Es gibt derzeit wohl kaum eine anspruchsvollere Aufgabe als die des Sicherheitschefs. Mein Respekt für diese Arbeit könnte nicht größer sein. [...]
Tagtäglich sorgen diese Experten in den Unternehmen dafür, dass Mitarbeiter in sicherer Umgebung und ohne Zwischenfälle ihrer Arbeit nachgehen können. Lob ernten sie dafür jedoch nur sehr selten. Denn ihr Arbeitsgebiet rückt meist erst ins Bewusstsein, wenn es zu einem Zwischenfall kommt. Dann sind sie es, die die Verantwortung tragen müssen.
Sicherheitsverantwortlicher: eine Aufgabe mit wachsenden Ansprüchen
Sicherheitsverantwortliche sind in gewisser Weise gute Jongleure. In der Regel sind die Budgets eher schmal, die Aufgaben und Herausforderungen wachsen jedoch täglich. Es gilt daher, die zur Verfügung stehenden Mittel bestmöglich zu nutzen und stets alle Bälle in der Luft halten. Erschwert wird die Situation zusätzlich durch eine immer weiter globalisierte Welt mit immer mehr potenziellen Bedrohungsquellen. Nehmen wir zum Beispiel die Cybersicherheit. Durch die intensive Vernetzung und die Verbindung operativer Prozesse mit der Informationstechnologie (Industrie 4.0/Internet of Things) entstehen einerseits viele wertvolle Informationen für das Sicherheitsmanagement. Andererseits müssen die generierten Daten jedoch kontinuierlich analysiert und auf Fehler oder Bedrohungen untersucht werden. Auch das Thema Datenschutz bzw. die Anwendung der DSGVO bringt neue Aufgaben hinsichtlich der Melde- und Dokumentationspflichten mit sich. Zwar ist all das nicht neu, aber dennoch erhält das Fachpersonal oft nicht die nötige Weiterbildung und ist darauf angewiesen, sich die erforderlichen Kenntnisse selbst anzueignen.
Technologischer Fortschritt – nicht im Krisenmanagement!
Smartphone, Laptop, Tablets – der technologische Fortschritt ist in den meisten Unternehmen deutlich spürbar und moderne Technik ist aus dem Arbeitsalltag nicht mehr wegzudenken. Geradezu anachronistisch geht es jedoch häufig in der Kommunikation bei kritischen Vorfällen zu. Noch immer sind hier manuelle Anrufketten für viele das Mittel der Wahl. Diese sind jedoch ineffizient und fehleranfällig, da sie stark vom Faktor Mensch abhängen. Diverse Studien zum Krisenmanagement, bestätigen, wie wichtig es ist, im Ernstfall schnell zu reagieren. Und alle sind sich einig, dass die ersten Stunden, manchmal Minuten, von entscheidender Bedeutung sind, um größere Schäden zu verhindern (vgl. Kaji, J., Devan, P., Khan, A. & Hurley, B.: Deloitte Insights. Stronger, fitter, better. Crisis management for the resilient enterprise., 2018). Manuelle Anrufketten sind jedoch alles andere als schnell. Wenn auch nur 50 Personen alarmiert werden müssen, was für Unternehmen mittlerer Größe durchaus üblich ist, vergeht mit dieser Kommunikationsmethode schnell eine Stunde, bis das Unternehmen aktiv reagieren kann.
Ein typischer Schadensfall mit einer Dauer von 12 bis 24 Stunden kostet Unternehmen zwischen einer und zehn Millionen Euro. So die in einer informellen Umfrage erhobene Einschätzung der teilnehmenden Unternehmensvertreter auf der Veranstaltung „Open Day PICE 2018“ zum Thema kritische Infrastrukturen in Madrid. In der „Golden Hour“, wie die erste Stunde nach Beginn einer Krise häufig bezeichnet wird, ist es essenziell, dass sofort reagiert wird und die notwendigen Schritte schnell eingeleitet werden, um entstehende Schäden einzudämmen. Signifikante Verluste können durch eine zu langsame Kommunikation im Krisenfall verursacht werden. Eine Beschleunigung der Kommunikation und damit der Reaktion auf einen Zwischenfall macht sich deshalb in jedem Fall bezahlt. Der Return on Investment ist beträchtlich – und für mich ist es daher umso unverständlicher, dass heute noch immer Alarmierungsmethoden aus den 1990ern zum Einsatz kommen.
Vernetzte Technik erfordert vernetzte Menschen
Vernetzte Geräte für das Monitoring eröffnen dem Sicherheitsmanagement viele neue Möglichkeiten. Zahlreiche Informationsquellen liefern eine Fülle hilfreicher Daten. Allerdings bringt auch dies zwei neue Herausforderungen mit sich: Zum einen gilt es, die Sicherheit der von den Geräten gelieferten Informationen zu gewährleisten. Dies erfordert ein höheres Bewusstsein für Schwachstellen in den Systemen und damit einen kritischeren Auswahlprozess bei der Sicherheitsinfrastruktur. Zum anderen müssen die großen Datenmengen schnell und intensiv ausgewertet werden, damit sie überhaupt einen Mehrwert für das Unternehmen haben. Hier besteht jedoch noch großer Nachholbedarf. Denn nur selten ist die Datenverarbeitung so automatisiert, dass die Informationen direkt zu den Sicherheitsverantwortlichen gelangen. Ohne Automatisierung sind Menschen der schieren Menge an Daten jedoch schlicht nicht gewachsen. Indikatoren zur Frühwarnung vor Zwischenfällen gehen deshalb oft unter oder werden zu spät wahrgenommen. Aber, selbst wenn diese Warnungen beachtet werden, fehlt es häufig an der internen Vernetzung. Da sich die Zuständigkeiten der Bereiche manchmal überschneiden, wird ein gemeinsames Handeln von IT und Sicherheit immer wichtiger, damit sich die Bereiche nicht unabsichtlich gegenseitig behindern und ein schnelles Eingreifen erschweren.
Moderne Technologien bieten sehr gute Möglichkeiten, die Datenverarbeitung ohne große Kosten zu automatisieren und damit zu verhindern, dass Alarme übersehen werden. Automatisierung sorgt aber nicht nur für das schnelle Erfassen von Zwischenfällen und eine zügige, abgestimmte Reaktion. Wie bereits erwähnt, senkt das schnelle Eingreifen auch die Gesamtkosten für die Bewältigung eines Zwischenfalls.
Cybersicherheit: externe Dienstleister als Rettungsleine
Bis vor Kurzem assoziierte man den Begriff „vernetzte Welt“ vor allem mit Gefahren durch soziale Netzwerke, wie etwa einen Reputationsverlust durch gefälschte Informationen, Datenleaks oder sogenannte „Shitstorms“. Oberstes Ziel war es, möglichst erst gar nicht zum kontroversen Gesprächsthema zu werden. Wenn es doch passierte, war es Aufgabe der Unternehmenskommunikation, die Situation zu moderieren. Nur wenige Unternehmen setzten ein systematisches Monitoringsystem ein, um frühzeitig Informationen aus den sozialen Netzwerken in das Krisenmanagement zu integrieren. Heute ist der Schutz der Reputation und das Issue-Monitoring auf sozialen Plattformen in der Regel ganz selbstverständlich Teil des Krisenmanagements.
Dafür rückt unter dem Begriff „vernetzte Welt“ nun eine andere Bedrohung in den Blickpunkt: die Cyberkriminalität. Wegen der gefühlt sehr großen Überlegenheit der Angreifer, belastet dieses Thema die Verantwortlichen oft besonders. Offensichtlich sind die Cyberkriminellen uns und unserem Wissen stets voraus. Dadurch entsteht der Eindruck, dass wir diesem Feind relativ hilflos gegenüberstehen. Entscheidend für eine gute Vorbereitung und die Bewältigung eines Cyberzwischenfalls ist vor allem die Antwort auf eine Kernfrage: Wie geht man mit einer Situation um, in der die Unternehmens-IT ausfällt? Sei es durch den Angriff selbst oder auch als erzwungene Vorsorgemaßnahme wie im Fall WannaCry.
Darauf ist kaum ein Unternehmen wirklich vorbereitet. Denn ohne IT kommt das Geschäft meist mehr oder weniger zum Erliegen. Und dieser Fall ist in der Wirtschaftswelt nicht vorgesehen. Vor allem aber fallen mit der IT meist auch die gängigen Technologien für das Notfallmanagement aus. E-Mails, Telefonleitungen (die meisten Unternehmen nutzen VoIP), Datenbanken, Monitoring-Tools usw. stehen dann nicht mehr zur Verfügung und schnell zu reagieren wird zur wahren Herausforderung.
Die einzig widerstandsfähige Alternative, um auch bei Cybervorfällen handlungsfähig zu bleiben, ist der Einsatz externer Lösungen. Notfallsysteme eines externen Dienstleisters sind technologisch unabhängig vom eigenen System, aber jederzeit leicht zugänglich. So können auch während eines Zwischenfalls wichtige Dokumente ausgetauscht, Alarmierungsketten über diverse Kanäle initiiert und die Maßnahmen einfach und sicher koordiniert werden. Nur in einer Umgebung, die von der IT-Infrastruktur des Unternehmens unabhängig ist, hat das Unternehmen eine Chance, agil und erfolgreich auf einen Cyberangriff zu reagieren.
* Juan Manuel Gil Bote ist Managing Director F24 Servicios de Comunicación S.L.U.
Be the first to comment