Cybercrime

Cyberrisiken nehmen zu – die Abwehr aber auch

Cyberrisiken werden immer mehr zur Bedrohung der gesamten Wirtschaft. Sicherheitsbehörden und Aufsichtsbehörden reagieren auf das Bedrohungsszenario – zu spät oder noch rechtzeitig?

Cyberrisiken sind längst nicht mehr zu Leugnen. Fast täglich erreichen uns Nachrichten über gehackte Netzwerke, geklaute Daten und gekaperte Webseiten. Jüngster Fall: Wie die FAZ berichtet, sollen Hacker aus China bei der US-Bundesverwaltung Daten von rund 21,5 Millionen Menschen entwendet haben. Die Hacker hatten demnach Zugriff zu Adressen, Sozialversicherungsnummern, Geburts- und Gesundheitsdaten sowie Informationen zu Finanzen, krimineller Vergangenheit und auch Fingerabdrücken der Betroffenen.

Leichtes Spiel für Hacker

Auch deutsche Firmen und Behörden stehen im Visier. Immer noch unklar ist etwa, woher die Hacker kamen, die in das IT-Netzwerk des deutschen Bundestages eingedrungen sind.
Laut der aktuellen Bitkom-Studie zu „Wirtschaftsschutz und Cybercrime“ waren 51 Prozent aller Unternehmen in Deutschland in den vergangenen zwei Jahren Opfer von digitaler Wirtschaftsspionage. Der Schaden belaufe sich nach Schätzungen von Bitkom auf rund 51 Milliarden Euro pro Jahr. Besonders betroffen sind laut der Studie vor allem die Automobilindustrie, die Chemie- und Pharmabranche sowie Banken und Versicherungen.

Trotz dieser Bedrohung schützen Unternehmen ihre IT-Infrastruktur allerdings nur unzureichend. Laut der aktuellen A.T. Kearney-Studie "Information Security: It’s All About Trust" agieren viele Unternehmen immer noch zu langsam, um mit der rasanten Entwicklung der Angriffe Schritt zu halten. Im Schnitt dauere es 243 Tage, bis ein Cyber-Angriff entdeckt wird. In dieser Zeit haben Hacker genügend Zeit, sich „nach interessanten Daten umzusehen und das gesamte Unternehmen flächendeckend zu infiltrieren“, so der Studienautor und Leiter des Beratungsbereichs Informationssicherheit bei A.T. Kearney, Dr. Boris Piwinger.

Hufeld: Cyberrisiken im Finanzsektor haben ein alarmierendes Niveau erreicht“

Auf dem Bundesbank Symposium "Bankenaufsicht im Dialog" in Frankfurt am Main warnte Felix Hufeld, Präsident der BaFin, ebenfalls vor der zunehmenden Gefahr aus dem Netz: Die "Qualität der Cyberrisiken im Finanzsektor“ habe nach Ansicht von Hufeld „ein alarmierendes Niveau erreicht".

Hierauf müssen sowohl die Banken als auch die Aufsichtsbehörden reagieren. Die Herausforderung bestehe darin, dass auch die Aufsichtsbehörden sich gerade in einer gewaltigen Lernkurve befinden. Denn, so viel ist sicher, das Thema Cyber-Security ist nur im Zusammenspiel von aufsichtlichem, technischem und kriminalistischem Know-how zu bewältigen.

Folgende Maßnahmen wurden auf Seiten der Aufsichtsbehörden bereits in Angriff genommen:

• Bei der Europäischen Bankenaufsichtsbehörde (EBA) wurde eine Task-Force zu IT-Risiken gegründet, die neue Anforderungen an die IT-Organisation der Banken in Europa aufstellen wird. Sie bildet die Basis für eine einheitliche IT-Aufsicht.
• Die BaFin hat in Zusammenarbeit mit der Bundesbank Prüfungsmodule zu IT-Prüfungen erarbeitet. Diese werden bei den Arbeiten der EBA als auch in den Single Supervisory Mechanism (SSM) eingebracht.
• Die EZB untersucht gerade die Widerstandsfähigkeit der bedeutenden Banken gegen Cyber-Attacken (sog. Cyber-resilience). Nach Auswertung der Erhebungen werden konkrete Maßnahmen beschlossen.

Maaßen: Cyber-Security ist zu einer „vorrangigen Aufgabe der Sicherheitsbehörden geworden“

Neben den Aufsichtsbehörden müssen auch die Sicherheitsbehörden auf die neue Bedrohungslage reagieren. Der Schutz hochsensibler Informationen und kritischer Infrastrukturen ist nach Auffassung von Dr. Hans Georg Maaßen, Präsident des Bundesamtes für Verfassungsschutz „zu einer vorrangigen Aufgabe der Sicherheitsbehörden geworden“. Es bedarf daher, so Maaßen in seinem Beitrag "Cyberwar – eine reale Gefahr aus der virtuellen Welt" für die neue Fachzeitschrift auf COMPLIANCEdigital, PinG, einer "umfassenden, gesamtgesellschaftlichen Strategie", um Cyberwar, -Spionage und Infokrieg entgegenzuwirken. Abwehrmöglichkeiten müssten optimiert werden – technisch, rechtlich und analytisch.

Maaßen: IT-Sicherheitsgesetz ist ein „Meilenstein“

Integraler Bestandteil der Maßnahmen ist das gerade verabschiedete IT-Sicherheitsgesetz. Das IT-Sicherheitsgesetz (Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme) ist in den Augen von Maaßen ein "Meilenstein". Auch die BaFin begrüßt die gesetzgeberische Initiative: Die BaFin werde das Bundesamt für Sicherheit in der Informationstechnik bei der weiteren Ausgestaltung des Gesetzes bzw. der danach zu erlassenden Verordnung unterstützen. Klar muss aber auch sein, dass die neuen Möglichkeiten nicht zu einer blinden Sammelwut bei Sicherheitsbehörden führen“, so Maaßen (siehe hierzu auch der Beitrag auch COMPLIANCEdigital vom 20.04.2015). (Quelle: Bitkom, A.T.Kearney, BaFin)

Literaturempfehlung zum Thema IT-Sicherheit

Seit Anfang Juli steht die Zeitschrift Privacy in Germany (PinG) Abonnenten von COMPLIANCEdigital kostenfrei zur Verfügung. In der aktuellen Ausgabe (4/2015) gehen die Autoren der Frage nach, wie die richtige Balance zwischen Freiheit und Sicherheit in einem Rechtstaat gefunden werden kann?

Wie Unternehmen wesentliche regulatorische Anforderungen an die IT identifizieren, priorisieren und deren Erfüllung einer effizienten Steuerung zuführen, erläutern Michael Rath und Rainer Sponholz in dem Band "IT-Compliance: Erfolgreiches Management regulatorischer Anforderungen".

Eine praxisorientierte Einführung in die Welt der IT-Prüfung bietet Stefan Beißel in dem Band "IT-Audit: Grundlagen - Prüfungsprozess - Best Practice". Anhand eines umfassenden Prüfungskatalogs können Sie systematisch erschließen, worauf es bei der Vorbereitung, der Durchführung und dem Abschluss erfolgreicher IT-Audits ankommt.

Die Zeitschrift PinG und die zwei eBooks stehen Abonnenten von COMPLIANCEdigital kostenfrei zur Verfügung.

Noch kein Abonnent? Testen Sie COMPLIANCEdigital 4 Wochen lang gratis. Weitere Informationen finden Sie hier.