Cyber-Sicherheit steht bei CEOs derzeit nicht ganz oben auf der Agenda. Das zeigt der KPMG CEO Outlook 2022: Auf die Frage, was ihnen derzeit die meisten Sorgen für das eigene Unternehmen bereitet, nannten nur 3,2 Prozent der von uns befragten CEOs deutscher Unternehmen das Thema Cyber-Security-Risiken.
Andere Themen haben den Fokus etwas von digitalen Gefahren weggeschoben – neben der anhaltenden Unsicherheiten im Zusammenhang mit der Corona-Pandemie (12,8 Prozent) insbesondere die aktuellen wirtschaftlichen Rahmenbedingungen wie steigende Zinsen, die hohe Inflation und die erwartete Rezession (12,0 Prozent).
Das mag in der aktuellen Situation verständlich sein. Dennoch sollten Unternehmen mittel- bis langfristig weiterhin mit einer zunehmenden Cyber-Bedrohungslage rechnen. Hierbei möchte ich vor allem zwei Aspekte in den Blick rücken.
-
Wachsende Gefahren durch organisierte Cyber-Kriminalität
Im Bereich der organisierten Kriminalität haben Cyber-Angriffe als „Geschäftsmodell“ an Attraktivität gewonnen. Dies hat mehrere Gründe.
Anders als etwa im Drogen- oder Waffenhandel existiert kein physisches Produkt, das ggf. kompliziert zu handhaben ist. Außerdem sind bei Cyber-Angriffen höhere Margen zu realisieren als bei anderen kriminellen Tätigkeiten. Ein weiterer Punkt, der organisierten Cyber-Kriminellen in die Hände spielt, hängt mit dem zweiten Aspekt zusammen, den ich in diesem Beitrag erörtern möchte.
-
Konkurrenz der Wirtschaftssysteme und zunehmender Protektionismus
Die zweifelsfreie Attribution – also die Ermittlung der Urheberschaft – eines Cyber-Angriffs ist schwierig und oftmals unmöglich. Zwar gibt es Indizien, aber ein Angreifer kann auch Indizien vortäuschen, um die eigene Identität zu verschleiern. Man weiß dennoch beispielsweise von einer Gruppe, die offenbar Angriffe im Auftrag des russischen Inlandsgeheimdienstes FSB durchführt.
Was wir jedenfalls sehen, sind politisch tolerierte Angriffe durch organisierte Cyber-Kriminelle. Zwar werden Cyber-Angriffe fast überall auf der Welt als strafbare Handlungen eingestuft, doch solange das Angriffsopfer sich im gegnerischen „System“ befindet, schauen Strafverfolger häufig weg – etwa vielen osteuropäischen und asiatischen Ländern, wenn sich das Opfer im Westen befindet.
Das gleiche ist auch in Russland zu erwarten bei Angriffen auf Unternehmen oder Infrastrukturen in der EU. In der Ukraine führt Russland neben dem Krieg auf traditionelle Weise auch einen Cyber-Krieg, indem etwa durch Cyber-Angriffe Technik gezielt lahmgelegt wird.
Dadurch werden die Konkurrenz der Wirtschaftssysteme und der aufkommende Protektionismus auch auf dem Feld der Cyber Security ausgetragen. So könnten bestimmte Länder ein großes Interesse daran haben, dass zum Beispiel Lieferketten in Deutschland gestört werden und daraus folgend der Betrieb in Unternehmen unterbrochen wird – mit negativen Folgen. Damit steigt für Unternehmen, die in Lieferketten sehr relevant sind, das Angriffsrisiko enorm.
Mittelstand im Visier von Cyber-Kriminellen
Deutschland ist ohnehin besonders anfällig, denn unsere Wirtschaft ist sehr diversifiziert und verflochten, mit einem starken Mittelstand, dessen Unternehmen stark in die Wertschöpfungsketten eingebunden sind. Andererseits haben mittelständische Unternehmen oftmals noch keinen so hohen Reifegrad der Cyber-Sicherheit wie große Konzerne und sind daher ein leichteres Angriffsziel in Lieferketten.
Hierbei verfolgen die Angreifer mit immer ausgefeilteren digitalen Tools häufig mehrere Ziele:
- eine doppelte oder gar dreifache Erpressung durch Ransomware: Unternehmensdaten werden verschlüsselt und erst gegen Lösegeldzahlung wieder entschlüsselt. Zudem wird mit Veröffentlichung der erbeuteten Daten gedroht, wenn kein weiteres Lösegeld gezahlt wird. Die Angreifer stellen darüber hinaus Lösegeldforderungen an Geschäftspartner, Lieferanten und Kunden, deren Informationen aus den gestohlenen Daten stammen.
- Weiterverkauf der gestohlenen Daten
- Spionage mittels Cyber-Angriff
Cyber-Sicherheit schafft Vertrauen
Unternehmen sollten diese Risiken realistisch einschätzen und mit wachsender Bedrohung rechnen. Entsprechend gilt es, den Cyber-Schutz im eigenen Unternehmen laufend zu prüfen und die Abwehr zu stärken, um die Cyber-Sicherheit zu erhöhen. Vor allem sensible Daten, kritische Infrastruktur und damit die digitalen Unternehmenswerte sind wirksam zu schützen. Wie dabei ein Zero-Trust-Ansatz hilfreich sein kann, lesen Sie im Beitrag meines Kollegen Hans-Peter Fischer.
CEOs sollten sich bewusst sein, dass ein effektiver Cyber-Schutz einen strategischen Faktor bildet, denn er spielt eine entscheidende Rolle für den Geschäftserfolg und das Vertrauen von Geschäftspartner:innen, Kund:innen, Investor:innen und weiteren Stakeholdern.
Netzwerksegmentierung in Zeiten von Decoupling
Hierbei ist ein weiterer Aspekt zu nennen, den vor allem global aufgestellte Unternehmen in den Blick nehmen sollten: die zunehmende Tendenz zur Entkopplung (Decoupling). Unternehmen sollten ihr Firmennetzwerk im Hinblick auf bestehende oder ggf. wünschenswerte Segmentierung und wirksames Rechtemanagement prüfen: Wer hat Zugang zu welche Assets? Müssen Niederlassungen in bestimmten Ländern wirklich auf alles im Netzwerk zugreifen können?
Aus Resilienzgründen ist es sinnvoll zu prüfen, ob im Firmennetzwerk Unternehmensteile in unterschiedlichen Regionen voneinander getrennt werden, etwa durch Firewalls oder eine Einschränkung von Rechtevergaben. So kann beispielsweise der deutsche Bereich des Netzwerks stärker von Bereichen in anderen Ländern abgeschirmt werden, um das Risiko zu senken, dass in einem Land womöglich auf politischen Druck Informationen aus dem Firmennetz gezogen werden. Außerdem lassen sich – für den Fall, dass man z.B. aufgrund geopolitischer Entwicklungen Geschäft in einem Land oder einer Region beenden will – die entsprechenden Unternehmensteile leichter abtrennen, da diese weniger stark mit anderen verwoben sind.
Topmanager unterschätzen oftmals die Cyber-Risiken
Dennoch scheint mir, dass die Cyber-Risiken und ihre Folgen vielfach unterschätzt werden. In unserem CEO Outlook 2022 halten 74 Prozent der befragten CEOs deutscher Unternehmen ihr Unternehmen als gut oder sehr gut auf einen Cyber-Angriff vorbereitet. 81 Prozent erklären, dass ihr Unternehmen über einen Plan für den Fall eines Ransomware-Angriffs verfügt. Das mag sein – doch wie effektiv ist dieser Plan? Und ist der Schutz vor Angriffen wirklich so gut wie gedacht?
Insbesondere in der Produktions-IT von Industrieanlagen herrscht noch großes Aufholpotenzial, da hier die Cyber-Sicherheit noch nicht optimal gestaltet ist. Daher geht das sog. IT-Sicherheitsgesetz 2.0 („Zweites Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme“) in die richtige Richtung, da es die dort regulierten Unternehmen zwingt, den Stand der Technik ganzheitlich umzusetzen. Zudem betont das Gesetz den Schutz kritischer Infrastrukturen (KRITIS) und von Unternehmen im besonderen öffentlichen Interesse.
Cyber-Sicherheit braucht eine vollständige Übersicht über die Firmen-Assets
Grundlegend für eine effektive Cyber-Sicherheit ist ein professionelles Cyber Security Asset Management. Um das Unternehmen wirksam schützen zu können, wird eine komplette Übersicht über die eigenen Vermögenswerte benötigt. Nur wenn alle Komponenten des IT-Ökosystems (Server, Endgeräte, Anwendungen, Daten usw.) sowie alle Prozesse und Abhängigkeiten erfasst sind, können Sicherheitslücken sinnvoll identifiziert, bewertet und zeitnah geschlossen werden.
Häufig verfügen Unternehmen nicht über eine solche vollständige Übersicht der eigenen Assets. Doch ein Angreifer muss nur eine Komponente finden, die nicht ausreichend geschützt ist, um sich Zugang ins Unternehmen zu verschaffen. Eine Lücke genügt. Doch selbst dann könnte der Schaden noch vergleichsweise gering gehalten werden, wenn beispielsweise Netzwerke segmentiert und Rechte restriktiv vergeben wären – was sie in vielen Fällen nicht sind.
Cyber Security sollte begeistern
Dies zeigt: Es bleibt noch viel zu tun. Bei fast allen Unternehmen besteht Potenzial nach oben. Doch Cyber-Sicherheit gilt vielfach als komplex und bedeutet in aller Regel viel Fleißarbeit und beherztes Umsetzen von Basismaßnahmen, zum Beispiel das zeitnahe Einspielen von Patches, Schulungen von Mitarbeitenden oder die angemessene Vergabe von Berechtigungen.
Umso wichtiger ist es, im Unternehmen verstärkt die hohe Bedeutung einer effektiven Cyber-Sicherheit für den Geschäftserfolg zu kommunizieren und die Mitarbeitenden für die Relevanz der Cyber Security zu begeistern. Daneben gilt es, Strategien für Cyber-Resilienz zu entwickeln und zu forcieren, um im Fall eines Cyber-Angriffs den Geschäftsbetrieb so gut wie möglich aufrechterhalten und negative Auswirkungen mildern zu können