Pünktlich zur Computermesse Cebit in Hannover (14. bis 18. März) rückt das Thema IT-Sicherheit wieder in den Fokus der Börsianer. Können Cyberattacken aus dem Netz eine bedeutende Börse oder eine bedeutende Bank einfach "abschalten"? Jerrold Mitchell, Investment Advisor der Alaska Permanent Fund Corporation (APFC), ist überzeugt, dass genau das in naher Zukunft passieren wird - "und zwar noch im Jahr 2016".

Im Sommer 2015 waren bereits zeitgleich die New Yorker Börse, die Fluglinie United Airlines und das "Wall Street Journal" attackiert worden (BÖRSE ONLINE berichtete). Und es könnte noch schlimmer kommen. Allianz-Manager Nigel Pearson sagt: "Es gibt ein Potenzial für einen katastrophalen Cyberangriff - oder eine bedeutende Ansammlung von Cyberrisiken." Es sei aber schwierig vorherzusagen, wie das Szenario genau aussehe.

Um Abhilfe zu schaffen, soll in Deutschland in zwei Jahren das Finanz- und Versicherungswesen per IT-Sicherheitsgesetz verpflichtet werden, "angemessene organisatorische und technische Vorkehrungen zur Vermeidung von Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit ihrer informationstechnischen Systeme, Komponenten oder Prozesse zu treffen, die für die Funktionsfähigkeit der von ihnen betriebenen kritischen Infrastrukturen maßgeblich sind". Die Betreiber von Wertpapierbörsen dürften wohl dazugehören.

Dieter Schweer vom Bundesverband der Deutschen Industrie (BDI) ist der Ansicht: "Vermutlich werden die betroffenen Unternehmen die Sicherheitsanforderungen an ihre Zulieferer und Dienstleister weitergeben." Bei der Deutschen Börse könnten das etwa die "Spezialisten" sein, die Wertpapiere handeln, sprich: die Maklerfirmen. Die VdS Schadenverhütung GmbH, eine hundertprozentige Tochter des Gesamtverbands der Deutschen Versicherungswirtschaft (GDV), hat im vergangenen Sommer ein mehrstufiges Verfahren veröffentlicht, das den Unternehmen bezüglich Informationssicherheit aufs Pferd helfen soll. Das könnte weitreichende Konsequenzen haben - nicht nur für DAX-Konzerne. Gerade auf die kleineren und mittleren Unternehmen aus der zweiten und dritten Reihe werden hohe Kosten zukommen. Entweder sie investieren kräftig in die Verbesserung der IT-Sicherheit oder sie leiden später über höhere Prämien - falls sie denn überhaupt noch einen Versicherer finden, der das Cyberrisiko auf sich nimmt.

Der von VdS Schadenverhütung angebotene "Quick-Check für Cyber-Security" enthält 39 sicherheitsrelevante Aussagen wie: "Unser Topmanagement hat sich schriftlich verpflichtet, die Gesamtverantwortung für die Informationssicherheit wahrzunehmen." Die Aussagen in den entsprechenden Fragebögen sind jeweils mit "ja", "nein", "trifft auf unser Unternehmen nicht zu" oder "keine Angabe" zu beantworten. "Am Ende", so verspricht die VdS auf ihrer Internetseite, "erhalten Sie als Ergebnis eine Matrix, welche die Risikosituation in Ihrem Unternehmen darstellt."

Die Fragebögen sind aber nur ein erster Schritt. Anschließend folgt das sogenannte "Quick Audit". Dazu kommt ein Auditor der VdS ins Unternehmen und prüft, ob die Selbsteinschätzung den Tatsachen entspricht. Das Quick-Audit soll besonders kleineren Unternehmen schmackhaft gemacht werden. Im Auditbericht sollen die Kunden erfahren, in welchen Bereichen das Unternehmen noch Nachholbedarf hat. Wer ein Zertifikat von der VdS will, um nach außen zu dokumentieren, dass es um die Informationssicherheit gut bestellt ist, muss sich den strengen Richtlinien der VdS-Norm 3473 unterwerfen.

Auf Seite 2: Kein "Kann", kein "Soll", nur "Muss"





Kein "Kann", kein "Soll", nur "Muss"



Die haben es in sich und enthalten keine Soll- oder Kann-Bestimmungen. In nahezu jedem Satz taucht in irgendeiner Form das Wort "müssen" auf. Die Richtlinien verlangen zunächst vom Topmanagement, einen Informationssicherheitsbeauftragten (ISB) zu bestimmen. Dieser muss der Richtlinie zufolge zwingend die Verantwortung für die Informationssicherheit übernehmen - egal, ob fünf oder 5000 Menschen auf der Gehaltsliste des Unternehmens stehen.

Darüber hinaus muss ein Informationssicherheitsteam (IST) bestimmt werden. Dieses setzt sich unter anderem aus dem ISB, dem Topmanagement, dem IT-Verantwortlichen, einem Mitarbeiter der Personalabteilung und dem Datenschutzbeauftragten zusammen. IST und ISB müssen dann eine "Informationssicherheitsleitlinie" erarbeiten. Diese "muss vom Topmanagement beschlossen und bekannt gegeben werden". Besonders wichtig ist dabei das "Identifizieren kritischer IT-Ressourcen". Diese Ressourcen muss der ISB "ermitteln, jährlich prüfen, ob die Aufstellung aktuell ist, und sie bei Bedarf anpassen". Dazu muss das Unternehmen "seine zentralen Geschäftsprozesse und seine Prozesse mit hohem Schadenspotenzial identifizieren und dokumentieren". Schließlich muss das Unternehmen seine kritischen IT-Systeme, Netzwerke, mobilen Datenträger und Verbindungen sowie "seine kritische Individualsoftware" identifizieren, inventarisieren und entsprechend schützen.

Ferner muss das Unternehmen für kritische IT-Systeme eine "Risikoanalyse und -behandlung" etablieren. Den Begriff Risiko definiert die VdS 3473 als "eine nach Eintrittswahrscheinlichkeit und Schadenshöhe bewertete Gefährdung". Die Gefährdung ergibt sich aus der Summe von "Bedrohung (etwa durch den Angriff von Kriminellen) plus Schwachstelle". Ein "existenzbedrohendes" Risiko muss unbedingt im Interesse des Unternehmens und des ansonsten möglicherweise persönlich haftenden Topmanagements "unverzüglich behandelt werden", wie es in der Begleit-literatur zur VdS 3473 heißt.

Die Konsequenzen reichen bis ins Personalwesen und betreffen auch die Zuliefer- und Vertriebskette: Vor der Einstellung eines Mitarbeiters muss seine Eignung und Vertrauenswürdigkeit geprüft werden. -Außerdem muss das Unternehmen seine "Lieferanten und sonstigen Auftragnehmer verpflichten, die sie betreffenden Maßnahmen und Regelungen zur Informationssicherheit einzuhalten", sofern sie Zugriff auf "kritische Informationen" haben.

Falls es trotz aller Vorsicht zu "Störungen" oder gar "Ausfällen" kommt, ist schnelles Handeln gefragt, um die kritischen Systeme nach der Aufarbeitung eines Schadens zeitnah wieder hochfahren zu können. Dazu muss zuvor ein Wiederanlaufplan erstellt worden sein. Mit einem solchen Informationssicherheits-Maßanzug können Unternehmen dann womöglich gegenüber Versicherern punkten. Für alle Nichtzertifizierten dürften die Prämien teuer werden - ganz zu schweigen vom bürokratischen Aufwand, der für viele Firmen unterhalb des SDAX schwierig zu stemmen sein dürfte. Die Versicherer locken mit der Aussicht auf Beitragserleichterungen: Jörg Freiherr Frank von Fürstenwerth vom Gesamtverband der Deutschen Versicherungswirtschaft: "Wer seine Daten und Systeme besser schützt, zahlt weniger."



Auf Seite 3: Die bevorzugten Ziele der Hacker







Die bevorzugten Ziele der Hacker



Gefährdete Branchen.

Automobilhersteller, Chemie- und Pharmaunternehmen sowie der komplette Finanzsektor (inklusive Versicherungen) sind laut einer Umfrage des ITBranchenverbands Bitkom die bevorzugten Ziele von Cyberattacken. Mehr als 60 Prozent der Unternehmen aus diesen Branchen sahen sich in den zurückliegenden beiden Jahren Angriffen ausgesetzt. Die Sicherheitsinvestitionen dürften für diese Branchen und ihre Zulieferer am höchsten sein. Nahrungsmittelproduzenten, Maschinen- und Anlagenbauer sind hingegen weniger gefährdet (wobei die Zahl der Angriffe mit 44 Prozent immer noch erschreckend hoch ist).