500 Millionen Menschen, die zwischen 2015 und 2018 in Hotels der Marriott-Tochter Starwood genächtigt hatten, bekamen Ende 2018 eine unerfreuliche Nachricht von dem Hotelkonzern: Hacker hätten teils sensible Daten wie Adressen, Telefonnummern und nicht zuletzt Kreditkartendaten erbeutet, teilte das Unternehmen mit. Schon 2015 soll der groß angelegte Datendiebstahl begonnen haben. Erste Hinweise auf einen Angriff auf die Tochter Starwood, zu der wiederum Marken wie Westin, Sheraton, Le Méridien, St. Regis und W Hotels gehören, sind den Marriott-Angaben zufolge aber erst drei Jahre später entdeckt worden. Anschließend seien Behörden, Regulierer und schlussendlich die betroffenen Kunden über den schwerwiegenden Sicherheitsvorfall informiert worden – so stand es in einer Pressemitteilung des Unternehmens. Was dort nicht stand, aber Fakt ist: Der Vorfall ist ein Desaster für das Unternehmen – weniger aufgrund des angerichteten Schadens als vielmehr wegen des damit einhergehenden Reputationsverlustes. Denn wer ein Hotelzimmer bucht, will sich schließlich sicher fühlen und sich sowie seine persönlichen Daten in guten Händen wissen.
Cyberangriffe zählen heutzutage zu den größten unternehmerischen Risiken, denn die Komplexität digitaler Systeme bietet Cyberkriminellen unzählige Einfallstore. Das hat zuletzt die Identifizierung der Sicherheitslücke in der weit verbreiteten Java-Bibliothek Log4j gezeigt, für die das Bundesamt für Sicherheit in der Informationstechnik (BSI) Ende vergangenen Jahres eine Sicherheitswarnung der Warnstufe Rot herausgegeben hat. „Das zeigt, dass es jeden treffen kann – jederzeit“, betont Peter Lotz, Rechtsanwalt und Partner in der Wirtschaftskanzlei Mayrfeld in Frankfurt. „Man kann nicht davon ausgehen, in der quasi unendlichen Wolke des Internets noch unerkannt dahinschweben zu können.“
Deutsche Unternehmen stünden unter digitalem Dauerbeschuss – von digitalen Kleinkriminellen über die organisierte Kriminalität bis zu Hackern im Staatsauftrag, mahnt Bitkom- Präsident Achim Berg. Einer Studie des Digitalverbands zufolge hat für gut acht von zehn befragten Unternehmen (84 Prozent) die Anzahl der Cyberattacken in den vergangenen zwei Jahren zugenommen, für mehr als ein Drittel (37 Prozent) sogar stark. Die zunehmende Digitalisierung und Vernetzung durch Entwicklungen wie Industrie 4.0 bieten Cyber-Angreifern dabei weit reichende Möglichkeiten, Informationen auszuspähen, Geschäfts- und Verwaltungsprozesse zu sabotieren oder sich anderweitig auf Kosten Dritter kriminell zu bereichern. Wegen ihrer Wirtschafts- und Innovationsstärke gelten deutsche Unternehmen – vor allem aus technikintensiven Branchen wie Chemie, Pharmazeutik, Finanzen oder Automotive – als besonders attraktive Ziele für Hacker. Unternehmen sollten die jüngsten Vorfälle zum Anlass nehmen, „ihre technischen, organisatorischen und personellen Sicherheitsvorkehrungen zu verstärken“, so Berg. Pascal Köth, Vice President Technology bei der Personalberatung Robert Half, pflichtet ihm bei: IT-Sicherheit und der Schutz von Unternehmensinformationen hätten für die Unternehmen in nächster Zeit eine hohe strategische Priorität. „Angesichts der wachsenden Bedrohungen suchen alle Branchen und Unternehmen mit eigener IT aktuell nach Experten für IT-Sicherheit“, sagt Köth. „Alle wollen die Talente, die fachlich in der Lage sind, Cyber-Bedrohungen zu managen.“
TASKFORCE FÜR IT-SICHERHEIT IST UNVERZICHTBAR
Diese Gemengelage führt zu einem intensiven Wettbewerb auf dem Arbeitsmarkt: „Die Einstellungsverfahren sind kurz und die Gehaltssteigerungen erheblich“, so Personalexperte Köth. Zumal es bei weitem nicht ausreiche, nur eine Person im Unternehmen zu haben, die sich um die IT-Sicherheit und Abwehr von Cyberattacken zusätzlich zu anderen Aufgaben kümmert. „Eine wirksame Taskforce für IT-Sicherheit sollte aus mehreren Spezialisten bestehen und am besten auf höchster Ebene im Unternehmen agieren“, erklärt Köth. Der Personalexperte hat dabei drei Arten von IT-Security- Spezialisten ausgemacht, auf die Unternehmen auf keinen
Fall verzichten sollten.
„Man kann nicht davon ausgehen, in der quasi unendlichen Wolke des Internets noch unerkannt dahinschweben zu können.“
Peter Lotz, Partner Wirtschaftskanzlei Mayrfeld
„Die Rechtsabteilung hat bei der Feststellung des Schutzbedarfs, der Anforderungen an die IT und dem Sicherheitskonzept mitzuwirken.“
Friedrich Wimmer, Leiter IT-Forensik & Cyber Security Research, Corporate Trust Business Risk & Crisis Management GmbH
Vor allem rät er dazu, einen Chief Information Security Officer (CISO) einzustellen, der die Leitung der IT-Sicherheits-Taskforce verantwortet und direkt an die Geschäftsführung berichtet. „Der Aufgabenbereich umfasst die Organisation, Entwicklung und Beobachtung aller Cyber-Security-Maßnahmen sowie die Einhaltung wichtiger Regularien und gesetzlicher Vorgaben“, so Köth.
Außerdem sei es sinnvoll, IT-Security-Consultants ins Unternehmen zu holen, die potenzielle Cyberbedrohungen erkennen und bewerten und die damit verbundenen Risiken managen. „Dazu gehören der Entwurf von Risikoszenarien und Notfallplänen, die Implementierung von Sicherheitsprotokollen und -richtlinien sowie die Durchführung regelmäßiger Sicherheitstests“, erläutert Köth. „Der IT-Security-Consultant arbeitet eng mit allen Unternehmensabteilungen zusammen.“ Das dritte Berufsbild betrifft die unabhängige Analyse und Überprüfung der internen Cyber-Security-Vorgaben sowie der externen regulatorischen und gesetzlichen Anforderungen: Hierfür seien IT-Security-Auditoren geeignet, die auch die Risiken des internen Kontrollsystems beurteilen sollten, sagt der Personalexperte.
IT-Sicherheit lässt sich aber nicht allein dadurch herstellen, dass man eine Taskforce mit IT-Sicherheitsexperten einrichtet und sich um technische Maßnahmen wie die Einrichtung von Firewalls und Virenschutzprogrammen kümmert. „Sie bedarf der Einbindung in einen Sicherheitsprozess, der im Unternehmen fokussiert initiiert, organisiert und durchgeführt werden muss“, betont Mayrfeld-Anwalt Lotz. Unternehmen seien in der Pflicht, ihre Mitarbeiter durch Schulungen und regelmäßige Information vor den Gefahren in der digitalen Sphäre zu schützen. „Eine Kette ist immer nur so stark wie ihr schwächstes Glied“, sagt Lotz. „Menschliches Fehlverhalten ist nach wie vor mit Abstand die häufigste Ursache für Datenschutzverletzungen.“
„Alle wollen die Talente, die fachlich in der Lage sind, Cyber-Bedrohungen zu managen.“
Pascal Köth, Vice President Technology bei der Personalberatung Robert Half
IT- UND RECHTSABTEILUNG MÜSSEN HAND IN HAND AGIEREN
Dass die eigenen Mitarbeiter ein großes Sicherheitsrisiko sein können, zeigt etwa der Fall des Automobilzulieferers Leoni, in dem keine technisch aufwändigen Angriffe auf das Computersystem des Unternehmens zum Einsatz kamen, sondern simple Emails mit gefälschten Identitäten: Mithilfe der falschen Mails gaben sich die bis heute unbekannten Betrüger gegenüber Mitarbeitern der rumänischen Tochtergesellschaft des Unternehmens als hochrangige Leoni-Manager aus und ordneten zahlreiche Überweisungen in zumeist einstelliger Millionenhöhe auf ausländische Konten an. Um insgesamt 40 Millionen Euro erleichterten die Betrüger das Unternehmen durch die als „CEO Fraud“ bezeichnete Methode. Als die Masche aufflog, war das Geld weg.
IT-Sicherheit betreffe alle Abteilungen im Unternehmen, betont Lotz. Gleichwohl müsse der Impuls von oben kommen: Der Prozess zur Implementierung einer IT-Sicherheitsstrategie sollte von der Geschäftsleitung initiiert werden. Rechtlicher Anknüpfungspunkt kann hier eine Regelung sein, die zunächst einmal nicht unbedingt mit IT in Verbindung gebracht wird: Das Gesetz zur Kontrolle und Transparenz im Unternehmensbereich (KonTraG), das der Geschäftsführung die Aufgabe der Risikofrüherkennung und der Einrichtung eines Risikomanagementsystems allgemein auferlegt. „Die Geschäftsleitung sollte den Sicherheitsprozess initiieren, steuern und kontrollieren“, so Lotz. „Sie entscheidet letztlich über den Umgang mit Risiken und stellt die notwendigen Ressourcen zur Verfügung.“ Hierzu sollte sie in engem Diskurs mit der Rechtsabteilung und der IT-Abteilung stehen. „Die Umsetzung selbst ist Aufgabe der IT-Abteilung, wobei die Rechtsabteilung mit der Konkretisierung rechtlicher Anforderungen und bestenfalls deren Übersetzung in die Sprache der Technik unterstützen muss“, so der Wirtschaftsanwalt. „Alle sollten an einem Strang ziehen.“
Dass IT- und Rechtsabteilung Hand in Hand arbeiten, ist aus Sicht von Friedrich Wimmer, Leiter IT-Forensik & Cyber Security Research bei der Corporate Trust Business Risk & Crisis Management GmbH, essenziell für das Gelingen einer jeden IT-Sicherheitsstrategie. „Zumindest hat die Rechtsabteilung bei der Feststellung des Schutzbedarfs, der Anforderungen an die IT und dem Sicherheitskonzept mitzuwirken“, so der Experte. „Ferner soll sie die Angemessenheit und Wirksamkeit der Maßnahmen aus Rechtssicht regelmäßig prüfen.“ Bei einer vermuteten Datenschutzverletzung oder bei einer vermuteten Verletzung der Vertraulichkeit von geschäftsrelevanten Daten muss sie natürlich in die Bearbeitung des Vorfalls einbezogen werden. „Darauf muss sich die gesamte Organisation vorbereiten“, so Wimmer.
DIE HANDELNDEN PERSONEN MIT AUF DIE REISE NEHMEN
„Aus technisch-organisatorischer Sicht erwarte ich im ersten Schritt ein durchgehendes Sicherheitskonzept, dass mindestens einmal jährlich auf Angemessenheit und Wirksamkeit geprüft wird und in dem auch der Schutzbedarf klar definiert wurde“, sagt Wimmer. Technisch gelte es, wirksame Maßnahmen unter anderem in den Bereichen Datensicherung und Backup, Hackerresistenz und Sicherheitsmonitoring zu implementieren. Und schließlich komme es darauf an, „die handelnden Personen mit auf die Reise zu nehmen und entsprechend zu schulen“, so der IT-Sicherheitsexperte. Denn grundsätzlich gilt, dass jedes System nur solange sicher ist, wie sich sein Benutzer an zuvor vereinbarte Standards hält.
Die Aufklärung der Mitarbeiter über die Gefahren, Funktionsweisen und Gründe bestimmter einzuhaltender Verhaltensregeln und die Gefahren im Fall der Nichtbeachtung sei essenziell, betont Rechtsanwalt Lotz. Sein Vorschlag: „Warum nicht einmal einen lauteren Hacker einbestellen, der im Rahmen einer Mitarbeiterschulung das Smartphone eines Mitarbeiters knackt? Ich wette, die Mitarbeiter sehen IT-Richtlinien dann mit völlig anderen Augen.“
Die weitverbreitete Ansicht, dass die IT-Sicherheit zwangsläufig mit hohen Investitionen in die technische Ausstattung verbunden ist, sei jedenfalls nicht notwendigerweise zutreffend, meint Lotz. „Was zählt ist gesunder Menschenverstand, eine durchdachte Sicherheitsstrategie und Mitarbeiter, die selbständig Sicherheitserfordernisse umsetzen.“ Im Rahmen der Umsetzung könne dann gegebenenfalls auch über die Durchführung weiterer Schritte entschieden werden, so Mayrfeld-Anwalt Lotz. „Es gilt, die sachgerechte Abwägung zwischen dem rechtlich Notwendigen auf der einen Seite und dem technisch Machbaren auf der anderen Seite zu treffen.“ Und es gilt, die Sinne aller Mitarbeiter zu schärfen, so dass sie achtsam im Cyberspace agieren.
Harald Czycholl-Hoch