Cyber? Kein Fragezeichen für professionelle Geschäftsleitungen

Cyber-Sicherheit – wer kennt das Schlagwort nicht? Aber wer ist in einer Firma verantwortlich dafür? «Cyber» ist ein weites Feld, aber manche Checklisten helfen, die richtigen Fragen zu stellen.

Myriam Burkhard und Mark A. Saxer

8. April 2016|Myriam Burkhard und Mark A. Saxer|Wirtschaft

Anfang 2016 warnte der Bund vor einer neuen Internet-Betrugsmasche. Demnach rufen die Täter bei KMU an und verschaffen sich danach über eine E-Mail Zugang zum eBanking des Unternehmens. Im März folgten die Erpressungen von Schweizer Online-Shops. Die NZZ resümierte: «Die Schweiz ist schlecht geschützt.»

Wenn dem so ist, liegt es an den Chefetagen, dies zu ändern. Sie müssen «Cyber» ebenso wenig abschliessend verstehen wie etwa die Überlegungen der Firmen-Juristen. Aber die richtigen Fragen stellen muss eine GL.

Mangelndes Training…

Primär im Fokus steht Organisatorisches (Fragen interne Organisation). Auf den ersten Blick lauter einfache Fälle wie «Gibt es ein (Cyber) Computer Emergency Response Team (CERT)?» Auch mit Ja beantwortet werden, sollte die Frage, ob das Management wisse, was im Falle eines Cyber-Angriffs von wem zu tun sei, und ob die Prozesse regelmässig trainiert würden. Letzteres ist meistens nicht gegeben, die Zahlen werden wir in einem zweiten Artikel beleuchten. Nimmt man aber den alten «Scherz» zum Massstab, wonach 80% der ICT-Probleme 20 Zentimeter hinter dem Bildschirm sitzen, ist mangelndes Training schlicht ein Führungsfehler.

Die beste Frage ist aber vielleicht die: «Wann wurde die Bedrohung von Cyberattacken zuletzt im Verwaltungsrat erörtert?» Worüber und auf welcher Basis diskutierte die Führung überhaupt? Angeführt wird die Liste der Fragen zur Geschäftstätigkeit (Fragen zur Geschäftstätigkeit) von einer ganzen Gruppe kritischer Punkte, beginnend mit: «Haben Sie die Informationswerte [ihres Unternehmens] nach Kritikalität priorisiert?» Wenn ja – wie?

«Bring your own desaster»

Auch im Zusammenhang mit der Geschäftstätigkeit stellen sich technische Fragen. Etwa die: «Sind Software und Informationen auf unternehmenseigenen Geräten wie Laptops und Smartphones gesichert? Ist «Bring Your Own Device» [kurz BYOD] erlaubt?» Letzteres ist eine weit verbreitete Realität. Aber warum witzeln CISOs gerne, BYOD heisse eigentlich «Bring Your Own Desater»? Ist technisch definiert, welche Information auf privaten Geräten bearbeitet werden dürfen? In einer Checkliste des Center for Internet Security finden sich konkrete Hinweise, was die Führung vorgeben müsste:

«Limit use of external devices to those with an approved, documented business need…
Monitor for use and attempted use of external devices [and].
Configure laptops, workstations, and servers so that they will not auto-run content from removable media, like USB Tokens (i.e., «thumb drives»), USB Hard Drives [etc.].»

«SQL-injection» und youtube

Schon Fragen zur Geschäftstätigkeit sind schwieriger zu beantworten als solche zur Organisation. Die harten technischen Fragen gehen noch einen deutlichen Schritt weiter (Technische Fragen). Eine bekannte Quelle dafür sind die «OWASP Top 10». OWASP steht für «The Open Web Application Security Project» – «eine offene Community mit dem Ziel, Unternehmen und Organisationen zu unterstützen, sichere Anwendungen zu entwickeln, zu kaufen und zu warten».

Unter den Top 10 listet OWASP die 10 häufigsten Sicherheitsrisiken nach ausschliesslich technischen Aspekten auf. Nummer 1: «Injection-Schwachstellen». Als Beispiele werden «SQL-, OS- oder LDAP-Injection» genannt und erklärt: «Sie treten auf, wenn nicht vertrauenswürdige Daten als Teil eines Kommandos oder einer Abfrage von einem Interpreter verarbeitet werden. Ein Angreifer kann Eingabedaten dann so manipulieren, dass er nicht vorgesehene Kommandos ausführen oder unautorisiert auf Daten zugreifen kann.»

Das ist so technisch, dass sich zwei Fragen stellen: Erstens – wie finden der CIO und der CISO (Chief Information Security Officer) Gehör? Wenn sie sich in ihren branchenüblichen Abkürzungen äussern, sicher nicht. Unternehmensführungen haben anderes zu tun, als zu erraten, was beispielsweise eine SQL-Injection sei.

Andererseits: Muss eine Geschäftsleitung das Technische überhaupt verstehen? Eher nicht. Wissen muss sie aber, dass absolut jedermann lernen kann, wie man beispielsweise eine SQL-injection baut und damit in Datenbanken eindringt. Entsprechende Werbung wird getwittert, Guides sind auf youtube einsehbar (als Beispiel der «Basic SQL Injection Guide #1 – Union SQL Injection GET Search») – und man braucht kein Cyber Expert zu sein, um diesem vorstehend verlinkten Film folgen zu können.

«Cross-Site Scripting (XSS)» und «unsichere direkte Objektreferenzen» sind weitere Punkte in den OWASP Top 10. Auch hier geht es nur darum, nachzufragen, ob das eigene Unternehmen derlei im Griff habe, und wenn ja, warum. Denn solange es vorkommt, dass Schweizer CIOs nicht wissen, wo das kritische geistige Eigentum ihres Unternehmens liegt, muss nachgefragt werden. Dann wissen sie nämlich auch nicht, auf welchen Wegen das geistige Eigentum – und damit das Kapital der Firma – angegriffen werden kann. 2013 hatte der Tages-Anzeiger getitelt: «NSA-Affäre rüttelt Schweizer Firmen wach». Befund 2016: Nicht wach genug.

Autoren: Myriam Burkhard und Mark A. Saxer, Geschäftsführung Swiss Cyber Experts