetz und in die Prozesse integriert. Diese zusätzliche Verknüpfung macht das Unternehmen jedoch auch angreifbarer. Für die Anwender von industriellen Kontrollsystemen (IKS) offenbarte sich diese neue Realität im Jahr 2010, als der Stuxnet-Wurm in der iranischen Atomanlage in Natanz entdeckt wurde. Seitdem haben Experten eine wachsende Anzahl von Schwachstellen in diesen Systemen aufgedeckt. Umso wichtiger ist es für Unternehmen, ein Verständnis für diese Bedrohungslage zu entwickeln, während die Versicherungswirtschaft wiederum viel darüber nachgedacht hat, wie die neuen Risiken abzudecken sind.
FM GLOBAL
Dieser Artikel erschien in IT&Production Dezember +Januar 2020 2019 - 13.12.19.Für weitere Artikel besuchen Sie www.it-production.com
