Die Gefahr eines Hackerangriffs gehört für Unternehmen mittlerweile zum Alltag. Prävention als Schutz vor dem Ernstfall allein reicht nicht, sagen Berater und IT-Sicherheitsanbieter. Sie setzen verstärkt auf die Simulation des Cyber-Ernstfalls und setzen zur Sensibilisierung für die Gefahr unter dem Stichwort Gamification auch auf Lernanreize durch spielerische Elemente.Von Stefan Paravicini, FrankfurtDie Zeiten, in denen die größten Cybergefahren von computerbegeisterten Teenagern wie dem fiktiven David Lightman im Film “Wargames” von 1983 ausgingen, sind lange vorbei. Zwar mag der eine oder andere “Gamer”, der sich mehrfach durch jedes Level der angesagtesten Computerspiele gedaddelt hat, auch heute die Firewall eines Unternehmens als nächste Herausforderung in Angriff nehmen. Und sicher stellt die Spielergemeinde immer noch einen vielversprechenden Talentpool für potentielle Cyberkrieger dar. Doch Cybercrime ist längst viel mehr als ein Spiel. Die Akteure in diesem Markt suchen heute keine spielerische Herausforderung, sondern verfolgen klar definierte Ziele gestützt auf Ressourcen im industriellen Maßstab. Eine wachsende Zahl staatlich finanzierter Hacker verfügt über nahezu unbegrenzte Mittel. “Game of Threats”Nach Einschätzung von Beratungsunternehmen und IT-Sicherheitsanbietern kommt dem Spiel im Cyberkrieg dennoch eine wichtige Rolle zu. Immer mehr Firmen nutzen jedenfalls spielerische Lernanreize oder Simulationen, um ihre Organisationen für den Ernstfall eines Hackerangriffs zu rüsten. Dabei geht es zunächst darum, in Organisationen die nötige Sensibilität für Cyberrisiken zu schaffen.Die Prüfungs- und Beratungsgesellschaft PwC bietet dazu mittlerweile auch in Deutschland ein Computerspiel an. Mit dem “Game of Threats” können Kunden unter Anleitung Attacken simulieren und sich sowohl in der Rolle des Angreifers als auch in der Verteidigung unter Zeitdruck mit ihren Möglichkeiten vertraut machen. “Nachfrage gibt es nicht nur aus dem Management, sondern zunehmend auch von Aufsichtsräten, die ein besseres Verständnis für Cyberrisiken entwickeln wollen”, sagt Derk Fischer, IT-Sicherheitsexperte und Partner von PwC.Die Konkurrenz von Accenture, EY und KPMG macht eigene Angebote zur Sensibilisierung für Cybergefahren. Strategieberater wie McKinsey sind mit dem Thema ebenfalls in den Vorstandsetagen unterwegs. Einhellig wird betont, dass es für Unternehmen nicht mehr ausreicht, in Prävention zu investieren. “Genau wie die Feuerwehr müssen auch Unternehmen üben, um im Falle eines Angriffs einen Flächenbrand vermeiden zu können”, sagt Fischer. Das beinhalte neben der Simulation auch das Üben von ganzen Maßnahmenszenarien bei Cyberangriffen. Stress gehört zur SimulationDie gleiche Analogie wählt auch Accenture-Sicherheitsexperte Marius von Spreti. Um auf einen Brandfall vorbereitet zu sein, müssten die ITArchitektur, Schutzvorkehrungen und Kommunikationsprozesse wie in einer “Brandschutzübung” erprobt werden. Diese Simulationen gingen allerdings weit über ein Spiel hinaus, betont von Spreti.”Gamification”, wie die Integration spielerischer Anreize für den sensiblen Umgang mit Cyberrisiken in Arbeitsumgebungen auch genannt wird, kann nur ein Aspekt in der Vorbereitung von Firmen auf den Ernstfall sein, sagt auch Thomas Köhler, Cybersecurity-Spezialist und Partner von EY. “Es ist eine gute Option, um Sensibilität für das Thema zu erzeugen, echte Betroffenheit schafft man damit aber in den seltensten Fällen.” Dazu müssten Stressfaktoren wie im Ernstfall erzeugt, also etwa Verlust- und Versagensängste unter Zeitdruck simuliert werden.Die Berater legen dazu auf Anfrage von Kunden auch schon einmal selbst Feuer in der Unternehmens-IT, überprüfen alles von der Mitarbeiterreaktion auf eine Phishing-Mail bis hin zur Sicherheit ganzer Netzwerke mittels sogenannter Penetrationstests. Die meisten Adressen haben eigene “White Hat”-Hacker auf der Gehaltsliste stehen, die IT-Schwachstellen aufdecken, um sie den betroffenen Unternehmen anzuzeigen und die Lücken zu schließen. Auch externe Anbieter wie die israelische IT-Sicherheitsfirma Cybergym werden bei Bedarf für das gezielte Training empfohlen.Cyberrisiken beschränken sich aber nicht auf Hackerangriffe. “Was mache ich, wenn mein Laptop und Smartphone mit kritischen Geschäftsdaten gestohlen werden?”, beschreibt Alexander Geschonneck, der als Partner bei KPMG den Bereich Forensik leitet, einen handfesteren Ernstfall. Ist erst der Rechner mit relevanten Firmendaten und das Telefon mit den Notfallnummern weg, wie reagiert der Manager unter Zeitdruck? “Es geht bei all diesen Simulationen darum, mit Multimoment-Situationen die Anforderungen an die Organisation im Krisenfall zu simulieren.”Zur Vermeidung eines Ernstfalles können spielerische Elemente im Umgang mit Cyberrisiken niederschwellige Anreize für Mitarbeiter schaffen, das eigene Verhalten zu verändern. So setzt die IT-Sicherheitsfirma Digital Guardian auf Gamification als Teil ihres Maßnahmenpakets zur Prävention von Datenverlust. Während häufig die volle Aufmerksamkeit auf der Identifikation von Fehlverhalten liegt, gehört für Digital Guardian die Belohnung von umsichtigem Verhalten zum Konzept. Mitarbeiter erhalten etwa eine Anerkennung nach der hundertsten E-Mail, die im Einklang mit den Cybersicherheitsbestimmungen des Unternehmens versandt wurde. Spielerische TalentsucheSpielerische Simulationen kommen auch bei der Rekrutierung von Talenten für die Hackerabwehr zum Einsatz. Die britische Organisation Cyber Security Challenge veranstaltet mittlerweile gleich in mehreren Ländern Wettbewerbe, in denen sich Nachwuchskräfte bei der Cyberabwehr von Unternehmen und Institutionen beweisen müssen. Zu den Unterstützern in Großbritannien gehören unter anderem der Geheimdienst GCHQ, der Rüstungskonzern Northrop Grumman und der Telekommunikationskonzern BT.Der Kampf um den Nachwuchs ist im Cyberwar mehr als ein Nebenkriegsschauplatz. Der Netzwerkausrüster Cisco rechnet bis 2019 mit insgesamt 1,5 Millionen fehlenden IT-Sicherheitsexperten weltweit. Der Branchenverband ISACA hat festgestellt, dass viele Unternehmen schon heute Schwierigkeiten haben, Vakanzen rund um das Thema Cybersicherheit zu besetzen. Auch die Simulation im “Game of Threats” von PwC zeigt, wie gefährlich das für Organisationen ist. Denn wer in den ersten Runden des Spieles nur in Abwehrmaßnahmen gegen Cyberangriffe investiert, ohne zuvor das IT-Team mit Sicherheitsexperten aufzurüsten, hat über den weiteren Spielverlauf von maximal zwölf Runden ganz schlechte Karten. Mangelnde RessourcenIn deutschen Unternehmen mangelt es auch an anderer Stelle an Ressourcen für den geeigneten Umgang mit Cybergefahren. Nur gut die Hälfte aller Industrieunternehmen hierzulande verfügt laut einer Umfrage des Branchenverbandes Bitkom etwa über einen Notfallplan, um auf den Abfluss sensibler Daten, digitale Wirtschaftsspionage oder Sabotage schnell reagieren zu können. Die Nachfrage nach Simulationen von Cyberrisiken dürfte wegen der Anforderungen des IT-Sicherheitsgesetzes aber auch bei den Unternehmen steigen, die ihre kritische Infrastruktur mit größerer Umsicht schützen, sagt EY-Partner Thomas Köhler.Dass die Gefahr eines Cyberübergriffs steigt, ist weder Spiel noch Simulation. Bei dem IT-Sicherheitsexperten Risk Based Security wurden im vergangenen Jahr knapp 4 000 Übergriffe gemeldet, bei denen insgesamt mehr als 700 Millionen Datensätze abhandengekommen sind oder kompromittiert wurden (siehe Grafik). Der Schaden von Cybercrime für deutsche Unternehmen beläuft sich nach Einschätzung des Bitkom auf gut 20 Mrd. Euro pro Jahr.