Zukünftige Anforderungen an Sicherheit

mit einer Bestandsaufnahme von Christian Schaaf

Deutsche Unternehmen erleiden jedes Jahr große Schäden durch Organisierte Kriminalität, Spionage und Terroranschläge. Dies ist jedoch nur ein Abbild der aktuellen Sicherheitslage. Für die Zukunft muss man sich noch auf ganz neue Bedrohungen einstellen, z.B. manipulierte Informationen, sog. Fake News, politische oder religiöse Agitation in Unternehmen, eine zunehmende Urbanisierung, Migration, die Vernetzung kritischer Infrastrukturen sowie die Begleiterscheinungen von Internet of Things (IoT). Dies bereitet den Unternehmen schon jetzt große Sorgen.

Lieferdrohnen werden manipuliert und zum Landen gezwungen, die wertvolle Fracht gerät in falsche Hände. Datenkotrolle generieren massenhafte gefakte Kommentare zum angeblich schadhaften Produkt eines Herstellers und treiben die Verkaufszahlen damit in den Keller. Vernetzte Hausgeräte sammeln eifrig Daten über unser Leben und senden sie permanent an einen schlecht gesicherten Server des Herstellers. Für Einbrecher und die Organisierte Kriminalität ein gefundenes Fressen, um sich auf ihren Coup vorzubereiten. Die Sicherheitslage in Deutschland wird sich verändern, soviel steht fest. Kein leichtes Unterfangen für die Sicherheitsverantwortlichen in Deutschland. Es stellt sich die Frage, welche Maßnahmen bereits heute getroffen werden sollten, um adäquat auf solche Bedrohungen vorbereitet zu sein.
Corporate Trust hat erstmals einen Future Report herausgegeben, in dem gemeinsam mit dem Bayerischen Verband für Sicherheit in der Wirtschaft (BVSW) und der Brainloop AG weltweite Megatrends und ihre Sicherheitsherausforderungen betrachtet wurden. Für den Future Report wurden zuerst in Deutschland und Österreich 4.738 Vorstände, Geschäftsführer bzw. Leiter der Bereiche Unternehmenssicherheit, Risikomanagement, Informationsschutz, Compliance, Recht, Finanzen, Controlling, Interne Revision, IT oder Personal zu ihren Schäden befragt. Über die Hälfte aller Unternehmen in Deutschland wurde in den letzten zwei Jahren bereits Opfer eines Angriffs durch die Organisierte Kriminalität. Ein Drittel war sogar direkt oder indirekt von einem Terroranschlag betroffen. Bei knapp 30 Prozent gab es einen Fall von Spionage oder Informationsabfluss und über ein Drittel musste sich auch schon mit manipulierten Informationen zum Nachteil ihres Unternehmens (sogenannte Fake News) auseinandersetzen.
Anschließend wurde die aktuelle Sicherheitslage anhand der Risk Maps für Krisen & Konflikte, Informationsabfluss, Investitionssicherheit und Medizinische Risiken dargestellt. Im dritten Teil des Future Reports wurden zehn Sicherheitstrends der Zukunft näher beleuchtet. Um die wichtigsten Trends zu identifizieren, wurde der umfassende Risikobericht des World Economic Forum, der Global Risk Report 2017, herangezogen. Darin finden sich Themen wie Soziale Instabilität, Urbanisierung, Klimawandel, Krieg, politische Unruhen, radikaler Islamismus und Einkommensdisparität. Gemeinsam mit dem BVSW und der Brainloop AG wurden auf dieser Basis die zehn wichtigsten Sicherheitstrends der Zukunft für Deutschland abgeleitet.
Der Future Report steht unter https://www.corporate-trust.de/de/portfolio-items/future-report-2 zum Download bereit.
Wohin steuert Deutschland in Zukunft? Diese Frage ist sicherlich nicht einfach zu beantworten und niemand hat eine Glaskugel, in der er alle Entwicklungen voraussagen kann. Welche Rahmenbedingungen wir in Zukunft jedoch auch vorfinden, von den Sicherheitsverantwortlichen eines Unternehmens wird immer erwartet, „vor die Lage“ zu kommen. Daher lohnt es sich, einige Risiken näher zu betrachten.

Informationsschutz

Zwar kein neues, aber in Zukunft ein immer wichtigeres Thema wird der Informationsschutz sein. Die Umverteilung von Wohlstand durch Spionage ist bereits im vollen Gange. 29,1 Prozent der befragten Unternehmen gaben an, in den letzten Jahren Opfer von Spionage oder Informationsabfluss geworden zu sein. Weitere 25,6 Prozent Informationsabfluss bleibt ein brisantes Thema.wussten es nicht genau, hatten also vermutlich keine ausreichenden Detektionssysteme, um einen Abfluss von Informationen überhaupt feststellen zu können. Edward Snowden wollte durch seine Veröffentlichung der NSA-Praktiken eigentlich eine stärkere Kontrolle und Regulierung der Nachrichtendienste erreichen. Genau das Gegenteil ist passiert. Aktuell ist weltweit ein Anwachsen von sog. Mini-NSAs festzustellen. Seine Veröffentlichungen führten dazu, dass jeder Dienst nun weiß, wie es technisch und operationell geht. Damit kann man es leicht nachbauen und einsetzen. Darüber hinaus nutzen dieses Wissen nicht mehr nur die Nachrichtendienste, sondern immer häufiger auch die Organisierte Kriminalität (OK), um millionenfach Rechner anzugreifen. Derzeit findet ein Wettrüsten im Cyberraum statt und auch deutsche Unternehmen müssen sich darauf einstellen, dass sie künftig stärker von Angriffen der OK betroffen sein werden. Die Zeiten, in denen man sich mit einer Firewall und einem vernünftig eingestellten Virenschutzprogramm zur Wehr setzen konnte, sind endgültig vorbei!

Faktor Mensch

Dazu kommt noch, dass Edward Snowden nur ein Synonym für das eigentliche Problem ist, der Faktor Mensch. Auch die hochtechnisierte NSA war nicht in der Lage, ihre Daten vor Abfluss zu schützen. Jedem Unternehmen, jedem Hersteller von Wer die Daten beherrscht, beherrscht auch die Welt.Sicherheits- oder Angriffstechnik und auch jedem Nachrichtendienst wird es immer wieder passieren, dass vertrauliche Daten abfließen. Damit werden auch immer wieder Werkzeuge, also zum Beispiel Know-how über Softwarelücken oder kritische Prozesse, die einen Angriff erst ermöglichen, in unberechtigte Hände gelangen. Aktuell ist bekannt, dass der Equation Group, einer Elitetruppe der NSA, durch eine Hackergruppe namens Shadow Brokers so genannte Cyber-Waffen gestohlen wurden. Diese werden nun im Darknet zu Höchstpreisen angeboten, stehen also auch Kriminellen oder finanzstarken Organisationen ohne staatlichem Hintergrund zur Verfügung.

Organisierte Kriminalität

Wenn in Zukunft nicht mehr nur die Informationsgewinnung zur Erlangung eines staatspolitischen Vorteils im Vordergrund steht, sondern die reine Gewinnabschöpfung oder die Verbreitung von Angst und Schrecken (Terrorangriff), müssen sich Unternehmen auf ganz neue Angriffe einstellen. Neben den Cyberattacken werden auch klassische Betrügereien (z.B. Fake-President-Angriffe) zunehmen, die zwar mit Hilfe von modernen Kommunikationsmitteln (z.B. E-Mails) umgesetzt werden, für die jedoch nur überschaubare IT-Kenntnisse erforderlich sind. Das Faken einer E-Mail-Absenderadresse ist nicht besonders schwierig, die eigentlich kriminelle Leistung liegt in der Überzeugungsleistung, dass man ein „berechtigtes Anliegen“ hat, also das typische Vorgehen eines Betrügers.
Überhaupt wird die Organisierte Kriminalität (OK) in Zukunft eine ganz herausragende Rolle bei den Angriffen auf Unternehmen spielen. Bei der Befragung im Rahmen des Future Reports gaben 51,6 Prozent der Unternehmen an, dass sie bereits Opfer eines Angriffs durch die OK waren, manche sogar mehrmals. In 38,6 Prozent der Fälle kam es zu Social Engineering durch Spear-Phishing-Mails oder einen Watering-Hole-Angriff, wodurch vertrauliche Daten abflossen oder der Zugriff darauf möglich wurde. Bei 25,6 Prozent gab es eine so genannte Fake-President-Attacke und immerhin 16,1 Prozent wurden nach einem Ransomware-Angriff oder einer DDoS-Drohung erpresst, meist zur Zahlung eines Lösegelds in der digitalen Währung Bitcoin. Wenn sowohl im geschäftlichen Umfeld immer mehr Prozesse digital vernetzt werden als auch im Privatbereich zunehmend mehr persönliche Daten über Wohnungsgröße, Heizverhalten oder den Puls bei sportlichen Aktivitäten in Cloud-Strukturen gelangen, sind die Daten in Zukunft vermutlich immer häufiger Unberechtigten verfügbar. Den kreativen Angriffsmöglichkeiten von Kriminellen sind dann nur noch wenig Grenzen gesetzt.

Verändertes Wahrnehmungsverhalten

Im Rahmen des Future Reports wurden die Unternehmen befragt, wie hoch sie die Gefahr der Einflussnahme durch Propagandamaßnahmen auf die öffentliche Meinungsbildung sehen. Generell gibt es bereits jetzt durch das Internet und die modernen Kommunikationsmittel ein verändertes Wahrnehmungs- und Bewertungsverhalten von Information. Waren es früher Berichte in Zeitungen oder im Fernsehen, über die wir uns ein Bild gemacht haben, so sind es heute immer häufiger Online-Berichte, Kommentare in sozialen Medien oder Bewertungsportalen, die zu unserer Meinungsbildung beitragen. Informationen werden zwar schneller verbreitet, der Wahrheitsgehalt ist in vielen Fällen für den normalen Konsumenten jedoch nicht mehr zu überprüfen. Dies bietet eine Vielzahl von Möglichkeiten für Manipulation und Beeinflussung. Spätestens seit den Präsidentschaftswahlkämpfen in Frankreich und den USA sollte bewusst sein, dass dies künftig immer häufiger zum Problem werden könnte. Sogenannte Fake News oder alternative Fakten können nicht nur politischen Kandidaten schaden, sondern, gezielt eingesetzt, auch in erheblichem Maße den Unternehmen. Laut Befragung haben jedoch nur 54,7 Prozent der befragten Unternehmen ein Analysetool zum automatisierten Monitoring aller verfügbaren Online-Informationen im Einsatz.
Der Future Report befasst sich auch mit den Risiken durch zunehmende politische und religiöse Agitation in Unternehmen, den Auswirkungen von Migration, Urbanisierung und Industrie 4.0. Hier ist oftmals festzustellen, dass die Verantwortlichen die Gefahr für ihr eigenes Unternehmen deutlich geringer einschätzen als für Deutschland generell. Woran liegt das? Glauben wir, dass immer nur die anderen betroffen sind?
Gerade bei dem Thema politische und religiöse Agitation innerhalb der Belegschaft haben einige Unternehmen bereits erste Erfahrungen gemacht, wie schnell sich das Betriebsklima negativ verändern kann. Wenn einzelne Mitarbeiter ihre politische Meinung zum Wahlkampf in ihren Herkunftsländern anderen Kollegen mit Gewalt aufzwängen wollen, oder bei Mitarbeitern nach einem Heimaturlaub plötzlich ihr Aussehen und Verhalten radikal verändert ist, dann muss das Unternehmen handeln. Die Fürsorgepflicht gilt auch in solchen Fällen. Unternehmen werden künftig immer häufiger Personal mit Migrationshintergrund beschäftigen. Daher ist es ratsam, sich bereits heute mögliche Auswirkungen anzusehen. Bei der Befragung fiel auf, dass die meisten Verantwortlichen dem Thema Migration durchaus positiv gegenüberstehen. Allerdings wurde als größtes Problem erkannt, dass ungenügende Integration der Nährboden für Radikalisierung ist und daher glaubenspolitische und ethnische Auseinandersetzungen künftig verstärkt in Deutschland ausgetragen werden.

Die Folgen der Urbanisierung

Zukunftsvision Drohnen, die unser Zusammenleben erleichtern sollen.
Fotos (4): © Corporate Trust, Business Risk & Crisis Management GmbH
Die Urbanisierung, also der Trend, dass immer mehr Menschen in die Städte ziehen, wird viele negative Auswirkungen mit sich bringen. 52,4 Prozent der befragten Unternehmen glauben, dass dies zu einer Ghettoisierung und so genannten NoGo-Areas führen wird, 54,7 Prozent, dass damit eine größere Gefahr für einen sozialen Abstieg besteht und sogar 61,4 Prozent, dass die Kriminalität in den entstehenden Mega-Citys deutlich ansteigen wird. Fest steht schon jetzt, dass der soziale Unfriede in der Bevölkerung wächst. Der Polizei fehlen an vielen Stellen die Kapazitäten; daher werden die Bürger immer mehr gefordert sein, selbst für ihre Sicherheit zu sorgen. Dies wird sich auch auf die Unternehmen auswirken. Vielleicht haben wir in absehbarer Zeit einen ähnlichen Trend wie in anderen Ländern, dass es zunehmend „Gated Communities“ gibt, also eingezäunte und bewachte Wohnsiedlungen. Gerade beim Kampf um die besten Arbeitskräfte und der zunehmenden Anforderung an Mobilität, könnte dies für jeden Arbeitgeber ein Pluspunkt sein, wenn er sichere Wohnmöglichkeiten bietet. Übrigens wurde von den Unternehmen die Schwierigkeit, qualifizierte Mitarbeiter für Standorte in weniger attraktiven ländlichen Regionen zu finden (83,9 %), als größte Herausforderung durch die Urbanisierung gesehen.
Wie schon der französische Schriftsteller und Autor Albert Camus feststellte: „Die Freiheit besteht in erster Linie nicht aus Privilegien, sondern aus Pflichten.“ Daher sollte sich jeder Sicherheitsverantwortliche schon heute damit auseinandersetzen, welche Risiken in Zukunft entstehen können. Die Bedrohungen werden nicht für jedes Unternehmen gleich sein. Jeder sollte sich aber Gedanken machen, was es bedeuten kann, wenn permanent Drohnen über das Firmengelände fliegen, zu restriktive Datenschutzgesetzt verhindern, dass frühzeitig kriminelle Handlungen von Mitarbeitern erkannt werden oder durch Big Data ermöglichtes User Profiling eine zielgerichtete Ansprache von Mitarbeitern zur Vorbereitung eines Betrugs ermöglicht. Die Sicherheitslage verändert sich und der Future Report will einen Beitrag zur Betrachtung der künftigen Herausforderungen leisten.

Über den Autor
Christian Schaaf
Autor: Christian Schaaf
Christian Schaaf ist Geschäftsführer der Corporate Trust, Business Risk & Crisis Management GmbH, einer Unternehmensberatung für Risiko- und Krisenmanagement in München. Er war insgesamt 18 Jahre bei der Polizei, studierte Verwaltungsrecht an der Polizeifachhochschule und war als verdeckter Ermittler für das Bayerische Landeskriminalamt tätig. Die Stationen seiner Laufbahn umfassten unter anderem das Kommissariat für Wirtschaftskriminalität, die Gemeinsame Ermittlungsgruppe Rauschgift (GER) sowie die verdeckte Bekämpfung von Intensivtätern. Nach seinem Wechsel in die freie Wirtschaft leitete er eine Vielzahl von Ermittlungen zur Aufdeckung von Wirtschaftskriminalität und Industriespionage. Darüber hinaus erstellte er präventive Informationsschutzkonzepte für gefährdete Unternehmen und wirkte beim Aufbau des Sicherheits- und Krisenmanagements für verschiedene Konzerne, mittelständische Unternehmen und vermögende Personen mit.

Krisenmanagement bei einem Terroranschlag oder Amoklauf

Von Pascal Michel

Der erste Reflex von Unternehmen bei diesem Thema ist häufig, gleich auf die Sicherheitsbehörden zu verweisen. Was kann man schon als Firma bei einem Terroranschlag unternehmen – dass muss doch Polizeiarbeit sein.

Ja und nein. Sicherlich ist das taktische Vorgehen gegen die Terroristen und die Strafverfolgung Sache des Staates und seiner Institutionen. Sind aber Mitarbeiter und Kunden, die sich beispielsweise auf dem Firmengelände befinden, betroffen, wird von Unternehmen ein professionelles Vorgehen in drei Kernbereichen erwartet:

  • Im Krisen- und Notfallmanagement, einschließlich Business Continuity
  • In der Krisenkommunikation – intern und extern
  • Bei der Betreuung von direkt betroffenen Mitarbeitern und Kunden, Familienangehörigen und der Belegschaft

Firmen können die Verantwortung für das eigene Handeln nicht an den Staat outsourcen.
Grundsätzlich ist es für das Krisenmanagement zunächst unerheblich, ob Menschen durch einen Terroristen oder den Amoklauf eines psychisch gestörten (nichtterroristischen) Täters zu Schaden kommen. Die Vorgehensweise und die Mechanismen sind weitestgehend dieselben. Unterschiede mag es in der Krisenkommunikation geben, wenn es sich zum Beispiel bei dem Amoktäter um einen ehemaligen Mitarbeiter handelt.
Im Wesentlichen geht es bei der Krisenreaktion darum, den Vorfall einzugrenzen und damit eine Ausweitung des Schadens zu verhindern, insbesondere im Hinblick auf:

  • Das Leben und die Gesundheit von Menschen
  • Sachwerte und Finanzen
  • Die betriebliche Kontinuität
  • Rechtliche Haftungen
  • Die eigene Reputation

Vieles, was für das Krisenmanagement und die Krisenkommunikation bei Amoklagen und Terroranschlägen gilt, ist auch bei anderen Krisenszenarien anwendbar. Denn ein organisationsweites Krisen- und Notfallmanagement sollte unabhängig von bestimmten Szenarien funktionieren.
Die potentiellen Anschlagsziele und Angriffsformen sind vielfältig und nur schwer vorherzusehen. Firmen, die nicht nur ein Krisenmanagement etabliert haben, sondern den Krisenstab auch beüben, reagieren schneller und professioneller, auch wenn sie das konkrete Szenario in ihrer Planung nicht vorgesehen hatten.

Zwei Merkmale, die Krisen aller Art oft gemeinsam haben:

  1. Niemand dachte, dass es einem selbst passieren wird
  2. Die, die vorbereitet waren, retteten Menschenleben und Existenzen

Kein Unternehmen hat Einfluss auf das Vorhandensein einer Terrorismusgefahr in seiner Stadt, wohl aber auf seine eigene Verwundbarkeit. Bei entschlossenen Tätern kommen Schutzvorkehrungen an Ihre Grenzen, insbesondere in einer freien Gesellschaft. Daher müssen Unternehmen auch Ihr Augenmerk auf den Umgang mit einem solchen Ereignis legen. Am Ende werden Mitarbeiter, Kunden und die Öffentlichkeit nur eines in Erinnerung behalten – wie eine betroffene Firma in der Krise agiert hat und ob sie weiterhin ein vertrauenswürdiger Partner ist.
Um Unternehmen zu helfen, professionell bei einem Terroranschlag oder Amoklauf zu reagieren, haben wir einen Leitfaden verfasst.

Über den Autor
Pascal Michel
Autor: Pascal Michel
Pascal Michel ist Geschäftsführer der auf Risiko- und Krisenmanagement spezialisierten SmartRiskSolutions GmbH. Er ist ehemaliger Angehöriger einer bundesdeutschen Sicherheitsbehörde. Seine Erfahrung in der Krisenreaktion umfasst u. a. Entführungsfälle und Evakuierungen aus Krisengebieten. Kontakt unter: www.smartrisksolutions.de