Im Brennpunkt: Cybercrime
Risikomanagement in einer digitalen Welt mit „Cyber Threat Intelligence“ Unternehmen sind heute in allen Geschäftsprozessen stark von Digitalisierung und IT-Systemen geprägt. Maßnahmen zur Identifikation und Behandlung neuartiger Cyberbedrohungen sind daher unerlässlich. Klassische Prüfansätze wie Audits, Schwerpunktprüfungen oder Wirtschaftsprüfung sollten um Fähigkeiten zur Erkennung von Cyberrisiken ergänzt werden. Der Artikel beschreibt das dafür geeignete Konzept „Risikoidentifikation und -beschreibung mit Cyber Threat Intelligence“.
Von Philipp Mattes-Draxler | Marcell Nedelko
Cyber Threat Intelligence (CTI) – Versuch einer Definition Der Begriff „Cyber“ steht im gegenständlichen Fall für die Beschreibung des Phänomens, dass unsere wirtschaftlichen, sozialen und politischen (Interaktions-)Prozesse durch komplexe und hochvolatile Informationsinfrastruktur unterstützt bzw teilweise sogar gestaltet werden. In Anlehnung an den Grundschutzkatalog des deutschen Bundesamts für Sicherheit in der Informationstechnik wird unter einer „Bedrohung“ ganz allgemein ein Umstand verstanden, durch den ein Schaden entstehen kann.1 Im Sinne der Informationstechnik ist eine Bedrohung daher ein Umstand, der die Verfügbarkeit, Vertraulichkeit oder Integrität von Informationen beeinträchtigen und somit dem Besitzer bzw Benutzer der Informationen ein Schaden entstehen kann. Der strukturierte Prozess zur Erstellung von relevanter, verwertbarer und nützlicher Information für einen Empfänger kann allgemein als „Intelligence“ bezeichnet werden. Eine Definition von CTI muss daher diesen Punkt aufnehmen. Eine diesem Anspruch gerecht werdende Festlegung des Begriffs CTI stammt vom IT-Marktforschungsunternehmen Gartner, das CTI folgendermaßen definiert: „Evidence-based knowledge, including context, mechanisms, indicators, implications and actionable advice about an existing or emerging menace or hazard to assets that can be used to inform decisions regarding the subject’s response to that menace or hazard“.2
Mit der zunehmenden digitalen Verflechtung von Geschäftsprozessen und sozialen Interaktionen begegnen Unternehmen und Organisationen heute nicht nur einer Vielzahl von Risiken, sondern bestehende Schwachstellen bleiben sogar unbeachtet. Vielfältige Geschäftsfelder, die von verschiedenen Branchen abgedeckt werden, verbunden mit dem Bestreben, innovative Lösungen für ihre Kunden in der digitalen Welt anzubieten, bieten nun eine größere Angriffsfläche. Die Heterogenität und Geschwindigkeit in der digitalen Welt machen die Vorhersehbarkeit von Risiken zunehmend schwieriger. Prognosen sind jedoch wichtig, um Maßnahmen zur Eindämmung von Risiken oder zur Abschwächung des Schadenspotenzials setzen zu
10
3/2019
Compliance_Praxis_03_2019_(2015)_v5.indd 10
können. Daher haben sich ua ComplianceProgramme, Risikomanagement und das „Three Lines of Defence“-Modell zur strukturierten und systematischen Behandlung von Risiken als erfolgsversprechende und effektive Methoden etabliert. Audits, Schwerpunktprüfungen, Wirtschaftsprüfung etc verfolgen in diesem Kontext alle dasselbe Ziel, sie versuchen Abweichungen von der (Norm-)Konformität zu erkennen und somit einen nachhaltigen Geschäftsbetrieb zu ermöglichen. Während die Prozesse zur Identifikation von Missständen gut entwickelt und etabliert sind, fehlt es oftmals an der Fähigkeit, neuartige Risiken, die vielfach noch gar nicht wahrgenommen werden, frühzeitig zu erkennen und darzustellen.
Risikomanagement ist ohne die Fähigkeit, Risiken überhaupt zu erkennen und zu beschreiben, nicht möglich. Auch Audits und Schwerpunktprüfungen können nur prüfen, was bekannt ist und als relevantes Prüfobjekt definiert wurde. In der Folge wird dargestellt, wie dieser Herausforderung in vielen Bereichen mit Cyber Threat Intelligence (CTI) begegnet werden kann. CTI kann helfen, Risiken aus dem digitalen Geschäftsleben strukturiert zu identifizieren und zu beschreiben und somit Grundlagen für effektive Prüfmaßnahmen schaffen. Am Beispiel von Cyberbedrohungen wird dargestellt, wie CTI Prüfprozesse unterstützen und Orientierung im Setzen von richtigen Maßnahmen geben kann.
Trends: Cyberangriffe nehmen zu, staatliche Akteure mischen mit Wenn man das Jahr 2018 genauer analysiert, so war es im Cyberraum von überraschender Dreistigkeit geprägt. Nationalstaaten und Geheimdienste wurden nicht nur zunehmend unverfrorener bei ihren Angriffen auf Informationsinfrastrukuren auf der ganzen Welt, sondern Regierungen riefen auch andere Regierungen zu gemeinsamen Cyberaktivitäten auf. Wir konnten im Verlauf des vergangenen Jahres beobachten, dass Cybersicherheit sowohl im privaten als auch im öffentlichen Sektor immer mehr an Brisanz gewonnen hat. Gleichzeitig war weltweit eine rasante Zunahme der Investitionen in
www.compliance-praxis.at
8/26/2019 6:37:05 PM
