Ganz gleich ob Menschen, Industrieanlagen oder Regierungseinrichtungen – Wirtschaftsspione und Hacker kennen keine Grenzen. Ihre Methoden sind perfide und sie verfolgen in der Mehrzahl klare Ziele, namentlich Wirtschaftsspionage, Sabotage und Erpressung. Dies ist eines der Ergebnisse des diesjährigen qSkills Security Summit. Das Entscheiderforum, das am 6. Oktober in Nürnberg stattfand, verdeutlichte den rund 100 Teilnehmern aus Wirtschaft und Wissenschaft, wie wichtig ein präventiver Schutz für die Informationssicherheit ist und welche Vorreiterrolle ein zukunftsgewandtes Risikomanagement besitzt.
Menschen für sich gewinnen – als Strategie
Nach aktuellen Ergebnissen des "IBM Cyber Security Intelligence Index" wurden im Jahr 2013 zwölf Prozent mehr Sicherheitsvorfälle als im Vorjahr aufgedeckt. Das entspricht 91 Millionen Vorfällen, wobei 95 Prozent der Angriffe menschliches Fehlverhalten einschließen. Und auf die Karte des menschlichen Verhaltens setzen Agenten vielfach bei ihrer Arbeit. Einblicke gewährte der Ex-Geheimdienstmitarbeiter Leo Martin in seinem Vortrag zu "Geheimwaffen der Kommunikation". Leo Martin hat jahrelang für den Geheimdienst V-Leute angeworben und kennt daher die Welt der organisierten Kriminalität wie seine Westentasche. "Menschen für sich gewinnen" heißt im Agentenumfeld die Devise und dabei setzen die Spezialisten auf eine klar strukturierte Vorgehensweise, um an Informationen zu gelangen oder seinen Gegenüber zu manipulieren. Leo Martin präsentierte hierzu die "007-Formel", um Vertrauen aufzubauen. Diese gliedert sich in einzelne und aufeinander aufbauende Schritte: Von der Vorbereitung und Kontaktaufnahme über die Charakterisierungsphase, der Belohnung durch Anerkennung bis zum Nehmen von Widerständen und Ängsten. Nach Leo Martins Worten werden mit dieser Formel Spionierende hart an ihre Grenzen gehen und ahnungslose Menschen manipulieren. Oder anders ausgedrückt: "So werden auch wildfremde Menschen unter schwierigsten Bedingungen zu Verbündeten."
Sabotage und Vandalismus 2.0
"Von der Spitze des Eisberges" sprach Holger Junker, Referatsleiter Cyber-Sicherheit beim BSI, in seinem Vortrag. Der Sicherheitsexperte zielte in seinen Ausführungen auf das Thema von Industrieanlagen ab, die im Fokus gezielter Angriffe lägen. Als Beispiel nannte er den Computerwurm "Stuxnet", der 2010 bekannt wurde und für viel Aufregung in der Öffentlichkeit sorgte. Vor allem Experten zeigten sich zu jener Zeit erstaunt über die Professionalität, mit der Stuxnet programmiert wurde. Das Ziel sind industrielle Steuerungskomponenten, die mithilfe des Sabotagewurms außer Kraft gesetzt oder manipuliert werden. Betroffen war zu jener Zeit das iranische Atomprogramm, Absender die USA und Israel. Junker spricht in diesem Zusammenhang von "Vandalismus 2.0". Denn es gehe in diesen Fällen nicht um Informationsbeschaffung, sondern um Sabotage und Chaos.
Dass solche hochkomplexen und professionell programmierten Würmer und Trojaner keine Einzelfälle sind, sondern eben nur die eingangs erwähnte Spitze des Eisberges bedeuten, zeigt das jüngste Beispiel: der "Super-Trojaner" mit dem Namen "Regin". Die Schadsoftware soll nach Informationen von Spiegel-Online "über Jahre Unternehmen, Behörden und Forschungseinrichtungen vor allem in Russland und Saudi-Arabien ausgespäht" haben. Regin sei von der Programmierung so aufwendig, dass dahinter nur Staaten stehen könnten. Dies ist ein Mosaikstein im Cyberwar und gleichzeitig ist die Bandbreite möglicher Angriffsszenarien viel umfangreicher. Gerade weil dahinter das nackte Kalkül von Staaten und Organisationen im Wettrennen um Macht, Einfluss oder Marktvorteile steht.
Risikokultus als Basis
Technologieführerschaft und Innovation sind die Hebel zur ökonomischen Wertgenerierung und die Schlüssel zum Erfolg des Weltmarktführers Zeiss. Bereits im Jahr 2002 wurde ein unternehmensübergreifendes und präventives Risikomanagement-Systems für das Stiftungsunternehmen Carl Zeiss und die Tochterunternehmen beschlossen und umgesetzt. Dies erfolgte mit der Zielsetzung, das Instrument des Risikomanagements in das bestehende Führungssystem zur wert- und erfolgsorientierten Unternehmenssteuerung zu integrieren und damit einen Management-Nutzen zu schaffen, der über reine Erfüllung grundsätzlicher Organisationspflichten und genereller Governance-Anforderungen hinaus geht, so Andreas Kempf, der das Risikomanagement bei Zeiss leitet.
Aus diesem Grund legte der Vorstand bereits in der Entwurfsphase Wert auf eine einheitliche und verbindliche Systematik sowie die Schaffung einer wirkungsvollen Risikokultur. Entsprechend tragen ein angemessenes Risikobewusstsein und die Transparenz über wesentliche Risikothemen als wesentliche Elemente zu einem effektiven Risikomanagementsystems im Unternehmen bei: "Risiken frühzeitig zu erkennen und bewusst mit ihnen umzugehen, stellt die eigentliche Zielsetzung von Risikomanagement dar." Konsequenterweise kann eine (gelebte) Risikokultur nur auf einer entsprechenden Unternehmenskultur aufbauen. Der Erfolg von Zeiss basiert auf einer mehr als 160-jährigen Unternehmenskultur, die vor allem durch Innovation, Kompetenz und Teamgeist gekennzeichnet ist. Daher ist im Verhaltenskodex der Zeiss Gruppe klargestellt, dass vor allem auch ein sorgsamer Umgang mit Risiken eine wesentliche Basis für den Unternehmenserfolg darstellt. Andreas Kempf verdeutlichte, dass Risikomanagement sich nicht als Kunst der Propheterie versteht, sondern vor allem Informationen zur besseren Steuerung von Risiken sowie des Unternehmens insgesamt liefert.
Maximaler Effekt bei minimalem Aufwand: GRC bei Wolford
In seinem Praxisbeitrag zu "Lean GRC bei der Wolford AG" beleuchtete Martin Fitz, Head of Internal Audit Risk- and Opportunity-Management, Safety Expert bei Wolford, die Organisation, Tools und Abläufe im Governance- Risk und Complance(GRC)-Prozess. Das Ziel lautet eine optimale Balance aller Aktivitäten bei minimalem Aufwand im GRC-Umfeld zu erreichen. Innerhalb des 1950 gegründeten Textilunternehmens zielen die Kontrollmechanismen im Governance-Bereich darauf ab, dass Strategien, Entscheidungen und Anweisungen systematisch und effektiv ausgeführt werden. Eine wichtige Aufgabe, um eine qualifizierte und transparente Kontrolle bei 13 internationalen Tochtergesellschaften und einem Verkauf in rund 65 Ländern sicherzustellen. In diesem Zuge setzt der Bereich "Risk und Oppoertunity Management" auf eine dezentrale Verantwortung lokaler Manager, die das systematische Erfassen und Bewerten von Risiken und Chancen – inklusive der Steuerung - verantworten. Für Fitz sollen durch ein proaktives Handeln operative Überraschungen und Verluste reduziert und neue Chancen realisiert werden. Innerhalb des Compliance-Systems geht es schließlich um das Einhalten bestimmter Regeln (Gesetze, Normen, Kodizes, externe und interne Vorschriften). Dies umfasst auch das Assessment des Compliance-Zustandes, möglicher Risiken sowie von Kosten durch Non-Compliance inklusive des Festlegens korrigierender Maßnahmen. Als Hürden auf dem Weg zu einem optimalen GRC-Prozess sieht Risikomanager Fitz unter anderem die Vielfalt und Komplexität der Themen und Betriebsbereiche, mangelnde Zeit des Managements aufgrund des Tagesgeschäftes oder fehlende Tools für die systematische Unterstützung.
Um das Unternehmen Wolford gegen mögliche Probleme, Risiken und Bedrohungen von innen und außen zu schützen, hat das Management ein "Defence-Modell" mit drei Verteidigungslinien installiert. Diese bestehen aus "Management Controls (Internal Control System)" als erste Verteidigungslinie. Daran schließen das Risikomanagement als zweite und das Internal Audit als dritte "Line of Defence" an.
Der kommende qSkills Security Summit findet am 5. Oktober 2015 in Nürnberg statt. Weitere Informationen unter: www.qskills-security-summit.de