Die Vernetzung von allem, was uns umgibt, ist längst fester Bestandteil unseres Alltags geworden. Es wird nicht mehr zwischen on- und offline unterschieden. Doch der technologische Fortschritt birgt auch Risiken. Um welche es sich hierbei handelt und wie man diesen Bedrohungen der Neuzeit entgegenwirken kann, erläutert Ferdinand Kobelt, Chief Information Security Officer des Swiss Federal Department of Defence.
Verschmelzung von analoger und digitaler Realität
Die vollständige Integration des Internets in das tägliche Leben hat längst stattgefunden. Das Internet of Things (IoT) beschreibt dabei die Implementierung von «intelligenten Gegenständen» in jeden Lebensbereich:
Kobelt beschreibt diesen Vorgang als «Verschmelzen der virtuellen Realität mit der analogen».
Die damit verbundenen Vorzüge sind offensichtlich; so lässt sich sowohl der Komfort für Verbraucher/-innen steigern als auch eine Effizienzsteigerung für Unternehmen realisieren. Doch wie so oft existiert auch hier eine Kehrseite der Medaille. Das Stichwort lautet: Cyberattacken. Sie finden immer häufiger statt, vorrangig betroffen sind hochentwickelte Länder und Regionen wie die USA, Japan, Skandinavien, Deutschland und die Schweiz. Weder Telcoanbieter noch TV-Sender, Krankenhäuser oder ganze Regierungen sind davor geschützt – die große Frage steht im Raum: Wie können sowohl Gesellschaft als auch Industrie und Regierung davor geschützt werden?
It is estimated that approximately 80% of cyber-attacks can be prevented or mitigated by basic information risk management
Effektiver Schutz vor digitalen Risiken – was zu beachten ist
Kobelt beschreibt die Anforderungen an die Digitalisierung auf drei Ebenen:
- Komplexität bewältigen
- Qualität langfristig sicherstellen
- Sicherheit und Datenschutz gewährleisten
Steigende Komplexität bietet mehr Raum für Sicherheitslücken (Bsp.: Sony Hack, 2014), Qualität lässt sich auf digitalem Wege manipulieren (Volkswagen-Abgas-Affäre) und Sicherheit sowie Datenschutz werden zunehmend zur Achillesferse von Unternehmen (Datendiebstahl) und Privatpersonen (Webcam- und Smartphone-Hacks).
Uns wird klar, dass die Notwendigkeit eines intelligent gestalteten Risk Management elementar wichtig ist. Die wohl zutreffendste Gegenargumentation liefert James Lam (Enterprise Risk Management, Wiley Finance):
The only alternative to risk management is crisis management – and crisis management is much more expensive, time consuming and embarrassing.
Wenn wir den Begriff «Risiko» aufschlüsseln, kommen wir zu dem Schluss, dass ein Risiko die Kombination von Wahrscheinlichkeit und Auswirkung darstellt.
Je detaillierter also diese beiden Faktoren beschrieben werden können, desto eher lässt sich das daraus resultierende Risiko minimieren. Um Zeit- und Kostenaufwand nicht unverhältnismäßig groß werden zu lassen, helfen Werkzeuge wie eine Risikomatrix bei ersten Einschätzungen.
Die eigentliche Planung eines möglichst effizienten Risikomanagement-Prozesses ist komplex. Es existieren verschiedenste Modelle (Frameworks), die sich im Kern jedoch ähnlich sind: Risiken müssen
- identifiziert,
- analysiert
- und beurteilt werden
um sie final bewältigen zu können. Wirklich entscheidend hierfür sind die Rahmenbedingungen (rechtliche Anforderungen, Kundenwünsche, vorhandene Strukturen, etc.) sowie Vorbereitungsarbeiten, welche für jedes Projekt veränderlich sind. Dennoch wird versucht, Frameworks möglichst breit anwendbar zu machen, um die Anforderungen vieler Unternehmen und Institutionen gleichzeitig bedienen zu können.
Hier die Übersicht:
Social Media in einer Unternehmung – Nutzen vs. Gefährdung
Fast jede Unternehmung bedient sich mittlerweile der sozialen Medien, um Präsenz zu zeigen oder Akquise zu betreiben. Ganz so einfach ist es allerdings nicht, denn auch hier verbergen sich Chancen und Risiken:
Um die Nutzung der Social Networks als Werkzeug für Unternehmen möglichst sicher zu gestalten, müssen Verantwortungsbereiche klar definiert und mögliche Bedrohungen bekannt sein, denn nur was man kennt, kann man gezielt bekämpfen.
Fazit – Fügen wir uns durch die Entwicklung selbst Schaden zu?
Die Digitalisierung bringt viele Vorteile mit sich. Doch um diese voll ausnutzen zu können, müssen bestehende sowie entstehende Risiken und Gefahrenquellen erkannt, analysiert und angegangen werden.
Je besser das präventive Sicherheitssystem ausgebaut ist, desto eher lassen sich Erfolge durch den Einsatz von IoT, Social Media und Co. erzielen. Hierbei ist die professionelle Anwendung von Frameworks und Standards aus dem Bereich des Risk Management hilfreich, welche das notwendige Wissen vermitteln, um selbstbewusst mit Risiken umzugehen, auch wenn sie niemals restlos eliminiert werden können.
Die Frage bleibt, wie sich der Mensch als immer schwächer werdendes Glied (bewusst oder unbewusst) in dieser Kette zurechtfindet.
Zum Schluss noch die wichtigsten Erkenntnisse aus der Klasse:
