Digitales Risikomanagement
Digitales Risikomanagement: Minimieren Sie Gefahren im Internet

Digitales Risikomanagement: Minimieren Sie Gefahren im Internet

Die Vorteile der digitalen Transformation für Unternehmen sind nicht zu unterschätzen – ihre Risiken jedoch auch nicht. Digitales Risikomanagement kommt leider häufig zu kurz. Dabei ziehen Datenschutzverletzungen oder Datenlecks nicht nur finanzielle Verluste nach sich. Managern können sie den Job kosten und das Image des Unternehmens leidet heftig.

Digital Risk Management: Was ist das eigentlich?

Dem digitalen Riskomanagement werden sämtliche Prozesse und Maßnahmen zugeordnet, die dazu dienen, Risiken im Unternehmen zu erkennen und sie entsprechend zu steuern. Sämtliche potenziellen Risiken, die die IT-Sicherheit eines Unternehmens kurz-, mittel- oder langfristig gefährden könnten, müssen einbezogen werden.

Ziel eines solchen digitalen Risikomanagements sollte die Absicherung der IT-Infrastruktur im Unternehmen sein. Auch gilt es, die IT betreffende Ziele gegen Störungen abzusichern, um so insgesamt den Unternehmenswert steigern zu können. Da das digitale Risiko eng mit vorherrschenden digitalen Geschäftsprozessen verwoben ist, geht es weniger um technologische als eher um gesamtgeschäftliche Entscheidungen.

Um das Managen digitaler Risiken zum Unternehmensbestandteil zu machen, gilt es, das digitale Risikomanagement als Prozess zu begreifen:

  • Durch digitales Risikomanagement tragen Sie sichtbar zum Erreichen Ihrer Unternehmensziele zur Verbesserung der IT-Sicherheit bei.
  • Begreifen Sie das Digital Risk Management als integrierten Teil Ihrer Organisationsprozesse. Es handelt sich um keine selbstständige, von anderen Dingen abgekoppelte Tätigkeit.
  • Risikomanagement hilft jedoch auch beim Finden von Entscheidungen. Dem Management gelingt es, informiert zu handeln. Aktivitäten lassen sich priorisieren und schnell können Handlungsalternativen unterschieden werden.
  • Ein systematisch aufgebautes, zielgerichtetes und strukturiertes digitales Risikomanagement optimiert die Leistungsfähigkeit Ihrer IT-Infrastruktur.
  • Verstehen Sie das digitale Risikomanagement als iterativen und dynamischen Ansatz. Treten interne oder externe Veränderungen auf, lassen sich Risiken überwachen und überprüfen. Risiken verändern sich im Laufe der Zeit oder können auch ganz verschwinden. Deshalb ist es ideal, wenn Ihre Organisation sicherstellt, dass Ihr Risikomanagement auf Veränderungen reagieren kann.

Zusammenfassen lässt sich, dass das digitale Risikomanagement zum Ziel hat, eine digitale Resilienz aufzubauen. Die Operationen und Systeme Ihres Unternehmens sind idealerweise darauf ausgelegt, Bedrohungen nicht nur zu erkennen, sondern auch auf die Ereignisse zu reagieren. Geschäftsunterbrechungen sowie finanzielle Verluste werden so erfolgreich minimiert.

Digitale Risiken? Uns kann nichts passieren!

In vielen Großkonzernen ist das digitale Risikomanagement längst zum Bestandteil des unternehmensweiten Risikomanagements (“Enterprise Risk Management”) geworden. In kleinen und mittleren Betrieben sieht das anders aus: Abgesehen von fehlenden personellen, womöglich auch finanziellen Ressourcen fragen sich viele KMU, was ihnen passieren sollte. So groß scheint die eigene IT-Landschaft nicht zu sein, digitale Risiken existieren augenscheinlich nur bedingt.

Weit gefehlt! Auch KMU haben geschäftsentscheidende Risiken, die es zu schützen gilt. Welche das sind, variiert von Fall zu Fall. Patente und geistiges Eigentum sind kritische Assets, aber auch Markennamen, Designs oder der Online-Shop. Betriebsgeheimnisse, geplante Übernahmen oder Login-Daten: Jedes Unternehmen hat Informationen, die definitiv schützenswert sind.

Wurden diese digitalen Risiken unterschätzt, folgen weitreichende Konsequenzen:

  • Umsatzeinbußen: Womöglich stehen Produktionen still, aufgrund gestohlener Datensätze können Dienstleistungen nicht erbracht werden oder Prozesse werden unterbrochen.
  • Reputationsschäden: In Zahlen nie in aller Gänze zu erfassen, sind entstehende Image-Schäden. Diese können in einigen Fällen zu massiven Verlusten führen, in anderen Fällen sogar zur Schließung des Unternehmens.
  • Wettbewerbsnachteile: Innovationen sind Wettbewerbstreiber. Mit einem effektiven Digital Risk Management positionieren Sie sich als innovatives Unternehmen. Ohne ein solches Management bleiben Sie hinter der Konkurrenz.

IT-Security: Wirken Sie dem digitalen Risiko entgegen

Es gibt einige Wege, die Sie in Ihrem Unternehmen etablieren können, um das digitale Risiko zu senken. Diese stellen wir Ihnen im Folgenden vor.

Schützenswerte Assets feststellen

Werden Sie konkret: Was in Ihrer Organisation ist schützenswert? Erst, wenn Sie kritische sowie schützenswerte Assets feststellen konnten, ist es möglich, den Risiken mit entsprechenden Strategien und Tools entgegenzuwirken. Erfassen Sie Assets eher weitläufig:

  • Faktor Menschen wie Mitarbeiter, Kunden, aber auch Dienstleister, Zulieferer und Partner.
  • Verschiedene Organisationen wie Service-Abteilungen, Zulieferer, aber auch unternehmensweite und gemeinschaftlich genutzte Infrastrukturen.
  • Kritische Systeme mit externen Schnittstellen, beispielsweise Ihre Website, aber auch CRM-Datenbanken mit Kundendaten, ERP-Anwendungen oder sonstige Portale.

Es ist nicht immer einfach, die schützenswerten Assets zu identifizieren und auch ihre Priorisierung kann sich von Unternehmen zu Unternehmen unterscheiden. Es lohnt sich, ein bisschen wie ein potenzieller Angreifer zu denken, denn nicht immer muss die Einschätzung des Unternehmens mit dem Vorhaben eines Angreifers übereinstimmen.

Es hat sich in der Praxis bewährt, Dateien und Dokumente mit möglichst unterschiedlichen Markern zu taggen. So identifizieren Sie – auch für einen eventuellen Bedarfsfall – bestimmte Arten von Assets.

Bedrohungen als solche erkennen und verstehen

Im nächsten Schritt lohnt ein Blick auf die Bedrohungslandschaft. Es gibt Möglichkeiten, Taktiken, Techniken sowie Verfahren (“TTPs”) schon bekannter Cyberkrimineller zu analysieren. So bieten Frameworks wie MITRE ATT&CK eine gute Basis zum Verstehen des Verhaltens von Angreifern. Die gängigsten TTPs sind:

  • das Ausnutzen von Sicherheitslücken
  • die Übernahme von Konten entweder durch geleakte oder aber durch öffentlich zugängliche Login-Daten der Mitarbeiter
  • das Ausspionieren von unternehmensrelevanten Informationen (etwa technischer Art oder Prototypen oder wirtschaftliche Informationen), aber auch das psychologische Manipulieren von Mitarbeitern, um Sicherheitslücken identifizieren zu können.

Monitoring: Alles im Blick haben

Beim Monitoring geht es darum, mögliche Quellen von Cyberkriminalität im Auge zu behalten. Es ist ein Irrglaube, dass sich Cyberkriminalität ausschließlich im Darknet abspielt. Tatsächlich lassen sich zahlreiche kritische oder personenbezogene Daten frei zugänglich im Deep Web finden. Das Darknet ist ein Teil des Deep Webs: Unser alltägliches World Wide Web wird auch Surface oder Clear Web genannt. Sie können Seiten über Suchmaschinen erreichen, wo Daten und Ihre IP-Adresse gespeichert sind. Dieses Clear Web macht lediglich 10 % des gesamten Internets aus.

Als Deep Web werden die restlichen 90 % bezeichnet. Seiten im Deep Web sind nicht über herkömmliche Suchmaschinen zu finden. Das Deep Web enthält vornehmlich Websites und spezielle Datenbanken, die beispielsweise von Hochschulen oder Unternehmen verwendet werden. Diese Inhalte sind nicht frei zugänglich, sondern hinter Pay- und Firewalls versteckt.

Sie sehen: Daten im Deep Web sollten nicht zugänglich sein, sind es aber häufig. Das kann geschehen durch falsch konfigurierte Sites sowie Server, über offene Cloud Services, Code Repositories oder Paste Sites. Mit verschiedenen Tools können Sie sich einen ersten Überblick verschaffen.

So können die banal wirkenden Google Alerts als Monitoring-Tool herhalten. Mit dem Kürzel “filetype:” in Verbindung mit der jeweiligen Dateiendung werden Ihnen ausschließlich XLS-, DOC- oder PDF-Dateien angezeigt. Geben Sie den Befehl “site:” ein, lassen sich bestimmte Domains untersuchen. Eine Übersicht aller Google-Suchbefehle finden Sie bei onlinemarketing-praxis.de (PDF).

Weitere hilfreiche Tools:

  • haveibeenpwned.com: Geben Sie hier Ihre E-Mail-Adresse ein, können Sie prüfen, ob Ihre Zugangsdaten irgendwo zu finden sind.
  • Über GitHub können Sie Programmiercode und -Snippets aufspüren. Suchen Sie wahlweise nach dem Unternehmensnamen oder aber nach Software- oder Versionskennungen.
  • Über das Phyton-Skript DNS Twist erkennen Sie mögliche Manipulationsversuche an Ihrer Domain, beispielsweise Phishing-Websites.
  • Als registriertes Unternehmen erhalten Sie über die Twitter-API Programmierzugriffe. Daten und Schlüsselbegriffe helfen Ihnen, mögliche gefälschte Personen- oder Unternehmensprofile aufzuspüren.
  • Zu schwache, falsch konfigurierte, abgelaufene oder auslaufende SSL-Zertifikate in Ihrer Infrastruktur können Sie mit dem SSL Server-Test von Qualys SSL Labs aufspüren. Ein guter Zertifikate-Anbieter unterstützt Sie hierbei mit einem entsprechenden Erinnerungsservice.

Kennen Sie weitere Tools, die das Monitoring für das digitale Risikomanagement vereinfachen? Unsere Leserinnen und Leser freuen sich über Ihre Tipps in den Kommentaren!

Schutz vor Bedrohungen

Da zum Digital Risk Management nicht nur das Erkennen digitaler Risiken gehört, sondern auch der Schutz vor Bedrohungen, widmen Sie sich diesem Punkt in einem vierten Schritt. Sinnvoll ist es, zwischen operativen, taktischen und strategischen Maßnahmen zu unterscheiden:

  • Operativ: Einfließen sollten idealerweise sämtliche gesammelten Informationen zu Bedrohungen. Durch die Integration in Incident-Response-Prozesse kann ein Alarmsystem etabliert werden. Das Analysieren digitaler Risiken schafft zudem einen sinnvollen Kontext, der die Basis für weitere Sicherheitsoperationen gibt.
  • Taktisch: Hier geht es darum, Angriffsflächen und Services zu reduzieren. Dafür ist eine sehr enge Zusammenarbeit zwischen allen einzelnen Abteilungen unabdingbar.
  • Strategisch: Nutzen Sie gewonnene Erkenntnisse für die Zukunft. Bilden Sie fachkundiges Personal aus und bleiben Sie flexibel genug, um auf neue Bedrohungen zügig und kostengünstig reagieren zu können.

Weitere Schritte zum Senken des digitalen Risikos

Gefahren im Internet lauern überall, und nicht jeder Mitarbeiter kennt diese. Deshalb ist das Schaffen von Awareness immer empfehlenswert: Binden Sie jeden einzelnen Mitarbeiter in den digitalen Schutz Ihres Unternehmens mit ein. Sensible Informationen sicher zu übertragen, vor Phishing-Kampagnen oder vor Social Engineering geschützt zu sein, sind wichtige Meilensteine auf dem Weg zur Cybersecurity. Die Sensibilisierung Ihrer Mitarbeiter gehört zu den wichtigsten Schritten im digitalen Risikomanagement.

Hilfreich ist es auch, sich im Team in die Köpfe von Cyberkriminellen hineinzuversetzen. Das kann ganz theoretisch geschehen, aber auch sehr praktisch. Teilen Sie Ihre Mitarbeiter beispielsweise in zwei Teams ein. Eines ist dafür zuständig, Sicherheitslücken in Ihrer Organisation herauszufinden und sogar auszunutzen, während das andere Team versucht, das “kriminelle” Team abzuwehren.

Weiter ist das Proben für den Ernstfall wichtig. Mindestens einmal, gerne auch zwei- oder dreimal jährlich können Sie eine Übung durchführen, bei der eine Cyberattacke auf Ihr Unternehmen simuliert wird. Anhand Ihres Notfall-Plans werden Sie versuchen, die Cyberattacke abzuwehren. Das verhilft zu spannenden Erkenntnissen: Ist unsere Organisation sicherheitstechnisch so gut aufgestellt, dass Cyberkriminellen das Eindringen schwer fällt? Wissen alle Verantwortlichen, was nun zu tun ist? Ist das Vorgehen zu panisch oder kann Ihre Organisation einen kühlen Kopf bewahren? Mit welchen Schritten von welchen Verantwortlichen wehren Sie die Attacke ab? – Übung macht bekanntlich den Meister, und je häufiger Sie solche Übungen durchführen, umso sicherer werden alle Seiten.

Schutz vor digitalen Risiken

Das digitale Risikomanagement wird Datenverluste sicherlich nicht komplett verhindern können oder eine IT-Infrastruktur unverwundbar machen. Das wäre ein unrealistischer Anspruch, denn die Bedrohungslandschaft wächst zu rasant. Vielmehr geht es darum, mögliche Datenverluste aufzuspüren, Angriffsflächen zu minimieren und etwaige Risiken derart zu entschärfen, dass sie nicht zu realen Bedrohungen auswachsen. Je besser die Verantwortlichen in Ihrem Unternehmen die individuelle Risikolage kennen, umso besser ist Ihre Organisation für den Ernstfall gewappnet.

Nehmen wir die Phishing-Website als Beispiel: Von einem Online-Shop wurde eine exakte Kopie angefertigt. Markennamen wurden missbraucht, um die Daten der Kunden abfangen zu können. Schlimmstenfalls muss das Unternehmen Guthaben oder betrügerische Transaktionen zurückerstatten und gegen das angekratzte Image kämpfen. Besser wäre es, dem Online-Shop-Betreiber würde es gelingen, die gefälschte Site aufzuspüren und mit rechtlicher Unterstützung die Domain entfernen zu lassen.

Je nach Branche existieren ganze Minenfelder digitaler Risiken. Jedoch muss die digitale Transformation eben diese Risiken nicht zwangsläufig erhöhen. Werden Risiken ganzheitlich erfasst und auf Geschäftsebene gemanaged, bleiben Wettbewerbsfähigkeit und Innovationskraft erhalten.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert