Zukünftige Anforderungen an Sicherheit
mit einer Bestandsaufnahme von Christian Schaaf
Deutsche Unternehmen erleiden jedes Jahr große Schäden durch Organisierte Kriminalität, Spionage und Terroranschläge. Dies ist jedoch nur ein Abbild der aktuellen Sicherheitslage. Für die Zukunft muss man sich noch auf ganz neue Bedrohungen einstellen, z.B. manipulierte Informationen, sog. Fake News, politische oder religiöse Agitation in Unternehmen, eine zunehmende Urbanisierung, Migration, die Vernetzung kritischer Infrastrukturen sowie die Begleiterscheinungen von Internet of Things (IoT). Dies bereitet den Unternehmen schon jetzt große Sorgen.
Lieferdrohnen werden manipuliert und zum Landen gezwungen, die wertvolle Fracht gerät in falsche Hände. Datenkotrolle generieren massenhafte gefakte Kommentare zum angeblich schadhaften Produkt eines Herstellers und treiben die Verkaufszahlen damit in den Keller. Vernetzte Hausgeräte sammeln eifrig Daten über unser Leben und senden sie permanent an einen schlecht gesicherten Server des Herstellers. Für Einbrecher und die Organisierte Kriminalität ein gefundenes Fressen, um sich auf ihren Coup vorzubereiten. Die Sicherheitslage in Deutschland wird sich verändern, soviel steht fest. Kein leichtes Unterfangen für die Sicherheitsverantwortlichen in Deutschland. Es stellt sich die Frage, welche Maßnahmen bereits heute getroffen werden sollten, um adäquat auf solche Bedrohungen vorbereitet zu sein.
Corporate Trust hat erstmals einen Future Report herausgegeben, in dem gemeinsam mit dem Bayerischen Verband für Sicherheit in der Wirtschaft (BVSW) und der Brainloop AG weltweite Megatrends und ihre Sicherheitsherausforderungen betrachtet wurden. Für den Future Report wurden zuerst in Deutschland und Österreich 4.738 Vorstände, Geschäftsführer bzw. Leiter der Bereiche Unternehmenssicherheit, Risikomanagement, Informationsschutz, Compliance, Recht, Finanzen, Controlling, Interne Revision, IT oder Personal zu ihren Schäden befragt. Über die Hälfte aller Unternehmen in Deutschland wurde in den letzten zwei Jahren bereits Opfer eines Angriffs durch die Organisierte Kriminalität. Ein Drittel war sogar direkt oder indirekt von einem Terroranschlag betroffen. Bei knapp 30 Prozent gab es einen Fall von Spionage oder Informationsabfluss und über ein Drittel musste sich auch schon mit manipulierten Informationen zum Nachteil ihres Unternehmens (sogenannte Fake News) auseinandersetzen.
Anschließend wurde die aktuelle Sicherheitslage anhand der Risk Maps für Krisen & Konflikte, Informationsabfluss, Investitionssicherheit und Medizinische Risiken dargestellt. Im dritten Teil des Future Reports wurden zehn Sicherheitstrends der Zukunft näher beleuchtet. Um die wichtigsten Trends zu identifizieren, wurde der umfassende Risikobericht des World Economic Forum, der Global Risk Report 2017, herangezogen. Darin finden sich Themen wie Soziale Instabilität, Urbanisierung, Klimawandel, Krieg, politische Unruhen, radikaler Islamismus und Einkommensdisparität. Gemeinsam mit dem BVSW und der Brainloop AG wurden auf dieser Basis die zehn wichtigsten Sicherheitstrends der Zukunft für Deutschland abgeleitet.
Der Future Report steht unter https://www.corporate-trust.de/de/portfolio-items/future-report-2 zum Download bereit.
Wohin steuert Deutschland in Zukunft? Diese Frage ist sicherlich nicht einfach zu beantworten und niemand hat eine Glaskugel, in der er alle Entwicklungen voraussagen kann. Welche Rahmenbedingungen wir in Zukunft jedoch auch vorfinden, von den Sicherheitsverantwortlichen eines Unternehmens wird immer erwartet, „vor die Lage“ zu kommen. Daher lohnt es sich, einige Risiken näher zu betrachten.
Informationsschutz
Zwar kein neues, aber in Zukunft ein immer wichtigeres Thema wird der Informationsschutz sein. Die Umverteilung von Wohlstand durch Spionage ist bereits im vollen Gange. 29,1 Prozent der befragten Unternehmen gaben an, in den letzten Jahren Opfer von Spionage oder Informationsabfluss geworden zu sein. Weitere 25,6 Prozent 
Informationsabfluss bleibt ein brisantes Thema.wussten es nicht genau, hatten also vermutlich keine ausreichenden Detektionssysteme, um einen Abfluss von Informationen überhaupt feststellen zu können. Edward Snowden wollte durch seine Veröffentlichung der NSA-Praktiken eigentlich eine stärkere Kontrolle und Regulierung der Nachrichtendienste erreichen. Genau das Gegenteil ist passiert. Aktuell ist weltweit ein Anwachsen von sog. Mini-NSAs festzustellen. Seine Veröffentlichungen führten dazu, dass jeder Dienst nun weiß, wie es technisch und operationell geht. Damit kann man es leicht nachbauen und einsetzen. Darüber hinaus nutzen dieses Wissen nicht mehr nur die Nachrichtendienste, sondern immer häufiger auch die Organisierte Kriminalität (OK), um millionenfach Rechner anzugreifen. Derzeit findet ein Wettrüsten im Cyberraum statt und auch deutsche Unternehmen müssen sich darauf einstellen, dass sie künftig stärker von Angriffen der OK betroffen sein werden. Die Zeiten, in denen man sich mit einer Firewall und einem vernünftig eingestellten Virenschutzprogramm zur Wehr setzen konnte, sind endgültig vorbei!
Faktor Mensch
Dazu kommt noch, dass Edward Snowden nur ein Synonym für das eigentliche Problem ist, der Faktor Mensch. Auch die hochtechnisierte NSA war nicht in der Lage, ihre Daten vor Abfluss zu schützen. Jedem Unternehmen, jedem Hersteller von 
Wer die Daten beherrscht, beherrscht auch die Welt.Sicherheits- oder Angriffstechnik und auch jedem Nachrichtendienst wird es immer wieder passieren, dass vertrauliche Daten abfließen. Damit werden auch immer wieder Werkzeuge, also zum Beispiel Know-how über Softwarelücken oder kritische Prozesse, die einen Angriff erst ermöglichen, in unberechtigte Hände gelangen. Aktuell ist bekannt, dass der Equation Group, einer Elitetruppe der NSA, durch eine Hackergruppe namens Shadow Brokers so genannte Cyber-Waffen gestohlen wurden. Diese werden nun im Darknet zu Höchstpreisen angeboten, stehen also auch Kriminellen oder finanzstarken Organisationen ohne staatlichem Hintergrund zur Verfügung.
Organisierte Kriminalität
Wenn in Zukunft nicht mehr nur die Informationsgewinnung zur Erlangung eines staatspolitischen Vorteils im Vordergrund steht, sondern die reine Gewinnabschöpfung oder die Verbreitung von Angst und Schrecken (Terrorangriff), müssen sich Unternehmen auf ganz neue Angriffe einstellen. Neben den Cyberattacken werden auch klassische Betrügereien (z.B. Fake-President-Angriffe) zunehmen, die zwar mit Hilfe von modernen Kommunikationsmitteln (z.B. E-Mails) umgesetzt werden, für die jedoch nur überschaubare IT-Kenntnisse erforderlich sind. Das Faken einer E-Mail-Absenderadresse ist nicht besonders schwierig, die eigentlich kriminelle Leistung liegt in der Überzeugungsleistung, dass man ein „berechtigtes Anliegen“ hat, also das typische Vorgehen eines Betrügers.
Überhaupt wird die Organisierte Kriminalität (OK) in Zukunft eine ganz herausragende Rolle bei den Angriffen auf Unternehmen spielen. Bei der Befragung im Rahmen des Future Reports gaben 51,6 Prozent der Unternehmen an, dass sie bereits Opfer eines Angriffs durch die OK waren, manche sogar mehrmals. In 38,6 Prozent der Fälle kam es zu Social Engineering durch Spear-Phishing-Mails oder einen Watering-Hole-Angriff, wodurch vertrauliche Daten abflossen oder der Zugriff darauf möglich wurde. Bei 25,6 Prozent gab es eine so genannte Fake-President-Attacke und immerhin 16,1 Prozent wurden nach einem Ransomware-Angriff oder einer DDoS-Drohung erpresst, meist zur Zahlung eines Lösegelds in der digitalen Währung Bitcoin. Wenn sowohl im geschäftlichen Umfeld immer mehr Prozesse digital vernetzt werden als auch im Privatbereich zunehmend mehr persönliche Daten über Wohnungsgröße, Heizverhalten oder den Puls bei sportlichen Aktivitäten in Cloud-Strukturen gelangen, sind die Daten in Zukunft vermutlich immer häufiger Unberechtigten verfügbar. Den kreativen Angriffsmöglichkeiten von Kriminellen sind dann nur noch wenig Grenzen gesetzt.
Verändertes Wahrnehmungsverhalten
Im Rahmen des Future Reports wurden die Unternehmen befragt, wie hoch sie die Gefahr der Einflussnahme durch Propagandamaßnahmen auf die öffentliche Meinungsbildung sehen. Generell gibt es bereits jetzt durch das Internet und die modernen Kommunikationsmittel ein verändertes Wahrnehmungs- und Bewertungsverhalten von Information. Waren es früher Berichte in Zeitungen oder im Fernsehen, über die wir uns ein Bild gemacht haben, so sind es heute immer häufiger Online-Berichte, Kommentare in sozialen Medien oder Bewertungsportalen, die zu unserer Meinungsbildung beitragen. Informationen werden zwar schneller verbreitet, der Wahrheitsgehalt ist in vielen Fällen für den normalen Konsumenten jedoch nicht mehr zu überprüfen. Dies bietet eine Vielzahl von Möglichkeiten für Manipulation und Beeinflussung. Spätestens seit den Präsidentschaftswahlkämpfen in Frankreich und den USA sollte bewusst sein, dass dies künftig immer häufiger zum Problem werden könnte. Sogenannte Fake News oder alternative Fakten können nicht nur politischen Kandidaten schaden, sondern, gezielt eingesetzt, auch in erheblichem Maße den Unternehmen. Laut Befragung haben jedoch nur 54,7 Prozent der befragten Unternehmen ein Analysetool zum automatisierten Monitoring aller verfügbaren Online-Informationen im Einsatz. 
Der Future Report befasst sich auch mit den Risiken durch zunehmende politische und religiöse Agitation in Unternehmen, den Auswirkungen von Migration, Urbanisierung und Industrie 4.0. Hier ist oftmals festzustellen, dass die Verantwortlichen die Gefahr für ihr eigenes Unternehmen deutlich geringer einschätzen als für Deutschland generell. Woran liegt das? Glauben wir, dass immer nur die anderen betroffen sind?
Gerade bei dem Thema politische und religiöse Agitation innerhalb der Belegschaft haben einige Unternehmen bereits erste Erfahrungen gemacht, wie schnell sich das Betriebsklima negativ verändern kann. Wenn einzelne Mitarbeiter ihre politische Meinung zum Wahlkampf in ihren Herkunftsländern anderen Kollegen mit Gewalt aufzwängen wollen, oder bei Mitarbeitern nach einem Heimaturlaub plötzlich ihr Aussehen und Verhalten radikal verändert ist, dann muss das Unternehmen handeln. Die Fürsorgepflicht gilt auch in solchen Fällen. Unternehmen werden künftig immer häufiger Personal mit Migrationshintergrund beschäftigen. Daher ist es ratsam, sich bereits heute mögliche Auswirkungen anzusehen. Bei der Befragung fiel auf, dass die meisten Verantwortlichen dem Thema Migration durchaus positiv gegenüberstehen. Allerdings wurde als größtes Problem erkannt, dass ungenügende Integration der Nährboden für Radikalisierung ist und daher glaubenspolitische und ethnische Auseinandersetzungen künftig verstärkt in Deutschland ausgetragen werden.
Die Folgen der Urbanisierung
Zukunftsvision Drohnen, die unser Zusammenleben erleichtern sollen.
Fotos (4): © Corporate Trust, Business Risk & Crisis Management GmbHDie Urbanisierung, also der Trend, dass immer mehr Menschen in die Städte ziehen, wird viele negative Auswirkungen mit sich bringen. 52,4 Prozent der befragten Unternehmen glauben, dass dies zu einer Ghettoisierung und so genannten NoGo-Areas führen wird, 54,7 Prozent, dass damit eine größere Gefahr für einen sozialen Abstieg besteht und sogar 61,4 Prozent, dass die Kriminalität in den entstehenden Mega-Citys deutlich ansteigen wird. Fest steht schon jetzt, dass der soziale Unfriede in der Bevölkerung wächst. Der Polizei fehlen an vielen Stellen die Kapazitäten; daher werden die Bürger immer mehr gefordert sein, selbst für ihre Sicherheit zu sorgen. Dies wird sich auch auf die Unternehmen auswirken. Vielleicht haben wir in absehbarer Zeit einen ähnlichen Trend wie in anderen Ländern, dass es zunehmend „Gated Communities“ gibt, also eingezäunte und bewachte Wohnsiedlungen. Gerade beim Kampf um die besten Arbeitskräfte und der zunehmenden Anforderung an Mobilität, könnte dies für jeden Arbeitgeber ein Pluspunkt sein, wenn er sichere Wohnmöglichkeiten bietet. Übrigens wurde von den Unternehmen die Schwierigkeit, qualifizierte Mitarbeiter für Standorte in weniger attraktiven ländlichen Regionen zu finden (83,9 %), als größte Herausforderung durch die Urbanisierung gesehen.
Wie schon der französische Schriftsteller und Autor Albert Camus feststellte: „Die Freiheit besteht in erster Linie nicht aus Privilegien, sondern aus Pflichten.“ Daher sollte sich jeder Sicherheitsverantwortliche schon heute damit auseinandersetzen, welche Risiken in Zukunft entstehen können. Die Bedrohungen werden nicht für jedes Unternehmen gleich sein. Jeder sollte sich aber Gedanken machen, was es bedeuten kann, wenn permanent Drohnen über das Firmengelände fliegen, zu restriktive Datenschutzgesetzt verhindern, dass frühzeitig kriminelle Handlungen von Mitarbeitern erkannt werden oder durch Big Data ermöglichtes User Profiling eine zielgerichtete Ansprache von Mitarbeitern zur Vorbereitung eines Betrugs ermöglicht. Die Sicherheitslage verändert sich und der Future Report will einen Beitrag zur Betrachtung der künftigen Herausforderungen leisten.
