Überblick
Empfehlungen
Nächste Schritte
Soziale Medien
Nicht nur Top-Führungskräfte, sondern auch MitarbeiterInnen nehmen die Gefahr von Cyberattacken in der Regel auf die leichte Schulter. Diese eher entspannte Einstellung dem Thema gegenüber kann aber sehr gefährlich werden. Anlässlich der letzten MBA Alumni Lounge des Jahres am 22. November 2018 am Erste Campus diskutierten ExpertInnen, was Unternehmen unbedingt machen sollten, um sich erfolgreich vor Cyberkriminellen zu schützen.
Szenario 1. Sie sind CEO der Credit Homeland Bank. Ihre Bank hat soeben das Fintech-Unternehmen Grayland übernommen. Für KreditkundInnen gibt es künftig strengere Regularien bei der Kreditvergabe. Dann passiert es.
Die Webseite der Bank wurde lahmgelegt. „Go home, let people live in peace.“ steht nun in großen Lettern dort. Was werden Sie tun?
Szenario 2. Sie sind PremierministerIn. Das Leitungswasser in einer Region Ihres Landes ist verunreinigt. Eine Cyberattacke hat in der Wasseraufbereitungsanlage eine Störung verursacht. Immer mehr Menschen werden wegen lebensbedrohlicher Erkrankungen in Spitäler eingeliefert. Was werden Sie tun?
Diese Fragen brachten die rund hundert Gäste der MBA Alumni Lounge der WU Executive Academy unter dem Motto „Company under Cyber Attack“ gehörig ins Grübeln. Fragen, die eine Simulation der Cybersecurity-Agentur BHC Laboratory aufwarf. Fragen, die in den Führungsriegen des Landes viel zu selten gestellt werden.
Die Zahl der weltweiten Cyberangriffe auf Unternehmen ist von 2016 auf 2017 um 40 Prozent gestiegen, wie der Cybersecurity Report der Kapsch BusinessCom zeigt. Es gebe daher ein großes Risiko, nicht über Cyberkriminalität zu sprechen. „Im Fernsehen sehen wir Bilder aus Kriegen in Afghanistan und Syrien, aber der Cyberwar bleibt für uns unsichtbar“, sagt Lauri Almann, Vorstand von BHC Laboratory. Er hat schon mit diversen Cyberattacken zu tun gehabt, zu den Kunden von BHC zählen Regierungen und internationale Konzerne. „Cyberattacken auf Unternehmen passieren jeden Tag – sie betreffen aber nicht nur die IT, sondern auch das Management in hohem Maße“, schließlich gehe es um die Werte, die Reputation und Handlungsfähigkeit des Unternehmens. „Daher ist es so wichtig, solche Übungen dazu durchzuführen, um im Fall der Fälle entsprechend vorbereitet zu sein“, so Lauri Almann. Auch PR-Abteilungen müssten zum Thema Information Security Management sensibilisiert werden.
Im Podiumsgespräch gingen Top-ManagerInnen eingangs der Frage nach, wie konkret mit Cyberkriminalität gegen Unternehmen umzugehen sei. „Die meisten Führungskräfte unterschätzen den Einfluss dieser Attacken“, sagte Jochen Borenich, COO der Kapsch BusinessCom und Alumnus des Global Executive MBA, die IT-Dienstleistungen im Bereich Cybersecurity für Mittelständler und Konzerne anbietet. Die Dauer zwischen einer Cyberattacke und deren Kenntnisnahme im Unternehmen betrage im Schnitt 175 Tage. Auch Thomas Stubbings, Vorsitzender der Cyber Security Plattform der österreichischen Regierung und Teilnehmer des Global Executive MBA '19, sah die Führungskräfte in den Unternehmen gefordert: „Hier gibt es viel Ignoranz. Cybercrime funktioniert deswegen so gut, weil der Standardschutz nicht umgesetzt wird.“ Auch den Irrglauben kleinerer Unternehmen, sie wären als Zielscheibe für Cyberkriminelle kaum interessant, entkräftete er: „Alle sind gefährdet. Cyberkriminelle achten nicht auf die Marktkapitalisierung eines Unternehmens, sondern auf dessen mangelnden Schutz.“ Lauri Allman wies auf die großen Qualitäts- und Preisunterschiede zwischen den angebotenen Cybersecurity-Lösungen am Markt hin.
Reinhold Wochner, Head of Group Security Management der ERSTE Group, meinte in Richtung Top-Management: „Wenn du an der Spitze nicht die basic rules befolgst, tut es auch niemand unter dir.“ Er unterstrich zudem, wie schwierig es sei, kompetente IT-Fachkräfte zu finden: „Der Markt ist ausgetrocknet.“ Jochen Borenich bestätigte das. Viele Unternehmen würden Cybersecurity-Belange wegen des Fachkräftemangels an IT-Dienstleister wie die Kapsch BusinessCom auslagern. Gleichzeitig stecke die Digitalisierung zunehmend in Produkten und Dienstleistungen – die Angriffsfläche für Cyberkriminelle steige dadurch rasant. „Laut eines Berichts von Cisco wird es bis 2020 rund 50 Milliarden Connected Devices geben, die über das Internet miteinander verbunden“, so Borenich.
Das Hauptziel sei fast immer der Mensch, sagt Thomas Stubbings. Laut Reinhold Wochner sei es erstaunlich, wie viele Menschen auf Phishing Mails hereinfallen. Lauri Almann betonte, dass 69 Prozent der Attacken auch und vor allem deswegen erfolgreich seien, weil Mitarbeitende, die in eine derartige Falle getappt sind, aus Gründen der Scham wichtige Informationen dazu nicht teilen würden. Er hat auch eine Online-Befragung mit inzwischen 200.000 Usern gestartet: 77 Prozent würden einen USB-Stick von jemand anderem nutzen, 90 Prozent sogar einen, den sie gefunden hätten – sofern er ein Logo aufwies.
Für private KundInnen habe die Erste Bank daher sichere Lösungen durch die smarte Netbanking-Alternative „George“ geschaffen, so Reinhold Wochner, und: „Fallen uns bei Unternehmen Unregelmäßigkeiten in deren IT-Systemen auf, unterstützen wir sie bei der Bekämpfung von Cyberkriminalität.“
Thomas Stubbings befand, die EU habe inzwischen verstanden, dass Cyberattacken eine reale Gefahr seien und Information Security Management zunehmend an Bedeutung gewinnt. Er brachte das Beispiel der Malware NotPetya, die im Vorjahr in Europa großen Schaden angerichtet hatte. Internationale Unternehmen wurden lahmgelegt. Bei der Reederei Maersk etwa standen plötzlich 45.000 PCs still. „Nur ein einziger PC war nicht an das Netzwerk angeschlossen, er stand in Ghana und hatte einen Domain Controller, eine Art Backup“, erzählte Stubbings. Mit dem Backup konnte vieles gerettet werden. Auch die Ukraine war massiv betroffen, darunter zwei Flughäfen, vier Spitäler, sechs Stromanbieter.
Aber was, wenn das Bewusstsein vorhanden, das Budget für Cybersecurity jedoch limitiert sei, fragte eine Teilnehmerin aus dem Publikum bei der anschließenden Diskussion. „Überlegen Sie das katastrophalste Szenario und versuchen Sie ihm mit den wichtigsten Maßnahmen entgegenzuwirken“, riet Thomas Stubbings. Nachsatz: „Es muss kein Vermögen kosten.“