CYBERRISIKEN

Angriff auf das digitale Geschäftsmodell
IT-Sicherheit ist ein CIO-Thema, digitale Geschäftsmodelle sind Aufgabe des CDOs. Ohne IT-Sicherheit wäre jedes neue Geschäftsmodell jedoch gefährdet. Was CDOs über Cyberrisiken und ihre Abwehr wissen sollten – und wie man sie von Anfang an im Geschäftsmodell mitdenkt.
TEXT: Eva Rossner

Folgendes Szenario: April 2017, es ist kurz vor Ostern. Familien freuen sich auf den langersehnten Besuch, Freunde warten an Busbahnhöfen in Berlin, Paris und Mailand. Doch niemand kommt an. Flixbus ist offline, kein Zugriff auf die Webseiten. Tickets sind nicht buchbar, Buspartnerunternehmen haben keine Angaben zu Auslastung und Routenbuchungen. 120.000 Busverbindungen am Tag sind gefährdet, das wäre der Super-GAU für Flixbus.

ERPRESSER PROFITIEREN VON PLATTFORMKAPITALISMUS

Denn Flixbus ist kein Busunternehmen herkömmlicher Art, Flixbus ist eine digitale Mobilitätsplattform. Das Kerngeschäft ist die intelligente Kombination von Datensätzen, um die perfekte Route und die optimale Auslastung eines Busses zu gewährleisten. Wer in Paris übernachten will, sucht ein Zimmer bei Airbnb, wer eine Fernbusreise plant, geht zu Flixbus. Damit hat es das Start-up seit seinem Markteintritt 2013 geschafft, mehr als 60 Millionen Kunden zu gewinnen und im Jahr 400 Millionen Euro umzusetzen. Das Jungunternehmen hat sich, allen etablierten Busunternehmen zum Trotz, einen Anteil von fast 90 Prozent auf dem europäischen Markt gesichert. Kurzum, Flixbus hat sehr viel zu verlieren. 

„Sicherheit ist eine Frage des Mindsets."

Das wissen die Angreifer. Unternehmen, deren Geschäftsmodell zu einem erheblichen Teil von digitalen Prozessen abhängt, sind verletzlicher denn je für Cyberangriffe. Je mehr auf dem Spiel steht, desto größer ist das Erpressungspotential, desto lohnender der Angriff. 

Selbst die Größten sind vor erfolgreichen Angriffen nicht sicher – die Angriffe auf Twitter, Facebook, Sony & Co. haben das immer wieder gezeigt. Und auch Flixbus war, ein Jahr nach Marktstart, Opfer eines Angriffs, der damals kurz vor Weihnachten stattfand. Ein Distributed- Denial-of-Service(DDoS)-Angriff sollte das Tech-Start-up treffen. Bei einem DDoS beballert eine große Zahl infiltrierter Systeme das Ziel mit unnützen Datenpaketen. Das Ziel-System kann diesen Ansturm meist nicht bewältigen und ist dadurch für seine Nutzer nicht mehr erreichbar. Häufig weiß der Angegriffene nicht einmal, wer hinter der Attacke steckt. Die Polizei konnte damals, so berichtet Daniel Krauss, CIO und Mitgründer von Flixbus, nicht helfen. Man möge die erhobenen Daten doch bitte ausdrucken und faxen, sei die Antwort der Polizei gewesen. "Der Rechtsstaat ist an dieser Stelle noch nicht ausreichend gut gerüstet. Unternehmen müssen sich selbst helfen oder Hilfe einkaufen", sagt Krauss.

CYBERANGRIFFE NICHTS NEUES, RISIKOGRAD SCHON

Doch es sind nicht nur die Großen, bei denen hohe Summen auf dem Spiel stehen, weil sie ins Ziel von Cyberkriminellen geraten sind. Jeder IT-Verantwortliche weiß, dass Angriffe unterschiedlichster Struktur zum Alltag gehören. Krauss’ Systeme erreichen schon mal mehrere 100 Kleinangriffe am Tag. Sie werden von den Sicherheitssystemen frühzeitig abgefangen. Krauss vermutet dahinter meist „normale“ Internetkriminelle, die Rechenleistungen zusammenführen und DDoS-Attacken mit erpresserischem Ziel durchführen wollen. „Für Profis, die sich auf klassischen Datenklau und den Verkauf von Mailadressen spezialisiert haben, sind wir aber noch nicht groß genug“, erklärt er.

Cyberangriffe sind nichts Neues. Neu hingegen ist aber der Risikograd. Denn bislang sind die meisten IT-Systeme relativ geschlossen. Die Schnittstellen zur Öffentlichkeit bestanden – von Onlinehändlern einmal abgesehen – überwiegend in Webpräsenzen mit Informationen. Mit mobilen Endgeräten, die von außen, von unterwegs aus auf die „Haus-Systeme“ zugreifen, nahm der Gefährdungsgrad deutlich zu. Die neuen Geschäftsmodelle setzen häufig auf eine konsequente Öffnung geschäftskritischer Prozesse gegenüber externen Dritten. Damit werden auch deren Risiken zu eigenen. Kein CDO kann diese Risiken bei der Entwicklung neuer Geschäftsmodelle ignorieren. Im Gegenteil, er muss die Unsicherheit schon bei der Konzeption mitdenken.

Flixbus-Mitgründer Krauss hat das getan. Für ihn ist klar: „Im Nachgang lässt sich IT-Sicherheit nicht einbauen. Wir haben in unseren Teams Spezialisten, die Absicherungen schon während der Konzeption und bei der Entwicklung integrieren.“ Krauss präzisiert: „Sicherheit ist eine Frage des Mindsets. Ich baue überall eine Zugbrücke ein, die im Zweifel hochgezogen werden kann.“ Und es müssen viele Zugbrücken sein. Seine Schwierigkeit: Er weiß weder, wer angreifen könnte, noch auf welchem Wege. „Wir führen deshalb regelmäßig 360-Grad-Security-Audits durch und leiten aus den Ergebnissen Maßnahmen ab. Das fängt schon damit an, ob die Rechner gesperrt werden, wenn Mitarbeiter kurz den Raum verlassen.“ Krauss dringt darauf, diese 360-Grad-Untersuchungen mindestens im halbjährlichen Turnus durchzuführen und die daraus abgeleiteten Ergebnisse in den Maßnahmenplan einfließen zu lassen.

DEFIZITE MANAGEN: MEHR UND BESSERER AUSTAUSCH

Außerdem engagiert Flixbus häufig sogenannte Penetrationstester, die einzelne Rechner oder Netzwerke infiltrieren. „Mehrere Dienstleister bieten das an, je nachdem worauf Unternehmen den Schwerpunkt legen wollen. Wichtig ist, bei der Auswahl auf Referenzen oder einschlägige Zertifizierungen zu achten“, sagt Krauss. Sebastian Schreiber ist ein solcher Pen-Tester. „Wir simulieren Cyberangriffe“, sagt der Geschäftsführer des IT-Security- Dienstleisters Syss.

Krauss hat auch noch einen anderen Tipp parat: „Wir haben Bereitschaftsteams, die im Angriffsfall sofort aktiv werden können.“ Dabei handelt es sich nicht um ein internes Team. Für jeden Angriffsvektor hat er passende Partnerunternehmen an der Hand. Für die erfolgreiche Abwehr des DDos-Angriffs hat er unter anderem Cloudflare genutzt, einen Sicherheitsanbieter, der sich auf die Abwehr ausgefeilter DDos-Angriffe spezialisiert hat. Cloudflare verspricht Websitebetreibern eine unkomplizierte Absicherung gegen Denial-of-Service- und Hackerangriffe. Solche Dienstleistungen kann Krauss allerdings nicht einfach an sein System andocken. „Viele dieser Dienstleistungen wie die von Cloudflare müssen wir in Teilen vorhersehen, weil das häufig Konfigurationen mit sich zieht – und diese müssen präventiv eingekauft oder konfiguriert werden.“

Sicherheit ist eine Illusion, sagt Schreiber. Auch sein Unternehmen werde regelmäßig angegriffen. Kurz vor Weihnachten erreichte seine Buchhaltung beispielsweise eine CEO-Fraud-Mail mit der Bitte, kurzfristig eine internationale Überweisung durchzuführen (eine Methode, die auch als „Fake President“ bekannt ist). 

„Viele Unternehmen kennen ihre Lücken nicht einmal. Sie investieren in Bereiche, die längst sicher sind.“

Doch obschon solche Versuche seine Mitarbeiter amüsierten, weiß er: Kein Unternehmen könne seine Netzwerke komplett absichern, niemand verbiete beispielsweise den Zugriff auf Office. Er vermutet die Gefahrenquelle an einer ganz anderen Stelle: „Viele Unternehmen kennen ihre Lücken nicht einmal. Sie investieren in Bereiche, die längst sicher sind.“ Die Schwierigkeit innerhalb der Unternehmen: eine starke Arbeitsteilung und damit verbunden nicht nur kommunikative Schnittstellen, sondern auch unterschiedliche Perspektiven und Kenntnisse. Schreiber nennt ein Beispiel, das weit über den Einflussbereich des CIOs hinausreicht:

„Wir erleben oftmals eine Situation, wo schlichtweg eine unzureichende Fehlerkultur vorherrscht.“ Überall dort, wo Menschen arbeiteten, würden Fehler gemacht. Nur sei zu selten sichergestellt, dass diese Fehler auch sichtbar werden. „Wir haben in Deutschland einen Perfektionsanspruch – Fehler sind eine Schwäche. Dadurch werden Fehler zu selten kommuniziert.“ Doch weil es in der IT keine absolute Sicherheit geben könne, sei ein offener Umgang mit Schwächen umso wichtiger. So könnten die CIOs schneller eigentlich bekannte Risiken minimieren und sich für neue Gefahren rüsten. „Im Jahr 2017 werden wir es mit Angriffen zu tun haben, die wir heute noch nicht einmal erahnen.“

Threat Intelligence: Austausch organisieren

Doch auch die „Business-Seite“ eines Unternehmens sieht Kommunikationsdefizite. „Es ist wichtig, dass sich Unternehmen im Bereich Cybersecurity austauschen“, fordert Ralph Salomon, Leiter Infrastruktur- und Cloud-Sicherheit bei SAP. Entscheider sollten Netzwerke und Beziehungen formieren, die sie im Kampf gegen Hacker brauchen. Um offen über Fehler und Schwächen reden zu können, empfiehlt Salomon nach innen wie nach außen eine klare Vertraulichkeit: „Ich sage nur dann etwas, wenn ich völlig anonym bleibe.“ Für Salomon ist das eine wichtige Voraussetzung, „um in sensiblen Bereichen wie Cybersecurity wirklich erfolgreich zu sein“.

Flixbus-Mitgründer Daniel Krauss setzt vor allem auf eine schlanke Variante, wenn es um den Informationsfluss geht. Er sagt: „Es ist obligatorisch, dass Entscheider in informellen Netzwerken arbeiten. Wir haben beispielsweise bei Slack spezielle CTO/CIO-Gruppen und tauschen uns aus.“ Wie Entscheider die Kommunikation konkret handhaben, sei jedoch stark branchenabhängig, in seinem Fall sicherlich E-Commerce-getrieben. Dem formalisierten Austausch kann er nicht unbedingt etwas abgewinnen. "Konsortien beispielsweise, die finde ich schwierig. Häufig bringen solche Organisationsformen einen erheblichen Overhead mit." Gerade durch die hohe Drehgeschwindigkeit müsse Krauss aber effizient sein und dafür wären Konsortien bislang nicht bekannt. Ob der Austausch nun eher formell oder informeller Natur ist: die Informationen bilden die Basis, um nicht nur auf Angriffe zu reagieren, sondern Cyberkriminellen ab und an einen Schritt voraus zu sein. Dazu arbeiten Sicherheitsexperten intensiv am präventiven Monitoring. So werden nicht nur „Honeypot“-Fallen aufgestellt, die Angreifer von außen anlocken sollen, damit man ihre Spuren zurückverfolgen kann. Auch KI-Lösungen, die Verhaltensmuster automatisch auf verdächtige Vorgänge hin untersuchen, können helfen, um potentielle Bedrohungen möglichst früh zu erkennen und Schutzmaßnahmen zu ergreifen.

Doch bis die digitalen Wächter in allen Unternehmen so weit sind, wird noch einige Zeit ins Land gehen. Solange kann es schwierig sein, eine E-Mail mit Schadcode zuverlässig herauszufiltern, die größeren Schaden anrichten kann. CDOs, die die Risiken ihrer digitalen Geschäftsmodelle möglichst gering halten wollen, sollten sich daher nicht nur auf die technische Kompetenz der IT-Abteilung verlassen. Sie sollten auch sicherstellen, dass die IT-Experten genau verstanden haben, wo die neuralgischen Punkte eines neuen Geschäftsmodells sind. Und sie sollten Sorge tragen, dass die Struktur eines Unternehmens hausgemachte Risiken minimieren kann. Das fängt bei der Fehlerkultur an und endet noch nicht bei der regelmäßigen Schulung aller IT-Anwender. „Eines unserer größten Risiken“, verrät ein CIO, „sind unzufriedene Mitarbeiter. Wenn die das Unternehmen im Groll verlassen, können sie dem Unternehmen manchmal viel größeren Schaden zufügen als Outsider.“ Die Absicherung digitaler Geschäftsmodelle macht also auch vor der Unternehmenskultur und der Personalabteilung nicht halt. Zum Glück ist genau das eine Kernaufgabe von CDOs: unterschiedlichste Unternehmensteile miteinander vernetzen zu können.