Ein Manifest für Cyber Resilience
Definition
von CyberUnbekannte
Größen
Bedrohungen
von Gestern
bekämpfen Faktor Mensch
Wis
se
n
wo
ma
n s
teh
t
BYODCyber Resilience
Bedrohung durch
Mitarbeiter
Revolutionäre
2 3
Definition von Cyber Resilience
Cyberspace spielt bei Arbeit und Freizeit eine immer größere Rolle; er ist ein
großer und st etig zunehmender Teil unseres realen Lebens. Zum aktuellen
Zeitpunkt verbringen ca. 2,4 Milliarden Internetnutzer weltweit – 34 Prozent
der Weltbevölkerung – mehr und mehr Zeit online.1 Dank unserer verschiedenen
Cyber-Aktivitäten ist online eine Menge los, wodurch eine unaufhaltbare
Bewegung entsteht – von der Art, die Revolutionen startet.
Manche akzeptieren die Vorteile unseres Cyber-Lebens und neuen
Geschäftsmodelle einschließlich der damit einhergehenden Risiken. Andere
sind eher der Meinung, dass derartige Massentrends überlegtere Reaktionen
erfordern. Doch für Debatten ist nur wenig Zeit. Was wir wirklich brauchen
ist ein Aufruf zum Handeln.
Unser Cyber-Leben von Risiken zu befreien bedeutet, vier entgegengesetzte
Kräfte zu verstehen – die alle unterschiedliche Cyber-Risiken mit sich bringen
und dringend die Aufmerksamkeit der Unternehmensführung erfordern:
Demokratisierung – Der Slogan "Power to the People" verwirklicht sich,
da Unternehmen lernen, mit Kunden über die von ihnen diktierten
Kanäle zu arbeiten.
Konsumerisierung – Die Auswirkungen der Vielzahl von Geräten bzw. –
noch wichtiger – der Apps, die bei Arbeit und Freizeit unsere Cyber-
Leben bestimmen.
Externalisierung – Die Wirtschaftlichkeit der Cloud, drastische Kürzung
der Kapitalausgaben und Aufrütteln der Art und Weise, wie Daten aus
Unternehmen und Organisationen ein- und ausgehen.
Digitalisierung – Die exponentielle Vernetzung, die entsteht, wenn
Sensoren und Geräte das "Internet der Dinge" bilden.
Wenn das Cyber-Risiko für einen dieser Trends beseitigt wird, erhöht sich
dadurch lediglich die Bedeutung des nächsten. Wie bei den meisten "Best
Practices" gibt es auch hier verschiedene richtige Antworten, was bestenfalls
bedeutet, dass Sie die Umgebung Ihres Unternehmens optimieren können,
um seine Anfälligkeit zu reduzieren. Aufgrund der oben genannten einflus-
sreichen Kräfte kann das Cyber-Risiko nicht völlig ausgemerzt werden.
Dieses Manifest skizziert einen Plan zur Reduzierung, nicht Eliminierung,
der realen und zunehmenden Risiken, mit denen wir als Einzelpersonen,
Unternehmen und Regierungen konfrontiert werden. Dieser Plan hat ein
einfaches Ziel: Uns gegen Cyber-Angriffe zu wappnen.
Demokratisierung
Exte
rnalisie
rung
Dig
ita
lisie
run
g
Konsumerisierung
4 5555555555555555555555555555555555
Aktueller Wissensstand
Im Cyberspace wird das zuvor Unmögliche möglich. Ohne diese virtuelle
Welt würden wir weiter wie in die Vergangenheit leben. Fragen Sie sich:
• Welche Bankkunden möchten auf die Möglichkeit verzichten, in
Sekundenschnelle Geld in andere Länder zu überweisen?
• Was würde Geschäftsleute dazu bewegen, wieder für Flugtickets,
Telefonzellen und Paketversand Schlange zu stehen?
• Warum sollte jemand etwas per Luftfracht verschicken, das
kostengünstiger vor Ort ausgedruckt werden kann?
Die heutige Situation ist komplex, schnelllebig und potenziell verheerend
für Unternehmen. Der Anteil mobiler Internetnutzung liegt aktuell zwar
lediglich bei 15 Prozent, doch diese Zahl nimmt stetig zu – dank fünf
Milliarden Mobiltelefone, von denen jedes Dritte ein Smartphone mit
Internetzugang ist.1 Jeden Tag werden 500 Millionen Fotos ausgetauscht
und der durchschnittliche Nutzer überprüft 23 Mal am Tag seine Nachrichten.1
Täglich fallen 1,5 Millionen Personen einem Cyber-Angriff zum Opfer, was
jedes Jahr konservativ geschätzte Verluste im Wert von insgesamt 110 Milliarden
US-Dollar zur Folge hat.2 Angriffe durch Malware bzw. bösartige Software
im Internet nahmen 2012 um 30 Prozent zu und stiegen auf Mobilgeräten im
gleichen Zeitraum um 139 Prozent an.3 Dabei ist entscheidend, dass es sich
bei 62 Prozent der Websites, die Malware verbreiteten, um legitime Websites
handelte, die manipuliert wurden.3
Immer noch nicht besorgt?
Diese Cyber-Bedrohungen und ihre Raffiniertheit werden weiter
zunehmen. Dies liegt daran, dass ältere Angriffsziele wie PC-
Betriebssysteme an Bedeutung verlieren und neue webbasierte und
mobile Plattformen sowie soziale Apps an ihre Stelle treten.
Änderungen an der sogenannten Bedrohungslandschaft sind
sicherheitstechnisch schwer in den Griff zu bekommen. Ohne
einen gewissen Grad von Sicherheit, der zuvor nur in großen
Unternehmen zu finden war, ist jeder anfällig. Wie wir noch
sehen werden, ist Größe nur eines unserer Probleme.
6 7
Die unbekannten Einflüsse
Zu wissen, was die Zukunft bringt, kann unser Leben bereichern. In der
Cyber-Welt hingegen sorgen nicht vorhersehbare Absichten und unerwartete
Konsequenzen für Chaos. Es ist schier unmöglich, sämtliche neuen Cyber-
Bedrohungen vorherzusehen, denen Ihr Unternehmen ausgesetzt sein wird –
manche davon sind noch gar nicht erfunden.
Ob verärgerte "Hacktivisten" oder Cyber-Kriminelle, Cyber-Terroristen oder
sogar staatlich sanktionierte Cyber-Armeen – die meisten haben den
Überraschungseffekt auf ihrer Seite. Ihre Beweggründe sind vielseitig: von
friedlichen Protesten über böswillige Absichten bis hin zu politischem oder
persönlichem Vorteil. Die ihnen zur Verfügung stehenden Möglichkeiten
zur Schaffung von Cyber-Risiken nehmen exponentiell zu, wodurch die
Chancen für alle schlecht stehen, die nicht vorbereitet sind.
Im Internet sind immer mehr einsatzfertige Malware-Kits erhältlich, die mit
virtueller Währung, vor neugierigen Blicken geschützt, erworben werden.
Die "Schattenwirtschaft" des Cyberspace wächst und gedeiht, und es gibt
tatsächlich so etwas wie Ganovenehre. In ihren Kompetenzzentren, verborgen
hinter hochsicherem Schutz, können sie sich so viel Wissen aneignen, dass
nur wirklich hervorragend geschulte Sicherheitsexperten mit ihnen mithalten
können. Dort können sie gestohlene Daten austauschen, die ihren Opfern,
den ursprünglichen Eigentümern, ohne deren Wissen entwendet wurden.
Gegen Bezahlung teilen sie ihr geheimes Wissen mit anderen Cyber-Betrügern.
Dass Ihr gesetzestreues Unternehmen hier einen Blick hinter die Kulissen
werfen kann, ist wohl eher unwahrscheinlich.
Im Gegensatz zur realen Welt hilft es einem Opfer hier wenig, nur
ein kleiner Fisch in einem großen Teich zu sein. Tatsächlich macht
es dies sogar noch schlimmer: 31 Prozent aller Cyber-Angriffe
richten sich gegen Unternehmen mit 1 bis 250 Mitarbeitern.2
Während Cyber-Bedrohungen für große Unternehmen inzwischen
zur Tagesordnung gehören, sind deren kleinere Zulieferer für
Cyber-Kriminelle wesentlich attraktiver. Die Lieferkette eines
großen Unternehmens kann viel leichter von unten als von oben
infiltriert werden.
8 9
Faktor Mensch
Während zur Durchführung von 84 Prozent von Angriffen auf die
Datensicherheit nur wenige Stunden erforderlich sind, kann es in 66 Prozent
der Fälle Monate dauern, bevor sie entdeckt werden. Bei 22 Prozent dauert
die Eindämmung dieser Datenpannen Monate oder sogar Jahre.4 Woran
liegt das?
Sie denken vielleicht, dass der Unterschied zwischen einem gegen Cyber-
Angriffe gewappneten und einem dafür anfälligen Unternehmen in besseren
Computern, leistungsfähigerer Software oder schnellerer Telekommunikation
liegt. Leider ist dies fast nie der Fall. Zur Absicherung Ihres Unternehmens
mag es durchaus notwendig sein, erstklassige Technologien einzusetzen.
Doch dies ist oft nicht ausreichend. Neuere, schnellere Geräte allein retten
in der Regel selten die Lage.
Das schwächste Glied bei der Cyber-Sicherheit ist die Person, die dieses
Manifest liest – also Sie und ich.
Die IT-Abteilung ist das Herzstück aller organisatorischen Prozesse und ihr
Einfluss reicht in sämtliche Abteilungen. Bisher war sie es, die für Cyber-
Sicherheit zuständig war. In ihrer ehemaligen Funktion war sie hauptverant-
wortlich für den Einkauf von Technologie. Doch diese Funktion ändert sich
derzeit schnell zu der eines bewährten Beraters. Jüngste Untersuchungen
ergaben, dass 14 Prozent des Cloud-Speichers, 13 Prozent der sozialen
Medien und 11 Prozent der Bürosoftware ohne Wissen der IT-Abteilung
erworben werden.5
Daten von Gartner belegen, dass das IT-Budget anstatt von seinen bisherigen
"Eigentümern" immer häufiger von anderen Abteilungen verwaltet wird.
An der Spitze liegt dabei die Marketingabteilung, von der erwartet wird,
dass sie bis 2017 mehr für Technologie ausgibt als die IT-Abteilung.6 All
dies bedeutet, dass das menschliche Element des Cyber-Risikos in Ihrem
Unternehmen aller Wahrscheinlichkeit nach am größten ist, jedoch nicht
in der IT-Abteilung.
Die Konzentration des Fachwissens zur Cyber-Sicherheit ausschließlich
in der IT-Abteilung ist heutzutage keine gängige Betriebspraxis mehr,
sondern trägt lediglich dazu bei, das Unternehmen einem höheren Cyber-
Risiko auszusetzen. Irren ist menschlich. Warum also nur einer einzigen
Abteilung (nämlich der IT-Abteilung) die Aufgabe von Cyber Resilience
zuweisen? Es ist höchste Zeit für den Wechsel zu einer gesamtheitlichen
Sicherheitskultur.
der anfänglichen
Angriffe dauern
Stunden oder weniger
von Datenpannen
werden monatelang
nicht entdeckt
von Datenpannen
erfordern Monate
oder länger zu ihrer
Eindämmung
84 %
66 %
22 %
10 1111
Risiko 1 Unternehmen sind klein im
Vergleich zur Bedrohung
Weltweit gibt es nur wenige Unternehmen, die über ausreichend Ressourcen
verfügen, um den Überblick über sämtliche Cyber-Bedrohungen zu behalten,
die ein hochmotiviertes Team von Cyber-Kriminellen in Umlauf bringen kann.
Selbst multinationale Konzerne können nur relativ kleine Teams einstellen.
Außerdem sind die Bösen hier auch die Klugen. Sie haben schon vor langer
Zeit gelernt, virtuelle Teams zu bilden, die über Landesgrenzen hinweg zum
gegenseitigen Vorteil kooperieren. Sie verkaufen sich gegenseitig ihre Tricks und
handeln mit gestohlenen Identitätsdaten, um Sicherheitssysteme zu überlisten, die
zum Großteil noch entwickelt wurden, um landesinterne Gefahren abzuwehren,
die aus einer Zeit vor Cyberspace und Mobilgeräten – und teilweise sogar noch
vor dem Internet – stammten.
Die eigentlichen Cyber-Angriffe sind weiterhin relativ primitiv, doch Ausmaß
allein ist nicht das Problem. Die meisten Unternehmen beherrschen bereits
die Grundlagen der Cyber-Sicherheit. Dadurch lässt sich die Anzahl von
Cyber-Attacken, die von einem durchschnittlichen Benutzer ausgeführt
werden könnten, auf 10 Prozent beschränken. Die Schwierigkeit besteht
darin, die nächste Stufe der Sicherheit zu erreichen, da 78 Prozent nur die
"grundlegenden" online verfügbaren Ressourcen nutzen, ohne Anpassungen
vorzunehmen.4
Ein Problem könnte die Herangehensweise sein. Bisher bestand die natürliche
Reaktion der meisten IT-Sicherheitsbeauftragten darin, weitere Sicherheitstools
zu erwerben. Doch derart unsystematische Ansätze scheitern bei größeren
Implementierungen. Es wäre besser, sich zunächst einen umfassenderen
Überblick über die Sicherheitslage des Unternehmens zu verschaffen und
dann entsprechende Maßnahmen zu ergreifen.
In Zukunft werden Cyber-Angreifern vermutlich noch mehr Angriffsziele
zur Wahl stehen. Das Bemühen um höhere Effizienz führt zu einer immer
stärkeren Vernetzung von Systemen, bei denen intelligente Messgeräte zur
Verwaltung des Energieverbrauchs, Sensoren zur Steuerung der Produktion
sowie RFID-Tags zur Verfolgung von Lieferungen eingesetzt werden. Cyber-
Technologie wird also nicht länger überwiegend von der IT-Abteilung verwendet,
in der Tat sind ihre Benutzer oftmals noch nicht einmal Menschen.
Aufgrund der globalen Beschaffenheit der Bedrohungen können nur sehr
wenige privilegierte Unternehmen und Organisationen – die meisten davon
im Verteidigungssektor – ihre gesamte Zeit darauf aufwenden, Cyber-Kriege
zu führen. Alle anderen müssen erst einmal ihren eigentlichen Berufen
nachgehen, sei es Versicherungsansprüche bearbeiten, Schuhe verkaufen oder
Autos reparieren. Wir müssen unsere Mittel wohlüberlegt investieren, um
Cyber-Angriffen gegenüber abwehrfähiger zu werden. Welche Chance haben
da die Kleinen? Die Antwort für Sicherheitsbeauftragte besteht darin, sich
genauso zusammenzuschließen wie es ihre Angreifer bereits getan haben.
Die Zusammenlegung von Ressourcen und der Informationsaustausch über
die Schwere von Bedrohungen könnten den Kampf ausgleichen.
12 1313
Risiko 2 Wer die Bedrohungen von Gestern bekämpft, verliert den Krieg
Cyber-Gefahren sind inzwischen immer subtiler, individueller angepasst und
verbreiteter geworden. Dadurch wird ihre Erkennung zunehmend schwieriger.
So schwierig, dass jemand schon äußerst mutig sein müsste, um zu behaupten,
dass irgendein mit dem Internet verbundenes IT-System (praktisch alle
kommerziellen Systeme) unangreifbar sei.
In der Vergangenheit haben "Wände aus Stahl" keine Erfolge gezeigt –
menschliche Intelligenz kann sie umgehen. Bei den gerisseneren Cyber-
Bedrohungen von heute handelt es sich selten um Frontalangriffe. Sie sind
individueller zugeschnitten und greifen viele Sicherheitslücken gleichzeitig
an, wodurch ihre Folgen verheerender sind.
Ganz gleich, ob ihre Payloads per Internet, E-Mail oder Mobilgerät eingeschleust
wurden: Sie warten geduldig und lautlos als residente Botnets auf infizierten
Systemen und können auf Befehl aus ihrem Schlummer erweckt werden –
selbst nachdem die Infektion erkannt und das "Tor geschlossen" wurde.
Veraltete Denkweisen in Bezug auf Cyber-Sicherheit nutzen nur wenig.
Angesichts dieses ständigen diabolischen Katz- und Maus-Spiels besteht die
beste Strategie nicht in der isolierten Beseitigung einzelner Bedrohungen,
sondern in einem langsamen, entschlossenen und fortlaufenden Bemühen
um Cyber Resilience. Cyber Resilience akzeptiert die Tatsache, dass es keine
Patentlösung gibt, keine Wunderwaffe und ganz sicher keine Kavallerie,
die rettend am Horizont erscheint. Dieses Konzept vertritt die Auffassung,
dass die beste Taktik in einer durchdachten Abwehr besteht. Ziel hierbei
ist es, ungleiche Verhältnisse zu schaffen, bei denen der Zugriff auf Ihre
Systeme schwieriger und weniger profitabel ist als bei anderen Systemen.
Mit besseren Informationen können Sie bessere Entscheidungen treffen.
Kein Risiko einzugehen kann im modernen Geschäftsumfeld schließlich
ebenso eine riskante Entscheidung sein. Die erfolgreichste Methode, Ihre Cyber
Resilience zu stärken, besteht darin, sich einen besseren Überblick über
die Bedrohungen zu verschaffen, denen Ihr Unternehmen ausgesetzt ist.
14 15
Risiko 3 Ignorieren der Rolle
von Mitarbeitern
Mitarbeiter werden oftmals als der größte Vermögenswert eines Unternehmens
bezeichnet. Die Realität sieht jedoch so aus, dass sie aus sicherheitstechnischer
Sicht betrachtet ebenso die größte Gefahr darstellen können. Identitätsdiebstahl
und der physische Diebstahl ungeschützter Geräte – oftmals begünstigt
durch die großzügigen BYOD-Richtlinien von heute – komplizieren das Ganze.
Während Sicherheit früher die alleinige Verantwortung von IT-Mitarbeitern
war, kann sie heute nicht nur ihnen überlassen werden. Was der eine als
"Schatten-IT" (nicht offiziell genehmigte Technologieausgaben) ansieht,
ist für den anderen der schnellste Weg zu mehr Innovation. Ein hartes
Durchgreifen der IT-Experten bei Technologien, die andere als wichtige
Produktivitätstools erachten, führt mit Sicherheit dazu, dass sie bei künftigen
Diskussionen nicht mehr mit einbezogen werden.
Auch an den Einstellungen der Mitarbeiter muss sich etwas ändern. Umfragen
zeigen, dass 53 Prozent der Mitarbeiter der Auffassung sind, es sei in
Ordnung, sich betriebliche Daten anzueignen, da "es dem Unternehmen
nicht schade".7 Doch ist dies ihre Entscheidung?
Sicherlich ist es besser, die Kompetenzen nicht-technischer Mitarbeiter zu
stärken und so unbeabsichtigten Missbrauch zu verringern. Auf diese Weise
erhalten sie das notwendige Wissen, um Technologieentscheidungen zu treffen
und Prozesse zu implementieren, die die Cyber Resilience des Unternehmens
stärken. Dies ist wichtig angesichts der Tatsache, dass 35 Prozent aller
Datenpannen auf derartiges Verhalten zurückzuführen sind und diese
unmoralischen Handlungsweisen stark zunehmen, wenn Mitarbeiter im Begriff
sind, das Unternehmen zu verlassen.8
Hierbei geht es keineswegs darum, dass die IT-Abteilung ihre Verantwortung
abgeben soll, sondern vielmehr um eine Gelegenheit, IT-Expertenwissen
in einen Wettbewerbsvorteil zu verwandeln. Nicht im IT-Bereich beschäftigte
Mitarbeiter sollten mit ihren technisch versierteren Kollegen übereinkommen
und sich von diesen zeigen lassen, wie Cyber Resilience das Potenzial ihres
Unternehmens erhöhen kann. Im Cyberspace ist Unwissenheit kein Segen –
sondern eine Herausforderung für die Kommunikation und Organisation.
Mit anderen Worten: eine ungenutzte kommerzielle Chance.
16 17
Cyber-Angriffen gegenüber abwehrfähig werden 1
Wissen, wo Ihr Unternehmen steht
Im Managementbereich gibt es eine Redensart: Man kann nur managen,
was man auch messen kann. Die meisten Cyber-Angriffe werden gar nicht
bemerkt, geschweige denn gemessen. Das gleiche gilt auch für die Risiken, die
sie darstellen.4 Wie können wir also bewerten, wie stark wir gefährdet sind?
Eine Bewertung durch externe Prüfer ist die Antwort. Genauer gesagt: Für
Unternehmen, die dem Risiko eines Cyber-Angriffs ausgesetzt sind, ist
eine umfassende Cyber-Bewertung von Mitarbeitern, Prozessen und Produkten
unerlässlich. Ehrlichkeit, so langweilig dies einigen auch erscheinen mag,
ist der erste Schritt auf dem Weg zu Cyber Resilience.
Selbstverständlich sind eine unabhängige Prüfung der Sicherheitslücken
sowie das Baselining von Technologie und Prozessen ein guter Anfang. Doch
dies ist nur ein erster Schritt. Wie wäre es mit einem Benchmark, um ihre
Bewertung mit der ähnlicher Unternehmen zu vergleichen? Oder mit einigen
praktischen Empfehlungen, die auf einer Lückenanalyse basieren, bei der der
aktuelle und der Wunschzustand des Unternehmens bewertet wurden?
Damit übernimmt die IT-Abteilung eine echte strategische Funktion.
Ausgestattet mit dieser Art von Informationen zeichnet sich der Weg zu Cyber
Resilience bereits deutlicher ab. Noch besser ist es, wenn jene unbekannten
Größen, die wir zu Beginn erwähnt haben, zu tatsächlichen Handlungspunkten
werden, nicht nur für die IT-Abteilung, sondern für das gesamte Unternehmen.
Durch derartige Erkenntnisse erhalten Sie dann einen unfairen Vorteil.
Cyber Resilience ist nicht gleichbedeutend mit Immunität vor Cyber-Angriffen.
Ihr eigentlicher Zweck besteht darin, dafür zu sorgen, dass die Sicherheitslücken
Ihres Unternehmens für Angreifer weniger attraktiv werden. Doch erst wenn
eine Baseline und ein unternehmensweites Ziel vorhanden sind, können
Sie Prioritäten setzen und dann zunächst die gravierendsten Cyber-Probleme
angehen, mit denen das Unternehmen konfrontiert ist.
18
In der guten alten Zeit gab es eine kleine Anzahl Mitarbeiter, die für die IT
zuständig waren. Das funktionierte problemlos, als Computer noch von
Informatikern in speziellen Räumen eingeschlossen wurden. Heutzutage
jedoch spazieren vertrauliche Daten in den Jackentaschen von Mitarbeitern
herum, und gelegentlich auch in den Jackentaschen von Partnern Ihres
Unternehmens sowie deren Partner und so weiter...
Die Zeiten haben sich geändert. Erstens bedeuten Ihre "unbekannten Größen",
dass der Geist aus der Flasche entwichen ist. Best Practices für die Cyber-
Sicherheit vor Ort können Ihr Unternehmen nur insoweit schützen, wie das
schwächste, am wenigsten sichere Glied Ihres Teams oder Ihrer erweiterten
Lieferkette diese auch anwendet.
Sie selbst mögen zwar gute Arbeit leisten und Kennwortrichtlinien verfassen
oder sogar durchsetzen, Geräte sperren oder ISO-Normen einhalten – dadurch
wird das Unternehmen noch lange nicht Cyber-Attacken gegenüber
abwehrfähig. Es sei denn, Sie können sicherstellen, dass alle anderen ähnliche
Standards befolgen, von der Putzkolonne über Ihre Rechnungsprüfer und
externen Catering-Mitarbeiter bis hin zu Ihren Anwälten.
Zweitens, wie bereits erwähnt, prognostizieren Analysten, dass in Kürze
mehr Technologieausgaben von Mitarbeitern, die nichts mit der IT-Abteilung
zu tun haben, getätigt werden als von solchen, in deren Positionsbezeichnung
"IT" oder sogar "IT-Sicherheit" zu finden ist. Es ist also an der Zeit, unkon-
ventionell zu denken und über die IT-Abteilung, Tätigkeitsbeschreibungen
und Organisationsgrenzen hinauszuschauen. Und drittens: Auch wenn Sie
Ihre gesamte Berufskarriere im IT-Bereich verbracht haben, ist es unwahr-
scheinlich, dass Ihre bisherigen Erfahrungen Sie auf die Rolle vorbereitet
haben, die der Cyberspace in unserem heutigen Leben einnimmt.
Cyber-Angriffen gegenüber abwehrfähig werden 2
Coachen SÄMTLICHER Mitarbeiter
Während Sie damit kämpfen zu bestimmen, wo genau sich Ihr Unternehmen
im Hinblick auf Cyber-Risiken befindet und womit Sie beginnen sollen, um es
gegen Cyber-Attacken zu wappnen, bahnt sich für manche eine noch größere
Herausforderung an – nämlich Schluss zu machen mit technischem Fachchi-
nesisch. Mit Ihren Kollegen zu kommunizieren ist entscheidend, doch ohne
diese eine simple Fähigkeit werden Sie scheitern: Die Fähigkeit, den jahrelang
genutzten Fachjargon für IT und IT-Sicherheit zu vergessen. Nicht nur ist er
unnötig, er entkräftet zudem Ihre Argumente. Fachjargon ist der wahre
Feind von Cyber Resilience.
20
Wie wir gezeigt haben, ist es nutzlos, allein an Cyber Resilience zu arbeiten. Cyber-
Risiken gehen von unsichtbaren und cleveren Feinden aus. Diese bestehen
aus Zellen, die sich dynamisch bilden, auflösen und neu bilden können. Mit
dieser Fähigkeit gleichzuziehen ist weder praktisch noch wünschenswert,
und außerdem – wer soll dann Ihre eigentliche Arbeit machen?
"Wer nicht aus vergangenen Fehlern lernt, wird sie erneut begehen", mahnen
uns die Philosophen. Doch Sie sind nicht allein. Im Cyberspace gilt, dass
Gemeinsamkeit stark macht. Warum untätig warten, während Ihr Unternehmen
berät, für welche Cyber Resilience-Strategie es sich entscheiden soll? Viel
sinnvoller ist es doch, sich mit anderen zusammenzutun, die dieselben
Überzeugungen teilen wie Ihr Unternehmen, um Sicherheitsinformationen
zusammenzuführen und gemeinsam Strategien zu entwickeln.
Dank Ihrer Kompetenzen sind Sie in einer hervorragenden Position, um
Ihrem Unternehmen zu helfen, sich besser gegen Cyber-Attacken zu wappnen.
Einige sind der Auffassung, dass dies die einzige Strategie ist, die angesichts
der permanenten Bedrohung Aussicht auf Erfolg hat.
Stellen Sie sich eine Zentrale für Cyber-Sicherheitsinformationen vor, die wie
ein stark stimuliertes virtuelles Gehirn Millionen kleiner Beobachtungen
aus den Cyber-Problemen konsolidiert, mit denen Tausende von Unternehmen
und Millionen von Benutzern konfrontiert sind, um so einen klaren Einblick in
die Cyber-Bedrohungen zu erhalten, denen Ihr Unternehmen ausgesetzt ist.
Vergleichen Sie diese zukünftige Funktion als Herzstück eines gegen Cyber-
Attacken gewappneten Unternehmens, das seine Mitbewerber hinter sich lässt,
mit der heutigen Sichtweise, bei der der IT-Abteilung die Schuld zugeschoben
wird, wenn etwas schief geht. Das soll nicht heißen, dass die Grundlagen nicht
wichtig sind. Die Informationen aus vorhandenen Sicherheitskontrollen sind
von großer Bedeutung.
Die neue Funktion der IT-Abteilung ist die eines Kompetenzzentrums für die
Bewertung des Cyber-Risikos. Sie soll Führungskräften neue Wegweiser
bereitstellen, anhand derer diese die Cyber Resilience ihres Unternehmens
beurteilen können. Cyber-Risiko macht nicht vor IT-, Abteilungs- oder sogar
Landesgrenzen halt. Cyber Resilience ist ein Teamsport, der von Führungskräften
wie Ihnen gespielt wird. Verpassen Sie den Zug nicht, er steht zur Abfahrt bereit.
Cyber-Angriffen gegenüber abwehrfähig werden 3
Cyber Resilience zu einem Wettbewerbsvorteil machen
22 23
Fazit
Die Resultate unseres Einzugs in der Cyber-Welt sind bereits beeindruckend,
dabei stehen wir gerade erst am Anfang. Das Erstaunliche ist, dass es für
diesen Fortschritt lediglich der Fähigkeit bedarf, Daten sicher senden und
empfangen zu können. Doch das ist leider ein komplexer technologischer
Kraftakt. Wie der Futurist und Autor Arthur C. Clarke bereits feststellte:
"Jede hinreichend fortschrittliche Technologie ist von Magie nicht zu
unterscheiden."
Der Cyberspace ist jedoch zu wichtig, um nur "Magie" zu sein. Auf persönlicher
Ebene gefährden Cyber-Risiken unsere Identität und unsere Privatsphäre.
Auf globaler Ebene bedrohen Cyber-Risiken die Stabilität von Regierungen
und Bankensystemen. Cyberspace muss von Unternehmen und Führungskräften
öffentlich-rechtlicher Organisationen genauso verstanden werden können
wie Energie, Wasser, Talent und andere wesentliche Faktoren in der realen
Welt. Zum aktuellen Zeitpunkt ist dies nicht der Fall.
Von oben erlassene Verordnungen werden keinen Erfolg zeigen. Dazu bewegt
sich die Cyber-Welt viel zu schnell. Nur eine informierte und dennoch flexible
Basisbewegung hat überhaupt Erfolgsaussichten. IT-Experten spielen hier
eine entscheidende Rolle, vorausgesetzt sie können:
1. Effektiv beurteilen, auf welchem Stand die Cyber Resilience ihres
Unternehmens sich aktuell befindet. Dabei müssen sie schneller und
rigoroser vorgehen als bisher.
2. Alle Mitarbeiter zu einem Teil ihrer Cyber Resilience machen. Sie müssen
alle Personen in der Lieferkette des Unternehmens entsprechend
aufklären und schulen, um ein Gleichgewicht zwischen der gewünschten
Innovation und der erforderlichen Cyber Resilience zu erzielen.
3. Cyber Resilience einsetzen, um langfristig einen strategischen
Wettbewerbsvorteil für ihr Unternehmen zu erzielen.
Es ist zu hoffen, dass die in diesem Manifest gezündeten "Ideengranaten" die
Kettenreaktion starten, die notwendig ist, damit Ihr Unternehmen Cyber Resilience
erreicht. Wenn dies der Fall ist, sollten Sie erwägen, sich mit den Experten bei
Symantec zusammenzuschließen, um Tausenden von Geschäftsführern und
Vorstandsvorsitzenden dabei zu helfen, ihre Unternehmen gegen Cyber-Angriffe
zu wappnen. Die Cyber-Bewertungen, Sicherheitsprodukte und Services von
Symantec helfen Millionen von Benutzern.
Cyber
Resilience
Cyber
definieren
Baseline
BYODCloud
IT
Business
Lieferkette
Heute
Vor Ort
Kern-IP
Geschulte
Mitarbeiter
Künftige
Lieferkette
Cloud
Outsourcing
Umstellung
Morgen
Cyber-
Bedrohungen
Evolution
beeinflussenVeralteter
Ansatz
Strategische
Abwehrstärke
24 25
Kontakte Referenzen
Symantec Limited
Ballycoolin Business Park
Blanchardstown, Dublin 15, Irland
Tel. : +353 1 803 5400
Fax : +353 1 820 4055
www.symantec.de
1 – Mary Meeker, KPCB, 2013 Internet Trends
2 – Norton Cybercrime Report
3 – Symantec ISTR 2012
4 – Verizon DBIR 2013
5 – Economist Intelligence Unit, Juli 2013 "Security
Empowers Business – unlock the power of a
protected enterprise"
6 – Gartner-Webinar, Januar 2013 "By 2017 the CMO
will spend more than the CIO" von Laura McLellan
7 – Symantec-Whitepaper 2013: "Deins ist meins:
Wie Mitarbeiter Ihr geistiges Eigentum gefährden"
8 – Symantec-Studie 2013 zu den
Kosten von Datenpannen
Revolutionen werden durch unaufhaltbare Bewegungen gestartet. Symantec möchte sich an Ihren Cyber-Maßnahmen beteiligen. Unsere Produkte und
Services sind dafür bekannt, dass sie bei Cyber-Know-how zukunftsweisend sind.
Tauschen Sie sich noch heute aus und werden Sie Teil des Widerstands. Nehmen Sie mit uns Kontakt auf, um sich für eine anfängliche CyberV-Bewertung
anzumelden.
http://www.emea.symantec.com/cyber-resilience/
Symantec ist ein weltweit führender Anbieter für Sicherheits-, Speicher- und Systemverwaltungslösungen, die Kunden bei der Absicherung und Verwaltung ihrer
Informationen und Identitäten unterstützen.
Symantec und das Symantec-Logo sind Marken oder eingetragene Marken der Symantec Corporation oder der mit ihr verbundenen Unternehmen in den USA oder in anderen
Ländern. Andere Bezeichnungen können Marken anderer Rechteinhaber sein.
© 2013 Symantec Corporation. Alle Rechte vorbehalten. Alle Produktinformationen können sich jederzeit ohne vorherige Ankündigung ändern.
Symantec (Deutschland) GmbH, Wappenhalle, Konrad-Zuse-Platz 2-5, 81829 München, Amtsgericht München, HRB 148165, USt-IdNr.: DE119364980, Geschäftsführer:
Aidan Flynn und Norman Osumi. 12/12
Symantec (Deutschland) GmbH
Wappenhalle
Konrad-Zuse-Platz 2-5
D-81829 München
Tel.: +49 (0)89 9 43 02-0
Fax: +49 (0)89 9 43 02-950
www.symantec.de
Symantec (Austria) GmbH
Wipplinger Strasse 34
1010 Wien
Tel: +43 1 532 85 33
Fax: +43 1 532 85 33 33 33
www.symantec.at
Symantec Switzerland AG
Schaffhauserstrasse 134
CH - 8152 Glattbrugg
Tel: +41 (0)44 305 72 00
Fax: +41 (0)44 305 72 01
www.symantec.ch