Der Tagesanzeiger von Zürich berichtete kürzlich von Cyberattacken, welche versuchten die Wasserversorgung von Gemeinden anzugreifen. Dies sind Risiken, die nicht nur die Wasserversorgung betreffen, sondern direkt auch Sie selbst. Können Sie sich zwei Tage oder eine Woche ohne Wasser vorstellen? Lesen Sie weiter und erfahren Sie, mit was für Risiken wir rechnen müssen und was wir daraus für unsere Projekte und das Risikomanagement lernen können.
Nur knapp an der Katastrophe vorbei
Die Attacken kamen aus London und Korea und zielten aufs Lebendige. „Hacker haben unsere Wasserversorgung angegriffen”, teilte die Gemeinde Ebikon letzten Dezember mit. Die hauseigenen IT-Spezialisten konnten die Angriffe abwehren. Nur knapp schien die Luzerner Gemeinde an der Katastrophe vorbeigeschrammt zu sein.
Es ist das große Horrorszenario des digitalen Zeitalters: Computerprofis dringen in lebenswichtige Systeme ein, drehen das Wasser ab, kappen den Strom oder legen Spitäler lahm.
Cyberangriffe auf die Infrastruktur sind in der Schweiz Alltag. „Die Attacken nehmen zu und werden professioneller”, sagt der Leiter der Fachstelle Informationssicherheit bei der Stadt Zürich. Deren Systeme werden rund um die Uhr attackiert. Oft sind es automatisierte Vorgänge – Angriffe also, die viele Institutionen treffen. „Hintergrundrauschen” nennt sich das in der Branche. „Vereinzelte Angriffe richten sich aber auch spezifisch gegen die Stadt Zürich”, sagt er. Heikle Infrastrukturen wie die Wasserversorgung schütze man mit „zusätzlichen Mechanismen”. Weiter ins Detail will er nicht gehen. Zu heikel.
Dabei gibt es eine einfache Schutzvorrichtung, die für solche Art von Angriffen zu hundert Prozent sicher ist: offline zu sein, die Wasserversorgung nicht mit dem Internet zu verbinden. Vor allem kleinere Gemeinden arbeiten noch heute auf diese Weise: von Hand, wie vor 50 Jahren.
Cyberangriffe auf die Infrastruktur sind in der Schweiz Alltag
Wen die virtuelle Falle zuschnappt
Was passiert, wenn eine virtuelle Falle nur ansatzweise zuschnappt, zeigte sich in der Schweizer Stadt Uster, kurz vor der letzten Weihnacht. Ein Virus drang ins System der drittgrößten Stadt im Kanton Zürich ein. Dort begann es alle Daten zu verschlüsseln. Wobei es nicht weit kam. „Wir haben es nach der Infektion rasch erkannt und gestoppt”, sagt der Stadtschreiber . Schaden richtete das Virus trotzdem an. Wegen der Kontroll- und Reparaturarbeiten liefen die Computersysteme der Gemeinde während drei Tagen langsam und ließen sich nur eingeschränkt nutzen. „Wir sind mit einem blauen Auge davongekommen”, sagte der Stadtschreiber.
Um selbst blaue Augen zu vermeiden, hat die Stadt Zürich kürzlich eine digitale Verteidigungszentrale aufgebaut, einen Raum voller Bildschirme, gut abgesichert, nur wenige haben Zutritt. In diesem Security Operation Center überwachen Spezialisten die städtischen Computersysteme und versuchen, verdächtige Muster zu erkennen. Hier treffen sich alle Verantwortlichen, falls ein Angriff gefährlich wird. Immerhin, die Abwehr funktioniert. Das Horrorszenario eines Totalausfalls ist Szenario geblieben – aber nur weil man die Risiken ernst genommen und sich darauf vorbereitet hat und wirkungsvolle Maßnahmen implementiert hat.
Es geht immer ums Geld
Hacker, die auf Schweizer Infrastruktur und Verwaltungen losgehen, verfolgen meist keine strategischen Ziele. Es geht nicht darum, den Staat zu schwächen oder lahmzulegen.
Die Hacker von Schweizer Infrastruktur wollen etwas Handfesteres. Erst versuchen sie, Daten zu stehlen, Informationen zu verschlüsseln oder Dienste zu blockieren. Damit wollen sie dann Geld erpressen.
Kann bei Ihrem Projekt ein Risiko auch das Wasser abstellen?
Mir scheint, wenn Risiken uns persönlich betreffen, dann nehmen viele von uns diese ernst und tun das möglichste, dass diese nicht eintreffen – oder wenn Sie eintreffen möglichst wenig Schaden anrichten. Nur schon beim Autofahren: Wir tanken frühzeitig, damit wir nicht mit einem leeren Tank auf der Strasse liegen bleiben. Beim Velo- oder Skifahren legen wir einen Helm an, um uns zu schützen.
Ich habe schon bei vielen grösseren Projekten mitgearbeitet und musste erkennen, dass das Risikomanagement oft nicht ernst genommen wird. An was liegt das? An zu wenig Schulung im Risikomanagement? Ist das Unternehmens-Management kein Vorbild und praktiziert es selbst Risikomanagement? Ist es weil Risiken so selten eintreffen? Ich würde behaupten es sind folgende Hauptgründe:
- Es ist ungewohnt sich mit etwas «Abstraktem» zu beschäftigen, dass wahrscheinlich gar nicht eintrifft.
- Es fehlt den meisten an Ausbildung im Risikomanagement.
- Viele sind nicht davon überzeugt, dass das Risikomanagement überhaupt einen Nutzen hat.
- Wir nehmen Risiken bei Projekten nicht ernst, weil diese uns persönlich nicht betreffen.
Risikomanagement ist eigentlich ein sehr einfaches Thema, dass jeder, sogar ohne Schulbildung versteht – dies im Gegensatz z.B. für Festigkeitsrechnungen für einen Stahlträger.
Risikomanagement muss man aus Überzeugung machen und als Management und Projektleiter den Mitarbeitern als Vorbild vorangehen. Nicht immer sind die Risiken so offensichtlich wie bei Cyberrisiken. Aber auch bei Ihrem Projekt gibt einige fast offensichtliche Risiken. Denken Sie mit Ihrem Team etwas nach und finden Sie diese – bevor jemand Ihrem Projekt den Wasserhahn zudreht.
Risikomanagement muss man aus Überzeugung machen
Hier noch ein paar hilfreiche Informationen zum Risikomanagement bei Projekten:
Erfolgreich Risiken identifizieren mit Brainstorming
Die besten Tipps zur Risikoidentifiaktion
Sehen sie den Nutzen des Risikomanagements?
Ergänzende Literatur:
World Economic Forum: The Global Risks Report 2019 14th Edition (PDF)
Was haben Sie für Erfahrungen mit der Identifikation von Risiken mit Brainstorming gemacht? Stimmen Sie mit meinen Aussagen überein oder haben Sie eine andere Ansicht? Teilen Sie Ihre Erfahrung mit einem Kommentar den Lesern mit, damit wir alle eine weitere Sicht kennenlernen. Danke!
Wollen Sie mehr über das Risikomanagement bei Projekten erfahren? Meine Bücher über Projekt-Risikomanagement bringen Sie einen wichtigen Schritt weiter!
Kennen Sie jemanden, den dieser Beitrag auch interessieren könnte? Dann leiten Sie ihn einfach weiter oder teilen ihn. Danke!
