Die meisten Geschäftsprozesse hängen vom verlässlichen und fehlerfreien Funktionieren der Informations- und Kommunikationstechnik ab. ICT-Sicherheit und folglich auch Cyber-Sicherheit müssen als Teil der operationellen Risiken eines Unternehmens betrachtet werden.

Die Bedrohungen aus dem Cyber-Raum sind real. Die Anzahl der Bedrohungen und Cyber-Attacken nimmt stetig zu, womit auch die Wahrscheinlichkeit, als Unternehmen oder Behörde Opfer eines Angriffs zu werden, rasant ansteigt. Je nach Abhängigkeit von der ICT kann eine Unternehmenstätigkeit vollständig zum Stillstand gebracht werden – mit allen Konsequenzen, die damit verbunden sind. Der Cyber-Sicherheit wird deshalb vermehrt auch bei Verwaltungsräten und Geschäftsleitungen eine hohe Priorität auf der Traktandenliste eingeräumt.

Verfügbarkeit, Vertraulichkeit und Integrität, die Basiswerte der Informationstechnik, bilden das Fundament für einen sicheren Betrieb. Die wirksame Abwehr gezielter Angriffe gegen diese Basiswerte von Geschäftsprozessen und Daten stellt eine der aktuell grössten Herausforderungen im Risikomanagement dar.

Wie aber sieht eine wirksame Abwehr aus? Was sind geeignete und bezahlbare Massnahmen? Wohl unbestritten ist, dass dies in Abhängigkeit des individuellen Schutzbedarfs und des Risikoappetits einer Organisation festgelegt werden muss. Die Notwendigkeit und der Umfang solcher Massnahmen ergibt sich daher insbesondere aus der Verwundbarkeit, aus der Cyber-Sicherheits-Exposition einer Organisation. Ganz wesentlich ist deshalb, dass die Verantwortlichen die Cyber-Sicherheits-Exposition kennen und diese auch regelmässig hinterfragen. Nur ein gezieltes und konsequentes Vorgehen ermöglicht geeignete Massnahmen zu definieren und umzusetzen sowie das Abwehrdispositiv zeitnah den sich laufend verändernden Anforderungen anzupassen.

Die Cyber-Sicherheits-Exposition lässt sich aus mehreren Faktoren ableiten und bestimmen. Einer der wesentlichsten Faktoren ist gewiss die Attraktivität einer Organisation hinsichtlich Erpressungspotenzial. Je grösser der Wert und die Bedeutung der Infrastruktur oder je sensitiver und schützenswerter die Daten, umso höher wird die Cyber-Sicherheits-Exposition wohl eingestuft. Es lohnt sich demnach, diesen Wert der Verwundbarkeit zu ermitteln und zu kennen. Er hilft den Verantwortlichen, das Risikopotenzial festzulegen, den effektiven Schutzbedarf zu ermitteln und folglich das anzustrebende Sicherheitsniveau zu bestimmen.

Hinsichtlich gezielter oder zufälliger Cyberangriffe bildet er zudem ein verlässliches Mass für die Wahrscheinlichkeit, in den Fokus oder ins Beuteschema von Angreifern zu geraten. Dabei sind insbesondere jene Täterkreise von Bedeutung, denen es eben nicht um ungerichtete Streuangriffe gegen mehr oder minder wahllose Ziele geht, sondern die es vielmehr sehr gezielt auf eine bewusst ausgewählte Organisation mit hoher Cyber-Sicherheits-Exposition abgesehen haben.

Nicht ganz unwesentlich für die erfolgreiche Durchführung eines Cyber-Angriffes ist die Frage, wie transparent sich eine Organisation gegen innen und aussen präsentiert. Als schwächstes Glied in der Sicherheitskette werden nach wie vor die eigenen Mitarbeiter betrachtet. Zudem geben Art und Umfang öffentlich zugänglicher Informationen, beispielsweise im E-Mail-Verkehr, im Internet, in den sozialen aber auch in den Print-Medien sehr oft brauchbare Hinweise zu Einfallstoren für Cyber-Attacken.

Gut und beruhigend zu wissen ist, dass ein koordiniertes Zusammenspiel von wirkungsvollen Massnahmen, ein durchdachtes Abwehrdispositiv also, sehr wohl in der Lage ist, auch gezielte Angriffe deutlich zu erschweren. Basis dazu ist das Wissen um die eigene Verwundbarkeit, die Cyber-Sicherheits-Exposition, und die daraus abgeleiteten, effektiven und umgesetzten Massnahmen.

Dieser Beitrag wurde von Ernst Liniger verfasst und ursprünglich in einer vergleichbaren Version in der UnternehmerZeitung publiziert. Die in der UnternehmerZeitung publizierte Version des Beitrags können Sie gerne hier im PDF-Format herunterladen.