ALLGEMEINE NEWS / 14-06-2023
Arantza Zubia nimmt die Herausforderung an, die Cybersicherheit der Grupo Arania in einer Zeit zu leiten, in der sich Technologien wie ChatGPT auf dem Höhepunkt der sogenannten technologischen Revolution befinden. Sie warnt davor, dass „Ramsonware“ und „Phishing“ die Hauptbedrohungen für Unternehmen sind, und weist darauf hin, dass E-Mails der Haupteinstiegspunkt für diese Art von Malware sind. Aus diesem Grund besteht sie darauf, dass die Sensibilisierung und Schulung der Schlüssel sind, um die Gefahr eines Angriffs zu minimieren. Sie zitiert einen Satz eines schottischen Philosophen aus dem 18. Jahrhundert: „Eine Kette ist nur so stark wie ihr schwächstes Glied“.
Frage. Die Cyberkriminalität ist zu einer der größten externen Bedrohungen für Unternehmen geworden. Wie hat sich dieses Phänomen in den letzten Jahren entwickelt?
Antwort. Die Bedrohungen sind exponentiell gestiegen, hauptsächlich aus zwei Gründen. Einerseits hat die Verbreitung neuer digitaler Infrastrukturen und Technologien dazu geführt, dass sich die Angriffsziele für Cyberkriminelle vervielfacht haben. Zum Beispiel ging es mit den unzähligen neuen Online-Shops darum, an die Daten von Kreditkarten zu gelangen. Als dann die sozialen Medien in Mode kamen, wurde dem Erstellen von Fakenews oder falschen Nachrichten Tür und Tor geöffnet. Dank COVID wurde die Heimarbeit zum Standard und die Gefahren vervielfachten sich, als Cyberkriminelle begannen, sich unbefugt Zugang zu Unternehmen zu verschaffen. Und heute erleben wir die Präsenz von Technologien wie ChatGPT, die die Gefahren weiter erhöhen, z. B. durch Online-Identitätsbetrug und vieles mehr. Der zweite Grund für diesen Anstieg ist mit der Organisation der Cyberkriminellen selbst assoziiert. Die Angreifer müssen keine Experten mehr sein, um ihre eigenen Malware-Entwicklungen zu entwickeln; sie greifen jetzt auf das Dark Web zurück, wo sie so genannte „Malware As A Service (MAAS)“-Plattformen finden und die Ressourcen kaufen können, die sie für die Begehung der Straftat benötigen. Dabei handelt es sich oft um vorgefertigte Kits, die kein technisches Know-how erfordern. Dies erleichtert den Anstieg der Zahl der Aktivistengruppen für diese Cyberangriffe und der potenziellen Ziele.
„In Bezug auf die Cybersicherheit müssen wir von unseren Zulieferern die gleichen Anforderungen verlangen, die wir in der Gruppe anwenden, auch wenn das nicht einfach ist“.
F. Wie hat sich die vierte industrielle Revolution auf diese Bedrohung ausgewirkt?
A. Die Industrie 4.0 beinhaltet die Integration neuer Technologien wie Robotik, Cloud oder das Internet der Dinge und verbindet digitale Welten mit der physischen Welt. Die Anwendung neuer Technologien hat offensichtliche Vorteile, wie z. B. eine höhere Effizienz in der Fertigung oder ein verbessertes Prozesskontrollmanagement. Sie hat aber auch ihre Nachteile, wie z. B. die Erhöhung der Gefahr von Cybersicherheitsvorfällen. Durch die große Anzahl von Geräten, die mit dem Internet verbunden sind, entstehen neue Bedrohungen. Dies zwingt uns dazu, die Kommunikationen und Systeme zu schützen, um Geräte und Informationen zu sichern und die Geschäftstätigkeit zu gewährleisten. Außerdem gibt es immer mehr Zulieferer, die diese neuen Systeme unterstützen. Deshalb müssen wir mit ihnen vertraglich die gleichen Anforderungen an die Cybersicherheit anwenden wie innerhalb der Gruppe, was oft nicht einfach ist. Die Digitalisierung muss bereits in der Entwurfsphase mit der Cybersicherheit einhergehen. Für die Anbieter ist es oft schwierig, sich an diese Veränderungen anzupassen, wenn unsere Systeme bereits eingeführt sind.
„Meine Aufgabe besteht darin, das Bewusstsein von der Geschäftsleitung auf die übrigen Mitarbeiter der Unternehmen der Gruppe zu übertragen“.
F. Wie verwaltet die Grupo Arania die Cybersicherheit?
A. Dies geschieht über eine zentralisierte Geschäftsführung und mit einem klaren Engagement der Manager der verschiedenen Unternehmen der Gruppe und der Mitglieder im Vorstand, die Cybersicherheit als eine Investition betrachten, die von großer Bedeutung ist.
F. Gibt es innerhalb der Gruppe das notwendige Bewusstsein, um eine wirksame Cybersicherheitspolitik zu entwickeln?
A. Die Geschäftsführung, die Spitze der Pyramide, unterstützt diese Arbeit besonders und diesbezüglich existiert eine große Sensibilisierung. Meine Aufgabe ist es, es auf den Rest der Menschen in den Unternehmen auszuweiten. Obwohl wir stets in diese Richtung arbeiten, gibt es keine absolute Sicherheitsgarantie. Deshalb müssen wir weiterhin darauf bestehen, das Bewusstsein der Menschen zu schärfen. Die Schaffung dieser neuen Position in der Grupo Arania ist eine strategische Entscheidung der Geschäftsleitung, die beschlossen hat, den IT-Bereich von der Cybersicherheit zu trennen, was wiederum zeigt, welche Bedeutung sie hat. Im Rahmen dieser Strategie verfügt die Gruppe außerdem über ein leistungsfähiges IT-Team, das Technologien vorantreibt und anwendet und mit spezialisierten Partnern zusammenarbeitet, die eine sehr wichtige, globale Arbeit entwickeln.
„E-Mails sind der Haupteinstiegspunkt für Malware und das, was die Angestellten der Gruppe am meisten erhalten".
F. Es ist sicher nicht einfach, die fast 1.000 Mitarbeiter der Gruppe zu erreichen. Gibt es Grundregeln, die allgemein weitergegeben werden können, um Angriffe von Cyberkriminellen zu verhindern?
A. E-Mails sind der Haupteinstiegspunkt für Malware (bösartige Software) und sind meistens an die Mitarbeiter der Gruppe gerichtet. Die meisten Angriffe auf Unternehmen haben die Mitarbeiter der Unternehmen als Ziel. Das Phishing oder der Identitätsbetrug sind nach wie vor die größten Bedrohungen, denen wir ausgesetzt sin. Zur Vorbeuge ist es wichtig, das Bewusstsein dafür zu schärfen. Diese Sensibilisierung ist eine der wichtigsten Maßnahmen, die wir ergreifen müssen, auch wenn es schwierig ist, weil wir so viele sind und weit verstreut sind. Aber wie Thomas Reid im 18. Jahrhundert sagte, „eine Kette ist nur so stark wie ihr schwächstes Glied“. In diesem Fall sind die Mitarbeiter des Unternehmens das schwächste Glied. Deshalb müssen wir in Bezug auf die Sensibilisierung und Cybersicherheitsschulungen ständig daran arbeiten. Bei dieser Aufgabe ist es sehr wichtig, gut zu kommunizieren, Nähe zu zeigen und den Mitarbeitern das Gefühl zu geben, dass sie Teil des Cybersicherheitsteams sind. Ich bin mir darüber bewusst, dass es schwierig ist, die von uns ergriffenen Maßnahmen umzusetzen, und dass wir dies mit viel Fingerspitzengefühl und Nähe tun müssen. Aber wir tun es zum Wohle aller, es ist nicht etwas, das wir erfunden haben.
„In der Grupo Arania sind Backups und Wiederherstellungspläne von strategischer Bedeutung, aber wir haben auch eine „disaster recovery“ (Notfallwiederherstellung) vorbereitet“.
F. Was sind die Hauptbedrohungen für Unternehmen?
A. Ramsonware und Phishing sind die beiden Bedrohungen, die am häufigsten benutzt werden, um Geld von Unternehmen zu erpressen. Die Ransomware ist das Schlimmste, weil sie die Kontinuität eines Unternehmens beeinträchtigen kann und sich immer mehr ausbreitet. Diese Malware kann für Unternehmen ein schwieriges Dilemma darstellen: Entweder sie bezahlen oder sie verlieren Ihre Daten. Deshalb ist es für die Grupo Arania strategisch wichtig, Backups der Systeme zu erstellen und einen Wiederherstellungsplan für diese Backups zu entwickeln, um zu überprüfen, ob er korrekt funktioniert. Außerdem kommt ein disaster oder disaster recovery plan (Wiederherstellungsplan) zum Einsatz, um für den Fall der Fälle gerüstet zu sein. Die zweite große Bedrohung ist das Phishing und seine immer häufigeren Varianten, mit denen Cyberkriminelle versuchen, sensible Informationen zu stehlen oder Malware auf Computern zu installieren.
„Wir haben zwar noch keinen Missbrauch von ChatGPT gesehen, aber Cyberkriminelle könnten es benutzen, um sich als leitender Angestellter auszugeben“.
F. Gibt es irgendeine neue Bedrohungen für Unternehmen, auf die man achten sollte?
A. In der Grupo Arania haben wir noch keinen Missbrauch von ChatGPT gesehen, aber Cyberkriminelle können dieses Tool nutzen, um die Stimme oder sogar das Bild eines Managers zu imitieren. Obwohl man bereits über diese neuen Varianten der Internetkriminalität spricht, haben wir diesbezüglich noch keinen Fall bemerkt. Die Angriffe erreichen uns immer per E-Mail.
F. Welches Ausmaß kann die ChatGPT-Bedrohung bekommen?
A. Auch wenn diese Technologie noch in den Kinderschuhen steckt, müssen wir alle anfangen, vorbeugende Maßnahmen zu ergreifen, da sie Zwischenfälle verursachen kann. Mit dieser Technologie kann man beispielsweise die Stimme einer Person verwenden, um eine gefälschte Nachricht zu erzeugen, ohne dass der Empfänger unterscheiden kann, ob es sich um eine echte oder eine gefälschte Nachricht handelt. Oder es könnte automatisch ein Code generiert werden, der einen bösartigen Code enthält... wir müssen das Ausmaß dieser Gefahren analysieren und die notwendigen Präventivmaßnahmen ergreifen.
„Einige Unternehmen haben bereits damit begonnen, die Nutzung von ChatGPT zu regulieren oder sogar zu verbieten“.
F. Man sagt, dass Technologie und Verbrechen der Regulierung immer voraus sind... trifft das auch auf ChatGPT zu? Gibt es diesbezüglich eine Regulierung?
A. Im Moment nicht. „Einige Unternehmen haben bereits damit begonnen, die Nutzung dieser Technologie zu regulieren und sogar zu verbieten oder über deren Gefahren zu informieren“. Das Problem ist, dass die Technologie viel schneller voranschreitet als die Regulierung. Dieser Gefahr sind wir alle ausgesetzt, weil Angreifer genau das ausnutzen.
F. Können wir in Bezug auf Cybersicherheit ein Nullrisiko anstreben?
A. Eine 100-prozentige Cybersicherheit gibt es nicht. Angreifer werden immer einen Weg finden, um dank des technologischen Fortschritts Schwachstellen zu finden. Das Einzige, was wir tun können, ist, es ihnen schwer zu machen und Präventivmaßnahmen zum Schutz unserer Infrastrukturen anzuwenden.
