Rechtzeitig vor Beginn der diesjährigen globalen WEF Konferenz in Davos hat eben dieses World Economic Forum am 15. Januar 2019 den aktuelle Global Risk Report 2019 in seiner 14. Ausgabe veröffentlicht. Partner des WEF für diesen Report ist seit Jahren die Zurich Insurance. Diese Veröffentlichung ist eine Prozedur, die in jedem Januar stattfindet und den Reigen der Veröffentlichungen und Konferenzen einläutet, die sich entweder Sicherheit zum Thema machen oder es zumindest am Rande beleuchten.
Sicherheit bzw. Security ist präsent und nicht nur im digitalen Umfeld. Die 114 Seiten des Reports veranschaulichen, dass wir gelernt haben konventionellen Risiken mit einem standardisierten Risk Management Ansatz isoliert zu begegnen. Wenig Kompetenz ist jedoch vorhanden für den Umgang mit den immer schneller voranschreitenden Änderungen der voneinander abhängenden Systeme wie Organisationen, der Wirtschaft, der Gesellschaft(en) und der Umwelt. Auch sind es die geopolitischen Risiken die zu Völkerwanderungen führen und die westliche Gesellschaft, so wie wir sie kennen, nachhaltig herausfordern. Gleichzeitig kommt es zu Veränderungen der Arbeitswelt, die sogenannte Spaltung der Gesellschaft ist ein Thema. Das Grundbedürfnis für Sicherheit ist mit einem Male im Zentrum des persönlichen Interesses und auch Unternehmen bewegen sich zunehmend in einem Umfeld in dem sie die Sicherheitsrisiken nicht mehr überschauen.
Die Weltwirtschaftsführer kennen die Themen, sie diskutieren über Sicherheit auf den Podien. Sie werden auch durch Ereignisse und diese Risk Reports getrieben ihre Unternehmen sicherer zu machen und die Mitarbeiter und Werte zu schützen. Tatsächlich kann man davon ausgehen, dass die Wirtschaft auch in diesem Jahr wieder Millionen, wahrscheinlicher Milliarden von US Dollar, Euro usw. auf das Thema Cybersecurity werfen wird. Das beruhigt das Gewissen der Vorstände denn es wird „alles“ dafür getan das Unternehmen sicher zu machen. Zumindest hat man viel Geld in Sicherheit investiert.
Auch das ist eine Prozedur, wie sie in jedem Jahr abläuft und das schon seit Jahren mit steigender Tendenz. Es wird in Software und Technik investiert um die Computer und Firmennetze sicherer zu machen. Es werden Organisationen aus dem Boden gestampft mit scheinbar unbegrenzten Budget. So konnte man gerade dieser Tage nachlesen, dass das Top 4 Wirtschaftsberatungsunternehmen PWC (Price Waterhouse Coopers) in Detroit, USA ein IT Security Kompetenz Center schafft und dafür 125 Spezialisten einstellen wird. Offensichtlich erkennt PWC auch den hohen Bedarf an Sicherheitsberatung und will sich eine dicke Scheibe vom Kuchen abschneiden.
Selbst Behörden spielen mit Angstszenarien mit hinein wie auch der Leiter der Schweizer Finanzaufsicht FINMA, der soeben ein staatliches Cyberabwehrzentrum fordert. Nicht das etwas passiert wäre, was er auch in einem Interview zugibt. Er begründet es damit, dass die Gefahren zunehmen und die Schweiz bisher einfach nur Glück gehabt habe.
Wenn die Unternehmen dann zur Tat schreiten und das Thema anpacken, dann geschieht das häufig ohne sich vorher mit den Experten für Sicherheit zu beraten. Man holt sich das Wissen aus der Zeitung oder von IT Spezialisten. Obwohl es das gefühlt teuerste Sicherheitsproblem ist, mit dem man seit langem zu tun bekam, holen weder die Vorstände noch die Aufsichtsräte sich den Rat von ihren erfahrenen Sicherheitsmanagern, Sicherheitsbeauftragten, Sicherheitsreferenten oder Chief Security Officern, denen sie Jahrzehnte lang vertraut haben und die das eigene Unternehmen bisher vor allen Angriffen geschützt haben. Es gab und gibt Bedrohungen gegen Leib und Leben der Mitarbeiter wie auch der Vorstände. Es gab und gibt Bedrohungen gegen die materiellen Werte innerhalb der gesamten Supply Chain. Es gab und gibt Bedrohungen durch Unruhen und Streiks, auf Reisen, durch Anschläge oder Entführungen. Das alles ist aktuell und trotzdem drängen diese Sicherheitsthemen in den Hintergrund denn die gefühlte Bedrohung hat für die Vorstände ein neues Gesicht bekommen und nennt sich Cyber. Jeden Tag liest der Vorstand davon in der Zeitung, hört und sieht davon in Funk und Fernsehen und sogar in der Email findet er die eine oder andere Nachricht, die tatsächlich einen Trojaner enthält. Und plötzlich steht dieser Trojaner mitten im Büro des Vorstandes, des CEO und keiner weiß wie er dorthin gekommen ist. Jetzt muss es die IT richten. Ein Technology Experte muss ran und dieses völlig neue Thema von Bedrohungen und Kriminalität bekämpfen. Dafür wird noch mehr Geld lockergemacht und immer mehr Berater springen auf den Zug und verkaufen Sicherheitsleistungen, siehe oben PriceWaterhouseCoopers. Nur leider wird dabei nicht erkannt, dass die interne IT Organisation in den letzten Jahren auch nicht geschlafen hat. Es gibt Firewalls und Suchprogramme, die den einkommenden Mail Verkehr filtern, anschauen, prüfen, monitoren. Es gibt Logins und Passworte und eine Vielzahl von internen Vorschriften. Und trotzdem steht der Trojaner mitten im Büro. Wer hat ihn eingelassen? Ja, es war der CEO der dieses E-Mail und diese Anlage geöffnet hat. Wo war in diesem Moment die IT Security und die bereits investierten Millionen?
Wird jetzt endlich einmal der interne Sicherheitsexperte gefragt oder investieren wir einfach weiter in die Technologie? Wenn weiter investieren, warum? Es hat bisher wenig geholfen und es gibt keinen Grund zu glauben, dass es durch mehr IT Lösungen sicherer wird.
Die vorgenannten Sicherheitsmanager, teils von den Polizeibehörden oder von der Armee in die Wirtschaft gekommen, mit Bachelor oder Master, in dem Themenbereich Security gewachsen, geschult, erfahren, untereinander vernetzt und gewohnt ungewöhnliche Situationen, Krisen durchzustehen, diese Sicherheitsmanager stehen staunend daneben und erleben, wie sich Unternehmen den Spezialisten für IT zuwenden, sich vereinnahmen lassen und gleichzeitig die etablierten Sicherheitsstrukturen vernachlässigen, diesen die Ressourcen streichen und den Schutz einem Technologen überlassen.
Das Thema Sicherheit ist nicht neu, das Böse hat allerdings ein neues Gesicht dazu bekommen, das Internet.
Sie werden sich vielleicht fragen was so falsch ist wenn in die IT Security investiert wird. Schliesslich ist Cyber die Bedrohung des 21. Jahrhunderts. Ein Problem durch die Technik, ein Problem verursacht durch die IT wird doch am besten durch Technologie zu bekämpfen sein. Ist das denn wirklich so? Ist überhaupt die Technik das Problem? Benötigt nicht jedes Werkzeug den Menschen der es gebraucht oder missbraucht?
Cyberthreat, die Bedrohung durch die IT Welt ist für die meisten Menschen nicht fassbar und findet in einer Wolke statt. Man kann diese Bedrohung nicht sehen aber man erfährt aus den Medien und von den Beratern, dass sie real sein soll. Selbst wenn dem so wäre, so steht doch hinter der Cyberdrohung immer der Mensch mit seinen eher niederen Motiven. Die Mitarbeiter in den Sicherheitsabteilungen der Unternehmen kennen diesen Typ Mensch schon immer. Es ist der Kriminelle, der Betrüger, der sich zu bereichern sucht sobald er eine Gelegenheit erhält. Bisher hebelte er mit dem Schraubendreher die Tür auf, jetzt nutzten die Kriminellen auch den Computer als Tatwerkzeug.
Natürlich sollte es nicht zu einfach sein in Firmennetze zu gelangen und es braucht dafür die Technologen um den Computernetzwerken Schutz zu geben wie z.B. Firewalls, Logins, Monitoring, Passworte. Hier trifft Technologie auch schon auf das größte Sicherheitsrisiko, den Menschen, den CEO (ja auch der ist ein Mensch) der auf den Mail Anhang klickt und der Trojaner steht im Raum.
Solange wir Menschen nicht, weder Vorstand noch die Mitarbeiter/Innen mitmachen dann bringt die Firewall genauso viel Sicherheit wie eine Haustür, die nicht mit dem Schlüssel abgeschlossen wird. Die Beweggründe der Hacker und auch der Mitarbeiter/Innen sind unverändert. Der Hacker will sich bereichern oder zerstören. Die Mitarbeiter/Innen wollen ihre Arbeit machen, kommen dabei gerne schnell ans Ziel und vertrauen dabei grundsätzlich erstmal jedem und auch darauf, dass sie zumindest am Arbeitsplatz geschützt werden.
Tatsächlich sind Schutz und Sicherheit immer fragiler weil inzwischen die Mehrheit, die Entscheider in den Unternehmen den Hacker als Bedrohung empfindet und alle Ressourcen auf den Kampf gegen diesen virtuellen Feind geworfen werden. Investitionen in die Sicherheit verschieben sich vom Schutz der Menschen, vom Schutz der Gebäude, vom Schutz des Eigentums hin zu Softwareprodukten und Technikern.
Die Erfahrung und das persönliche Erleben mit der wachsenden Bedrohung im Zusammenhang mit der IT Welt, mit Email und dem Internet und der gleichzeitigen Ignorierung anderer Sicherheitsrisiken durch die Wirtschaftsführer zeigt, dass es höchste Zeit ist das Bild der Sicherheit wieder ins rechte Licht zu rücken.
Nur wenn die Unternehmensleitung versteht welchen Mehrwert eine professionell aufgesetzte Sicherheitsabteilung bringt, dann wird das Unternehmen auch bereit sein darin zu investieren und lernen wieder darauf zu vertrauen, dass der Chef der Sicherheit das Thema im Visier hat und ganzheitlich angeht. Und das bedeutet, dass ein Leiter Unternehmensschutz, dass ein CSO alle Themenbereiche der Security und dazu gehört auch Cybersecurity, zentral verantwortet und über alle Security Ressourcen verfügt und diese einsetzen kann um das Unternehmen als Ganzes zu schützen.
Lasst uns das Sicherheitsjahr 2019 mit dem Ziel beginnen die Kontrolle, die Führung in der Security zurück zu holen.
Blogbeitrag von Thomas K. Tidiks, Group Chief Security Officer (bis 2018 Zurich Insurance Company)