Alle Beiträge von Stefan Heißner

IoT und Compliance haben viel gemeinsam

„Sicherheit, Sicherheit, Sicherheit“, ist das derzeit beliebteste Mantra vieler Manager in der Industry of Things. Doch absolute Sicherheit gibt es nicht, sie ist ein Ideal. Allerdings kann es gelingen, das IoT bestmöglich zu nutzen und sich zugleich auf mögliche Konflikte vorzubereiten. Genau dabei hilft Compliance.

Fast alles ist smart – aber auch angreifbar

Wir wollen die ideale Welt erschaffen: Gerät und Mensch sind optimal vernetzt, Kommunikation ist einfach wie nie. In seinem Aufsatz The Computer for the 21st Century sinniert Mark Weiser über Smarthomes, Tablets und Co. Was für den Informatiker aus den USA 1991noch eine Science-Fiction-Vision war, ist längst Realität. Fast alles ist smart. Unsere Fabriken, unsere Telefone, selbst unsere Kühlschränke. Smart, aber eben auch angreifbar. Wer in dieser risikoreichen Welt wenig in die Sicherheit der Produkte und die Schulung seiner Mitarbeiter investiert, wird Probleme bekommen.

Potenzielle Risiken lassen sich auch mit einem funktionierenden Compliance Management-System erkennen und vermeiden. Dies geschieht heute nicht mehr, indem praxisferne Regeln penibel durchgesetzt werden. Vielmehr kristallisiert sich heraus, dass Normen, Einstellungen und Werte der Mitarbeiter die Erfolgsfaktoren sind. Der nächste Schritt: Weiterdenken, den Radius vergrößern. Compliance-Systeme richteten bisher den Scheinwerfer auf Anti-Korruption sowie Wettbewerbs- und Kartellrecht. Doch die Risiken verändern sich stetig. Auf der Agenda eines Compliance-Officers stehen inzwischen auch Fragen zu Steuern, Social Media, Exportkontrolle, Cybercrime oder Datenschutz. Dazu noch die sich verändernde Unternehmenskultur. So besteht Handlungsbedarf.

Welche Faktoren sind wichtig?

Wer wirksame Programme für solche Schwerpunkte entwickelt, sollte unterschiedliche Faktoren berücksichtigen. Beim Blick aufs Detail offenbart sich, dass Compliance und IoT viel gemeinsam haben:

Kommunikation

Das Internet der Dinge arbeitet als System – alles ist verbunden und in ständiger Kommunikation miteinander. Genauso funktioniert auch Compliance Management: Mitarbeiter und Führungsetagen sollten den steten Dialog pflegen und ein System entwickeln, Integrität und Werte greifbarer zu machen. Dabei sind alle Mitarbeiter idealerweise auf dem gleichen Wissensstand und Richtlinien werden regelmäßig aktualisiert.

Überwachung

Was zunächst nach NSA-Skandal klingt, ist weitaus harmloser. Das IoT ermöglicht uns, sämtliche verbundenen Geräte zu kontrollieren. Wir können etwa unser Zuhause mit IP-Kameras beobachten und fernsteuern. Überwachung spielt auch bei Compliance eine wichtige Rolle. Denn Prozesse müssen kontrolliert und gesteuert werden, um Unregelmäßigkeiten frühzeitig zu erkennen und einzugreifen. Klar verständliche Regeln helfen den Mitarbeitern, Anomalien leichter auf die Schliche zu kommen.

Einfachheit

Die direkte Verbindung zwischen Gerät und Mensch trägt dazu bei, Ideen schnell und einfach umzusetzen. Genauso sollte es auch mit Compliance-Richtlinien laufen: Sie müssen schnell umsetzbar und handhabbar sein, um sie in Betriebsabläufe alltagsnah zu integrieren. Als Hilfestellung und nicht als Hindernis. Und das portioniert für die Zielgruppe – denn nichts ist besser als bedarfsorientiert zu informieren; und nicht mit der Gießkanne.

Wachsamkeit

All diese Punkte sollen vor allem eines verbessern: die Sicherheit. Ob wir nun Wertsachen zu Hause oder Betriebsgeheimnisse im Unternehmen schützen wollen – ungeladene Gäste kommen nicht mehr nur durch Türen und Fenster. Sie nutzen Lücken im IT-System. Mit Überwachungskameras und Sicherheitssoftware allein ist es da nicht getan. Denn jeder noch so ausgeklügelte Kontrollmechanismus hat Grenzen und wird früher oder später ausgehebelt. Daher ist es umso wichtiger, sich eines bewusst zu machen: Nichts schützt besser vor Einbrechern als ein wachsamer Nachbar. Genauso ist es auch im Unternehmen: wachsame Mitarbeiter sind immer noch der beste Schutz vor Korruption, Wirtschaftskriminalität und Cybercrime.

Fazit

Dies illustriert, wie Compliance in der Industry of Things wirken kann. Vorausgesetzt, Unternehmen richten ihre Führungsstrategie an aktuellen Entwicklungen aus und beginnen an der zentralen Stelle: bei den Mitarbeitern. Dann kann Compliance auch in der vernetzten Welt erfolgreich unterstützen. Zugleich entwickelt sich ein integrierter und nachhaltiger Umgang mit der Thematik. Dieser Paradigmenwechsel ist nötig. Ganz ehrlich – es wird nie die absolute Sicherheit geben, ebenso wenig wie einheitliche, flächendeckende Compliance. Aber gemeinsame Faktoren, die sich andernorts bereits bewährt haben, lassen sich übertragen und optimieren. Hier ist kopieren und abgucken ausdrücklich erlaubt.

Zu den Autoren: Dieser Text wurde in Zusammenarbeit mit Stefan Schaffer, Partner im Fraud Investigation & Dispute Services in Eschborn, verfasst; sein Beratungsschwerpunkt liegt in der Konzeption von Management-Systemen zur IT-gestützten Betrugsprävention.

Die Zukunft passiert jetzt

44 Prozent der deutschen Unternehmen sind in den letzten drei Jahren ausspioniert worden – gut dreimal so viele wie noch vor zwei Jahren. Befragt wurden 450 Geschäftsführer sowie Führungskräfte aus IT-Sicherheit und Datenschutz, darunter auch die Industrie 4.0.

Ganz egal, ob weltweit tätiger Großkonzern oder regional operierender Mittelständler – im Visier krimineller Hacker sind alle. Besonders gefährdet: Großunternehmen mit mehr als einer Milliarde Euro Umsatz. Von ihnen hat sogar jedes zweite (48 Prozent) bereits konkrete Attacken festgestellt. Das Fatale dabei ist, dass die Dunkelziffer noch höher sein dürfte, denn oft fliegen solche Angriffe nur zufällig auf.

Cybercrime nimmt also immer größere Ausmaße an. Trotzdem gehen die meisten immer noch viel zu sorglos mit der IT-Sicherheit um. Lediglich 18 Prozent der Befragten erkennen die Gefahr und sehen hier ein sehr hohes Risiko.

Bemerkenswerte acht von zehn Unternehmen halten ihren aktuellen Schutz gegen Datenklau und Spionage sogar für ausreichend. Erlaubt sei angesichts dessen die Frage, warum dann so viele Angriffe gelingen? Wurden doch erst im Mai und Juni etliche namhafte Unternehmen Opfer des Erpressungstrojaners WannaCry und der getarnten destruktiven Malware notPetya.

Viele Sicherheitsvorkehrungen sind konventionell: Mehr als drei von vier befragten Unternehmen setzen auf Firewalls, Antivirensoftware und starke Passwörter, um Cyber-Attacken abzuwehren. Diese Maßnahmen entlocken Hackern höchstens ein überlegenes Lächeln.

Strengere und umfassendere Vorkehrungen – die wirklich schützen – sind hingegen selten: Ein Intrusion-Detection- bzw. Prevention-System, das auf Eindringlinge hinweist, leistet sich gerade einmal jedes vierte Unternehmen.

Scheuklappen abnehmen

Immerhin dämmert vielen, dass die Bedrohung zunimmt: 46 Prozent der Manager rechnen mit einer deutlich wachsenden Bedeutung von Cyber-Angriffen für ihr Unternehmen, bei den großen mit mehr als einer Milliarde Euro Umsatz liegt der Anteil sogar bei 67 Prozent.

Viele Unternehmen bemerken durch unzureichende Sicherheitssysteme gar nichts – der Schaden fällt oft erst auf, wenn es zu spät ist. Dann sind die sensiblen Daten schon in falsche Hände gelangt. Eines der größten Risiken: Dass essentielle Systeme wie vernetzte Produktionsanlagen oder Webshops lahmgelegt werden und der Geschäftsbetrieb im schlimmsten Fall stoppt. Verhängnisvoll für die Industry of Things.

Wie sieht so eine Attacke aus? In drei von vier Fällen (74 Prozent) sind es Hackerangriffe auf die EDV-Systeme, in 16 Prozent werden IT-Systeme vorsätzlich blockiert. Auch Telefonate oder Emails werden ausgekundschaftet (9 Prozent).

Die Angreifer kommen von unterschiedlichen Seiten: Neben Geheimdiensten und Wettbewerbern ist es vor allem die Organisierte Kriminalität. Gut jede dritte Attacke erfolgt aus dieser Richtung. Doch wer hinter dem Datenklau steckt, wird bisher selten aufgeklärt. Aus Sicht der Manager geht die größte Gefahr von Russland aus: 45 Prozent blicken besorgt auf das Land, dahinter folgen China (40 Prozent) und die USA (27 Prozent).

Gewappnet sein

Unbestritten: In einer immer enger vernetzten Welt kann es völlige Sicherheit ohnehin nicht mehr geben. Jedoch sollte man es den Angreifern so schwer wie möglich machen. Und im Ernstfall versuchen, die Aufdeckungsrate zu verbessern. Das kann gelingen, indem man sich darauf vorbereitet, richtig zu reagieren.

Die Schäden können in die Millionen gehen – etwa bei Betriebsausfällen oder Schadensersatzforderungen. Um gewappnet zu sein, schließen immer mehr Versicherungen gegen Cyber-Risiken ab. Aktuell haben dies 27 Prozent der befragten Unternehmen getan. Ein solcher Schritt gehört zu einer guten IT-Sicherheitsstrategie – die allerdings weit mehr umfassen muss: etwa umfangreiche technische Vorkehrungen, eine bessere digitale Kompetenz der Mitarbeiter sowie die Sensibilisierung für IT-Risiken.

Digitale Technologien und Geschäftsmodelle sind gerade für die Industry of Things wesentlich, doch sie machen sie zugleich verwundbar. Wer seine Abläufe digitalisiert, bietet mehr Angriffsfläche. Wir diskutieren nicht über ein fernes Zukunftsszenario. Die Gefahr ist echt und gegenwärtiger denn je. Aber viele deutsche Unternehmen sind nicht ausreichend vorbereitet; sie reagieren eher als dass sie agieren. Soll die Industrie 4.0 erfolgreich Wirklichkeit werden, muss sich das schleunigst ändern.

Autoren: Dr. Stefan Heißner und Bodo Meseke (Experte für IT-Security & IT-Forensics, verantwortlich für Forensic Technology & Discovery Services EMEIA Central Zone bei EY)

Hier finden Sie die Studie in voller Länge.

Wenn Digitalisierung blendet

Kontrolle ist gut – Vertrauen ist besser. Was idealistisch klingt, ist das Zukunftsrezept für gelungene Digitalisierung. Die sogenannte vierte industrielle Revolution kreiert eine Welt, in der alles und jeder schneller, präziser und effektiver arbeitet. Blendende Aussichten, keine Frage. Doch wer geblendet ist, sieht die Risiken nicht. Deshalb braucht es neue Ansätze für Sicherheit und Compliance.

Ohne auf die Euphorie- oder Innovationsbremse zu treten: Ein Erfolgsfaktor in einer Zeit voller fundamentaler Umwälzungen ist es, sich mit der Governance- und Compliance-Perspektive der Digitalisierung auseinanderzusetzen. Dass im Zuge dessen nicht nur Kulturen aufeinanderprallen, sondern auch völlig neue Sicherheitsanforderungen erwachsen, droht geflissentlich übergangen zu werden. Datendiebstahl, Hackerangriffe, das Ausspionieren geistigen Eigentums und viele andere Formen von Cyberkriminalität werfen Fragen auf, die bisher von den wenigsten Unternehmen strukturiert betrachtet, geschweige denn beantwortet wurden.

Was gerade geschieht
Komplettlösungen für die neu gestalteten Risiken in der Wirtschaft gibt es nicht. Das ist vor allem durch die hohe Komplexität und Dynamik der Einflüsse zu erklären, denen sich Entscheider täglich stellen müssen. Denn die Geschwindigkeit steigt und Kontrollverlust ist unvermeidbar, während der regulatorische Druck zunimmt. Konventionelle Ansätze, die allein auf Kontrolle setzen, können hier kaum Schritt halten. Sie werden viel kosten und wenig leisten – bis sie sich im Ernstfall als wirkungslos erweisen.

Wie sehen unter den veränderten Rahmenbedingungen wirkungsvolle Konzepte aus? Viele Aufsichtsfunktionen wandeln sich grundlegend angesichts der nächsten Generation von Datenverarbeitung und Big-Data-Technologie. Neue Detektionssysteme werden Milliarden von Daten in Sekunden auswerten können. Wo zuvor Regeln abgeprüft wurden, entstehen lernende Systeme, die sich nahtlos in die bestehende IT-Infrastruktur einfügen. Sie erkennen Ausnahmen, bilden eigenständige Muster, visualisieren Erkenntnisse in Echtzeit und können sogar Vorhersagen über die Zukunft treffen und geografisch verorten.

Worauf es ankommt
Es wäre dennoch ein fataler Fehler, sich blindlings auf Sicherheitsstrukturen und Compliance-Management-Systeme zu verlassen. Denn am Ende geht es nicht um analoge oder digitale Lösungen, noch nicht einmal um Technologie, sondern um menschliches Verhalten. Was nutzt ein ausgetüfteltes Regelwerk, wenn sich die Mitarbeiter nicht daran halten?

Hochleistungsfähige Technologien machen die Risikominimierung schneller, präziser und günstiger. Sie sind aber nur ein Baustein eines tiefer greifenden Wandels, der gute Führung und Sicherheitsvorkehrungen nicht als Pflichtübung versteht, sondern als Treiber von Wert und Werten des Unternehmens.

Verhaltensökonomische Ansätze verbinden die intelligente und unternehmensspezifische Risikominimierung mit neuen Führungsinstrumenten, beispielsweise indem man Incentive- und Anreizsysteme daran ausrichtet, wie sich der Einzelne in ethischen Dilemmasituationen verhält. Mitarbeiter werden dafür sensibilisiert, geistiges Eigentum und vertrauliche Daten zu schützen und Sicherheitslücken zu schließen. Vertrauen und Integrität spielen hier eine wesentlich wichtigere Rolle als Kontrolle.

Es ist eine Zukunftsaufgabe, den eigenen Ansatz genau in diesem Sinne zu verbreitern. Die Digitalisierung zeigt uns, dass sich die Instrumente durchaus drastisch verändern mögen, echte Prinzipien aber auch die schillerndsten technologischen Revolutionen überdauern.