Warum Cybersecurity immer wichtiger wird
Foto: Gorodenkoff/stock.adobe.com
Ransomware, Phishingmails, Datenklau: Wenn alles digital wird, wächst nicht nur die Zahl der Schwachstellen, die Cyberkriminelle ausnutzen können, sondern auch der Schaden, den sie anrichten können. Der Mittelstand sollte seine Cybersecurity-Hausaufgaben machen.
Wenn es um die Stimmungslage im deutschen Management geht, lässt die „Datenklaustudie 2023“ der Prüfungs- und Beratungsgesellschaft EY keinen Zweifel. Alle 500 befragten Führungskräfte rechnen mit mehr Cyberangriffen, und drei von vier Unternehmen halten das Risiko, selbst Opfer zu werden, für höher als zwei Jahre zuvor. Einschätzung und Realität decken sich: Die Lage sei angespannt bis kritisch, „die Bedrohung im Cyberraum ist damit so hoch wie nie zuvor“, urteilt das Bundesamt für Sicherheit in der Informationstechnik in seinem Lagebericht 2023.
Die Angriffe werden nicht nur zahlreicher, sondern auch professioneller. Längst ist nicht mehr der einsame Hacker am Werk, sondern meist die organisierte Kriminalität, die in der Tat bestens organisiert ist. Sie nutzt ihre Angriffswerkzeuge nicht nur selbst, sondern bietet sie als Software-as-a-Service jedem an, der solche Geschäfte machen will. Damit greifen Cyberkriminelle Unternehmen an, um sich zu bereichern oder Daten und Know-how zu stehlen. Betroffen sind nicht nur internationale Großkonzerne, sondern zunehmend auch Mittelständler und KMU.
Ransomware: „Erfolgreiches“ Geschäftsmodell von Cyberkriminellen
Als besonders „erfolgreich“ erweist sich dabei Ransomware. Kriminelle dringen in die IT-Infrastruktur des Unternehmens ein und verschlüsseln wichtige Daten, die erst gegen Zahlung eines Lösegelds wieder entschlüsselt werden. Wer kein Back-up hat oder wessen Back-up ebenfalls verschlüsselt wurde, weil es auf demselben Server lag wie die Originaldaten, kann vor einem riesigen Problem stehen. Die Folge: Betriebsunterbrechungen, Kosten für die Wiederherstellung der IT und Reputationsschäden.
Manchmal geht es auch um die schiere Existenz. Wenn die Produktion stillsteht und keine Rechnungen mehr geschrieben werden können, sitzen die Erpresser an einem sehr langen Hebel. In Deutschland gab es 2023 einige prominente Fälle: Bei einem kommunalen IT-Verbund mussten nach Notabschaltung die Systeme wieder aufgebaut werden, ein Automobilzulieferer arbeitete wochenlang im Notbetrieb, und einem Finanzdienstleister wurden sensible Daten gestohlen. Gesetzlich geregelt ist es nicht, aber die offizielle Empfehlung lautet, keine Lösegelder zu bezahlen, und immer mehr Unternehmen halten sich daran.
Je mehr digitalisiert wird, desto mehr Schwachstellen gibt es
Denn leider gilt: Je mehr digitalisiert wird, desto mehr Schwachstellen gibt es. Jeder Teil der digitalen Infrastruktur ist ein mögliches Angriffsziel, angefangen bei den Endgeräten der Nutzerinnen und Nutzer, also PCs, Tablets oder Smartphones, über Mailsysteme, Datenbanken, Server, Cloud-Dienste oder industrielle Steuerungssysteme. Auch Anlagen zur Erzeugung erneuerbarer Energien können betroffen sein. Mit der zunehmenden Verbreitung von Solar- und Windkraftanlagen und deren Integration in das Stromnetz werden auch sie zum Ziel.
Gerade weil die dezentrale Energieerzeugung in Zukunft eine wichtige Rolle in der Energieversorgung spielen wird, stellen diese Anlagen ein weiteres Risiko dar. Denn die Solar- und Windkraftanlagen sind eng mit den anderen Teilen des Energieversorgungsnetzes verbunden. Um Energieverbrauch und Energieerzeugung zu koppeln, werden die Anlagen und Verbrauchsstellen fernüberwacht und müssen an entsprechende Netzwerke angeschlossen sein. Auch die einzelnen Haushalte werden mit dem Smart Meter als sogenanntem intelligentem Messsystem Teil des Netzes, nicht umsonst sind auch die Geräte vom BSI zertifiziert.
Dass die Risiken real sind, zeigte sich insbesondere kurz nach dem Beginn des russischen Angriffskrieges auf die Ukraine, als Windkraftanlagen in ganz Europa angegriffen wurden.
Die Cybersecurity gehört ganz oben auf die Agenda des Managements
Investitionen in die IT-Sicherheit sollten ganz oben auf der Agenda des Managements stehen. Hebel gibt es viele, aber wo anfangen, gerade wenn mittelständische Unternehmen nur über begrenzte Ressourcen und Expertise verfügen? Bevor viel gutes Geld in die Hand genommen wird, steht die Bestandsaufnahme im Sinne einer Risikobewertung der aktuellen Sicherheitslage des Unternehmens an. Wo liegen die Schwachstellen, welche Bedrohungspotentiale gibt es?
Industriestandards wie das Cybersecurity Framework (CSF) des US-amerikanischen National Institute of Standards and Technology (NIST) oder die internationale Norm ISO/IEC 27001 können als Handreichungen dienen. Das NIST CSF bietet als ganzheitlicher Ansatz detaillierte Anleitungen für die Implementierung von Sicherheitsmaßnahmen, während die ISO/IEC 27001 eine Struktur für ihre Organisation und Umsetzung vorgibt. Beide lassen sich auch gemeinsam verwenden.
In einem sind sich die Cybersecurity-Expertinnen und -Experten einig: Absolute IT-Sicherheit wird es nicht geben. Gegen einen Mitarbeiter, der auf eine gut gemachte Phishingmail hereinfällt, in der das beliebte neue Smartphone zum halben Preis feilgeboten wird, sind die besten Sicherheitssysteme machtlos. Deshalb sollten auch Maßnahmen ergriffen werden, um die Auswirkungen eines erfolgreichen Angriffes so gering wie möglich zu halten, wozu Krisen- und Kommunikationspläne und eingespielte Krisenteams zählen. Während die Pläne wohl immer mehr zum Standard werden, sieht es bei den Teams noch düster aus: „Überrascht hat mich (...), dass über die Hälfte der Unternehmen angab, gar kein zentrales Krisenteam zu haben, und 11 Prozent der Befragten wissen nicht einmal sicher, ob ein definiertes Krisenteam existiert“, sagt Thomas Koch, einer der Autoren der „EY Datenklaustudie 2023“.
Dieses und viele weitere Transformationsthemen beschäftigen aktuell deutsche Unternehmen. Doch damit verbunden stellt sich auch die Frage nach dringend notwendigen Investitionen. Laden Sie sich die FINANCE-Studie Transformationsfinanzierung jetzt kostenfrei herunter!