"Jeder Schritt in Richtung Digitalisierung bringt auch neue Gefahren mit sich"

Jörg Asma, PwC

Was sind die gefährlichsten Cyber-Attacken für Unternehmen? Wie sollte ein Unternehmen Cybersicherheit betreiben? Jörg Asma beantwortete uns einige Fragen. Er leitet den Bereich Cyber Security & Privacy bei der Wirtschaftsprüfungs- und Beratungsgesellschaft PwC.

Jörg Asma, PwC
Jörg Asma, PwC

CONSULTING.de: Hackerangriffe scheinen heute nahezu wöchentlich zu passieren: Ob Unternehmen wie Norsk Hydro, staatliche Institutionen wie der Deutsche Bundestag oder prominente Politiker oder Stars – niemand scheint vor Cyber-Piraten sicher zu sein. Sind diese Fälle alle zu schlecht geschützt gewesen oder lässt sich gegen die Gefahr aus dem Internet ohnehin kaum etwas ausrichten?

Jörg Asma: Ich muss Sie korrigieren. Erfolgreiche Hacker-Angriffe passieren täglich. Und bei Weitem nicht nur bei Organisationen oder Menschen, die schlecht geschützt sind. Auch ein guter Schutz garantiert Ihnen nicht, dass Sie nicht erfolgreich kompromittiert werden. Ähnlich wie ein Impfschutz, der Ihnen selten eine einhundertprozentige Immunisierung garantiert. Der Unterschied zum Impfschutz: Im Vergleich zu heutigen Firewalls und Anti-Viren-Programmen ist das Risiko hier sehr gering, wirklich zu erkranken. Hacker sind deutlich kreativer und wandlungsfähiger, als Viren und Bakterien es je sein werden. Niemand ist heute komplett sicher.

CONSULTING.de:
Aber warum dann überhaupt noch Aufwand für Cybersicherheit betreiben? Wenn es ohnehin keine Sicherheit gibt, lohnt es sich vielleicht auch gar nicht mehr, hier wertvolle Ressourcen zu binden.

Jörg Asma: Ich gebe Ihnen ein Beispiel aus Ihrem persönlichen Alltag. Sie wissen ganz genau, dass Sie – egal wie gut Sie Ihr Haus oder Ihre Wohnung schützen – jemand dort erfolgreich einbrechen kann. Lohnt es sich da überhaupt noch, die Tür abzuschließen? Selbstverständlich, denn Sie wollen die Hürden doch so weit nach oben legen, wie irgendwie möglich. Die Chancen, dass der Einbruch dann nicht bei Ihnen, sondern beim deutlich weniger geschützten Nachbarn stattfindet, sind hoch. In der Cybersicherheit unterscheiden wir zudem drei Phasen: Prävention – das ist der Einbruchschutz. Detektion – das ist das Erkennen eines Einbruchs. Und Reaktion – das ist das Vorgehen, um einen Einbruch aufzuklären und zukünftig deutlich zu erschweren. Heute sind Detektion und Reaktion beinahe genauso wichtig wie Prävention. Denn im Gegensatz zu Ihrer Wohnung ist es gar nicht so leicht zu erkennen, dass bei Ihnen eingebrochen worden ist.

CONSULTING.de:
Das müssen Sie genauer beschreiben. In den Medien liest man immer wieder, dass Informationen wie private Bilder öffentlich gemacht wurden, Rechner ganzer Abteilungen über Tage nicht nutzbar sind oder Daten unwiederbringlich gelöscht worden sind. Das erscheint uns schon eindeutig bemerkbar.

Jörg Asma: Das ist aber erst die Folge eines Einbruchs. Wer garantiert Ihnen, dass es je zu dieser Folge kommt? Viel häufiger beobachten wir, gerade bei Unternehmen, dass diese durch so genannte Spy-Software kompromittiert sind. Da liest jemand jahrelang mit, ohne dass je etwas passiert. Und gibt sich nicht zu erkennen. Indizien dafür können zum Beispiel Server sein, die unentwegt und ohne unmittelbare Erklärung Daten versenden – nach Fernost oder wohin auch immer. Diese unsichtbaren Einbrecher gilt es zu detektieren und zu beseitigen. Heute gilt nicht mehr unbedingt, dass der beste Einbruchschutz Ihnen den größten Schaden erspart. Sondern es ist die Zeitspanne zwischen dem Erkennen des erfolgreichen Angriffs und dem Abschalten des Sicherheitslecks, der über die Schadenshöhe entscheidet.

CONSULTING.de: Bedeutet Reaktion dann auch zurück zu schlagen?

Jörg Asma: Das befürwortet so mancher, auch in der politischen Debatte. Faktisch ist dies bis heute aber rechtlich nicht möglich. Ein ‚Hackback‘ ist nach deutschem Recht zivilen Organisationen oder Privatpersonen nicht erlaubt. Und meiner Kenntnis nach geht auch der deutsche Staat mit diesem Mittel eher zurückhaltend um. In anderen Ländern, zum Beispiel in der Schweiz, ist das anders. In einer Untersuchung der letzten Monate konnten wir zum Beispiel sehen, dass sich russische und chinesische Unternehmen deutlich weniger vor Attacken aus dem Westen fürchten als umgekehrt. Ein Grund ist der restriktive Umgang mit Offensivtechniken. Reaktion bedeutet in diesem Fall nicht Gegenangriff, sondern Abstellen der Sicherheitslücke, Beseitigung von Schäden, juristische Verfolgung. Letzteres verläuft heute meistens im Sande.

CONSULTING.de: Was sind die gefährlichsten Attacken für Unternehmen?

Jörg Asma: Da ist nahezu alles denkbar: Spionage, Sabotage, Erpressung. Und alles findet statt, teils durchgeführt durch andere Staaten, teils durch kriminelle Privatakteure. Offene Sabotage – davon lesen Sie dann in den Nachrichten – ist nach wie vor selten, denn daran haben die Angreifer meistens gar kein Interesse. Spionage ist alltäglich. Erpressung wird immer mehr zum Hobby verschiedener Gruppierungen, die sich die Services dazu im Darknet wie in einem Warenkatalog zusammenkaufen können. Sie müssen heute selbst kein Hacker mehr sein, um erfolgreich einen Cyberangriff durchführen zu können.

CONSULTING.de: Jeder kann heute zum Cyber-Piraten werden?

Jörg Asma: Wenn Sie so wollen – schon. Die meisten, weniger IT-affinen Personen werden schon große Hürden haben, ins Darknet zu gelangen. Wenn Sie dazu aber fähig sind und eine Kreditkarte haben, können Sie praktisch alles kaufen: Botnets, Malware, Dekodierer. Und das alles mit perfektem Service, schließlich will man seine Kunden ja wiedergewinnen und keine negativen Ratings erhalten. Das Darknet ist heute das Amazon für Hobby-Hacker. Da findet jeder, was er braucht. Bei PwC haben wir eine Simulation entwickelt, in der Sie in die Rolle eines Angreifers schlüpfen können. Ich versichere Ihnen: Fühlt sich deutlich entspannter an, als das Opfer zu sein.

CONSULTING.de: Sie beobachten Hacker und Cybersicherheit seit mehr als zwanzig Jahren. Sind unsere Unternehmen heute gut aufgestellt – und was sollten Sie Ihrer Meinung nach tun?

Jörg Asma: Cybersicherheit wird – trotz all der Berichterstattung – nach wie vor wie die hässliche Stieftochter der Digitalisierung betrachtet. Kostet Geld, Nutzen unklar, schränkt ein. Wir haben da in Deutschland eindeutig etwas verschlafen und zu wenig investiert, sowohl staatlich als auch privat. Die Awareness bei den Unternehmen aktuell ist sehr hoch und ich kenne kaum Unternehmen, die sich mit dem Thema nicht beschäftigen. Zum einen fehlt es jedoch immer wieder an der direkten Involvierung von Aufsichtsrat, Vorstand und Geschäftsführung. Zum anderen wird das Thema oft nicht ausreichend breit gedacht und erstreckt sich auf rein technische Maßnahmen. Wenn man bedenkt, dass die meisten erfolgreichen Cyberangriffe aber auf menschliches Fehlverhalten zurückzuführen sind, reicht das nach wie vor nicht aus.

CONSULTING.de: Sie wollen sagen, dass nicht technische Systeme geknackt worden sind, sondern dass Mitarbeiterinnen und Mitarbeiter Fehler gemacht haben?

Jörg Asma: Oder auch Führungskräfte oder gar der Vorstand selbst. Was Sie sagen ist jedoch nicht ganz richtig: die technischen Systeme werden schon geknackt, aber die eigentliche Eintrittskarte ist ein menschlicher Fehler. Zumeist der Klick auf den falschen Link in einer Email oder im Internet. Die Cyberpiraten werden kreativer. Sie beobachten Schlüsselpersonen, finden über Social Media so viel es geht über sie heraus, scheuen auch den direkten Kontakt am Telefon nicht. Und basteln so ein Angebot, auf das ein Opfer dann hereinfallen muss und den entscheidenden Klick tätigt. Und dann sind sie Angreifer eben drin. Darum ist mein Appell an Unternehmen: Bitte nicht nur seitenlange Sicherheitsarchitekturen entwerfen und auf vielen Seiten komplex darlegen. Sondern allen Mitarbeiterinnen und Mitarbeitern – und das beginnt beim Vorstand – verdeutlichen, welche Gefahren lauern, wie sie diese einzuschätzen haben und wie sie reagieren können. Es braucht einer echten Sicherheitskultur zusätzlich zu einem starken technologischen Schutz.

CONSULTING.de: Wie lässt sich eine solche Sicherheitskultur herstellen?

Jörg Asma: Indem ich – und da wiederhole ich mich – angefangen in der obersten Führungsebene klar verdeutliche, dass jeder Schritt in Richtung Digitalisierung auch neue Gefahren mit sich bringt. Damit will ich nicht die enormen Chancen kleinreden, die es zweifelsohne gibt. Aber bei jeder Innovation, muss Sicherheit als integraler Bestandteil mitgedacht werden. Die Realität sieht meistens so aus: Ein Produkt wird erdacht, designt und zur Marktreife gebracht. Und erst danach werden die Sicherheitsexperten gebeten, das Produkt möglichst risikoarm zu machen. Aber diese Experten müssen noch in der Design-Phase mit an den Entwicklungstisch. Um Sicherheit als integralen Faktor vom ersten Moment an mitzudenken. Das Gleiche gilt auch für neue Strukturen, Prozesse oder sonstige Veränderungen und Innovationen. Ich gebe zu: Die Sicherheitsleute müssen auch selbst dazu beitragen, mehr Akzeptanz zu finden. Indem sie einfache Sprache benutzen, immer wieder auf die positiven Aspekte hinweisen und sich nicht selbst mit falsch verstandenem Stolz als die ‚Nerd‘-Abteilung verstehen, die zwar intellektuell überlegen, dennoch für andere unsexy ist. Sondern indem sie Sicherheit so untechnisch wie möglich darstellen und sich damit Augenhöhe mit ihren, hierarchisch häufig höher gestellten, Ansprechpartnern erarbeiten.

Jörg Asma leitet den Bereich Cyber Security & Privacy bei der Wirtschaftsprüfungs- und Beratungsgesellschaft PwC. Asma hat Elektrotechnik in Jülich und Aachen studiert.

Veröffentlicht am: 15.05.2019

 

Über CONSULTING.de

consulting.de ist das zentrale Informationsportal für Unternehmensberatungen. Unser breites Informationsangebot rund um Consulting richtet sich sowohl an Management- und Strategieberatungen, Personalberatungen, Controlling- und Finanzberatungen, Wirtschaftsprüfungen, Marketing- und Kommunikationsberatung und IT-Beratungen als auch deren Kunden aus Industrie, Handel sowie Dienstleistung.