Ein Manifest für Cyber Resilience

14
Ein Manifest für Cyber Resilience Definition von Cyber Unbekannte Größen Bedrohungen von Gestern bekämpfen Faktor Mensch Wissen wo man steht BYOD Cyber Resilience Bedrohung durch Mitarbeiter Revolutionäre

Transcript of Ein Manifest für Cyber Resilience

Page 1: Ein Manifest für Cyber Resilience

Ein Manifest für Cyber Resilience

Definition

von CyberUnbekannte

Größen

Bedrohungen

von Gestern

bekämpfen Faktor Mensch

Wis

se

n

wo

ma

n s

teh

t

BYODCyber Resilience

Bedrohung durch

Mitarbeiter

Revolutionäre

Page 2: Ein Manifest für Cyber Resilience

2 3

Definition von Cyber Resilience

Cyberspace spielt bei Arbeit und Freizeit eine immer größere Rolle; er ist ein

großer und st etig zunehmender Teil unseres realen Lebens. Zum aktuellen

Zeitpunkt verbringen ca. 2,4 Milliarden Internetnutzer weltweit – 34 Prozent

der Weltbevölkerung – mehr und mehr Zeit online.1 Dank unserer verschiedenen

Cyber-Aktivitäten ist online eine Menge los, wodurch eine unaufhaltbare

Bewegung entsteht – von der Art, die Revolutionen startet.

Manche akzeptieren die Vorteile unseres Cyber-Lebens und neuen

Geschäftsmodelle einschließlich der damit einhergehenden Risiken. Andere

sind eher der Meinung, dass derartige Massentrends überlegtere Reaktionen

erfordern. Doch für Debatten ist nur wenig Zeit. Was wir wirklich brauchen

ist ein Aufruf zum Handeln.

Unser Cyber-Leben von Risiken zu befreien bedeutet, vier entgegengesetzte

Kräfte zu verstehen – die alle unterschiedliche Cyber-Risiken mit sich bringen

und dringend die Aufmerksamkeit der Unternehmensführung erfordern:

Demokratisierung – Der Slogan "Power to the People" verwirklicht sich,

da Unternehmen lernen, mit Kunden über die von ihnen diktierten

Kanäle zu arbeiten.

Konsumerisierung – Die Auswirkungen der Vielzahl von Geräten bzw. –

noch wichtiger – der Apps, die bei Arbeit und Freizeit unsere Cyber-

Leben bestimmen.

Externalisierung – Die Wirtschaftlichkeit der Cloud, drastische Kürzung

der Kapitalausgaben und Aufrütteln der Art und Weise, wie Daten aus

Unternehmen und Organisationen ein- und ausgehen.

Digitalisierung – Die exponentielle Vernetzung, die entsteht, wenn

Sensoren und Geräte das "Internet der Dinge" bilden.

Wenn das Cyber-Risiko für einen dieser Trends beseitigt wird, erhöht sich

dadurch lediglich die Bedeutung des nächsten. Wie bei den meisten "Best

Practices" gibt es auch hier verschiedene richtige Antworten, was bestenfalls

bedeutet, dass Sie die Umgebung Ihres Unternehmens optimieren können,

um seine Anfälligkeit zu reduzieren. Aufgrund der oben genannten einflus-

sreichen Kräfte kann das Cyber-Risiko nicht völlig ausgemerzt werden.

Dieses Manifest skizziert einen Plan zur Reduzierung, nicht Eliminierung,

der realen und zunehmenden Risiken, mit denen wir als Einzelpersonen,

Unternehmen und Regierungen konfrontiert werden. Dieser Plan hat ein

einfaches Ziel: Uns gegen Cyber-Angriffe zu wappnen.

Demokratisierung

Exte

rnalisie

rung

Dig

ita

lisie

run

g

Konsumerisierung

Page 3: Ein Manifest für Cyber Resilience

4 5555555555555555555555555555555555

Aktueller Wissensstand

Im Cyberspace wird das zuvor Unmögliche möglich. Ohne diese virtuelle

Welt würden wir weiter wie in die Vergangenheit leben. Fragen Sie sich:

• Welche Bankkunden möchten auf die Möglichkeit verzichten, in

Sekundenschnelle Geld in andere Länder zu überweisen?

• Was würde Geschäftsleute dazu bewegen, wieder für Flugtickets,

Telefonzellen und Paketversand Schlange zu stehen?

• Warum sollte jemand etwas per Luftfracht verschicken, das

kostengünstiger vor Ort ausgedruckt werden kann?

Die heutige Situation ist komplex, schnelllebig und potenziell verheerend

für Unternehmen. Der Anteil mobiler Internetnutzung liegt aktuell zwar

lediglich bei 15 Prozent, doch diese Zahl nimmt stetig zu – dank fünf

Milliarden Mobiltelefone, von denen jedes Dritte ein Smartphone mit

Internetzugang ist.1 Jeden Tag werden 500 Millionen Fotos ausgetauscht

und der durchschnittliche Nutzer überprüft 23 Mal am Tag seine Nachrichten.1

Täglich fallen 1,5 Millionen Personen einem Cyber-Angriff zum Opfer, was

jedes Jahr konservativ geschätzte Verluste im Wert von insgesamt 110 Milliarden

US-Dollar zur Folge hat.2 Angriffe durch Malware bzw. bösartige Software

im Internet nahmen 2012 um 30 Prozent zu und stiegen auf Mobilgeräten im

gleichen Zeitraum um 139 Prozent an.3 Dabei ist entscheidend, dass es sich

bei 62 Prozent der Websites, die Malware verbreiteten, um legitime Websites

handelte, die manipuliert wurden.3

Immer noch nicht besorgt?

Diese Cyber-Bedrohungen und ihre Raffiniertheit werden weiter

zunehmen. Dies liegt daran, dass ältere Angriffsziele wie PC-

Betriebssysteme an Bedeutung verlieren und neue webbasierte und

mobile Plattformen sowie soziale Apps an ihre Stelle treten.

Änderungen an der sogenannten Bedrohungslandschaft sind

sicherheitstechnisch schwer in den Griff zu bekommen. Ohne

einen gewissen Grad von Sicherheit, der zuvor nur in großen

Unternehmen zu finden war, ist jeder anfällig. Wie wir noch

sehen werden, ist Größe nur eines unserer Probleme.

Page 4: Ein Manifest für Cyber Resilience

6 7

Die unbekannten Einflüsse

Zu wissen, was die Zukunft bringt, kann unser Leben bereichern. In der

Cyber-Welt hingegen sorgen nicht vorhersehbare Absichten und unerwartete

Konsequenzen für Chaos. Es ist schier unmöglich, sämtliche neuen Cyber-

Bedrohungen vorherzusehen, denen Ihr Unternehmen ausgesetzt sein wird –

manche davon sind noch gar nicht erfunden.

Ob verärgerte "Hacktivisten" oder Cyber-Kriminelle, Cyber-Terroristen oder

sogar staatlich sanktionierte Cyber-Armeen – die meisten haben den

Überraschungseffekt auf ihrer Seite. Ihre Beweggründe sind vielseitig: von

friedlichen Protesten über böswillige Absichten bis hin zu politischem oder

persönlichem Vorteil. Die ihnen zur Verfügung stehenden Möglichkeiten

zur Schaffung von Cyber-Risiken nehmen exponentiell zu, wodurch die

Chancen für alle schlecht stehen, die nicht vorbereitet sind.

Im Internet sind immer mehr einsatzfertige Malware-Kits erhältlich, die mit

virtueller Währung, vor neugierigen Blicken geschützt, erworben werden.

Die "Schattenwirtschaft" des Cyberspace wächst und gedeiht, und es gibt

tatsächlich so etwas wie Ganovenehre. In ihren Kompetenzzentren, verborgen

hinter hochsicherem Schutz, können sie sich so viel Wissen aneignen, dass

nur wirklich hervorragend geschulte Sicherheitsexperten mit ihnen mithalten

können. Dort können sie gestohlene Daten austauschen, die ihren Opfern,

den ursprünglichen Eigentümern, ohne deren Wissen entwendet wurden.

Gegen Bezahlung teilen sie ihr geheimes Wissen mit anderen Cyber-Betrügern.

Dass Ihr gesetzestreues Unternehmen hier einen Blick hinter die Kulissen

werfen kann, ist wohl eher unwahrscheinlich.

Im Gegensatz zur realen Welt hilft es einem Opfer hier wenig, nur

ein kleiner Fisch in einem großen Teich zu sein. Tatsächlich macht

es dies sogar noch schlimmer: 31 Prozent aller Cyber-Angriffe

richten sich gegen Unternehmen mit 1 bis 250 Mitarbeitern.2

Während Cyber-Bedrohungen für große Unternehmen inzwischen

zur Tagesordnung gehören, sind deren kleinere Zulieferer für

Cyber-Kriminelle wesentlich attraktiver. Die Lieferkette eines

großen Unternehmens kann viel leichter von unten als von oben

infiltriert werden.

Page 5: Ein Manifest für Cyber Resilience

8 9

Faktor Mensch

Während zur Durchführung von 84 Prozent von Angriffen auf die

Datensicherheit nur wenige Stunden erforderlich sind, kann es in 66 Prozent

der Fälle Monate dauern, bevor sie entdeckt werden. Bei 22 Prozent dauert

die Eindämmung dieser Datenpannen Monate oder sogar Jahre.4 Woran

liegt das?

Sie denken vielleicht, dass der Unterschied zwischen einem gegen Cyber-

Angriffe gewappneten und einem dafür anfälligen Unternehmen in besseren

Computern, leistungsfähigerer Software oder schnellerer Telekommunikation

liegt. Leider ist dies fast nie der Fall. Zur Absicherung Ihres Unternehmens

mag es durchaus notwendig sein, erstklassige Technologien einzusetzen.

Doch dies ist oft nicht ausreichend. Neuere, schnellere Geräte allein retten

in der Regel selten die Lage.

Das schwächste Glied bei der Cyber-Sicherheit ist die Person, die dieses

Manifest liest – also Sie und ich.

Die IT-Abteilung ist das Herzstück aller organisatorischen Prozesse und ihr

Einfluss reicht in sämtliche Abteilungen. Bisher war sie es, die für Cyber-

Sicherheit zuständig war. In ihrer ehemaligen Funktion war sie hauptverant-

wortlich für den Einkauf von Technologie. Doch diese Funktion ändert sich

derzeit schnell zu der eines bewährten Beraters. Jüngste Untersuchungen

ergaben, dass 14 Prozent des Cloud-Speichers, 13 Prozent der sozialen

Medien und 11 Prozent der Bürosoftware ohne Wissen der IT-Abteilung

erworben werden.5

Daten von Gartner belegen, dass das IT-Budget anstatt von seinen bisherigen

"Eigentümern" immer häufiger von anderen Abteilungen verwaltet wird.

An der Spitze liegt dabei die Marketingabteilung, von der erwartet wird,

dass sie bis 2017 mehr für Technologie ausgibt als die IT-Abteilung.6 All

dies bedeutet, dass das menschliche Element des Cyber-Risikos in Ihrem

Unternehmen aller Wahrscheinlichkeit nach am größten ist, jedoch nicht

in der IT-Abteilung.

Die Konzentration des Fachwissens zur Cyber-Sicherheit ausschließlich

in der IT-Abteilung ist heutzutage keine gängige Betriebspraxis mehr,

sondern trägt lediglich dazu bei, das Unternehmen einem höheren Cyber-

Risiko auszusetzen. Irren ist menschlich. Warum also nur einer einzigen

Abteilung (nämlich der IT-Abteilung) die Aufgabe von Cyber Resilience

zuweisen? Es ist höchste Zeit für den Wechsel zu einer gesamtheitlichen

Sicherheitskultur.

der anfänglichen

Angriffe dauern

Stunden oder weniger

von Datenpannen

werden monatelang

nicht entdeckt

von Datenpannen

erfordern Monate

oder länger zu ihrer

Eindämmung

84 %

66 %

22 %

Page 6: Ein Manifest für Cyber Resilience

10 1111

Risiko 1 Unternehmen sind klein im

Vergleich zur Bedrohung

Weltweit gibt es nur wenige Unternehmen, die über ausreichend Ressourcen

verfügen, um den Überblick über sämtliche Cyber-Bedrohungen zu behalten,

die ein hochmotiviertes Team von Cyber-Kriminellen in Umlauf bringen kann.

Selbst multinationale Konzerne können nur relativ kleine Teams einstellen.

Außerdem sind die Bösen hier auch die Klugen. Sie haben schon vor langer

Zeit gelernt, virtuelle Teams zu bilden, die über Landesgrenzen hinweg zum

gegenseitigen Vorteil kooperieren. Sie verkaufen sich gegenseitig ihre Tricks und

handeln mit gestohlenen Identitätsdaten, um Sicherheitssysteme zu überlisten, die

zum Großteil noch entwickelt wurden, um landesinterne Gefahren abzuwehren,

die aus einer Zeit vor Cyberspace und Mobilgeräten – und teilweise sogar noch

vor dem Internet – stammten.

Die eigentlichen Cyber-Angriffe sind weiterhin relativ primitiv, doch Ausmaß

allein ist nicht das Problem. Die meisten Unternehmen beherrschen bereits

die Grundlagen der Cyber-Sicherheit. Dadurch lässt sich die Anzahl von

Cyber-Attacken, die von einem durchschnittlichen Benutzer ausgeführt

werden könnten, auf 10 Prozent beschränken. Die Schwierigkeit besteht

darin, die nächste Stufe der Sicherheit zu erreichen, da 78 Prozent nur die

"grundlegenden" online verfügbaren Ressourcen nutzen, ohne Anpassungen

vorzunehmen.4

Ein Problem könnte die Herangehensweise sein. Bisher bestand die natürliche

Reaktion der meisten IT-Sicherheitsbeauftragten darin, weitere Sicherheitstools

zu erwerben. Doch derart unsystematische Ansätze scheitern bei größeren

Implementierungen. Es wäre besser, sich zunächst einen umfassenderen

Überblick über die Sicherheitslage des Unternehmens zu verschaffen und

dann entsprechende Maßnahmen zu ergreifen.

In Zukunft werden Cyber-Angreifern vermutlich noch mehr Angriffsziele

zur Wahl stehen. Das Bemühen um höhere Effizienz führt zu einer immer

stärkeren Vernetzung von Systemen, bei denen intelligente Messgeräte zur

Verwaltung des Energieverbrauchs, Sensoren zur Steuerung der Produktion

sowie RFID-Tags zur Verfolgung von Lieferungen eingesetzt werden. Cyber-

Technologie wird also nicht länger überwiegend von der IT-Abteilung verwendet,

in der Tat sind ihre Benutzer oftmals noch nicht einmal Menschen.

Aufgrund der globalen Beschaffenheit der Bedrohungen können nur sehr

wenige privilegierte Unternehmen und Organisationen – die meisten davon

im Verteidigungssektor – ihre gesamte Zeit darauf aufwenden, Cyber-Kriege

zu führen. Alle anderen müssen erst einmal ihren eigentlichen Berufen

nachgehen, sei es Versicherungsansprüche bearbeiten, Schuhe verkaufen oder

Autos reparieren. Wir müssen unsere Mittel wohlüberlegt investieren, um

Cyber-Angriffen gegenüber abwehrfähiger zu werden. Welche Chance haben

da die Kleinen? Die Antwort für Sicherheitsbeauftragte besteht darin, sich

genauso zusammenzuschließen wie es ihre Angreifer bereits getan haben.

Die Zusammenlegung von Ressourcen und der Informationsaustausch über

die Schwere von Bedrohungen könnten den Kampf ausgleichen.

Page 7: Ein Manifest für Cyber Resilience

12 1313

Risiko 2 Wer die Bedrohungen von Gestern bekämpft, verliert den Krieg

Cyber-Gefahren sind inzwischen immer subtiler, individueller angepasst und

verbreiteter geworden. Dadurch wird ihre Erkennung zunehmend schwieriger.

So schwierig, dass jemand schon äußerst mutig sein müsste, um zu behaupten,

dass irgendein mit dem Internet verbundenes IT-System (praktisch alle

kommerziellen Systeme) unangreifbar sei.

In der Vergangenheit haben "Wände aus Stahl" keine Erfolge gezeigt –

menschliche Intelligenz kann sie umgehen. Bei den gerisseneren Cyber-

Bedrohungen von heute handelt es sich selten um Frontalangriffe. Sie sind

individueller zugeschnitten und greifen viele Sicherheitslücken gleichzeitig

an, wodurch ihre Folgen verheerender sind.

Ganz gleich, ob ihre Payloads per Internet, E-Mail oder Mobilgerät eingeschleust

wurden: Sie warten geduldig und lautlos als residente Botnets auf infizierten

Systemen und können auf Befehl aus ihrem Schlummer erweckt werden –

selbst nachdem die Infektion erkannt und das "Tor geschlossen" wurde.

Veraltete Denkweisen in Bezug auf Cyber-Sicherheit nutzen nur wenig.

Angesichts dieses ständigen diabolischen Katz- und Maus-Spiels besteht die

beste Strategie nicht in der isolierten Beseitigung einzelner Bedrohungen,

sondern in einem langsamen, entschlossenen und fortlaufenden Bemühen

um Cyber Resilience. Cyber Resilience akzeptiert die Tatsache, dass es keine

Patentlösung gibt, keine Wunderwaffe und ganz sicher keine Kavallerie,

die rettend am Horizont erscheint. Dieses Konzept vertritt die Auffassung,

dass die beste Taktik in einer durchdachten Abwehr besteht. Ziel hierbei

ist es, ungleiche Verhältnisse zu schaffen, bei denen der Zugriff auf Ihre

Systeme schwieriger und weniger profitabel ist als bei anderen Systemen.

Mit besseren Informationen können Sie bessere Entscheidungen treffen.

Kein Risiko einzugehen kann im modernen Geschäftsumfeld schließlich

ebenso eine riskante Entscheidung sein. Die erfolgreichste Methode, Ihre Cyber

Resilience zu stärken, besteht darin, sich einen besseren Überblick über

die Bedrohungen zu verschaffen, denen Ihr Unternehmen ausgesetzt ist.

Page 8: Ein Manifest für Cyber Resilience

14 15

Risiko 3 Ignorieren der Rolle

von Mitarbeitern

Mitarbeiter werden oftmals als der größte Vermögenswert eines Unternehmens

bezeichnet. Die Realität sieht jedoch so aus, dass sie aus sicherheitstechnischer

Sicht betrachtet ebenso die größte Gefahr darstellen können. Identitätsdiebstahl

und der physische Diebstahl ungeschützter Geräte – oftmals begünstigt

durch die großzügigen BYOD-Richtlinien von heute – komplizieren das Ganze.

Während Sicherheit früher die alleinige Verantwortung von IT-Mitarbeitern

war, kann sie heute nicht nur ihnen überlassen werden. Was der eine als

"Schatten-IT" (nicht offiziell genehmigte Technologieausgaben) ansieht,

ist für den anderen der schnellste Weg zu mehr Innovation. Ein hartes

Durchgreifen der IT-Experten bei Technologien, die andere als wichtige

Produktivitätstools erachten, führt mit Sicherheit dazu, dass sie bei künftigen

Diskussionen nicht mehr mit einbezogen werden.

Auch an den Einstellungen der Mitarbeiter muss sich etwas ändern. Umfragen

zeigen, dass 53 Prozent der Mitarbeiter der Auffassung sind, es sei in

Ordnung, sich betriebliche Daten anzueignen, da "es dem Unternehmen

nicht schade".7 Doch ist dies ihre Entscheidung?

Sicherlich ist es besser, die Kompetenzen nicht-technischer Mitarbeiter zu

stärken und so unbeabsichtigten Missbrauch zu verringern. Auf diese Weise

erhalten sie das notwendige Wissen, um Technologieentscheidungen zu treffen

und Prozesse zu implementieren, die die Cyber Resilience des Unternehmens

stärken. Dies ist wichtig angesichts der Tatsache, dass 35 Prozent aller

Datenpannen auf derartiges Verhalten zurückzuführen sind und diese

unmoralischen Handlungsweisen stark zunehmen, wenn Mitarbeiter im Begriff

sind, das Unternehmen zu verlassen.8

Hierbei geht es keineswegs darum, dass die IT-Abteilung ihre Verantwortung

abgeben soll, sondern vielmehr um eine Gelegenheit, IT-Expertenwissen

in einen Wettbewerbsvorteil zu verwandeln. Nicht im IT-Bereich beschäftigte

Mitarbeiter sollten mit ihren technisch versierteren Kollegen übereinkommen

und sich von diesen zeigen lassen, wie Cyber Resilience das Potenzial ihres

Unternehmens erhöhen kann. Im Cyberspace ist Unwissenheit kein Segen –

sondern eine Herausforderung für die Kommunikation und Organisation.

Mit anderen Worten: eine ungenutzte kommerzielle Chance.

Page 9: Ein Manifest für Cyber Resilience

16 17

Cyber-Angriffen gegenüber abwehrfähig werden 1

Wissen, wo Ihr Unternehmen steht

Im Managementbereich gibt es eine Redensart: Man kann nur managen,

was man auch messen kann. Die meisten Cyber-Angriffe werden gar nicht

bemerkt, geschweige denn gemessen. Das gleiche gilt auch für die Risiken, die

sie darstellen.4 Wie können wir also bewerten, wie stark wir gefährdet sind?

Eine Bewertung durch externe Prüfer ist die Antwort. Genauer gesagt: Für

Unternehmen, die dem Risiko eines Cyber-Angriffs ausgesetzt sind, ist

eine umfassende Cyber-Bewertung von Mitarbeitern, Prozessen und Produkten

unerlässlich. Ehrlichkeit, so langweilig dies einigen auch erscheinen mag,

ist der erste Schritt auf dem Weg zu Cyber Resilience.

Selbstverständlich sind eine unabhängige Prüfung der Sicherheitslücken

sowie das Baselining von Technologie und Prozessen ein guter Anfang. Doch

dies ist nur ein erster Schritt. Wie wäre es mit einem Benchmark, um ihre

Bewertung mit der ähnlicher Unternehmen zu vergleichen? Oder mit einigen

praktischen Empfehlungen, die auf einer Lückenanalyse basieren, bei der der

aktuelle und der Wunschzustand des Unternehmens bewertet wurden?

Damit übernimmt die IT-Abteilung eine echte strategische Funktion.

Ausgestattet mit dieser Art von Informationen zeichnet sich der Weg zu Cyber

Resilience bereits deutlicher ab. Noch besser ist es, wenn jene unbekannten

Größen, die wir zu Beginn erwähnt haben, zu tatsächlichen Handlungspunkten

werden, nicht nur für die IT-Abteilung, sondern für das gesamte Unternehmen.

Durch derartige Erkenntnisse erhalten Sie dann einen unfairen Vorteil.

Cyber Resilience ist nicht gleichbedeutend mit Immunität vor Cyber-Angriffen.

Ihr eigentlicher Zweck besteht darin, dafür zu sorgen, dass die Sicherheitslücken

Ihres Unternehmens für Angreifer weniger attraktiv werden. Doch erst wenn

eine Baseline und ein unternehmensweites Ziel vorhanden sind, können

Sie Prioritäten setzen und dann zunächst die gravierendsten Cyber-Probleme

angehen, mit denen das Unternehmen konfrontiert ist.

Page 10: Ein Manifest für Cyber Resilience

18

In der guten alten Zeit gab es eine kleine Anzahl Mitarbeiter, die für die IT

zuständig waren. Das funktionierte problemlos, als Computer noch von

Informatikern in speziellen Räumen eingeschlossen wurden. Heutzutage

jedoch spazieren vertrauliche Daten in den Jackentaschen von Mitarbeitern

herum, und gelegentlich auch in den Jackentaschen von Partnern Ihres

Unternehmens sowie deren Partner und so weiter...

Die Zeiten haben sich geändert. Erstens bedeuten Ihre "unbekannten Größen",

dass der Geist aus der Flasche entwichen ist. Best Practices für die Cyber-

Sicherheit vor Ort können Ihr Unternehmen nur insoweit schützen, wie das

schwächste, am wenigsten sichere Glied Ihres Teams oder Ihrer erweiterten

Lieferkette diese auch anwendet.

Sie selbst mögen zwar gute Arbeit leisten und Kennwortrichtlinien verfassen

oder sogar durchsetzen, Geräte sperren oder ISO-Normen einhalten – dadurch

wird das Unternehmen noch lange nicht Cyber-Attacken gegenüber

abwehrfähig. Es sei denn, Sie können sicherstellen, dass alle anderen ähnliche

Standards befolgen, von der Putzkolonne über Ihre Rechnungsprüfer und

externen Catering-Mitarbeiter bis hin zu Ihren Anwälten.

Zweitens, wie bereits erwähnt, prognostizieren Analysten, dass in Kürze

mehr Technologieausgaben von Mitarbeitern, die nichts mit der IT-Abteilung

zu tun haben, getätigt werden als von solchen, in deren Positionsbezeichnung

"IT" oder sogar "IT-Sicherheit" zu finden ist. Es ist also an der Zeit, unkon-

ventionell zu denken und über die IT-Abteilung, Tätigkeitsbeschreibungen

und Organisationsgrenzen hinauszuschauen. Und drittens: Auch wenn Sie

Ihre gesamte Berufskarriere im IT-Bereich verbracht haben, ist es unwahr-

scheinlich, dass Ihre bisherigen Erfahrungen Sie auf die Rolle vorbereitet

haben, die der Cyberspace in unserem heutigen Leben einnimmt.

Cyber-Angriffen gegenüber abwehrfähig werden 2

Coachen SÄMTLICHER Mitarbeiter

Während Sie damit kämpfen zu bestimmen, wo genau sich Ihr Unternehmen

im Hinblick auf Cyber-Risiken befindet und womit Sie beginnen sollen, um es

gegen Cyber-Attacken zu wappnen, bahnt sich für manche eine noch größere

Herausforderung an – nämlich Schluss zu machen mit technischem Fachchi-

nesisch. Mit Ihren Kollegen zu kommunizieren ist entscheidend, doch ohne

diese eine simple Fähigkeit werden Sie scheitern: Die Fähigkeit, den jahrelang

genutzten Fachjargon für IT und IT-Sicherheit zu vergessen. Nicht nur ist er

unnötig, er entkräftet zudem Ihre Argumente. Fachjargon ist der wahre

Feind von Cyber Resilience.

Page 11: Ein Manifest für Cyber Resilience

20

Wie wir gezeigt haben, ist es nutzlos, allein an Cyber Resilience zu arbeiten. Cyber-

Risiken gehen von unsichtbaren und cleveren Feinden aus. Diese bestehen

aus Zellen, die sich dynamisch bilden, auflösen und neu bilden können. Mit

dieser Fähigkeit gleichzuziehen ist weder praktisch noch wünschenswert,

und außerdem – wer soll dann Ihre eigentliche Arbeit machen?

"Wer nicht aus vergangenen Fehlern lernt, wird sie erneut begehen", mahnen

uns die Philosophen. Doch Sie sind nicht allein. Im Cyberspace gilt, dass

Gemeinsamkeit stark macht. Warum untätig warten, während Ihr Unternehmen

berät, für welche Cyber Resilience-Strategie es sich entscheiden soll? Viel

sinnvoller ist es doch, sich mit anderen zusammenzutun, die dieselben

Überzeugungen teilen wie Ihr Unternehmen, um Sicherheitsinformationen

zusammenzuführen und gemeinsam Strategien zu entwickeln.

Dank Ihrer Kompetenzen sind Sie in einer hervorragenden Position, um

Ihrem Unternehmen zu helfen, sich besser gegen Cyber-Attacken zu wappnen.

Einige sind der Auffassung, dass dies die einzige Strategie ist, die angesichts

der permanenten Bedrohung Aussicht auf Erfolg hat.

Stellen Sie sich eine Zentrale für Cyber-Sicherheitsinformationen vor, die wie

ein stark stimuliertes virtuelles Gehirn Millionen kleiner Beobachtungen

aus den Cyber-Problemen konsolidiert, mit denen Tausende von Unternehmen

und Millionen von Benutzern konfrontiert sind, um so einen klaren Einblick in

die Cyber-Bedrohungen zu erhalten, denen Ihr Unternehmen ausgesetzt ist.

Vergleichen Sie diese zukünftige Funktion als Herzstück eines gegen Cyber-

Attacken gewappneten Unternehmens, das seine Mitbewerber hinter sich lässt,

mit der heutigen Sichtweise, bei der der IT-Abteilung die Schuld zugeschoben

wird, wenn etwas schief geht. Das soll nicht heißen, dass die Grundlagen nicht

wichtig sind. Die Informationen aus vorhandenen Sicherheitskontrollen sind

von großer Bedeutung.

Die neue Funktion der IT-Abteilung ist die eines Kompetenzzentrums für die

Bewertung des Cyber-Risikos. Sie soll Führungskräften neue Wegweiser

bereitstellen, anhand derer diese die Cyber Resilience ihres Unternehmens

beurteilen können. Cyber-Risiko macht nicht vor IT-, Abteilungs- oder sogar

Landesgrenzen halt. Cyber Resilience ist ein Teamsport, der von Führungskräften

wie Ihnen gespielt wird. Verpassen Sie den Zug nicht, er steht zur Abfahrt bereit.

Cyber-Angriffen gegenüber abwehrfähig werden 3

Cyber Resilience zu einem Wettbewerbsvorteil machen

Page 12: Ein Manifest für Cyber Resilience

22 23

Fazit

Die Resultate unseres Einzugs in der Cyber-Welt sind bereits beeindruckend,

dabei stehen wir gerade erst am Anfang. Das Erstaunliche ist, dass es für

diesen Fortschritt lediglich der Fähigkeit bedarf, Daten sicher senden und

empfangen zu können. Doch das ist leider ein komplexer technologischer

Kraftakt. Wie der Futurist und Autor Arthur C. Clarke bereits feststellte:

"Jede hinreichend fortschrittliche Technologie ist von Magie nicht zu

unterscheiden."

Der Cyberspace ist jedoch zu wichtig, um nur "Magie" zu sein. Auf persönlicher

Ebene gefährden Cyber-Risiken unsere Identität und unsere Privatsphäre.

Auf globaler Ebene bedrohen Cyber-Risiken die Stabilität von Regierungen

und Bankensystemen. Cyberspace muss von Unternehmen und Führungskräften

öffentlich-rechtlicher Organisationen genauso verstanden werden können

wie Energie, Wasser, Talent und andere wesentliche Faktoren in der realen

Welt. Zum aktuellen Zeitpunkt ist dies nicht der Fall.

Von oben erlassene Verordnungen werden keinen Erfolg zeigen. Dazu bewegt

sich die Cyber-Welt viel zu schnell. Nur eine informierte und dennoch flexible

Basisbewegung hat überhaupt Erfolgsaussichten. IT-Experten spielen hier

eine entscheidende Rolle, vorausgesetzt sie können:

1. Effektiv beurteilen, auf welchem Stand die Cyber Resilience ihres

Unternehmens sich aktuell befindet. Dabei müssen sie schneller und

rigoroser vorgehen als bisher.

2. Alle Mitarbeiter zu einem Teil ihrer Cyber Resilience machen. Sie müssen

alle Personen in der Lieferkette des Unternehmens entsprechend

aufklären und schulen, um ein Gleichgewicht zwischen der gewünschten

Innovation und der erforderlichen Cyber Resilience zu erzielen.

3. Cyber Resilience einsetzen, um langfristig einen strategischen

Wettbewerbsvorteil für ihr Unternehmen zu erzielen.

Es ist zu hoffen, dass die in diesem Manifest gezündeten "Ideengranaten" die

Kettenreaktion starten, die notwendig ist, damit Ihr Unternehmen Cyber Resilience

erreicht. Wenn dies der Fall ist, sollten Sie erwägen, sich mit den Experten bei

Symantec zusammenzuschließen, um Tausenden von Geschäftsführern und

Vorstandsvorsitzenden dabei zu helfen, ihre Unternehmen gegen Cyber-Angriffe

zu wappnen. Die Cyber-Bewertungen, Sicherheitsprodukte und Services von

Symantec helfen Millionen von Benutzern.

Cyber

Resilience

Cyber

definieren

Baseline

BYODCloud

IT

Business

Lieferkette

Heute

Vor Ort

Kern-IP

Geschulte

Mitarbeiter

Künftige

Lieferkette

Cloud

Outsourcing

Umstellung

Morgen

Cyber-

Bedrohungen

Evolution

beeinflussenVeralteter

Ansatz

Strategische

Abwehrstärke

Page 13: Ein Manifest für Cyber Resilience

24 25

Kontakte Referenzen

Symantec Limited

Ballycoolin Business Park

Blanchardstown, Dublin 15, Irland

Tel. : +353 1 803 5400

Fax : +353 1 820 4055

www.symantec.de

1 – Mary Meeker, KPCB, 2013 Internet Trends

2 – Norton Cybercrime Report

3 – Symantec ISTR 2012

4 – Verizon DBIR 2013

5 – Economist Intelligence Unit, Juli 2013 "Security

Empowers Business – unlock the power of a

protected enterprise"

6 – Gartner-Webinar, Januar 2013 "By 2017 the CMO

will spend more than the CIO" von Laura McLellan

7 – Symantec-Whitepaper 2013: "Deins ist meins:

Wie Mitarbeiter Ihr geistiges Eigentum gefährden"

8 – Symantec-Studie 2013 zu den

Kosten von Datenpannen

Revolutionen werden durch unaufhaltbare Bewegungen gestartet. Symantec möchte sich an Ihren Cyber-Maßnahmen beteiligen. Unsere Produkte und

Services sind dafür bekannt, dass sie bei Cyber-Know-how zukunftsweisend sind.

Tauschen Sie sich noch heute aus und werden Sie Teil des Widerstands. Nehmen Sie mit uns Kontakt auf, um sich für eine anfängliche CyberV-Bewertung

anzumelden.

http://www.emea.symantec.com/cyber-resilience/

Symantec ist ein weltweit führender Anbieter für Sicherheits-, Speicher- und Systemverwaltungslösungen, die Kunden bei der Absicherung und Verwaltung ihrer

Informationen und Identitäten unterstützen.

Symantec und das Symantec-Logo sind Marken oder eingetragene Marken der Symantec Corporation oder der mit ihr verbundenen Unternehmen in den USA oder in anderen

Ländern. Andere Bezeichnungen können Marken anderer Rechteinhaber sein.

© 2013 Symantec Corporation. Alle Rechte vorbehalten. Alle Produktinformationen können sich jederzeit ohne vorherige Ankündigung ändern.

Symantec (Deutschland) GmbH, Wappenhalle, Konrad-Zuse-Platz 2-5, 81829 München, Amtsgericht München, HRB 148165, USt-IdNr.: DE119364980, Geschäftsführer:

Aidan Flynn und Norman Osumi. 12/12

Symantec (Deutschland) GmbH

Wappenhalle

Konrad-Zuse-Platz 2-5

D-81829 München

Tel.: +49 (0)89 9 43 02-0

Fax: +49 (0)89 9 43 02-950

www.symantec.de

Symantec (Austria) GmbH

Wipplinger Strasse 34

1010 Wien

Tel: +43 1 532 85 33

Fax: +43 1 532 85 33 33 33

www.symantec.at

Symantec Switzerland AG

Schaffhauserstrasse 134

CH - 8152 Glattbrugg

Tel: +41 (0)44 305 72 00

Fax: +41 (0)44 305 72 01

www.symantec.ch

Page 14: Ein Manifest für Cyber Resilience

Cyber-Mobbing – ohne mich! · Cyber-Mobbing digitale Medien Intensität Cyber-Mobbing – ohne mich! „Cyber-Mobbing ist Mobbing mit Hilfe moderner Kommu-nikationsmittel. Das Opfer

Cyber-Mobbing – ohne mich! · Cyber-Mobbing digitale Medien Intensität Cyber-Mobbing – ohne mich! „Cyber-Mobbing ist Mobbing mit Hilfe moderner Kommu-nikationsmittel. Das Opfer

COASTAL VULNERABILITY, RESILIENCE AND ADAPTATION TO ... · Coastal Vulnerability, Resilience and Adaptation to Climate Change: An Introductory Overview Richard J.T. Klein 1. Introduction

COASTAL VULNERABILITY, RESILIENCE AND ADAPTATION TO ... · Coastal Vulnerability, Resilience and Adaptation to Climate Change: An Introductory Overview Richard J.T. Klein 1. Introduction

IAS MANIFEST

IAS MANIFEST

Manifest für Gerechtigkeit

Manifest für Gerechtigkeit

Ulrich Oevermann-Manifest Der Objektiv Hermeneutischen Sozialforschung

Ulrich Oevermann-Manifest Der Objektiv Hermeneutischen Sozialforschung

CYBER-MOBBING · Cyber-Mobbing – Was ist das? Cyber-Mobbing (oder auch „Cyber-Stalking“ oder „Cyber-Bullying“) meint das absichtliche Beleidigen, Bloßstellen, Bedrohen

CYBER-MOBBING · Cyber-Mobbing – Was ist das? Cyber-Mobbing (oder auch „Cyber-Stalking“ oder „Cyber-Bullying“) meint das absichtliche Beleidigen, Bloßstellen, Bedrohen

Urban Regions Now & Tomorrow: Between vulnerability, resilience and transformation

Urban Regions Now & Tomorrow: Between vulnerability, resilience and transformation

RESILIENCE ENGINEERING - sicherheit- · PDF file© Fraunhofer EMI –Resilience Engineering, Leismann/Häring/Scharte –11.11.2015 RESILIENCE ENGINEERING Resilienz als Grundprinzip

RESILIENCE ENGINEERING - sicherheit- · PDF file© Fraunhofer EMI –Resilience Engineering, Leismann/Häring/Scharte –11.11.2015 RESILIENCE ENGINEERING Resilienz als Grundprinzip

openExperts Talk - 12 Jahre agiles Manifest

openExperts Talk - 12 Jahre agiles Manifest

Das agile Manifest im Automotive Bereich

Das agile Manifest im Automotive Bereich

Personal Self-Regulation, Learning Approaches, Resilience ...

Personal Self-Regulation, Learning Approaches, Resilience ...

Cyber risk

Cyber risk

Manifest PRO Flugplatz Dübendorf

Manifest PRO Flugplatz Dübendorf

Process Mining Manifest German 1 t Ein Manifest ist eine "öffentliche Erklärung von Zielen und Absichten", getragen von einer Gruppe von Personen. Das vorliegende Manifest wurde

Process Mining Manifest German 1 t Ein Manifest ist eine "öffentliche Erklärung von Zielen und Absichten", getragen von einer Gruppe von Personen. Das vorliegende Manifest wurde

Manifest der Kommunistischen Partei

Manifest der Kommunistischen Partei

Process Mining Manifest German · 1 t Ein Manifest ist eine "öffentliche Erklärung von Zielen und Absichten", getragen von einer Gruppe von Personen. Das vorliegende Manifest wurde

Process Mining Manifest German · 1 t Ein Manifest ist eine "öffentliche Erklärung von Zielen und Absichten", getragen von einer Gruppe von Personen. Das vorliegende Manifest wurde

Förster & Kreuz | Manifest: Was uns bewegt

Förster & Kreuz | Manifest: Was uns bewegt

INKLUSIV E A CHIGE R E UTSCHSPR ZUS A MM E NF A SSUN G...Three pillars of cyber resilience Some firms may limit cyber resilience and risk management to just an exercise of “being

INKLUSIV E A CHIGE R E UTSCHSPR ZUS A MM E NF A SSUN G...Three pillars of cyber resilience Some firms may limit cyber resilience and risk management to just an exercise of “being

Integrated Resilience by the Built Environment

Integrated Resilience by the Built Environment

Manifest des Fachkreises Exzellenter Kundenservice ......2018/07/18  · Manifest des Fachkreises Exzellenter Kundenservice „Customer Service 4.0“ – Digitale Transformation im

Manifest des Fachkreises Exzellenter Kundenservice ......2018/07/18  · Manifest des Fachkreises Exzellenter Kundenservice „Customer Service 4.0“ – Digitale Transformation im