Die Digitalisierung der Wirtschaft hat der Wirtschaftskriminalität neue Einfallstore geöffnet. Um sich davor zu schützen, müssen auch Unternehmen aufrüsten. Deshalb ist Cybersecurity wichtiger denn je. Was aber müssen Unternehmen dabei beachten?
Der wirtschaftliche Schaden, den Unternehmen durch digitale Angriffe erleiden, wird auf mehrere Billionen US-Dollar geschätzt. Dabei stehen nicht nur große Konzerne im Fokus der Angreifer: Laut einer aktuellen Studie zählen 43 Prozent aller Opfer zu den kleinen und mittelständischen Unternehmen. Hinter diesen Angriffen steht ein ausgereiftes, dunkles Ökosystem – eine kriminelle Schattenökonomie –, in dem Angreifer Methoden entwickeln, verfeinern, bündeln und anbieten; und das alles zu einem dieser dunklen Marktwirtschaft angemessenen Preis.
Si vis pacem para bellum – Wenn du Frieden willst, bereite den Krieg vor
So kaufen und verkaufen Cyberkriminelle zum Beispiel potenzielle Sicherheitslücken und bündeln sie, um automatisierte und orchestrierte Angriffe zu unternehmen. Es werden sogar ganze „Dienstleistungspakete“ verkauft – wie Ransomware mit kompletter Abwicklung von erpressten Zahlungen auf ein Konto im sicheren Finanzhafen eines Drittlandes. Ein beliebtes Ziel solcher Angriffe ist das Stehlen von Daten. Ein Angreifer kann zum Beispiel detaillierte Kundendaten aus einem Unternehmen abgreifen und an einen Mitbewerber verkaufen. Datenschutz ist daher ein wichtiger Aspekt der Cybersecurity.
Warum ist Cybersecurity aber überall wichtig, wenn doch Investitionen in verstärkte Computersicherheit traditionell eher in stark regulierten Sektoren wie zum Beispiel der Finanzindustrie anzutreffen waren? So, wie die Digitalisierung der Unternehmen voranschreitet und dabei immer mehr Branchen als auch Unternehmensbereiche erfasst, so entwickelt sich auch die Cyberkriminalität weiter. Cybersecurity ist deshalb mittlerweile ein Thema für alle Ebenen eines Unternehmens. Unter anderem auch deshalb, weil die Nichteinhaltung von Sicherheitsstandards zu erheblichen Regressansprüchen und damit zu großen finanziellen Schäden und Betriebsausfällen führen kann.
Unternehmen sind also gut damit beraten, diese Gefahr nicht auf die leichte Schulter zu nehmen. Getreu der alten römischen Devise: Si vis pacem para bellum – Wenn du Frieden willst, bereite den Krieg vor. Cybersecurity heißt dabei, dass ein System sicher ist vor unerlaubtem Zugriff auf elektronische Daten und Dienste. Die Maßnahmen, die diese Sicherheit gewährleisten, werden dabei in diese Definition mit eingeschlossen. Da die Bedrohungen und die dahinterliegenden Akteure oft nicht sehr deutlich wahrzunehmen sind, ist Cybersecurity aber auch eine sehr komplexe Angelegenheit.
Deshalb ist es auch wichtig, das Problem und die Lösungen nicht als rein binär anzusehen. Ein IT-System oder ein Zusammenschluss solcher Systeme sind nicht per se und für immer sicher oder unsicher. Vielmehr lohnt es sich, Cybersecurity als das aktive Managen von Risiken aufzufassen und gegebenenfalls mit dem Managen anderer Risiken holistisch zu betrachten. In diesem Sinne ist ein System einfach nie ganz sicher.
Infrastruktur sauber aufstellen
„Gute Infrastruktur ist mehr als Daseinsvorsorge. Sie ist Dableibevorsorge.“ Was Frank-Walter Steinmeier eigentlich über Staaten gesagt hat, gilt auch für Unternehmen. Wer zukunftsorientiert sein will, muss seine Infrastruktur vernünftig aufstellen und kontinuierlich pflegen – gerade mit Blick auf Cyberkriminalität und Cybersecurity. Der Teufel steckt dabei im Detail, weshalb man sich von Beginn an keine Nachlässigkeiten erlauben darf. Leider herrscht in vielen – jungen wie alten – Unternehmen aber immer noch die Denkweise, dass für Datenschutz und Cybersecurity aktuell keine Zeit oder kein Budget vorhanden sei. Das kann sich bitter rächen.
Wenn beispielsweise die Belegschaft ins Homeoffice muss, zuvor aber lediglich Stand-PCs im Büro üblich waren, sollte man nicht am falschen Ende sparen. Einfach Laptops kaufen und an Wohnadressen schicken, ist relativ simpel. Aber sicherzustellen, dass die Maschinen zu Hause sicher im Betriebsnetz registriert werden, ist wesentlich komplizierter.
Um die Angriffsflächen von Cyberattacken zu minimieren, sollten natürlich auch alle Geräte standardmäßig mit ausreichender Virensoftware ausgestattet sein. Zusätzlich ist es sinnvoll, eine Zwei-Faktor-Authentifizierung für E-Mail-Dienste und ähnliches einzuführen. Als Verantwortlicher für Cybersecurity im Unternehmen muss man darüber hinaus auch stets auf dem neusten Stand bleiben und nach Alternativen Ausschau halten. Je mehr Tools die Mitarbeitenden nutzen, desto größer natürlich auch die Zahl der potenziellen Einfallstore – und nicht immer sind die populärsten Tools dabei auch die sichersten. Die Videosoftware Zoom zeigt dies aktuell sehr deutlich.
Außerdem müssen Unternehmen ihre Mitarbeitenden auch darauf hinweisen, die neuesten Updates ihrer Systeme und Tools zu installieren – selbst wenn das nervig und zeitaufwendig sein kann. Denn Cyberkriminelle beobachten die neusten Updates sehr genau. So überprüfen Hacker zum Beispiel am Microsoft Patch Day (dem zweiten Dienstag im Monat), welche Sicherheitslücken Microsoft schließt und welche nicht.
Errare humanum est – Irren ist menschlich
Das führt uns auch schon zum nächsten wichtigen Punkt, der nicht unterschätzt werden darf: der Faktor Mensch. Was die alten Römer bereits vor 2.000 Jahren prägten, bewahrheitet sich auch heutzutage noch: Irren ist menschlich. Und so spielen menschliche Faktoren auch bei vielen Cybersecurity-Bedrohungen eine entscheidende Rolle. Die zwei klassischen Beispiele sind unsichere Passwörter der Mitarbeitenden und Phishing-Mails. Letztere haben gerade in der Corona-Ausnahmesituation aktuell Hochkonjunktur, weshalb auch das Bundesamt für Sicherheit in der Informationstechnik mit neuem Nachdruck davor warnt. Ist ein Mitarbeiter unter Stress oder müde und bekommt gerade eine dringende E-Mail von der IT-Abteilung, prüft er eventuell nicht so eingehend wie angebracht, ob es wirklich eine interne Nachricht ist und ob er auf den Link klicken sollte.
Künstliche Intelligenz kann dabei helfen, Phishing-Mails im Postfach der Mitarbeitenden zu vermeiden – zum Beispiel indem Nachrichten mit einem gewissen Grad der Abnormalität klassifiziert und aussortiert werden. Unternehmen kommen aber nicht darum herum, ihre Mitarbeitenden zu schulen und zu sensibilisieren. Eine gute Methode ist zum Beispiel ein unangekündigter „Phishing-Testlauf“ im eigenen Unternehmen. Sie können so sehen, wie viele Personen angemessen reagieren, und können daraus den Schulungsbedarf für ihre eigenen Mitarbeitenden besser abschätzen.
Künstliche Intelligenz zur Bekämpfung von Cyberangriffen
Künstliche Intelligenz ist generell einer der großen Trends im Bereich der Cybersecurity und wird mittlerweile auf beiden Seiten genutzt – sowohl bei Cyberangriffen als auch bei ihrer Vorbeugung und Bekämpfung. So gibt es zum Beispiel Projekte, in denen das Leseverhalten eines Sicherheitsprozesses in einem Betriebssystem durch KI überwacht wird. Gesucht wird dabei nach verdächtigen Lesemustern, die Hinweise für Cyberangriffe sein könnten. Solche KI-Projekte können dabei helfen, die Sicherheit eines größeren Netzwerks zu verbessern. Gleichzeitig entwickeln natürlich auch Angreifer KI, die versuchen, Leseprozesse so minimal abzuändern, dass sich nicht mehr als potenziell bösartig erkannt werden – ein veritables Katz-und-Maus-Spiel.
„Lieber Geld verlieren als Vertrauen“ – Investitionen in Cybersecurity zahlen sich aus
Wie so oft geht es bei der Cybersecurity auch stets darum, zu verstehen, was die wesentlichen Bedrohungen und Herausforderungen sind – und wer im Unternehmen dafür verantwortlich ist. Cybersecurity und Datenschutz sind für Unternehmen kein „nice-to-have“, sondern essenziell. Besonders der Schutz von Kundendaten ist zentral; unabhängig davon, ob es sich um die Daten von Unternehmens- oder Endkunden handelt. Oder um es im Business-Sprech auszudrücken: Cybersecurity und Datenschutz müssen zur Chefsache werden – und gleichzeitig auch von den Mitarbeitern mitgetragen werden. Denn die beste Software nützt nichts, wenn sie von den Mitarbeitenden nicht angemessen verwendet wird.
Auch wenn die Fallstricke vielfältig, wechselhaft und zum Teil unbekannt sind: Cybersecurity muss den Verantwortlichen nicht den Schlaf rauben. Wer sich und sein Unternehmen gut vorbereitet, kann Unternehmens- und Kundendaten gut schützen. Sieht man Cybersecurity als Teil des gesamten unternehmerischen Risikomanagements, ist es bereits ein entscheidender Schritt zur Lösung des Problems. Denn so wird Cybersecurity abteilungsübergreifend sowohl bei der Belegschaft als auch bei Entscheidungsträgern zu einem Bestandteil der Unternehmenskultur. Digitaler Schutz muss deshalb den gleichen Stellenwert erhalten wie andere Sicherheitsstandards und -maßnahmen, wie zum Beispiel der Schutz von Geschäftsgeheimnissen oder die Brand- und Notfallplanung.
Schlussendlich geht es bei Cybersecurity auch stets um die eigene Glaubwürdigkeit. Denn egal, ob im B2B- oder im B2C-Umfeld, Geschäftsbeziehungen sind stets auch Vertrauensbeziehungen. Datenpannen, Sicherheitslücken und Cyberangriffe bedeuten für Unternehmen auch immer einen Vertrauensverlust. Wer Kundendaten nicht ausreichend schützen kann, verliert so schnell nicht nur die Daten, sondern auch seinen Ruf und seine Kunden. Oder um es mit den Worten von Robert Bosch zu sagen: „Lieber Geld verlieren als Vertrauen.“