Anton Haberl, Martin Esch
Bereits bei der Entwicklung digitaler Geschäftsmodelle stellt sich demnach die Frage, wie "Freunde" (z. B. Lieferanten, Kunden) partizipieren und "Feinde" (z. B. Angreifer) zugleich ferngehalten werden können. Da es kein alleiniges einzelnes Gateway gibt, das sich verteidigen lässt, ist es wichtig, zu verstehen, dass sich nicht alles schützen lässt und ein Cyber-Angriff keine Frage des "Ob", sondern des "Wann und Wo" ist. Es ist für Unternehmen daher essenziell zu wissen, welche Daten wichtig und schützenswert sind (sog. "Kronjuwelen") und diese im Hinblick auf Sicherheitsmaßnahmen zu priorisieren. Dies können beispielsweise bei Software-Firmen Programm-Codes für neue Funktionalitäten sein, bei Finanzdienstleistern Zahlungsdaten oder bei OEMs die elektronische Steuerung im Fahrzeug. Nach der Implementierung von Sicherheitsmaßnahmen, z. B. Awareness-Schulung für Mitarbeiter oder der Etablierung von Sicherheitsprozessen wie Identity- und Access Management, ist für Unternehmen insbesondere die kontinuierliche Überwachung und Identifizierung von Sicherheitsvorfällen wichtig.
Das Betreiben eines Security Operations Center (SOC), in dem ein Security Information and Event Management System (SIEM) zum Einsatz kommt, ist eine mögliche Herangehensweise um Cyber-Attacken abzuwehren und diesen vorzubeugen (s. Abb. 6). Cyber-Risiken, die durch die Digitalisierung relevant werden, können durch ein SIEM Tool überwacht und kontrolliert werden.
Abb. 6: Die Aufgaben eines SIEM/SOC
Der Schutz, den ein SIEM-Tool bieten kann umfasst u. a.:
- Überwachung der Sicherheit z. B. anhand von Netzwerkdaten oder externen Virenscannern und Bedrohungsmeldungen.
- Abwehrende Maßnahmen im Falle eines Cyber-Angriffs z. B. anhand von vordefinierten regelbasierten Maßnahmen wie Sperren von Nutzer-Accounts oder Schließen von Netzwerkports.
- Forensische Untersuchungen im Angriffsfalle wie z. B. Analyse vergangener Datentransfers.
- Prognosen und Voraussagen zu potentiellen Sicherheitsvorfällen z. B. durch Advanced Analytics Funktionalitäten.
Ein SIEM erlaubt das Echtzeit-Monitoring der Sicherheitslage und das Einleiten entsprechender Abwehrmechanismen. Zusätzlich werden die historischen Daten von Cyber-Angriffen und Falsch-Positiv-Warnmeldungen gespeichert. Diese Daten werden mit Advanced-Analytics-Methoden analysiert. Mit diesem Wissen ist es möglich, Mustererkennung einzusetzen, um Cyber-Angriffe frühzeitig zu identifizieren und abzuwehren.
Allgemein lässt sich festhalten, dass es beim Aufbau eines neuen digitalen Geschäftsmodells sinnvoll ist, von Beginn an die involvierten Daten und impliziten Sicherheitsrisiken im Blick zu haben und zu managen.