Cybersecurity : IT-Experte Scherr: "Cybersecurity muss ein CEO-Thema werden"

Um das Thema Cyberattacken ranken sich – nicht nur in der Industrie – viele Tabus: Opfer eines Angriffs auf das eigene IT-System geworden zu sein zählt, ganz im Gegensatz zu Lieferkettenproblemen, Energiekostensorgen oder der Schwierigkeit, für Fachkräfte attraktiv zu sein, nicht zu den „legitimen Erkrankungen“, die ein Unternehmen haben darf. Kaum ein Unternehmenschef ist bereit, über vergangene Attacken oder die getroffene Vorsorge zu berichten. Dabei wird das Risiko, Opfer zu werden nicht geringer und die Schäden können, wie jüngste Vorfälle zeigen, gerade in der Industrie beträchtlich sein.

Ganze sechs Tage standen im August des Vorjahres beim Motorenhersteller BRP-Rotax in Gunskirchen die Maschinen still. Nach einem Cyberangriff auf die Konzernzentrale in Kanada mussten auch in Oberösterreich alle Server für die 1700 Mitarbeiter in der Produktion für mehrere Tage heruntergefahren werden.

Nur kurz zuvor hatte es den Tiroler Leuchtenhersteller Eglo getroffen. Auch hier war die Produktion eingeschränkt.

>>> Digitalisierung in der Industrie: Gefährden Ungleichheiten die Entwicklung?

Vor wenigen Wochen, Anfang Februar bemerkte man beim Hersteller von Stempeln und Lasertechnologie, Trodat, Ungewöhliches. Ein großteil der zentralen IT-Services des Welser Unternehmens waren plötzlich weltweit nicht verfügbar. Ein, wie man betont, „sofort aktivierter“ analoger Notbetrieb musste nach der Abschaltung der gesamten IT-Systemlandschaft sicherstellen, dass das laufende Geschäft - eingeschränkt - weitergeführt werden konnte.

Erst seit knapp einem Monat sind alle IT-Systeme des Feuerwehrausrüsters Rosenbauer wieder verfügbar. Denn Mitte Februar war das oberösterreichische Unternehmen – als eines von mehreren Unternehmen der Branche, die gleichzeitig attackiert wurden – Ziel eines Cyberangriffs. Zwischen 21. und 23. Februar war die gesamte Rosenbauer-IT abgeschalten. Erst fast ein Monat später, Mitte März, ist Rosenbauer digital wieder uneingeschränkt handlungsfähig.

VERANSTALTUNGSHINWEIS:
Nach dem ersten erfolgreichen Deep Dive Meet-Up 2023 trifft sich die Industrie im Juni wieder für Expertentalks, Networking und neue Impulse. Das Thema: Industrial AI und seine epochale Transformation der Industrie. Hier geht's zur Anmeldung!

Das sind nur einige Beispiele aus den letzten Monaten: Eine Studie des Innenministeriums 2022 ergab, dass jährlich rund 550 Unternehmen in Österreich Opfer eines Cyberangriffs werden. Dabei erleiden knapp die Hälfte der betroffenen Unternehmen (Stand 2022) so genannte Phishing-Angriffe, also Angriffe mit dem Ziel, an Daten des Unternehmens zu gelangen.

Rund 15 Prozent der Unternehmen sind Ransomeware-Attacken ausgesetzt, in denen mittels Erpressungssoftware Lösegelder verlangt werden. Nur 5 Prozent der von Datenverschlüsselungen betroffenen Unternehmen geben jedoch an, den darauffolgenden Lösegeldforderungen tatsächlich nachzukommen, so die Studie des Innenministeriums. Insgesamt gaben 20 Prozent der betroffenen Unternehmen an, dass ein finanzieller Schaden entstanden sei.

INDUSTRIEMAGAZIN NEWS hat zu diesem Thema mit dem IT-Experten und Partner bei Arthur D. Little, Maximilian Scherr, gesprochen. Er erklärt, warum Cybersecurity für alle heimischen Betriebe wichtig ist und es vor allem ein Thema der CEOs sein sollte:

INDUSTRIEMAGAZIN NEWS: Herr Scherr, Sie beraten CEOs der Industrie zum Thema Sicherheit von IT-Infrastrukturen. In letzter Zeit ist es etwas ruhiger um das Thema geworden. Kann man daraus schließen, dass die Gefahr geringer oder zumindest nicht größer wird?

Maximilian Scherr: Nein, ganz im Gegenteil. Wir sehen ganz klar, dass die Angriffe zunehmen. Zweitens unterschätzen leider viele, dass der Angreifer schon im Haus sein kann. Das nennt sich Advanced Persistent Threat, also wenn der Angreifer schon im Unternehmen drinnen ist. Drittens: Nicht jeder spricht gerne darüber. Das ist wie eine Krankheit über die man nicht spricht.Sehr viele dieser Cyber-Vorfälle bleiben daher im Verborgenen und man erfährt es oft erst im Nachhinein. Erst vor wenigen Tagen ist auch z.B. die deutsche Rheinmetall attackiert worden, d.h. die Gefahr bleibt groß

IM NEWS: In vielen Fällen ist der Feind also schon im Unternehmen. Kann man sagen, wie viele der 500-600 Unternehmen, die im letzten Jahr betroffen waren, eine Schadsoftware schon seit Jahren im Unternehmen hatten?

Scherr: Das ist eher eine Frage von Wochen und Monaten. Aber man muss sich vergegenwärtigen, dass die Angreifer oft sophistizierter geworden sind und sich die Tätigkeiten aufgeteilt haben. Es gibt welche, die in Unternehmen einsteigen, aber dann nicht gleich einen Angriff starten. Es gibt welche, die Daten dann im Darknet verkaufen. Also jemand kauft sich den Zugang, setzt Trojaner, legt fest was reinkommt und dann schläft das wieder ein bisschen.Dann werden Daten gesammelt und wenn genug davon vorhanden sind, kommt der Angriff.

IM NEWS: Was sind derzeit die aktuellen Tricks mit denen Angreifer durchkommen?Scherr: Das ist eines davon, dass die sich aufteilen. Außerdem nutzen viele jetzt auch schon künstliche Intelligenz, um Programme zu schreiben und herauszufinden, wie sie eindringen können. Ein technischer Trend. Aber ich glaube, am Ende des Tages werden wahrscheinlich 90-95 % der Fälle durch Mitarbeiter ausgelöst. Also zum Beispiel, wenn jemand auf einen Link klickt und die schadhaften Elemente runterlädt.Vor diesen Phishing-Attacken warnen zwar alle, aber trotzdem kommen sie immer wieder vor. Und diese Attacken werden immer mehr. Und immer perfekter. Und eigentlich ist das oft eine menschliche Frage und damit auch eine Kulturfrage. Habe ich es als CEO geschafft, eine Sicherheitskultur im Unternehmen zu etablieren?

IM NEWS: Weil sie Mitarbeiter und CEO angesprochen haben. Cyber-Security ist und muss ja letztlich ein CEO-Thema sein. Warum ist das oftmals nicht so?

Scherr: Für viele klingt es technisch und CEOs beschäftigen sich lieber mit Innovationen, mit Wachstum, mit Strategien. Und: Wie kann ich am Markt gewinnen? Weniger mit: Wie schaffe ich es eigentlich - ich nehme einmal die Fußball-Metapher - hinten das Tor sauber zu halten? Sie spielen gerne auf Angriff. Das ist gut so. Aber sie brauchen auch jemanden im Team, der genug Power und auch genug Ressourcen hat - am Ende des Tages reden wir auch über Budgets - um das Tor sauber zu halten.

IM NEWS: Woran erkennt ein CEO, dass er oder sie sich zu wenig kümmert?

Scherr: In dem man schaut, wie oft eigentlich das Thema Cyber-Security im Board diskutiert wird. Bei vielen kommt das gar nicht ins Board. Sie reden zwar gern davon, dass Cyber-Security wichtig ist, aber im Board befassen sie sich nicht damit. Und wenn sie sich damit befassen, muss auch etwas getan werden.Da geht man durch die KPIs durch und diskutiert sehr intensiv mit dem CISO, dem Chief Information Security Officer, was denn alles getan werden muss, welche Budgets er braucht und was seine Prioritäten sind. Der CEO muss sich damit beschäftigen. Er ist am Ende des Tages für das Unternehmen verantwortlich und damit auch für die Sicherheit.

IM NEWS: Sie haben angesprochen, dass der CISO zu wenig Power hat, also zu wenig Pouvoir vorhanden ist. Ist das ein Thema?

Scherr: Das würde ich nicht generalisieren. Aber ja, in einigen Unternehmen, die ich kenne, ist das definitiv so. Da spricht man als Experte mit der zuständigen Person und sagt: „Okay, was machst du eigentlich zu diesem Upgrade? I didn't get the funding". Man fragt dann, hat dein Board verstanden, worum es geht? Und oftmals findet diese Diskussion gar nicht so statt, dass dieses Risiko quantifiziert wird und ein CEO und ein CFO sagen können: „Okay, soviel investieren wir am Ende des Tages“.Manchmal sind es 100.000 Euro, manchmal ein paar Millionen, die man in die Security stecken muss. Aber oft wird an der falschen Stelle gespart.

IM NEWS: Umgekehrt gefragt: Woran erkennt ein guter CISO, dass er den richtigen CEO für seinen Job hat?

Scherr: In dem er ihn fragt und challenget. Also das ist schon ein Fordern und Fördern. Ein CEO, der nur fragt "Ist alles okay?", ist nicht der CEO, den ich haben wollen würde, als CISO. Ich bin ja dazu da, das Unternehmen zu sichern und dazu brauche ich, so wie Sie gesagt haben, das Pouvoir. Und manchmal muss man sich das auch erst erkämpfen.IM NEWS: Ihr Job ist Beratungstätigkeit. Was ist Ihr Grundthema, wenn Sie zum ersten Mal in ein Unternehmen kommen?Scherr: Ich frage mal nach ein paar typischen KPIs. Manche sagen, das ist zu einfach. Ich fange aber ganz einfach an: Wie viele sogenannte kritische Vulnerabilities, also Schwachstellen gibt es pro Server zum Beispiel, oder pro Asset? Und das Schlimme ist, viele auch sonst ganz gut aufgestellte Unternehmen haben da nicht die volle Transparenz. Und wenn ich nicht mal weiß, wie viel Schwachstellen ich habe, wie soll ich sie dann managen?

IM NEWS: Wer muss Ihnen diese Frage beantworten können?

Scherr: Mindestens der CISO, aber eigentlich der Head of Security in der IT und der OT. Lassen Sie uns nicht vergessen, in der Industrie gibt es sehr viel Operation Technologie. Da gibt es genauso Security-Lücken. Die wenigsten wollen das wahrhaben. Am Ende des Tages muss der CEO aber auch ein Gefühl dafür haben, wo seine KPIs liegen. Jeder weiß, wo sein EBITDA liegt. Er weiß, wo sein Cashflow liegt. Er sollte auch wissen, wo seine Vulnerabilities liegen.

IM NEWS: Der CEO wird sich nicht beliebt machen mit dem Thema. Es ist ein eher defensives Thema. Wie groß ist der Anteil in Ihrer Beratungstätigkeit, wenn es in der Organisation um Überzeugung geht? Und wie viel ist tatsächlich Optimierung?Scherr: Lassen Sie mich eines vorwegschicken. Sie haben es als defensives oder rückwärtsgewandtes Thema bezeichnet. Ich glaube, das ist bei vielen eine Fehlwahrnehmung. Denn es gibt wenige Themen, die so vorwärts gerichtet sind, wie jene für Sicherheit zu sorgen. Natürlich kann und muss man – nur das tun nicht alle: Dieses Risiko zu quantifizieren. Und zwar das betriebswirtschaftliche Risiko. Nicht wie schlimm die Sicherheitslücke ist, sondern welche Daten da drauf liegen? Welche Systeme sind betroffen? Welche Produktionsanlage kann stehen?Bei Rheinmetall steht die Produktionsanlage in einem Tochterunternehmen, das auch Audi beliefert. Audi schaut nun sehr genau darauf, ob jetzt irgendwo die Supply-Chain unterbrochen ist. Und dieses Risiko zu quantifizieren ist die Aufgabe des CISOs, mit dem CFO gemeinsam. Und der CEO muss sich überlegen, was er daraus macht.Und das ist durchaus nach vorn gerichtet. Es ist für viele nicht so messbar wie Umsatz, Ergebnis, Cashflow. Aber es ist wichtig.Zu Ihrer Frage mit der Überzeugungsarbeit: Im Regelfall muss ein CEO nicht davon überzeugt werden, dass das ein wichtiges Thema ist. Aber die Organisation muss überzeugt werden, dass man sich um Cybersicherheit tagtäglich kümmern muss.

IM NEWS: Das heißt, Sie werden ohnehin erst gerufen, wenn der CEO überzeugt ist?

Scherr: Manchmal werden wir gerufen, um den CEO zu überzeugen. Denn sehr viele Unternehmen haben ja sehr gute Spezialisten. Aber die Distanz zwischen den Spezialisten und dem Board ist oftmals sehr groß. Und sie brauchen einen Übersetzer, der dort moderiert und diese Perspektiven zueinander bringt. Wir werden auch oft gefragt, wie es denn wirklich aussieht. Das ist nicht immer lustig, aber es hilft.