Der Begriff Cybercrime taucht regelmäßig in den Nachrichten auf. Und trotzdem können die wenigsten konkret benennen, was tatsächlich darunter zu verstehen ist. Hier haben sich vier Szenarien herausgebildet. Jedes kann als Dilemma gewertet – aber auch nachhaltig gelöst werden. Die Antworten fallen höchst unterschiedlich aus, wenn man im eigenen Unternehmen abteilungs-, funktions- und hierarchieübergreifend nach dem Verständnis und der Bedeutung von Cybercrime fragt.
Das erste Dilemma entsteht vor allen Dingen aus Unwissenheit heraus. Betroffene haben entweder ein vages, diffuses Verständnis oder ein konkretes, eindeutiges Verständnis davon, was Cybercrime ist und wie sie selbst Zielobjekt dieses kriminell einträglichen Geschäfts werden – im Gegensatz zu Internet- oder Computer-Kriminalität, die begrifflich präzise zu fassen ist. Oftmals entwickeln sich höchst individuelle Vorstellungen von diesem Begriff, die eine Reihe von Risiken ausblenden. Vielleicht ist Cybercrime – wie Petra Haferkorn1) anmerkt – nicht zufällig Neudeutsch-Englisch, weil somit keine Präzisierung erforderlich ist. Da langt es schon, wenn sich etwas lautmalerisch-bedrohlich anhört.
Das zweite Dilemma ist ein klassisches Informationsgefälle zwischen denen, die zunächst nur eine diffuse Vorstellung von der eigenen Gefährdung haben (zum Beispiel die Unternehmensleitung, die sich nicht detailliert mit der IT auseinandersetzt) und den Fachkundigen (zum Beispiel die IT-Abteilung), die Schwachstellen im Unternehmen benennen können. Dieses Gefälle auszugleichen bedeutet Überzeugungsarbeit: sich Gehör verschaffen, informieren, appellieren. Zu verstehen, worüber man gemeinsam redet, ist die halbe Miete – aber eben nur die halbe Miete. Entscheidend ist, wie die Verantwortlichen im Unternehmen die Bedrohungslage, den Schutzbedarf und die notwendigen Schutzmaßnahmen bewerten. Dazu wird man sich auch fragen müssen, wie anfällig ein Unternehmen für Cyber-Kriminelle ist. Mit welchen Cyber-Kriminellen werden wir es zu tun haben? Angreifer, die flächendeckend Schwachstellen von beliebigen Unternehmen ausnutzen oder sind vielmehr gezielte, langfristig und sorgfältig vorbereitete Eindringungsversuche in unsere Systeme wahrscheinlich – weil gerade wir für bestimmte Tätergruppen attraktiv sind? Auf welche Informationen, Daten, Prozesse und welches Know-how könnten es Cyber-Kriminelle abgesehen haben? Welcher Schaden droht zu entstehen: Datenverlust? Eine Betriebsunterbrechung? Haftungs- und Schadensersatzansprüche Dritter? Sind wir angemessen darauf vorbereitet? Die Antwort auf diese Fragen lassen unterschiedliche subjektive Sichten auf das Risiko vermuten. Der Cyber-Sicherheits-Check hilft, dieses Dilemma aufzulösen. Sobald die Unternehmensleitung entscheidet, diese und weitere Fragen mit verschiedenen Ansprechpartnern im Unternehmen zu erörtern, gewinnen alle Beteiligten an Übersicht und Einsicht in das, was zu tun ist. Oft kann eine Kickoff-Veranstaltung dabei helfen, bereits in der Startphase das Informationsgefälle zwischen Entscheidern und Fachkundigen zu verkleinern. Indem firmenintern das Vorgehen, die Bewertung und mögliche Maßnahmen zur Bekämpfung der Top-Ten-Cyberrisiken im Unternehmen besprochen werden, wird der Cyber-Sicherheits-Check zu einem gemeinsamen Anliegen und Auftrag.
Das dritte Szenario ist ein Entscheidungsdilemma. Wollen wir alles Notwendige gegen Cyber-Kriminalität umsetzen? Oder beschränken wir uns auf ein „weniger als notwendig“? Die zutreffende Entscheidung hat immer einen Preis: Den der einzuleitenden Maßnahmen oder den des eintretenden Risikos. Das Problem an diesem Szenario ist, dass Entscheider ihm gerne entfliehen wollen. Getreu dem Motto „was ich nicht weiß, macht mich nicht heiß“ könnte die Geschäftsleitung hoffen, dass sie für aus Cyberrisiken entstehenden Vermögensschäden des Unternehmens oder gegenüber kompromittierten Vertragskunden und -partnern nicht haftbar gemacht werden kann. Die knifflige Kosten-Nutzen-Frage wird sich auch dadurch nicht lösen lassen, dass sogenannte Cyber-Policen Versicherungsschutz bieten. Im Gegenteil: Die Versicherungsgesellschaften setzen zwingend voraus, dass das Unternehmen bereits alles Notwendige bei der Risikoermittlung, Risikobewertung und Risikoprävention unternommen hat. Darüber hinaus betreibt die Versicherungswirtschaft das Cyber-Versicherungsgeschäft zurückhaltend. Zu komplex seien die Cyber-Gefahren. Dem können Geschäftsleitung und Verantwortliche im Bereich IT-Sicherheit nur zustimmen.
Das vierte Dilemma bietet paradoxerweise eine Lösung der zuvor geschilderten Szenarien: Das Dilemma der Risikowahrnehmung. Was nehmen wir als Risiko wahr? Die Antwort lautet: das, was wir als Risiko erwarten. Und unsere Erwartungen leiten wir daraus ab, wie wir unser Risikomodell konstruieren. Dazu filtern wir relevante aus nicht-relevanten Einflussfaktoren heraus. Schließlich liegt der Nutzen von Risikomodellen in der Komplexitätsreduktion, damit wir die Wirkungszusammenhänge und Auswirkungen besser erfassen und managen können. Das Problem der Komplexitätsreduktion ist nicht etwa das Ausschließen von Faktoren, sondern in der subjektiven Entscheidung darüber,
was ausgeschlossen werden soll. Auch wenn der Leser Widerspruch anmeldet, so müssen wir zur Kenntnis nehmen, dass selbst eine sogenannte „objektive“ Entscheidung tatsächlich eine inter-subjektiv-nachprüfbare Verständigung darüber ist, was nun gelten soll. Mit unserer Risikoentscheidung sind untrennbar das Rest-Risiko oder die blinden Flecken verbunden. Und wo ist nun die versprochene Lösung des Dilemmas? Die Lösung lautet: Risikokommunikation! Alle vier bisherigen Szenarien (Unwissen/Wissen; Informationsgefälle; Preis der Entscheidung und Risikowahrnehmung) können durch Risikokommunikation aufgelöst werden. Petra Haferkorn, die Risikomodelle der Versicherungswirtschaft für die BaFin prüft, arbeitet in ihrem Beitrag „Risk communication from an audit team to the client“1) das Problem objektiver Entscheidungen klar heraus:
Risikowahrnehmung, -bewertung und -entscheidung müssen als dynamischer Lernprozess aufgefasst werden. Die Probleme verschwinden dadurch nicht einfach, aber sie lösen sich nach und nach auf. Das Konzept des Cyber Security Practitioners vertraut auf diesen Lernprozess. Beginnend mit der Unternehmensleitung starten die internen Sicherheitsmanager ein Audit, das immer auf Augenhöhe mit allen internen Ansprechpartnern geführt wird. Anschließend werden die Audit-Ergebnisse an die betroffenen Unternehmensbereiche und der Unternehmensleitung zurück gespielt. Wird dieses Vorgehen regelmäßig wiederholt, verständigen sich die Beteiligten immer mehr darüber, welches Risiko sie wahrnehmen und wie sie es wirksam begrenzen wollen. Dabei entsteht – quasi nebenbei – eine Kultur der Risikokommunikation, in der man sicher Geglaubtes laufend hinterfragt und den Status Quo auf blinde Flecken überprüft.
Wer sich theoretisch und intensiv mit Risikokommunikation beschäftigen möchte, dem sei das Buch „Die Politik der Krise – Soziologische Analysen zur Finanzkrise und ihre Konsequenzen“ von Marco Jöstingmeier sehr empfohlen. Schließlich gilt für Cyberrisiken vergleichbares wie für Finanzrisiken: In dynamischen Situationen sind Checklisten, Kontrollen und Regularien nur eingeschränkt hilfreich. Es sei denn, man misstraut ihrem umfassenden Gültigkeitsanspruch!
1) Petra Haferkorn, „Risk communication from an audit team to the client“. In: Tagungsband des NetWork Workshops 2016 der Fondation pour une culture de sécurité industrielle (FONCSI) „Risk communication in and for the real world- From persuasion to co-construction: reaching beyond an absolute trust in an absolute truth.“ der „Navigating Industrial Safety Springer Briefs series“.
Alle Blogs des Autors zu Themen wie Cybercrime, Compliance, Security und Wirtschaftskriminalität finden Sie hier.
Bleiben Sie up to date! Abonnieren Sie unseren Newsletter oder informieren Sie sich über unsere Themen.
Frankfurt School gGmbH
Adickesallee 32-34
60322 Frankfurt am Main
