• 7 von 10 Industrieunternehmen wurden Opfer von Sabotage, Datendiebstahl oder Spionage in den vergangenen zwei Jahren

Berlin, 13. September 2018 – Kriminelle Attacken treffen Industrieunternehmen besonders hart: Durch Sabotage, Datendiebstahl oder Spionage ist der deutschen Industrie in den vergangenen beiden Jahren ein Gesamtschaden von insgesamt 43,4 Milliarden Euro entstanden. Sieben von zehn Industrieunternehmen (68 Prozent) sind in diesem Zeitraum Opfer entsprechender Angriffe geworden, jedes fünfte Unternehmen (19 Prozent) vermutet dies. Das ist das Ergebnis einer Studie des Digitalverbands Bitkom, für die 503 Geschäftsführer und Sicherheitsverantwortliche quer durch alle Industriebranchen repräsentativ befragt wurden. „Mit ihren Weltmarktführern ist die deutsche Industrie besonders interessant für Kriminelle“, sagte Bitkom-Präsident Achim Berg bei der Vorstellung der Studie in Berlin. „Wer nicht in IT-Sicherheit investiert, handelt fahrlässig und gefährdet sein Unternehmen.“ So wurden in den vergangenen zwei Jahren bei einem Drittel der Unternehmen (32 Prozent) IT- oder Telekommunikationsgeräte gestohlen, bei fast einem Viertel (23 Prozent) sind sensible digitale Daten abgeflossen. „Illegaler Wissens- und Technologietransfer, Social Engineering und auch Wirtschaftssabotage sind keine seltenen Einzelfälle, sondern ein Massenphänomen“, betonte Thomas Haldenwang, Vizepräsident des Bundesamtes für Verfassungsschutz (BfV).

Nicht nur Diebstahl macht der Industrie zu schaffen. Jedes fünfte Industrieunternehmen (19 Prozent) berichtet von digitaler Sabotage von Informations- und Produktionssystemen oder Betriebsabläufen. Weitere 28 Prozent vermuten, dass es solch einen Vorfall bei ihnen gab. Bei 11 Prozent wurde die digitale Kommunikation ausgespäht, beispielweise E-Mails oder Messenger-Dienste. Insgesamt haben digitale IT-Angriffe bei fast der Hälfte der Befragten (47 Prozent) einen Schaden verursacht. Klassische analoge Attacken sind für die Industrie auch ein Thema, fallen aber vergleichsweise weniger ins Gewicht. 21 Prozent der Befragten haben einen Diebstahl von sensiblen physischen Dokumenten, Unterlagen, Mustern oder Maschinen festgestellt, bei 10 Prozent kam es in den vergangenen zwei Jahren zur analogen Sabotage von Informations- und Produktionssystemen oder Betriebsabläufen, z.B. durch die Manipulation von Geräten vor Ort in Unternehmen. Dazu BfV-Vizepräsident Haldenwang: „Neben der klassischen Wirtschaftsspionage beschäftigen uns vermehrt Attacken, bei denen davon ausgegangen werden muss, dass Schadsoftware mit dem Ziel in IT-Systeme eingebracht wird, Sabotage-Akte vorzubereiten“.

Kritische Unternehmensdaten im Visier von Angreifern

Angreifer haben im Rahmen ihrer Attacken unterschiedlich sensible Daten erbeutet. Bei fast der Hälfte (48 Prozent) der betroffenen Industrieunternehmen wurden Kommunikationsdaten wie Emails gestohlen. Bei jedem fünften Unternehmen sind durch digitale Angriffe jeweils Kundendaten (21 Prozent) und Finanzdaten (20 Prozent) abgeflossen. Patente und Ergebnisse aus Forschung und Entwicklung sind bei jedem zehnten Unternehmen (10 Prozent) in kriminelle Hände gefallen. „Viele Unternehmen nehmen das Thema Sicherheit noch zu sehr auf die leichte Schulter, auch weil ihnen das entsprechende Know-how fehlt“, so Berg. „Erster und wichtigster Schritt ist, IT-Sicherheit im Unternehmen zur Chefsache zu machen.“

Dabei stammen die Täter häufig aus den eigenen Reihen. Bei fast zwei Drittel der Betroffenen (63 Prozent) gingen Delikte von ehemaligen oder derzeitigen Mitarbeitern aus. Die Hälfte der geschädigten Unternehmen (48 Prozent) hat Kunden, Lieferanten, externe Dienstleister oder Wettbewerber als Täter identifiziert. Bei drei von zehn (29 Prozent) waren es Privatpersonen oder Hobbyhacker, 17 Prozent der Betroffenen berichten von organisierter Kriminalität, jedes neunte betroffene Unternehmen (11 Prozent) gibt ausländische Nachrichtendienste als Täter an.

Aufmerksame Mitarbeiter als effektivster Schutz

Mitarbeiter sind es, die auf der anderen Seite aber auch dafür sorgen, dass kriminelle Handlungen aufgedeckt werden. Sechs von zehn betroffenen Industrieunternehmen (61 Prozent) sind so erstmalig auf Angriffe aufmerksam geworden. 40 Prozent der Betroffenen erhielten Hinweise auf Angriffe durch eigene Sicherheitssysteme, bei fast einem Viertel (23 Prozent) war es hingegen reiner Zufall. Nur bei 3 Prozent der Unternehmen gingen erste Hinweise auf Delikte durch externe Strafverfolgungs- oder Aufsichtsbehörden ein. „Der effektivste Schutz vor Spionage, Diebstahl oder Sabotage sind motivierte, gut geschulte und aufmerksame Mitarbeiter“, sagte Berg.

Künftige Bedrohungen sehen Unternehmen vor allem durch digitale Angriffe. Nahezu alle Befragten (97 Prozent) nennen sogenannte Zero-Day-Exploits als größte Gefahr. Dabei nutzen Angreifer Sicherheitslücken in Software aus, die bis dahin unbekannt waren. 93 Prozent fürchten die Infizierung mit Schadsoftware, zwei Drittel (68 Prozent) geben den Mangel an qualifizierten IT-Sicherheitskräften als Bedrohung an. Die zunehmende Fluktuation von Mitarbeitern ist für 58 Prozent der Unternehmen ein Risiko. Dass Kriminelle die Rechenleistungen von Internetnutzern anzapfen, etwa zum unbemerkten Schürfen von Kryptowährungen, nehmen hingegen nur 29 Prozent der Unternehmen als echte Gefahr wahr.

Quelle: www.bitkom.de

Ja, mach nur einen Plan!
Sei nur ein großes Licht!
Und mach dann noch’nen zweiten Plan
Gehn tun sie beide nicht.
(Ballade von der Unzulänglichkeit menschlichen Planens, Bertholt Brecht )

Im Rahmen des Business Continuity Management werden Notfallkonzepte und -pläne erstellt, um auf das Unwahrscheinliche vorbereitet zu sein. Der Notfall ist jedoch leider ein tückischer Zeitgenosse. Sind wir gut vorbereitet, lässt er sich nicht blicken und wir stehen als Zeit- und Ressourcenverschwender für unnütze Notfallpläne im schlechten Licht. Tritt der Notfall ein, ist es purer Zufall, dass der vorbereitete Notfallplan genau die passende Lösung für genau dieses Ereignis abbildet. Zeitpunkt, Zeitdauer und Ort des Notfalls, aktuelle Marktsituation, laufende Kunden- und IT-Projekte sind nur einige der Variablen, die einen Einfluss auf die angemessene Reaktion auf Notfälle haben. Wie wir auch immer planen und damit versuchen, Situationen vorauszusehen, die Realität weiß uns immer wieder ein Schnippchen zu schlagen und hat neue Überraschungen, „schwarze Schwäne“, für uns auf Lager.

Eine radikale Konsequenz aus diesem Fehlen der funktionierenden BCM-Glaskugel könnte nun darin bestehen, ganz auf das Erstellen von Notfallplänen zu verzichten und auf das erfolgreiche Improvisieren in Notfall- und Krisensituationen zu vertrauen. Viele Unternehmen, soweit nicht regulatorisch zu Ihrem Glück gezwungen, wählen tatsächlich diese Variante und vertrauen auf eine glückliche Hand in schwierigen Zeiten. Im Gegensatz zu dieser fatalistischen Einstellung ist bei diesen Unternehmen gleichzeitig in vielen anderen Unternehmensbereichen das Erstellen von Plänen über jeden Zweifel erhaben, auch wenn dort die Glaskugel auch nicht besser funktioniert. Absatzzahlen, Projekte, Kosten, Mitarbeiterkapazitäten werden munter geplant und geben eine Richtung und Messgröße vor, so dass Plan-Abweichungen schnell erkannt und korrigiert werden können. Warum dann auch nicht für Notfälle?

Notfallpläne stellen keinen Automatismus dar, der bei Eintritt eines Notfalls nach der Aktivierung alles wieder ans Laufen bringt. Die Ausführung von Notfallplänen muss an die jeweilige Situation angepasst erfolgen und gesteuert werden. Erfolgt dies nicht, kann das Festhalten an Notfallplänen den Schaden sogar noch vergrößern statt zu verkleinern. Ist zum Beispiel nur ein Gebäudeteil von einem Notfall betroffen, sollten die im Notfallplan vorgesehen Worst-Case-Maßnahmen zur Evakuierung und Relokation nicht für das gesamte Gebäude aktiviert werden, sondern nur für den betroffenen Gebäudeteil. Das Notfallmanagement muss daher immer durch ein Krisenmanagement flankiert werden, das die Lage analysiert, beurteilt und angemessene Entscheidungen auf Basis der Notfallplanung trifft. Eine Analogie findet sich wie so oft in der Luftfahrt. Bei der Entwicklung von Flugzeugen machen sich die Ingenieure bereits intensiv Gedanken über mögliche Ausfälle und Notfallverfahren. Mit der Dokumentation eines Flugzeugs lassen sich sicherlich größere Räume befüllen. Zur Mitnahme im Cockpit als Nachschlagewerk für Notfälle sind diese Dokumentationen jedoch denkbar ungeeignet. Piloten haben daher in Form von Checklisten dokumentierte Verfahren für Ereignisse wie Triebwerksausfälle, Fahrwerkstörungen oder Brände an Bord. Piloten analysieren die Lage und wählen die der Situation angepasste Notfallverfahren. Im Simulator haben sie dies zuvor regelmäßig durchgespielt und verinnerlicht. Übertragen auf das BCM bedeutet dies, Verfahren für Standard-Notfallsituationen vorzubereiten, die sicherstellen, dass Maßnahmen durch zugeordnete Verantwortliche in der richtigen Reihenfolge abgearbeitet werden und keine wesentlichen Aktivitäten und Entscheidungen vergessen werden. Notfallpläne sollten daher keine umfangreiche Notfall-Handbücher sondern checklistenbasierte Verfahren sein, die modular ereignisbasiert durch eine Notfall- und Krisenorganisation ausgewählt und aktiviert werden können. Dabei sollten immer Alternativen für den Fall berücksichtigt werden, dass Plan A nicht zum Erfolg führt. Wie sieht dann Plan B oder gar Plan C aus?

Grundlage der Notfallpläne sind Notfallkonzepte und -strategien. Sie legen dar, welche Ziele mit den Notfallplänen verfolgt werden sollen. Eine schnelle Relokation des kritischen Geschäftsprozesses an einen Standort oder das temporäre Aussetzen, bis der kritische Wiederanlauftermin erreicht ist? Notfallkonzepte basieren auf den Ergebnissen der Business Impact Analysen (BIA) und bilden das Scharnier zwischen den identifizierten Anforderungen der BIA und den Notfallverfahren der Notfallplanung.

Dieser Regelkreis wird geschlossen durch die laufende Validierung der Notfallpläne in Form von Tests, Übungen und Simulationen. Neben dem Funktionieren der technischen und organisatorischen Verfahren sollte hierbei ein großes Augenmerk auf das Zusammenspiel zwischen Notfall- und Krisenmanagement gelegt werden. Notfallverfahren können ihre Wirkung nur entfalten, wenn sie zielgerichtet ausgelöst, gesteuert und auf ihren Erfolg überwacht werden.

Denn was ist schlimmer als ein nicht funktionierender Plan: völlige Planlosigkeit.

QUELLE: www.3GRC.de

Konstruktive Gespräche beim Roundtable.

Vertreter der Bayerischen Landesbank, der Landesbank Baden-Württemberg, der ING DiBa, der Commerzbank und der DekaBank, sowie ein Experte zur toolunterstützen im Bereich ITSCM waren zu Gast bei der BUSINESS BY CONCEPT im Flemingshotel Frankfurt am Main.

Wir bedanken uns bei unseren Gästen für die interessanten Gespräche und freuen uns auf den nächsten Termin im Oktober.

Ihr ITSCM-Team der BUSINESS BY CONCEPT

Zertifizierter IT Service Continuity Manager

Wir gratulieren unseren Team-Mitgliedern:
Alexander Pohl und
Anne-Christine Schrader
zur Zertifizierung.