Cyberangriffe in der Nähe des eigenen Hauses rücken in den Fokus der Behörde

Die Baubranche war eine Zeit lang scheinbar von größeren Cyberbedrohungen abgeschirmt. Doch in den letzten Jahren haben die begrenzten Investitionen des Sektors in die Cybersicherheit ihn zu einem bevorzugten Ziel für Angriffe gemacht, so dass das Management von Cyberrisiken zu einer strategischen Priorität auf Vorstandsebene geworden ist.

Für ein großes australisches Bau- und Ingenieurbüro hat sich dieser Wandel sehr konkret ausgewirkt. "Früher waren Cyber-Risiken etwas, das jemand anderem passierte", sagt der CIO des Unternehmens, der vor 14 Jahren in das Unternehmen eintrat und 2016 die IT-Führungsrolle übernahm. Bösewichte waren auf der Suche nach Finanzdaten oder Berechtigungsnachweisen, nicht nach Bauplänen oder Zeitplänen. "Solange wir genügend Endpunktschutz hatten, war alles in Ordnung. Wir würden uns alle gegenseitig auf die Schulter klopfen." 

Letztes Jahr wurde dann eine der Schwesterfirmen des Unternehmens kurz nach dem Verkauf durch die gemeinsame Muttergesellschaft missbraucht. Etwa zur gleichen Zeit wurde einer der Zulieferer des Bauunternehmens, ein führendes Industriedesignunternehmen, kompromittiert und brauchte drei Wochen, um wieder online zu gehen, was laufende Projekte verzögerte. Zwei der wichtigsten Technologieanbieter des Bauunternehmens - einer für die Passwortverwaltung und der andere für die Gehaltsabrechnung - wurden ebenfalls angegriffen.

"Das Narrativ hat sich völlig verändert", sagt der CIO. Für den Vorstand und die Geschäftsleitung stellt sich nicht mehr die Frage, ob, sondern wann das Unternehmen selbst angegriffen wird. Das Ziel ist die Cyber-Resilienz, d. h. die Fähigkeit, weiterhin als Unternehmen zu arbeiten und zu liefern, egal was passiert. "Der Vorstand ist in Sachen Cybersicherheit definitiv stärker involviert als je zuvor", sagt der CIO, "und das ist wirklich gut." 

Das Unternehmen hat sich in die Reihe vieler anderer Unternehmen aus verschiedenen Branchen und geografischen Regionen eingereiht, die ihren Fokus auf Cyber-Risikomanagementverstärken. Wie in der kommenden Mimecast-Studie über die Wahrnehmung von Cyber-Risiken auf Vorstands- und Aufsichtsratsebene hervorgehoben wird, werden grundlegende Geschäftsentscheidungen, wie z. B. Verträge mit Drittanbietern und Partnerschaften in der Lieferkette, jetzt zumindest teilweise durch ihre Auswirkungen auf die Cybersicherheit beeinflusst. Ausführliche Interviews mit 78 Führungskräften aus Wirtschaft und Sicherheit in 13 Ländern ergaben, dass die Aufsichtsräte von Unternehmen, die das Cyber-Risiko als eine führende Kategorie von Geschäftsrisiken erkannt haben, eine immer größere Rolle bei der Überwachung der Cybersicherheit spielen. 

Cyber: Ein Top-Drei-Geschäftsrisiko

Da die Wahrscheinlichkeit eines Cybervorfalls hoch und die potenziellen Auswirkungen auf das Geschäft groß sind, ist das Cyberrisiko in den Augen des Vorstands schnell gestiegen und wird nun als eines der drei größten inhärenten Geschäftsrisiken des Bauunternehmens betrachtet. Daher steht das Thema Cybersicherheit bei jeder Vorstandssitzung auf der Tagesordnung.

Normalerweise konzentriert sich der CIO bei jedem vierteljährlichen Update auf die Bedrohungslandschaft und die Fortschritte, die im Hinblick auf die dreijährige strategische Cybersicherheits-Roadmap des Unternehmens erzielt wurden. In einigen Fällen kann er die Ergebnisse von Schulungen zum Thema Cybersicherheit oder von jährlichen Sicherheits-, Governance- und Risiko-Audits weitergeben. "Es ist eine Gelegenheit, den Vorstand auf den neuesten Stand zu bringen, wie wir vorankommen, und gleichzeitig deutlich zu machen, welche spezifischen Risiken wir durch den Fortschritt abgemildert haben", sagt der CIO. "Es ist wirklich eine Kosten- und Wertediskussion".

Die Mitglieder des Verwaltungsrats verfügen zwar nicht über direkte Erfahrungen im Bereich der Cybersicherheit, sind aber bestrebt, sich ein allgemeines Wissen über die Risikolandschaft und die vorhandenen Kontrollen anzueignen. "Ich versuche, sie nicht zu sehr in die technischen Details einzubeziehen", sagt der CIO, "obwohl es manchmal dazu kommt, weil es Vorstandsmitglieder gibt, die gerade so viel technisches Wissen haben, dass wir diesen Weg einschlagen können". 

Es gibt nie genug Mittel, um alles zu tun, was ein Unternehmen unter dem Gesichtspunkt der Sicherheit tun könnte. Die Herausforderung besteht also darin, sich auf die Bereiche zu konzentrieren, die das beste Preis-Leistungs-Verhältnis bieten", sagt der CIO. Der australische CIO stützt sich auf das Cybersecurity-Framework des U.S. National Institute of Standards and Technology (NIST), um herauszufinden, welche Maßnahmen für das Unternehmen am sinnvollsten sind, je nach Risikoexposition und -toleranz. 

Die Rückmeldungen der Mitglieder des Verwaltungsrats zu den Aktualisierungen waren positiv. Der Vorstand ist sich sicher, dass das IT-Team des Unternehmens genug tut. Obwohl das Cyber-Risiko aus einer inhärenten Perspektive zu den drei größten Risiken gehört, ist es aufgrund der vom CIO eingeführten Kontrollen zur Risikominderung auf der Liste der verbleibenden Risiken viel weiter nach unten gerutscht.

Aufgrund der schmerzlichen Erfahrung, dass das Unternehmen wochenlang darauf warten musste, dass sich sein Designpartner von dem Angriff erholt, konzentriert sich der Vorstand auf die Geschäftskontinuität. Das Unternehmen bedient Schlüsselsektoren wie Energie, Strom, Verkehr und öffentliche Infrastruktur. "Sie [der Vorstand] wollen sicher sein, dass wir über die Technologie und die Verfahren verfügen, um auf ein Cyber-Ereignis zu reagieren", so der CIO. Mit anderen Worten: Der Vorstand möchte die Gewissheit haben, dass das Unternehmen auch nach einer erfolgreichen Cyberattacke in der Lage sein wird, seine Geschäfte zu führen.

Mehr Partner, mehr Probleme

Ein Charakteristikum des industriellen Baugeschäfts ist, dass das Unternehmen typischerweise Joint Ventures oder andere Allianzvereinbarungen eingeht, um ein Projekt zu realisieren. Die Partner müssen Systeme und Daten gemeinsam nutzen, was eine weitere Möglichkeit für Cyberrisiken eröffnet. 

"Obwohl unsere eigene Cyber-Kultur insgesamt recht gut ist, sind die Unternehmen, mit denen wir zusammenarbeiten, vielleicht nicht so gut", sagt der CIO. Am deutlichsten wird dies bei den Schulungsquoten im Bereich der Cybersicherheit. Das Bauunternehmen kann sich rühmen, dass mehr als 80 % der Schulungen zum Thema Cyber-Sensibilisierung eingehalten werden, während es bei einigen seiner Partner nur 40 % sind. "Die Herausforderung besteht darin, Schulungen zum Thema Cyber-Awareness zu verordnen - und einfach das Verhalten der Menschen, über das wir keine direkte Kontrolle haben", sagt der CIO.

Der Vorstand ist zwar nicht direkt an der Beseitigung dieses Risikos beteiligt, erwartet aber, dass sich die Unternehmensleitung damit befasst. "Sie haben die Herausforderung an das Management zurückgegeben, damit es eine Lösung findet", sagt der CIO. "Wir müssen niemanden zusätzlich unter Druck setzen, um das zu erreichen."

Wenn ein Unternehmen einem Partner mitgeteilt hat, dass seine Sicherheitslage unter einen akzeptablen Schwellenwert gefallen ist, hat sich das andere Unternehmen in der Regel bemüht, diese Lücke zu schließen. Vor kurzem stieß das Unternehmen jedoch auf den Widerstand eines großen Allianzpartners. "Sie sagen, dass ihre Cybersicherheit gut genug ist, und wir sagen, dass wir Beweise in unseren eigenen Systemen haben wollen, um uns sicher zu fühlen, dass dies der Fall ist", sagt der CIO. "Und wenn nicht, müssen wir Sie aus unseren Systemen aussperren."

Eindämmung der Risiken von Dritten

Eine ähnliche Schwachstelle auf dem Radar des CIOs ist das Risiko von Fremdsystemen. Letztes Jahr kam es beim Lohnbuchhaltungsanbieter des Bauunternehmens zu einer Datenpanne. Im Dezember wurde dann der Anbieter des Passwortmanagementsystems des Bauunternehmens gehackt.

Die Verstöße führten zu einer Lücke in den alltäglichen operativen Systemen des Unternehmens sowie zu Bedenken, ob seine eigenen Daten kompromittiert worden waren. "Das sind die Unternehmen, auf die wir uns verlassen", sagt der CIO. "Wenn das Unternehmen, dessen einziger Zweck es ist, Ihre Passwörter zu speichern, angegriffen wird, auf wen können Sie sich dann noch verlassen?"

Diese Vorfälle in Kombination mit dem Cyberangriff und der Betriebsunterbrechung bei dem Konstruktionslieferanten des Bauunternehmens haben die Verantwortlichen dazu veranlasst, das Risiko für Dritte neu zu bewerten. "Eines der Dinge, die wir gerade einführen, ist eine Bewertung durch einen Dritten als Teil unseres Onboardings, die uns die Gewissheit gibt, dass sie genug tun, um ihre eigenen Systeme zu schützen", sagt der CIO. "Wir werden ihnen einige Schlüsselfragen zur Cybersicherheit stellen, so wie wir sie derzeit zu Themen wie Vielfalt stellen.

Open Book Cyber Management

Eine der wichtigsten Regeln des CIO für eine gute Arbeitsbeziehung mit dem Vorstand ist es, offen und ehrlich zu sein. "Sie sind sehr verärgert, wenn das Management nicht transparent ist. Sie sind bereit, mit dem Unternehmen zusammenzuarbeiten, um selbst schwerwiegende Probleme zu lösen, solange man es ihnen nicht erst sechs Monate später mitteilt, wenn es schon zu spät ist.

Deshalb bemüht sich der CIO um einen offenen und ehrlichen Umgang mit dem Vorstand. "Sie schätzen die Transparenz der Nachrichten, die ich ihnen gebe", sagt der CIO. "Sie glauben nicht, dass ich etwas verberge." In Kombination mit der Erfolgsbilanz des Unternehmens im Bereich Cybersicherheit, internen Prüfungen und Bewertungen durch Dritte gibt dies dem Vorstand ein gutes Gefühl dafür, wie das Cyberrisiko gehandhabt wird.

Wenn eine massive Datenschutzverletzung in den Nachrichten auftaucht, wird der Vorstand danach fragen. "Das erste, was sie fragen, ist, ob wir genug tun", sagt der CIO. "Sie wissen nicht genau, was 'genug' ist, aber das ist die Frage. Und ich stelle klar, dass wir genug von dem tun, was wir uns leisten können, und das ist gut genug, um uns vor den meisten anderen zu halten. Der Vorstand ist sich darüber im Klaren, dass es immer einen gewissen Kompromiss zwischen Schutz und Unternehmensproduktivität geben wird. 

Aufgrund der Entwicklung der Fragen und des Cyberwissens des Vorstands in den letzten Jahren geht der CIO davon aus, dass der Vorstand in Zukunft immer mehr über die Besonderheiten von Protokollen, Praktiken und Tools erfahren möchte. Vor zwei Jahren war Cyber noch nicht einmal ein Diskussionsthema im Vorstand. Vor einem Jahr begann man, über Multifaktor-Authentifizierung zu sprechen. Vor sechs Monaten begannen sie, sich über die Reaktion auf Zwischenfälle und die Berichterstattung über die Sonneneinstrahlung zu informieren. "Sie werden immer besser informiert", sagt der CIO.

Argumente für Cyber-Personal

Der CIO hat das Budget für Cybersicherheit in fünf aufeinanderfolgenden Jahren erhöht. "Wird sie weiter zunehmen? Auf jeden Fall", sagt der CIO. "Aber geben wir auch genug aus? Ich würde wahrscheinlich nein sagen."

Der CIO schätzt, dass er über alle Tools verfügt, die das Unternehmen derzeit benötigt. "Was wir brauchen, sind mehr Menschen", sagt er. Es gibt keine speziellen Fachleute für Cybersicherheit, und erst vor kurzem konnte der CIO die Rolle seines Leiters für Infrastruktur auch auf die Cybersicherheit ausweiten. "Die Werkzeuge sind erstaunlich, aber sie sind sehr gesprächig", sagt er. "Wenn man sich beispielsweise durch eine SIEM-Lösung wühlt, um zu verstehen, was sie einem mitteilt, braucht man eine große Bandbreite.

Da die Gewinnspannen im Baugewerbe jedoch sehr gering sind, steht nicht viel Budget zur Verfügung. Mit Blick auf den nächsten Finanzzyklus wird der CIO wahrscheinlich darum bitten, das Team um mindestens eine weitere Person zu erweitern. Und er vermutet, dass er, nachdem er seinen Antrag mit dem CFO durchgearbeitet hat, die Zustimmung des Vorstands erhalten wird. Es ist sicherlich kein Stempel, den man aufdrückt. "Der Vorstand möchte sicherstellen, dass das Geld, das wir ausgeben, an der richtigen Stelle eingesetzt wird", sagt der CIO. "Aber ich kann mich an kein einziges Mal erinnern, als ich etwas vorgeschlagen habe, das sie nach eingehender Prüfung oder vielleicht nach einer weiteren Überarbeitung nicht gebilligt haben. 

Die Quintessenz

Keine Branche ist vor Cyberangriffen gefeit, insbesondere wenn Cyberbedrohungen und Schwachstellen weit über die eigene Technologieumgebung hinausgehen. In dem Maße, wie Unternehmensvorstände stärker in die Aufsicht über die Cybersicherheit eingebunden werden, müssen IT- und Sicherheitsverantwortliche ihnen Einblicke in die internen Cyberrisiken sowie in das Ökosystem ihrer Partner, Lieferanten und Anbieter geben. Außerdem müssen sie eine solide Strategie zur Abschwächung dieses Spektrums an Cyberrisiken umsetzen.