Die Bedrohungen aus dem Cyber-Raum sind real. Die Anzahl der Attacken nimmt stetig zu, womit auch die Wahrscheinlichkeit, Opfer eines Angriffs zu werden, rasant ansteigt. Je nach Abhängigkeit von der ICT kann eine Unternehmenstätigkeit vollständig zum Stillstand gebracht werden – mit allen Konsequenzen, die damit verbunden sind. Keine Branche und kein Unternehmen kann sich heute vor Angriffen sicher wähnen. Der Cyber-Sicherheit wird deshalb vermehrt auch bei Verwaltungsräten und Geschäftsleitungen eine hohe Priorität eingeräumt.
Verfügbarkeit, Vertraulichkeit und Integrität, die Basiswerte der Informationstechnik, bilden das Fundament für einen sicheren Betrieb. Die wirksame Abwehr gezielter Angriffe gegen diese Basiswerte von Geschäftsprozessen und Daten stellt eine der aktuell grössten Herausforderungen im Risikomanagement dar.
Wirksame Abwehr
Wohl unbestritten ist, dass dies in Abhängigkeit des individuellen Schutzbedarfs und des Risikoappetits einer Organisation festgelegt werden muss. Die Notwendigkeit und der Umfang solcher Massnahmen ergibt sich daher insbesondere aus der Verwundbarkeit, aus der Cyber-Sicherheits-Exposition einer Organisation. Ganz wesentlich ist deshalb, dass die Verantwortlichen die Exposition kennen und diese auch regelmässig hinterfragen. Nur ein gezieltes und konsequentes Vorgehen ermöglicht geeignete Massnahmen zu definieren sowie das Abwehrdispositiv zeitnah den sich laufend verändernden Anforderungen anzupassen.
Die Cyber-Sicherheits-Exposition lässt sich aus mehreren Faktoren ableiten. Einer der wesentlichsten Faktoren ist gewiss die Attraktivität einer Organisation hinsichtlich Erpressungspotenzial. Je grösser der Wert und die Bedeutung der Infrastruktur oder je sensitiver und schützenswerter die Daten, umso höher wird die Exposition eingestuft. Es lohnt sich demnach, diesen Wert der Verwundbarkeit zu ermitteln. Er hilft den Verantwortlichen, das Risikopotenzial festzulegen folglich das anzustrebende Sicherheitsniveau zu bestimmen.
Hinsichtlich gezielten oder zufälligen Cyberangriffen bildet er zudem ein verlässliches Mass für die Wahrscheinlichkeit, in den Fokus oder ins Beuteschema von Angreifern zu geraten. Dabei sind insbesondere jene Täterkreise von Bedeutung, denen es eben nicht um ungerichtete Streuangriffe gegen mehr oder minder wahllose Ziele geht, sondern die es vielmehr sehr gezielt auf eine bewusst ausgewählte Organisation mit hoher Exposition abgesehen haben.
Nicht ganz unwesentlich für die erfolgreiche Durchführung eines Angriffes ist die Frage, wie transparent sich eine Organisation gegen innen und aussen präsentiert. Als schwächstes Glied in der Sicherheitskette werden nach wie vor die eigenen Mitarbeiter betrachtet. Zudem geben Art und Umfang öffentlich zugänglicher Informationen, beispielsweise im E-Mail-Verkehr, im Internet, in den sozialen aber auch in den Print-Medien sehr oft brauchbare Hinweise für Cyber-Attacken.
Gut und beruhigend zu wissen ist, dass ein koordiniertes Zusammenspiel von wirkungsvollen Massnahmen sehr wohl in der Lage ist, auch gezielte Angriffe deutlich zu erschweren. Basis dazu ist das Wissen um die eigene Verwundbarkeit, die Cyber-Sicherheits-Exposition, und die daraus abgeleiteten effektiven und umgesetzten Massnahmen.
