Cyberkriminalität, Wirtschafts- und Industriespionage sind die bekannten Feinde und Risiken der Wirtschaftsstandorte im D-A-CH Raum.
Zeitgleich öffnet die Digitalisierung, als essentielle Innovation und notwendige Initialzündung für langfristiges Wachstum, den Angreifern Tür und Tor. In Ermangelung der notwendigen Cyber Security Fähigkeiten stehen Unternehmen jeder Branche, Art und Größe vor einer großen Herausforderung: Dem Digitalisierungs-Dilemma!
Unternehmen müssen Ihr Geschäftsmodell an die Digitalisierung anpassen und eröffnen der fortschreitenden Professionalisierung der Angreifer gleichzeitig eine Vielzahl an Angriffsvektoren.
Die offensichtliche Folgerung liegt für unvorbereitete Unternehmen auf der Hand: Digitalisierung öffentlich predigen, Innovationsprojekte aus dem produktiven Prozess ausgelagert als Marketingkampagne präsentieren. Selbige Methodik wird im Bereich Cyber Security angewendet. Hier sei das treffende Zitat eines hochrangigen Managers beispielhaft angeführt: „Jeder in der Branche weiß, dass der Komet kommt, jedoch hofft man einfach nur dass es den Nachbarn trifft, wenn er mal einschlägt.“
Das Motto ist klar: Kopf einziehen und weitermachen wie bisher.
Daraus abgeleitet ergeben sich zwei mögliche Wege in den Abgrund der wirtschaftlichen Irrelevanz die gleichbedeutend mit dem Verschwinden vom Markt sind.
Szenario 1: Digitalisierung ignorieren und jegliche Konkurrenzfähigkeit verlieren
Szenario 2: Cyberrisiken ignorieren und aufgrund eines Angriffs Reputation und Konkurrenzfähigkeit verlieren
Beide dieser beschriebenen Szenarien stellen den Alptraum von Entscheidern dar, dennoch werden die Themen gerne nach hinten geschoben. Zertifizierungsaudits, Fokus auf Umsatzwachstum, Kosten- und Prozessoptimierung sowie „wichtige Projekte“ sind die berühmten Begründungen für das Aufschieben notwendiger Maßnahmen zur Abwendung der oben beschriebenen Szenarien und sind Synonym für folgende Kernaussage: Das tägliche Geschäft an sich ist eben viel wichtiger….
Tragischerweise verkennen Entscheider jedoch den Zusammenhang, dass all ihre vorgeschobenen Gründe für das Aufschieben zur Einleitung der notwendigen Maßnahmen, genau dieses tägliche Geschäft gefährden.
- Wird die Digitalisierung nicht strategisch geplant und umgesetzt droht Szenario 1.
- Werden Cyberrisiken ignoriert und der notwendige Grundschutz nicht rechtzeitig sichergestellt droht Szenario 2.
Beide Szenarien haben eines gemeinsam: Sie bedeuten den Verlust der Konkurrenzfähigkeit des Unternehmens.
Daher gilt es sich rechtzeitig aus der Deckung zu wagen und die gebotene Möglichkeit des digitalisierten Wachstums zu nutzen. Die Digitalisierung erfordert strategische Unternehmensentscheidungen und die zielgerichtete Anpassung bestehender Geschäftsmodelle. Gleichzeitig gilt es zu bedenken, dass Digitalisierungsprozesse Hand in Hand mit strukturierten Security Konzepten gehen müssen. Das Erfolgsrezept ist einfach: Digitalisierung ist zugleich Chance und Risiko, jedoch bedeutet sie den sicheren Untergang des Unternehmens, wenn sie und die notwendigen Rahmenbedingungen dazu vernachlässigt werden.
Abwenden von Szenario 1:
Damit Themenfelder wie Artificial Intelligence, Blockchain und Big Data nicht nur verheißungsvolle Schlagwörter in Hochglanzprospekten bleiben, müssen die vorausgehenden Überlegungen und die darauffolgende Umsetzung am Weg zur Digitalisierung auf das Bedarfsprofil des Unternehmens maßgeschneidert sein. Die strukturierte Analyse gegebener und potentieller Wertschöpfungsketten, auch mit Einbettung ins unternehmerische Umfeld – Lieferanten, Partner, Kunden, Mitarbeiter etc. – ist einer der ersten strategischen Schritte hin zur (digitalen) Wertschöpfungskette. Diese Aufgabenstellungen beruhen nicht zwangsläufig auf dem Aufbau eines neuen Geschäftsmodells und der damit einhergehenden Zerstörung des „alten“, sondern können auch integrativer Bestandteil bestehender Systeme sein. So kann Digitalisierung bspw. auch „nur“ Geschäftsprozesse optimieren, Abläufe verschlanken, Produktion und Logistik messbarer machen, HR-Management effizienter gestalten, Kosten einsparen, vorhandene Daten besser nutzen oder andere Vorteile erzielen.
Ein möglicher Ansatz zur phasenweisen Erarbeitung und Umsetzung einer digitalen Wertschöpfungskette wird im Folgenden beispielhaft umrissen:
-
- Phase I – Initiale Bearbeitung
Gemeinsam ein klares Verständnis für bestehende Geschäftsprozesse und Wertschöpfungsketten aufbauen, um zielgerichtet potentielle Funktionen neuer Technologien zu identifizieren. Überblick über verfügbare und leistbare Technologien herstellen, die den identifizierten Funktionen und dem Bedarf entsprechen. Mögliche Anwendungsfälle – Optimierungsfelder, Geschäftsfelder, sonstiges – im Einklang mit dem erzielbaren Ergebnis definieren und bereits umgesetzte Beispiele analysieren.
-
- Phase II – Proof of Concept (PoC)
Die aussichtsreichsten Anwendungsfälle den Stakeholdern präsentieren, um Feedback, Bedürfnisse und Entscheidungen einzuholen. Nach Adaptierungen konkrete PoCs ausplanen und hinsichtlich Roadmap, Zeitplan und Inhalt finalisieren. Verantwortliches Projektteam definieren. Milestones, Überprüfungen und Reporting festlegen.
-
- Phase 3 – Umsetzung PoC
Die Entwicklungen werden in bestehende Plattformen und Systeme integriert und erprobt. Laufende Evaluierung und Reporting an Stakeholder ermöglicht zeitnahe Anpassung des PoCs. Ergebnisse und Erkenntnisse des finalisierten PoCs werden den Stakeholdern präsentiert sowie Mehrwert für zukünftige Anwendung(en) diskutiert. Finale Entscheidung über die Einführung.
Abwenden von Szenario 2: Cyber Security als integraler Bestandteil für Digitalisierungserfolg
Bereits während der strategischen Entscheidungsfindung zur Digitalisierung muss das Themenfeld der Cybersicherheit zur Erhöhung der Gesamtresilienz des Unternehmens unbedingt mitbearbeitet werden. Mehr Digitalisierung bedeutet mehr Angriffsfläche für jeden – vom Gelegenheitstäter bis zum professionellen Spion!
Angreifer entwenden Daten – Kundendaten, Preisdaten, Finanzdaten, strategische Entwicklungen – und erpressen damit Unternehmen oder verschlüsseln Daten, sodass eine weitere Bearbeitung im Unternehmen nicht möglich ist (Kryptotrojaner). Viele dieser Angriffe laufen mittlerweile vollautomatisiert ab und suchen sich lohnende Ziele über bspw. Zufallsalgorithmen aus. Daraus folgt unvermeidlich, dass jedes Unternehmen ein potenzielles Angriffsziel ist!
Vorgehensweise eines Angreifers
Werden die Angriffe nicht vollautomatisiert, sondern manuell durch einen Hacker ausgeführt, sind die Unternehmen dem Angreifer oftmals schutz- und hilflos ausgeliefert. (Derartige Angriffe können auch im Darknet beauftragt werden.) Schafft es ein Angreifer unentdeckt die Kontrolle (i.S.v. totaler Systemkontrolle) über die IT-Infrastruktur zu erlangen, verbleibt er meist mehrere Monate im System und hat über diese Zeitspanne hinweg Zugriff auf sensible Informationen aller Art. Die Unternehmen haben großteils ihre IT-Infrastruktur nicht an die modernen Bedrohungen angepasst. Lange Zeit wurde versucht die äußeren Perimeter [bildlich die Burgmauer; Firewalls, etc.] immer höher zu bauen, allerdings wurde dabei verabsäumt, auch die Infrastruktur dahinter [i.S.v. der inneren IT-Infrastruktur sobald der Angriff/Breach gelungen ist] abzusichern und zu überwachen. Somit können sich Angreifer bei einmaliger (!) Überwindung äußerer Verteidigungsanlagen problemlos innerhalb des Unternehmens und der IT-Infrastruktur bewegen. Es ist davon auszugehen [in der Beurteilung des Security-Konzepts], dass ein Angreifer, der zielgerichtet ein Unternehmen angreift, irgendwann sein Ziel erreichen wird. Der Angreifer hat quasi unendlich viele Pfeile im Köcher und muss nur einmal treffen, wohingegen beim verteidigenden Unternehmen ein Treffer reicht, um gewaltigen Schaden zu erzielen.
Demnach gilt es rechtzeitig für die notwendige Transparenz innerhalb des eigenen Netzwerks herzustellen, um bereits eingedrungene Angreifer erkennen und abwehren zu können. Um derartige Technologien zur Detektion zweckmäßig abbilden zu können, gilt es wie der reale Angreifer zu denken. Um derartiges Know-How im eigenen Unternehmen aufrechterhalten zu können, bedarf es hohen Ressourcenaufwand oder strategische Partnerschaften mit Spezialunternehmen, welche dieses Know-How zuliefern können.