cybersecurity, cyber-risikomanagement
iStockphoto/BlackJack3D
Digitalisierung Editorial Sicherheit

Cyber-Risikomanagement statt Cyber-Sicherheit

23.09.2022
von SMA
Arié Malz ISSS Co-Präsident

Arié Malz
ISSS Co-Präsident

 

Angelo Mathis ISSS Vorstandsmitglied

Angelo Mathis
ISSS Vorstandsmitglied

Schlagzeilen über Hackerangriffe sind so alltäglich geworden, dass sie nur noch bedingt unsere Aufmerksamkeit fesseln. Die Gewöhnung täuscht darüber hinweg, dass die Cyberrisiken und das Schadensausmass zunehmen. Daten werden gestohlen, verändert, erpresst. Eine Vielzahl von betrügerischen Angriffsmethoden wie Phishing kommen zum Einsatz. Hochrechnungen gehen davon aus, dass die Cyberkriminalität längst mehr Geld umsetzt als der weltweite Drogenhandel. Viel mediale Aufmerksamkeit erhielten in letzter Zeit Ransomware-Angriffe: Der Angreifer kompromittiert dabei ein System, verschlüsselt alle Daten und erpresst für deren Entschlüsselung ein Lösegeld.

Weitaus schwerwiegender ist aber die Tendenz zum Datendiebstahl: Der Angreifer schleicht sich ins System und kopiert heimlich alle Daten. Oft bemerkt das Opfer erst sehr viel später, wenn überhaupt, dass es angegriffen worden ist. Wir sehen zunehmend, dass beide Angriffsformen kombiniert werden: Die Ransomware dient dazu, vom eigentlichen Angriff, der Datenentwendung, abzulenken.

Staaten, kritische Infrastrukturen, Unternehmen aller Grössen und Privatpersonen sind das Ziel dieser Angriffe. Im Cyberraum kann jedes Unternehmen Opfer eines Angriffs werden: Wenn nicht direkt, dann durch seine Zulieferer oder Kunden. Diese Entwicklung ist nicht zuletzt das Resultat einer zunehmenden Professionalisierung und Arbeitsteilung bei den Angreifern. Dank «Cyber-Attack as a Service» finden selbst technisch unbedarfte Akteure ausgeklügelte und massgeschneiderte Dienstleistungen im Darknet, um einen Cyberangriff auszuführen. Die Angebotsvielfalt ist eindrücklich: Für 20 Dollar pro Stunde kann man bereits schlagkräftige Infrastrukturen mieten.

Mittlerweile ist viel Cyber-Awareness da, oft auch eine Grundhygiene an IT-Sicherheitsmassnahmen. Angesichts immer raffinierterer Angriffe reicht dies jedoch je länger, desto weniger aus. So stellt sich die Frage: Was ist zu tun? Und vor allem: Was davon ist verhältnismässig und bezahlbar?

Kein Unternehmen kann sich dem Konkurrenzkampf im Bereich der Innovation durch Digitalisierung entziehen. Die Folge ist eine zunehmend grössere Cyberangriffsfläche. Standardisiertere, einfachere, cloud-basierte und vor allem kostengünstige Hard-Software haben diese Entwicklung befeuert. 

Die IT-Sicherheit dagegen hat nicht Schritt halten können: Sie ist weniger standardisiert, weniger automatisiert und entsprechend teuer. Diese IT-Sicherheitslücke wurde nicht geschlossen, sondern gleichsam als vermeintliche Dividende der Digitalisierung einkassiert. In die Sprache des Risikomanagements übersetzt wurde das ganze IT-Risiko als «Restrisiko» stehen gelassen.

Mehr IT-Risikomanagement tut deshalb Not. Dabei darf nicht vergessen gehen: Die viel zitierte IT- Sicherheit gibt es nicht, nur die Möglichkeit, IT-Risiken gezielt zu reduzieren. IT-Nutzer müssen ein ausgewogenes Verhältnis finden zwischen der Investition in spezifische IT-Sicherheitsmassnahmen und denjenigen Geschäftsrisiken, die durch den Einsatz von IT verursacht werden. Diese IT-Risiken sind als Teil der operationellen Risiken zu verwalten. Was unter die Risikoakzeptanz fällt und was nicht, ist sorgfältig abzuwägen.

Dazu braucht es auch mehr Informationsaustausch. Wir müssen eine partizipative Sicherheit schaffen, in der die Opfer von Cyberangriffen ihre Erfahrungen und ihr Wissen teilen. So können wir gemeinsam weitere Angriffe vereiteln. Der Mut der Betroffenen, den Hackerangriff nicht zu verheimlichen, sondern offen zu kommunizieren, muss auf ein positives Umfeld stossen. Nicht die Opfer sind zu beschämen, sondern die Täter. Sie sind die Bösen!

Text Arié Malz, ISSS Co-Präsident, Angelo Mathis, ISSS Vorstandsmitglied

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.

Vorheriger Artikel «Cyberkriminalität wird immer aktuell bleiben»
Nächster Artikel Gefahr von Cyberangriffen auf vernetzte Medizinprodukte