„Cybersicherheit ist Chefsache“ – das ist die zentrale These eines neuen Buches zu einem bis heute unterschätzten Thema. Unterschätzt, denn bereits die reinen Fallzahlen sind erschreckend. Nach einer Erhebung des Digitalverbands „Bitkom“ waren 2020/2021 neun von zehn Unternehmen (88 Prozent) von Cyberattacken betroffen. In den Jahren 2018/2019 wurden drei Viertel (75 Prozent) Opfer. Anders gesagt: Irgendwann betrifft es jedes Unternehmen. Befragt wurden dazu mehr als 1000 Unternehmen über alle Branchen hinweg.
Hinzu kommt eine wohl nicht unerhebliche Dunkelziffer, denn nicht alle Angriffe werden sofort bemerkt, zu oft dauert es Wochen oder gar Monate, in denen die Onlinegangster sich in aller Ruhe im Unternehmen umsehen, Daten entwenden und Rechnersysteme manipulieren können. Bemerkt wird ein solcher Angriff meist erst dann, wenn es zu spät ist, wenn etwa eine Onlineattacke Teile des Unternehmens lahmgelegt hat und Cybererpresser wichtige Firmendaten quasi als Geiseln genommen haben und erst gegen Zahlung eines Lösegelds freigeben. Ein Lösegeld, das Hunderttausende oder sogar Millionen von Euro betragen kann. Zahlbar sind diese Summen fast immer in schwer nachzuverfolgenden Cryptowährungen, wie zum Beispiel Bitcoin. Diese unter dem Namen „Ransomware“ bekannt gewordene Verbrechensform stellt aktuell das größte Cyberrisiko dar und betrifft kleine, mittelständische und große Unternehmen gleichermaßen. Übrigens auch viele Privatleute. Bei Letzteren geht es jedoch meist um den Zugriff auf persönliche Erinnerungen, wie etwa eigene Bilder und Videos, die den Cybergangstern in die Hände fallen.
Bekannt werden aber stets nur die großen Sicherheitsvorfälle, im Regelfall tun die Betroffenen alles dafür, einen solchen Vorfall unter der Decke zu halten, denn neben dem direkten Schaden droht Imageverlust und beim Abhandenkommen von personenbezogenen Daten unter Umständen auch eine Geldbuße durch die zuständige Datenschutzaufsichtsbehörde im jeweiligen Bundesland.
2021/22 waren unter anderem die Funke Mediengruppe, der Handelsriese Mediamarkt und der Logistikkonzern Hellmann von derartigen Attacken betroffen. In allen Fällen waren die Vorkommnisse nicht zu leugnen, da auch Kunden direkt oder indirekt betroffen waren. Besonders pikant: Hellmann erbringt auch Versorgungsleistungen für die Bundeswehr und ist Teil der deutschen Impfstofflogistik.
All diesen Alarmmeldungen zum Trotz war Cybersicherheit für die meisten Führungskräfte bisher nicht weiter relevant. Das Thema galt und gilt noch immer als Aufgabenfeld für die IT-Abteilung. Zumindest solange nichts passiert, fehlt die „Management Attention“. Forderungen der Fachseite nach Budgets für Sicherheitsinvestitionen werden vielfach als lästig gesehen, es fehlt schlicht das Verständnis der Führungskräfte, die heute typischerweise ja gerade keinen technischen Hintergrund mitbringen. Und so redet man in vielen Betrieben aneinander vorbei und gefährdet dabei unter Umständen das Unternehmen.
Ob und inwieweit Cybersicherheit tatsächlich ein potenziell existenzbedrohendes Risiko ist, war jahrelang umstritten, es ist ein bisschen wie mit dem Frosch im Wasser, das langsam erwärmt wird; anfangs ist die Temperatur angenehm, dann lästig aber irgendwann ist es der Punkt überschritten und es ist zu spät für den Frosch.
Spätestens seit der Insolvenz des Schweizer Fensterherstellers „Swisswindows“ in 2020, die von der Geschäftsleitung auf eine Cyberattacke zurückgeführt wurde, gilt die Frage nach der „Existenz“ als belegt. Übrigens: Auch das jährlich erhobene „Allianz Risiko Barometer“ sieht Cyberrisiken 2021 auf Platz 3 der globalen Business Risiken und Betriebsunterbrechungen – ein Them,a was eng mit Cyberrisiken zusammenhängt – sogar auf Platz 1.
Wie erklärt sich aber nun die hohe Diskrepanz zwischen erheblichen Fallzahlen und dem tatsächlichen Verhalten Betroffener?
Das Grundproblem ist simpel und nicht auf Cyberrisiken beschränkt: An Vorsorge denkt kaum jemand gerne, denn sie erzeugt heute nur Kosten oder erfordert Verzicht, während sich der Erfolg in eine ungewisse Zukunft verschiebt. Jeder Raucher und jeder Übergewichtige weiß, dass der eigene Lebensstil nicht gesund ist und potenziell früher oder später zu Gesundheitsproblemen führt. Dennoch wird das Risiko oft verdrängt. Ähnlichen Denkmustern folgen viele Führungskräfte, wenn es um Cyberrisiken geht, denn im Hier und Heute entstehen ja „gefühlt“ erstmal nur Kosten.
Hinzu kommt aus Unternehmenssicht, dass sich Cybersicherheit nicht richtig berechnen lässt.
Anders als bei herkömmlichen Investitionen gibt es keinen klar bestimmbaren ROI („Return on Investment“), denn das bestmögliche Ergebnis in Sachen Sicherheit ist ja, dass gerade nichts passiert und da ist nicht immer klar, welche Maßnahme zu welchem Erfolg geführt hat. Am besten nähert man sich daher dem Thema – da ist sich die Fachwelt einig – aus der Perspektive des Risikomanagements. Das Problem: Anders als etwa bei anderen
Risiken wie Stürmen, Erdbebengefahren oder Hochwasser hat man wenig belastbare Daten, auf die man zurückgreifen kann, weder die Eintrittswahrscheinlichkeit noch die erwartete Schadenshöhe lassen sich auch nur annähernd bestimmen, zu ungewiss und vielfältig sind mögliche Ereignisse im Bereich Cybergefahren. Hinzu kommt: Es existieren zwar zahlreiche Studien, diese sind aber typischerweise von Dienstleistern und Softwareanbietern aus der Branche verfasst und verzerren die Realität fast immer in Richtung des Produktes oder des Services, den es zu promoten gilt. Zudem bleiben wichtige Zusammenhänge oftmals außen vor. Ein Beispiel: Wird etwa ein Logistikunternehmen gehackt, das bestimmte vertragliche Lieferverpflichtungen hat, die es infolge der Attacke nicht einhalten kann, können die zu erwartenden Vertragsstrafen unter Umständen höher sein als die direkten Schäden, wie etwa die Wiederherstellung und Wiederinbetriebnahme der betroffenen IT-Systeme.
Was kann man also ganz konkret tun? Die Grundregeln für den sicheren Umgang mit IT für Privatpersonen wie Kleinstunternehmen sind wohlbekannt: Laufende Updates von Betriebssystemen und Anwendungsprogrammen, regelmäßige Datensicherungen und vor allen Dingen keine unbekannten E-Mail-Anlagen anklicken oder zweifelhafte Websites besuchen. Jeder kennt diese Basics. Diese gelten sinngemäß auch für größere Unternehmen, nur dass es hier gilt, auch die Mitarbeiterinnen und Mitarbeiter entsprechend mit den Risiken vertraut zu machen. „Awareness“ ist das große Zauberwort und eine notwendige, aber nicht unbedingt hinreichende Voraussetzung für mehr Sicherheit im Unternehmen.
Grundsätzlich gilt: Je größer das Unternehmen, umso komplexer und damit potenziell fehleranfälliger ist die IT-Landschaft, daher lohnt es sich fast immer, die bestehende Infrastruktur auf mögliche Einfallstore für Angreifer absuchen zu lassen. Man spricht hier vom „Penetration Testing“. Dies wird im Regelfall durch Experten einer unabhängigen Fachfirma erledigt. Eine Entschuldigung, auf eine externe Analyse zu verzichten, gibt es nicht. Erst nach einer solchen Lagebewertung lohnen sich Überlegungen zum Kauf zusätzlicher Softwareprodukte und Dienstleistungen.