Das Thema Cybersecurity geniesst grosse Medienpräsenz. Auch in allen IT-Projekten ist es omnipräsent. Und doch passiert es immer und immer wieder, nicht nur von Geheimdiensten und dunklen Mächten. So hat in Deutschland ein 20-jähriger Student wieder einmal kurz die Accounts von ein paar hundert exponierten Persönlichkeiten gehackt. Er publiziert die gefundenen Daten fast ‚wohlwollend‘. Was würden wohl bezahlte Wirtschafts-Hacker tun? Ihre Daten dürften wahrscheinlich in falsche Hände geraten.
Auf www.unternehmerzeitung.ch VR-Praxis Heft 3/2019 veröffentlicht; Download als PDF.
Eine nicht repräsentative Umfrage bei Verwaltungsrätinnen und Verwaltungsräten durch P-Connect *) hat ergeben, dass 68% der Firmen schon angegriffen wurden. Aber nur 39% der Unternehmen sind überzeugt, einen Angriff rechtzeitig zu entdecken.
Die gelegentliche Aussage «Wer noch nie angegriffen wurde, hat es einfach nicht gemerkt» dürfte wahrer sein als erwünscht. Die Tatbestände, welche unter die Rubrik Cybersecurity fallen, sind schliesslich vielfältig: Daten kopieren oder verändern, Daten zerstören oder Erpressung durch Verschlüsselung, Diebstahl von Authentifizierungen, Mithören oder Mitsehen über Kameras und Mikrofonen und noch Unbekanntes. Hinzu kommen die Gefahren von innen, wo möglicherweise unzufriedene Mitarbeitende Daten mitnehmen und extern verwerten. Der Bankenplatz Schweiz kann dies bestätigen. Wenn man den ganzen Gefahrenbereich betrachtet, dürfte jedes Unternehmen, welches mehr als einen Mitarbeitenden umfasst, bisher tatsächlich schon einmal irgendwie betroffen gewesen sein.
Kriminelle Bereicherung
Das Gute an der kriminellen Bereicherung ist, dass man sie relativ schnell bemerkt. Die Daten müssen ‘taufrisch’ auftauchen, um dafür möglichst viel Geld zu lösen. Im Falle von Erpressung durch Verschlüsselung wird man sofort mit den Tatsachen konfrontiert. Schutz vor diesen klassischen Viren, Trojanern etc ist eigentlich einfach, genügen hier aktuelle Virensoftware und eine intensive und laufende Sensibilisierung der Mitarbeitenden.
«WER NOCH NIE ANGEGRIFFEN WURDE, HAT ES EINFACH NICHT GEMERKT»
Wirtschaftsspionage
Diese Art des Cyberangriffes will im Stillen wirken und nicht auffallen. Hier dürfte eine signifikante Dunkelziffer liegen. Um diese Angriffe zu merken, braucht es eine Cyberabwehr-Strategie, welche immer auf den neusten Erkenntnissen und Tools aufsetzt. Und nie stehen bleibt. Es ist ein Kampf gegen professionelle und sehr clevere Organisationen, geheime Dienste, welche per definitionem immer einen Schritt voraus sind. Selbst bei besten Vorkehrungen bleibt die Gefahr, über ein bisher unbekanntes Leck gehackt zu werden.
Schutz nach Aussen
Bei 74% der Antwortenden ist das Thema Cybersecurity ein Traktandum auf Ebene Verwaltungsrat. Also auf der wichtigsten Stufe angesiedelt, um diesbezüglich über Strategie zu entscheiden und Ressourcen bereit zu stellen. Alle grossen Firmen dürften über eigene spezialisierte Teams verfügen, die mittelständischen Unternehmen haben es an externe Partner delegiert. Als KMU ist es praktisch unmöglich, mit der schnellen Entwicklung der sehr vielfältigen Bedrohungen und kreativen Täterschaften mithalten zu können. Wer nicht in eigene oder externe Spezialisten investiert, lebt gefährlich.
«DIESE AUSSAGE MÜSSTE DEM VR DIE GRÖSSTE SORGE BEREITEN, BEDEUTET DIES DOCH, GEGENÜBER DEM SELBST AUSGEWÄHLTEN MANAGEMENT AUCH ETWAS MISSTRAUISCH ZU SEIN.»
Schutz nach Innen
Der Schutz nach inneren Gefahren geht über die Kontrolle von Mitarbeitenden. Ein heikles Thema. Der am 12. Feb. 2019 veröffentlichte „KPMG Forensic Fraud Barometer“ von KPMG lässt aufhorchen, nachdem das Management als Haupttäter ermittelt wurde und mit einer hohen Dunkelziffer zu rechnen sei. Diese Aussage müsste dem Verwaltungsrat die grösste Sorge bereiten, bedeutet dies doch, gegenüber dem selbst ausgewählten Management auch etwas misstrauisch zu sein.
Lohnt es sich?
Besitzt das Unternehmen überhaupt wertvolle und schützenswerte Daten? Das ist die Grundsatzfrage. Rund ein Drittel der Antwortenden in der erwähnten Umfrage glauben, dass es bei Ihnen nichts auszuspionieren gäbe. Das dürfte für sehr kleine Firmen im Dienstleistungsbereich sicher zutreffen, wo der grösste Schaden wohl der Diebstahl von Bankzugangsdaten wäre. Bei Datenverlust genügt eine Datensicherung, um im Geschäft zu bleiben. Für KMUs und grösser hätte ein Angriff möglicherweise existentielle Konsequenzen. In der Schweiz als Spitzenreiter auf dem weltweiten Innovationsindex dürfte es sich für geheime Dienste lohnen, ein paar Unternehmen mehr als weniger auszuspionieren.
Von wahrem Luxus in diesem Zusammenhang dürfte für einmal nur profitieren, wer nichts Interessantes und Wissenswertes besitzt.
*) Umfrage von P-CONNECT im Januar 2019 unter https://www.p-connect.ch/cybersecurity
Autor
Christoph Hilber als Managing Partner von P-Connect fokussiert im Executive Search auch auf die Stufe Verwaltungsrat / Verwaltungsrätin. In diesem Zusammenhang schreibt er regelmässig Artikel in verschiedenen Medien wie z.B. in der Unternehmerzeitung, Teil VR-Praxis / Verwaltungsrat persönlich.