Organisationen sollten sich die Zeit nehmen, eine angemessene Risikobewertung vorzunehmen, bevor mit technologischen Innovationen kritische Infrastrukturen noch stärker gefährdet werden. [...]
Ein Blick auf die jüngsten Schlagzeilen im Zusammenhang mit geopolitischen Spannungen und Cybersicherheit zeigen, dass die Situation weltweit immer prekärer wird. Da Nationalstaaten möglicherweise aktiver dabei werden, Cyberangriffe zu unterstützen, und kriminelle Akteure leichten Zugang zu potenziell verheerender Technologie haben, ist die essentielle Infrastruktur zunehmend gefährdet, wie Palo Alto Networks berichtet.
Das potenzielle Chaos, das durch Angriffe auf Energienetze, die Flugsicherung, das Gesundheitswesen und die Finanzsysteme ausgelöst werden könnten, sind solche Szenarien, um nur einige Bereiche zu nennen. Wie gehen Wirtschaft, Politik und Gesellschaft mit dieser Situation um? Es ist klar, dass es ein auf den ersten Blick schwierig zu vermittelndes Argument ist: Eine der besten Möglichkeiten, mit diesem schwierigeren Umfeld umzugehen, ist jedoch, einen Gang herunterzuschalten. Die meisten Geschäftsführer wollen das nicht hören, weil das Tempo der technologischen Innovation nun einmal so hoch ist und weil sie befürchten, dass ein Zurückbleiben den Verlust von Wettbewerbsvorteilen bedeuten könnte. Aber ist das Risiko des Verlusts von Wettbewerbsvorteilen gefährlicher als das Risiko, einen katastrophalen Cybersicherheitsvorfall zu erleiden?
Dass Unternehmen und Regierungen langsamer werden sollen, heißt nicht, den Fortschritt aufzuhalten. Vielmehr gilt es, sich die Zeit zu nehmen und eine angemessene Risikobewertung vorzunehmen, bevor mit technologischen Innovationen kritische Infrastrukturen noch stärker gefährdet werden. Gemeinsam werden alle davon profitieren, indem man umsichtiger und vorsichtiger agiert und Schritte zur Risikominderung unternimmt. Dies erfordert auch, robustere Cybersicherheitsmaßnahmen einzubauen und die potenziellen Bedrohungen zu analysieren, wenn Entscheidungen über kritische Technologien getroffen werden.
Risiken richtig einschätzen
Viele Regierungen evaluieren Anbieter von 5G-Netzen. Treffen sie dabei Entscheidungen, die sich strikt an den Kosten orientieren? Wollen sie nur mit privaten Unternehmen zusammenarbeiten? Führen sie eine Due-Diligence-Prüfung der gesamten Auswirkungen auf die lebenswichtige Infrastruktur durch? Es ist eine kluge und umsichtige Entscheidung, einen Gang zurückzuschalten und sich die Zeit zu nehmen, um die Risiken abzuschätzen, was in Zukunft viel Ärger ersparen könnte.
Die Einführung von 5G ist ein klares Beispiel für die Notwendigkeit einer Risikobewertung im Vorfeld. Wenn die Netze erst einmal in Betrieb sind, könnte es zu spät sein. Ein weiterer Schlüsselbereich ist das Internet der Dinge. Einem Forschungsbericht zufolge wird die Zahl der IoT-Geräte im Jahr 2020 mehr als 38 Milliarden erreichen. Das ist eine gewaltige Zahl.
Es ist nach Meinung von Palo Alto Networks zu befürchten, dass zu viele Geräte in Betrieb genommen werden, ohne dass ein Unternehmen das Cybersicherheitsrisiko richtig eingeschätzt hat. Viele IoT-Geräte sind tief in kritische Infrastrukturen integriert und vergrößern leider die potenzielle Angriffsfläche für böswillige Akteure erheblich. Bei der Implementierung von IoT sollte jedoch Sicherheit – und nicht Geschwindigkeit – das wichtigste Element sein.
Der Gedanke, in einer sich schnell verändernden Welt langsamer zu werden, kann für Führungskräfte in Wirtschaft und Regierung, die ständig daran erinnert werden, dass Geschwindigkeit ein Wettbewerbsfaktor ist, kontraintuitiv sein. Die Führungskräfte für Cybersicherheit sind es gewohnt, mit diesem Gegensatz zwischen Geschwindigkeit und Sicherheit umzugehen. Auf einem kürzlich abgehaltenen CISO-Gipfel wurden die Teilnehmer gebeten, ihre größte Herausforderung für 2020 zu definieren. Die Antwort Nummer eins, die von fast 40 Prozent der Teilnehmer genannt wurde, lautete: „Mit der geschäftlichen Transformation Schritt halten.“
Es gilt nicht, diese Transformation aufzuhalten oder ihr Potenzial einzuschränken, aber es sollten alle im Cyberspace bewusster agieren. Sicherheit sollte niemals ein Hindernis sein, sondern ein „Enabler“. Cybersicherheit ist jedoch nicht einfach umzusetzen. Wenn etwas Bösartiges in die Umgebung eindringt, müssen Unternehmen in der Lage sein, es schnell zu erkennen und zu beseitigen.
Wichtige Fragen
Einen Gang zurückzuschalten ermöglicht es nach Einschätzung von Palo Alto Networks den Unternehmen sicherzustellen, dass sie über wichtige Fragen genügend nachgedacht haben, wie zum Beispiel:
- Wie viel Kontrolle geben wir beim Aufbau und der Verwaltung der lebenswichtigen Infrastruktur auf? Könnte eine ausländische Regierung die Kontrolle über diese Infrastruktur übernehmen, und wenn ja, welche Schutzmaßnahmen können wir ergreifen, um dieses Risiko zu mindern?
- Ist in die 5G- und IoT-Umgebungen Sicherheit von Haus aus bereits integriert? Wenn diese Netzwerke und Geräte in Betrieb sind, sind sie dann automatisch geschützt? Wenn die Sicherheit erst nach der Inbetriebnahme gewährleistet werden muss, werden zusätzliche potenzielle Probleme und Risiken entstehen. Deren Bewältigung wird nach einem Cybersicherheitsereignis viel schwieriger und teurer sein.
- Welche Art von Tests sollten wir durchführen, um das Risiko zu mindern? Die meisten Unternehmen und Regierungen führen keine groß angelegten Cybersicherheitstrainings durch, um sich auf einen Angriff auf eine lebenswichtige Infrastruktur vorzubereiten. Insbesondere Regierungen sollten große Testszenarien in Betracht ziehen. Sie mögen teuer sein, aber nicht so teuer wie die Folgen einer echten Katastrophe. Diese Tests kann man sich wie eine Versicherung vorstellen: Man zahlt für etwas, von dem man hofft, es nie wirklich zu nutzen.
Palo Alto Networks ist überzeugt: In Zukunft werden nicht diejenigen Unternehmen und öffentlichen Einrichtungen im Vorteil sein, die am schnellsten mit der Transformation vorankommen; es werden diejenigen sein, die sich am besten an eine anspruchsvollere und komplexere Bedrohungslandschaft anpassen können.
Be the first to comment