Von Marc Henauer

Mit der fortlaufenden Digitalisierung in allen Lebensbereichen und über alle Ebenen hinweg, wird selbst der einfachste Prozess eine Frage der IT, eingebettet in ein zunehmend komplexes System. Grund genug auf dem IT-Arbeitsmarkt auf Einkaufstour zu gehen um der Lage Herr zu werden? Leider ist die Antwort etwas komplexer und hat mit IT eigentlich nichts zu tun.

Ein Anbieter hoch gesicherter Webmails wird Opfer einer so genannten DDoS-Attacke, sprich einem Angriff auf die Verfügbarkeit seiner Webseite. Nach der ersten Welle wird noch auf die Forderungen der Erpresser eingegangen. Die Webseite ist wieder verfügbar und somit auch das eigentliche Produkt, nämlich das Lesen und Versenden von E-Mails über diese Webseite. Kurz darauf rollt eine neue DDoS-Well an und der Anbieter kommt zum Schluss, dass nun eigentlich eine anständige Sicherung der Webseite gegen solche Angriffe angezeigt wäre, was nach internen Berechnungen mit rund 100’000 Schweizer Franken zu Buche schlägt.

Ein bundesnaher Betrieb wird Opfer einer IT-Spionage. Während die Tatsache, dass in diesem Betrieb heikle und sensitive Informationen lagern schon alarmierend genug wäre, betreibt das Unternehmen auch kritische Leistungen für Teile der Bundesverwaltung und gefährdet damit die Integrität der Bundesnetze. Wo genau das Unternehmen in die Bundesnetze greift, ist zum Zeitpunkt der Entdeckung des Angriffes allerdings mehr als unklar. Die Entflechtung der Unternehmensnetze und jener der Bundesverwaltung dauert auch noch zwei Jahre später an.

Dies sind nur zwei Beispiele aus der jüngsten Vergangenheit, in denen kriminelle Vorgänge gegen IT-Systeme Lücken im Umgang mit der Digitalisierung von Diensten und Prozessen offenbarten. Es wäre allerdings zu kurz gegriffen, nun den IT-Verantwortlichen einen Vorwurf zu machen, sie hätten die Angriffe halt einfach frühzeitig abwehren müssen. Jede Einheit arbeitet mit den Ressourcen, die verfügbar sind und gerade eine spezialisierte, technische Einheit kann kaum dafür geradestehen, die wirklich geschäftskritischen Prozesse falsch oder ungenügend eingeschätzt zu haben. Für das Risikomanagement und das damit verbundene Allokieren von Ressourcen ist am Ende die Geschäftsleitung verantwortlich und damit auch dafür, dass für den Fall der Fälle die Prozesse und Ansprechpartner bekannt, die nötigen Informationen greifbar und der Plan B zu Gewährleistung der geschäftskritischen Prozesse vorhanden sind.

Die zwei oben erwähnten Beispiele sollen als Fallstudien dienen, die aufzeigen welche Herausforderungen sich heutzutage stellen, um mit Vorfällen im Cyberbereich umzugehen jenseits der IT-Abteilung. Dies bedeutet, die Verantwortlichkeiten über die IT-Grenzen auf allen Ebenen in Unternehmen und Verwaltungen klar zu definieren. Die einzelnen Einheiten, von der Kommunikation über die Compliance, das Legal-Team, die BCM Abteilung bis nötigenfalls zum Verwaltungsrat müssen in der Lage sein, die richtigen Fragen zu stellen und Auswirkungen auf ihren Bereich abzuschätzen. Das setzt die nötigen Strukturen und Prozesse vorgängig voraus. Die in der Realität gestellte Frage einer IT-Abteilung eines Finanzinstitutes, ob der Abfluss von Daten eines Kontaktformulars für Bankkunden nun meldepflichtig gegenüber der Finma sei oder nicht, zeigt die Problematik solch fehlender Prozesse. Die IT-Abteilung sollte eine solche Frage gar nicht erst stellen, sondern schlicht wissen, wer bei solchen Vorfällen involviert gehört, um sich diesen Dingen anzunehmen.

Bei aller Vorbereitung und perfekt integrierter Prozesse für Cyber-Vorfälle, steht am Ende aber auch die Akzeptanz, was Seitens der Behörden, der Strafverfolgung und der internen Untersuchung machbar und möglich ist. In mehr als weniger Fällen führt am Ende des Tages selbst der effizienteste und kompletteste Umgang mit solchen Fällen nicht dazu, das Geräusch klickender Handschellen am anderen Ende der Welt zu vernehmen. Das soll allerdings nicht als Ausrede dienen, sich intern schon gar nicht erst korrekt aufzustellen. Denn ob am Ende jemand vor den Kadi gezogen wird oder nicht, ist mit Blick auf die Unternehmenstätigkeit und der Befähigung der zuständigen und unterstützenden Organisationen und Einheiten vor, während und nach einem Angriff irrelevant.

Was IT-Spionage für Unternehmen bedeutet und wie sie sich dagegen wappnen sollten ist auch Gegenstand des Seminars Cyber Defence der Hochschule Luzern am 26. Juni 2018.

Autor: Marc Henauer

Marc Henauer ist Chef der Sektion MELANI (Melde- und Analysestelle Informationssicherung) beim Nachrichtendienst des Bundes. Zuvor war er im Dienst für Analyse und Prävention als Analytiker für Wirtschafts- und Internetkriminalität tätig und Sektionschef bei MELANI/KOBIK. Marc Henauer erlangte seinen Master of Arts in Foreign Service and National Security Studies an der Georgetown University, Washington, D.C.