Cyberbedrohungen
Risiko-Schulung für die Geschäftsführung gemäß NIS 2
Die richtigen Entscheidungen bei einem Cyberangriff zu treffen, kann über die Schadenshöhe entscheiden. Die Geschäftsleitung muss auf Erkennung und Bewertung von Risiken geschult werden, sonst kann sie für Angriffsfolgen haftbar gemacht werden.
Die Pflichten der Geschäftsleitungen beschreibt der §38 des aktuellen Gesetzesentwurfs der Bundesregierung zur NIS 2-Umsetzung. Der Gesetzgeber bestimmt dabei in Absatz 3, dass Unternehmensleiter regelmäßig an Schulungen zum Thema Cybersicherheit teilnehmen sollen. Absatz 2 macht sogar deutlich, dass bei Nichterfüllung der Schulungspflichten eine persönliche Haftung im Innenverhältnis, je nach Geschäftsform und interner Regelung möglich ist. Dies zeigt, dass dieses Thema für Verantwortliche sehr wichtig ist und mit dem nötigen Ernst angegangen werden muss.
Ja – aber – nein, nicht so
Schulungen zum Thema Cybersicherheit sollten für jedes Unternehmen mittlerweile eine Selbstverständlichkeit sein. Die Frage der Häufigkeit und Art wird oft diskutiert. Dabei geht es allerdings zumeist um die Erkennung und Abwehr von cyberkriminellen Methoden -- und ja, ein solches Training ist wichtig. Und nein, diese Themen sind bei Schulungen für die Geschäftsleitung nur am Rande gemeint.
Der Gesetzesentwurf macht auch deutlich, worum es geht: Geschäftsführungen „sind verpflichtet, die von diesen Einrichtungen nach § 30 zu ergreifenden Risikomanagement-Maßnahmen umzusetzen und ihre Umsetzung zu überwachen“. Das hier angesprochene Training soll dazu dienen, ihnen das nötige Rüstzeug zu liefern, um diesen Pflichten nachzukommen. Es wird auch klargestellt, um welche Art von Wissen es geht, nämlich „…um ausreichende Kenntnisse und Fähigkeiten zur Erkennung und Bewertung von Risiken und von Risikomanagementpraktiken im Bereich der Sicherheit in der Informationstechnik“.
Risiken erkennen und bewerten
Im Gesetz wird von Geschäftsführungen etwas verlangt, was selbst IT-Sicherheitsabteilungen vieler Unternehmen Schwierigkeiten bereitet. Risiken erkennen ist dabei der erste Schritt. Was in einer Normalsituation bei immer komplexeren IT-Strukturen schon zur Herausforderung wird, kann sich durch äußere Umstände, beispielsweise durch die Entdeckung einer neuen Sicherheitslücke rapide verändern. Welche Folgen diese im Einzelfall für ein Unternehmen bedeutet, ist abhängig von den vorliegenden Strukturen sowie den Reaktionsmöglichkeiten. Und das soll nun der Geschäftsführung vermittelt werden? Ja, Unternehmensleitungen werden in die Lage versetzt, mit diesem Wissen dann Entscheidungen zu treffen, die weitreichende Auswirkungen haben.
Ein Beispiel
In einem Fall, der weltweit Schlagzeilen machte, wurde die Geschäftsführung darüber informiert, dass ein Cyberangriff weite Teile der IT-Infrastruktur ausgeschaltet hatte. Übliche Geschäftsprozesse z.B. Buchhaltung, waren nicht mehr möglich. Es sei zum Zeitpunkt unklar, ob der Angriff auch die eigentlich segmentierte kritische Infrastruktur betroffen habe, hieß es. Die Geschäftsführung war nun in der Pflicht, Entscheidungen zu treffen. Ein Abschalten der kritischen Infrastruktur (Öl-Pipeline) bedeutete einen gewaltigen Reputationsverlust sowie Krisenstimmung in der davon betroffenen Bevölkerung. Bei einer Nichtabschaltung drohten dem Unternehmen herbe wirtschaftliche Verluste sowie das Risiko, dass sich der Angriff auch auf die kritische Infrastruktur erstrecken würde. Das Risiko stieg mit jeder Sekunde der Überlegung. Rückwirkend betrachtet stellte es sich heraus, dass die daraufhin angeordnete Abschaltung der Pipeline unnötig war. Von den Auswirkungen waren vor allem unbeteiligte Menschen betroffen, die in ihrem Leben teils erhebliche Einschränkungen hinnehmen mussten.
Auswirkung eines Trainings
Wer Entscheidungen trifft, riskiert falsch zu liegen. Im Besonderen in Stresssituation potenziert sich diese Wahrscheinlichkeit. Mit Erpressung sind die meisten Menschen zum Glück sehr selten konfrontiert. Aber genau deshalb ist es in einer solchen Situation schwierig, einen kühlen Kopf zu bewahren. Hier soll Training unterstützen. Geschäftsleitungen müssen verstehen, welche Bereiche ihrer IT welche Geschäftsprozesse beinträchtigen. Sie müssen die Auswirkungen ihrer Entscheidungen einschätzen können und auch die Risiken. Für eine echte Kalkulation oder eine Besprechung und Abwägung des Vorgehens bleibt im Rahmen eines Cyberangriffs oft wenig Zeit. Spielt man die einzelnen Szenarien im Vorfeld durch, erweist sich möglicherweise das Risiko, dass bei einer falschen Entscheidung entsteht, so hoch, dass zusätzliche Schritte notwendig sind, um es zu mindern.
Natürlich gibt es viele Geschäftsführungen, die genau diese Art Diskussion mit ihren IT- und IT-Sicherheitsabteilungen führen. Die Erfahrung zeigt aber auch, dass es sehr häufig zu Fehleinschätzungen kommt, was die tatsächliche Bedeutung der IT für die Geschäftsprozesse angeht. So galten Operationssäle in Krankenhäusern als abgeschottet und damit immun gegen Cyberangriffe. Ein Ausfall der IT beeinträchtige also selbst im schlimmsten Fall nicht die Fähigkeiten der Mediziner. Dennoch zeigte sich an konkreten Fällen schmerzlich, dass durch den Ausfall der Verwaltung sämtliche Prozesse verzögerten bzw. teilweise gar nicht mehr durchführbar waren und deshalb sogar wichtige Operationen verschoben oder in andere Krankenhäuser ausgelagert werden mussten.
Herausforderungen
Die Dokumentation wichtiger Geschäftsprozesse und ihre Verknüpfung und damit Abhängigkeit von der IT ist Gegenstand vieler Vorschriften. Doch häufig ist nicht klar, welche Zugriffsmöglichkeiten und Probleme durch Cyberangriffe tatsächlich entstehen. Auch hier eine Beispielfrage: Was könnte ein Angreifer schaffen, wenn er im Besitz eines Domain Admin Zugangs ist? Für viele Unternehmen ist dies der Cybersecurity Worst Case, weil praktisch alles über einen solchen Account steuerbar ist. In der Konsequenz bedeutet dies, dass ein solcher Account maximal geschützt werden muss.
Und nun zur schlechten Nachricht… bei beauftragtem Red Teaming, also dem kontrollierten Angriff so genannter „ethischer Hacker“ auf ein Kundensystem dauerte es in 90% der Fälle weniger als drei Tage, bis die Angreifer (das Red Team) im Besitz des Domain-Admin-Accounts waren und damit das zuvor gesteckte Ziel erreichten. Aber damit ist nur die Lage der IT umrissen.
Für die Geschäftsführung besteht die Herausforderung darin, im Ernstfall die richtigen Entscheidungen zu treffen. Die Frage, wie und in welcher Form sie über einen IT-Notfall informiert wird, kann entscheidend sein. Das kennt man beispielsweise von der medizinischen Notrufmeldung die 5 W’s „Wer, Wo, Was, Wie viele, Warten (Rückfragen)“. Die Empfehlung kann gleich lauten, doch ist das Fachwissen genau anders herum vorhanden. Der Anrufende ist der Fachmann. Je mehr er jetzt erklären muss, desto höher die Gefahr, dass der Angerufene die Situation nicht versteht oder Fehler macht. Es ist also definitiv ratsam, solche Fälle durchzuspielen, um die Frage/Antwort Dynamik zu besprechen. Welche Informationen sind wichtig, welche nicht?
Den Ernstfall proben
Das theoretische Wissen und die Prozesse zu optimieren, sind wichtige Schritte. Aber wenn keine Erfahrung dazu vorhanden ist, wie es sich wirklich anfühlt, können solche Szenarien nur bedingt vorbereitet werden. Die in vielen Punkten über die NIS 2 -hinausgehende EU Verordnung DORA für Finanzunternehmen fordert deshalb explizit: „Jeder bedrohungsorientierte Penetrationstest schließt mehrere oder alle kritischen oder wichtigen Funktionen eines Finanzunternehmens ein und wird an Live-Produktionssystemen durchgeführt, die derartige Funktionen unterstützen.“
Ein solcher, auf Bedrohungen ausgerichteter Penetrationstest, wie beispielsweise das Red Teaming, unterstützt dabei, Lücken in der Verteidigung zu schließen, sowie die eigenen Prozesse zu erproben. Ist man sich bezüglich der eigenen Fähigkeiten unsicher, in einem solchen Test überhaupt eine Chance zu haben, so bietet sich die etwas abgeschwächtere Variante Purple Teaming an. Dieses ist als „Training on the Job“ für IT-Sicherheitsabteilungen gedacht und unterstützt dabei, den Umgang mit den eigenen Werkzeugen und Prozessen zu üben. Informationen zum Trend Micro Red und Purple Teaming Angebot finden Sie hier.
Fazit
Geschäftsführungen brauchen dafür ein Verständnis der IT-Risikolage und welche Auswirkungen Ihre Entscheidungen haben. Dies lässt sich bis zu einem gewissen Grade in „bedrohungsorientierten Penetrationstests“ wie sie DORA vorschreibt trainieren. In einer von Trend Micro beauftragten Umfrage unter weltweit mehr als 2600 Unternehmen lag Deutschland im Ländervergleich in der Frage nach der Durchführung solcher Trainings abgeschlagen auf dem letzten Platz mit 24%. Österreich war mit 37% im Mittelfeld und die Schweiz mit 47% nur knapp hinter Spitzenreiter USA mit 49%.