Wer sich fragt, wie es um die Cybersicherheit der deutschen Wirtschaft bestellt ist, muss mit einer Zustandsbeschreibung beginnen – und zwar nicht am eigenen Computer, sondern auf der Seite der Gegenspieler, auf der Seite der „Angreifer“: Dort erleben wir seit Jahren eine klare Tendenz hin zu Professionalisierung, Internationalisierung und Industrialisierung von Cybercrime.

„Cybercrime-as-a-Service“ – sozusagen auf Nachfrage – erfreut sich zunehmender „Beliebtheit“. Es kommt zur Segmentierung der kriminellen Wertschöpfungskette. Überspitzt gesagt kann sich jeder Kleinkriminelle per „Drag and Drop“ seinen Angriffsvektor zusammenstellen und braucht längst nicht mehr fundierte Programmierkenntnisse oder einen IT-Hintergrund. Daher ist es essenziell, die Motivation der Angreifer zu verstehen.

Der Löwenanteil von dem, was wir dabei im Cyberraum beobachten, ist immer geschäftsgetrieben. Die Kriminellen haben klare Monetarisierungsinteressen und sind häufig auf das schnelle Geld aus. Deshalb müssen sich Unternehmen bemühen, nicht am unteren Ende der Nahrungskette zu stehen. Denn es sind die „Low hanging Fruits“ – große Erfolge mit wenig Aufwand – die Kriminelle zuerst ins Visier nehmen.

Doch trotzdem scheitern die meisten Unternehmen, insbesondere kleine und mittlere Unternehmen, bereits bei der ersten Phase der Gefahrenabwehr: der Problemwahrnehmung. Viele Unternehmen unterliegen dabei einem Trugschluss: bislang ist alles gutgegangen, es wird auch in Zukunft alles klappen. Mittlerweile erwachen aber mehr und mehr Unternehmen aus diesem Tagtraum. Viele andere erleben dagegen ein böses Erwachen, wenn die eigenen Systeme von heute auf morgen stillstehen. Dabei handelt es sich keineswegs um Lappalien: Im schlimmsten Fall ist die Existenz des Unternehmens gefährdet.

Bei Ransomware-Vorfällen ist das erpresste Lösegeld aber nur ein Bruchteil des Gesamtschadens, auch wenn die Lösegeldforderungen in die Millionen gehen. Viel schwerer wiegt für viele Unternehmen der Stillstand und Ausfall der Produktivsysteme. Dazu kommt die Gefahr der Datenausleitung und Weitergabe beziehungsweise der Verkauf an Wettbewerber mit entsprechenden Auswirkungen auf den Unternehmenserfolg. Reputationsschäden bei Kunden sind ebenfalls nicht zu vernachlässigen.

Personal und Ressourcen fehlen
Ungeachtet dessen lautet die allererste Frage im Zuge eines Sicherheitsvorfalls noch viel zu häufig: Warum ich? Warum unser Unternehmen? Das zeigt, dass die Bedeutung und Tragweite des Themas noch nicht in der gesamten wirtschaftlichen Breite angekommen sind. Neben des fehlenden Problembewusstseins fehlt es an Personal und Ressourcen. Zudem gibt es noch zahlreiche unzureichend digitalisierte Prozesse, gerade in vielen kleineren und mittleren Unternehmen, die individuell vor Ort (On-Premise) gesteuert und betreut werden.

Dieses Zwischenstadium der Digitalisierung ist häufig durch ineffiziente Prozesse und zusätzlichen Aufwand gekennzeichnet und trägt nicht zu einem erhöhten Sicherheitsniveau bei. Alte, fehlerhafte und nicht gepatchte Systeme spielen hierbei natürlich eine Schlüsselrolle. Der pandemiebedingte Digitalisierungsschub hat sein Übriges getan: für viele Unternehmen war es das einzige Ziel, das Kerngeschäft aufrechthalten zu können. Beim Wechsel zu Tele-Arbeit und ins Homeoffice spielte Cybersicherheit nur eine untergeordnete Rolle. Das hat es vielen Cyberkriminellen leicht, teilweise sogar noch leichter, gemacht.

Zur Wahrheit gehört aber auch – trotz Pandemie: der gesamte Problemkontext ist alles andere als neu. Branchenexperten warnen seit Jahren vor den Gefahren durch Cybercrime und unterstreichen die Bedeutung und Relevanz der Cybersicherheit quer durch alle Branchen und Unternehmensgrößen. Bislang stieß man bei den potenziell Betroffenen aber meistens auf taube Ohren.

Ein Kernproblem ist, dass es nicht das eine Einfallstor gibt – und damit auch nicht das eine Patentrezept zur Abwehr. Während ein Großteil der Angriffe mit Phishing und Social Engineering beginnt, öffnen auch ungepatchte Systeme den Kriminellen Tür und Tor. Das haben einmal mehr die Schwachstellen in lokalen Exchange-Servern gezeigt. Dazu kommen zusätzlich Innentäter aus den Unternehmen, fehlerhaft konfigurierte Cloud-Umgebungen, die Nutzung von Privatgeräten für berufliche Zwecke, Schatten-IT und vieles mehr. All das erfordert eine proaktive und strukturelle Auseinandersetzung mit dem Thema Sicherheit, die im schnelllebigen Unternehmensgeschäft bei vielen zu kurz kommt.

In Anbetracht der häufig fehlenden Sicherheitskultur und mit Blick auf die Zukunft bedarf es aus Sicht der Kriminellen gar keiner neuen Hacking- oder Angriffstrends. Solange ein hinreichend großer Anteil an Unternehmen bereits am kleinen Einmaleins der Cybersicherheit scheitert, werden die Angriffe und die dadurch verursachten Schäden auch in Zukunft weiter steigen.   

Was ist zu tun?
Die Notwendigkeit eines sicherheitszentrierten Blickwinkels wird umso relevanter, je weiter die Konvergenz von Information Technology (IT) und Operation Technology (OT) sowie die Auflösung der Grenzen zwischen Security und Safety voranschreiten. Mit Blick auf die zunehmende „Softwareisierung“ der Hardware ist zudem klar, dass wir die digitale Transformation nur dann erfolgreich gestalten können, wenn wir die richtigen Antworten im Bereich der Cybersicherheit geben.

Die Grundlage ist, Cybersicherheit als ein Qualitätsmerkmal zu begreifen – und nicht als lästige Kostenposition. Man kann heute keine erfolgreiche Firma mehr betreiben, egal wie groß, ohne das Thema Cybersicherheit mitzudenken. Ein zentrales Problem ist dabei die Tatsache, dass Cybersicherheit noch immer rein technisch und als alleinige Aufgabe der IT-Abteilung verstanden wird. Neben technischen Lösungen gehört zu einem robusten Sicherheitsmanagement aber auch, die eigenen Mitarbeiter zu schulen, Prozesse für den Notfall aufzusetzen sowie das Sicherheitskonzept regelmäßig zu überprüfen. Sicherheit ist keine Einmallösung, sondern ein kontinuierlicher Prozess.

Deshalb darf Cybersicherheit auch nicht unkoordiniert in den Händen von vielen – oder niemandem – liegen. Organisatorische und personelle Sicherheit im Betrieb sind jederzeit mitzudenken. Hierzu bedarf es eines zentralen Verantwortungsbereichs auf Führungsebene, wo Prioritäten der Cybersicherheit festgelegt und Budgets entsprechend kanalisiert werden. Nur so kann eine gesamtheitliche Sicherheitskultur quer durch das Unternehmen gefördert und ein robustes Sicherheitsmanagement aufgebaut werden.

Für die Unternehmen sind ein holistisches und risikobasiertes Sicherheitskonzept sowie der darauf abgestimmte adäquate Einsatz von Sicherheitstechnologien der Schlüssel zum Erfolg. Es gilt, ein auf das Unternehmen abgestimmtes Information Security Management System (ISMS) aufzubauen und kontinuierlich lebendig zu halten. Seit langem haben sich vor allem die internationale Norm ISO/IEC 27001 und der IT-Grundschutz des BSI etabliert. Es gibt aber auch weniger umfangreiche Standards als Einstiegshilfe, mit denen sich ein angemessenes Schutzniveau erreichen lässt. Eine spätere Erweiterung und Migration zu einem anderen Standard zum Zweck der Zertifizierung ist in der Regel möglich.

Die positive Signalwirkung, die durch eine entsprechende Zertifizierung bei Kunden und Geschäftspartnern erzeugt werden kann, sollte nicht unterschätzt werden. Im Idealfall geht der eingeschlagene Weg nicht nur mit einem höheren Schutzniveau einher, sondern bringt gleichzeitig einen mittel- bis langfristigen Wettbewerbsvorteil mit sich. Denn Fakt ist: Cybersicherheit ist kein Randphänomen, das irgendwann wieder verschwindet. Im Gegenteil: Je früher sich die Unternehmen proaktiv mit der Thematik auseinandersetzen, desto besser – für sich und für alle anderen.