05.06.2014, 08:18 Uhr

Risikomanagement - Unternehmen müssen umdenken

Kompletten Schutz vor Cyberattacken gibt es bekanntlich nicht, auch nicht mit noch so ausgereifter IT-Security. Umso wichtiger wird deshalb, wie die Unternehmen reagieren, wenn sie angegriffen werden. Genau hier aber haperts noch bei Vielen.
McKinsey_Partner_Richter_Wolf_2.jpg
Für McKinsey-Parter Wolf Richter kann die falsche Reaktion auf einen Angriff schlimmer sein als der Angriff selbst
Wir verlieren das Rennen gegen die Angreifer. Dies ist eines der Ergebnisse einer Studie, welche die Unternehmensberatungsfirma McKinsey zusammen mit dem World Economic Forum durchgeführt hat und die Wolf Richter, McKinsey-Partner, während seines Vortrags an der Zürcher Tagung der ISSS (Information Security Society Switzerland) präsentierte. Dies stimme umso mehr als die Bedrohungslage eine staatliche Dimension angenommen habe, insbesondere mit den Aktivitäten «befreundeter Dienste wie der NSA», so Richter. Immer mehr auch finanzielle Ressourcen in die Prävention zu stecken sei deshalb nicht immer der richtige Weg. Richter plädertiert dagegen dafür, auch der richtigen Reaktion auf Angriffe mehr Beachtung zu schenken. «Denn eine schwache Antwort auf einen Schaden kann schlimmer sein als der Schaden selbst», meint er. Ein Unternehmen muss demnach laut Richter zunächst einmal die Top-Risiken aus Business-Sicht bestimmen. Dies ist wichtig, um die Unternehmensführung auch für den zweiten Teil der Massnahmen zu gewinnen, nämlich die Ausarbeitung und Umsetzung von Notfall- und Krisenplänen. Nächste Seite: Das «War Game» probt den Ernstfall

«War Game» als Testfall

Doch solche Pläne nützen wenig, wenn sie nach der Ausarbeitung in einer Schublade verschwinden. Deshalb sei die Durchführung von Angriffssimulationen oder sogenannten «War Games» sehr hilfreich, meint Richter, und zwar in mehrfacher Hinsicht. Zum einen könne die Durchführung einer solchen Simulation die Awareness steigern helfen, und zwar sowohl bei den direkt Betroffenen in der IT-Abteilung als auch dem höhreren Management. «Schon die Vorbereitung auf eine solche Übung hat wichtige Lerneffekte», ist Richter überzeugt. Zentral sei dann aber, dass das Krisenteam wirklich auf die Probe gestellt werde und das Gefühl erhalte, wie es im Ernstfall zu funktionieren hat. Deshalb dürften War Games keine Trockenübungen sein. Oft würden solche Simulationen «Hanebüchenes zu Tage» fördern, so Richter. Einfache Dinge wie etwas das Fehlen von Kontaktlisten im Notfall würden offenbar. Deshalb sollten die Angriffssimulationen auch häufiger wiederholt werden, nicht zuletzt, um zu testen, ob man aus der vorausgegangenen Aktion etwas gelernt hat. «Bei grossen Firmen kann das durchaus eine kleine Abteilung sein, die solche War Games vorbereitet und immer wieder wiederholt». Die einzelnen Beiträge der Zürcher Tagung der ISSS werden in Kürze auf dem YouTube-Channel der Gesellschaft veröffentlicht.
Artikel drucken
Jens Stark
Das könnte Sie auch interessieren
Die IT im Wandel
IT als Erfolgsfaktor in unsicheren Zeiten
 
vor 2 Tagen
Digitalisierung
So wird künstliche Intelligenz beim Bund eingesetzt
 
vor 4 Tagen
Hochschulen
ETH will Schweiz zum Hotspot für Künstliche Intelligenz machen
 
vor 4 Tagen
Bitkom-Studie
Angst vor dem Hörer: Viele schieben wichtige Anrufe auf
 
vor 4 Tagen