Unternehmen kommen in Zeiten von verstärkter Digitalisierung nicht umhin, die eigenen IT-Sicherheitsmaßnahmen zu optimieren. Doch worauf gilt es in diesem Jahr besonderes Augenmerk zu legen? Ein Interview mit Matthias Nehls, Geschäftsführender Gesellschafter und Gründer der Deutschen Gesellschaft für Cybersicherheit (DGC), über die größten Herausforderungen, denen Unternehmen 2022 bei der Sicherheit gegenüberstehen – und den strategischen Umgang mit steigenden Risiken.
Matthias Nehls, das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat in seinem jüngsten Bericht zur IT-Sicherheit den Ernst der Lage für Wirtschaftsunternehmen, Behörden und andere Institutionen, aber auch Privatpersonen betont. Wie sieht Ihre Prognose für 2022 aus – wird sich die allgemeine Sicherheitslage bessern oder der beschriebene Trend fortsetzen?
Angesichts der Tatsache, dass die Digitalisierung und Vernetzung von Menschen, Maschinen und Geräten – auch bedingt durch die Pandemie und die verstärkte Remote-Arbeit – stark beschleunigt voranschreitet, wird sich diese Entwicklung definitiv weiter zuspitzen. Insbesondere Unternehmen, für die Digitalisierung vor Corona noch ein Fremdwort war, haben im großen Umfang analoge Prozesse digitalisiert. Um Mitarbeitenden den Fernzugriff auf Systeme, Anwendungen und Daten zu ermöglichen, wurden Sicherheitsmaßnahmen wie etwa Firewalls heruntergefahren. So entstanden unzählige neue Sicherheitslücken, von denen viele bis heute nicht geschlossen wurden. Auch im privaten Bereich wächst die Masse an vernetzten Geräten, die potenzielle Risiken enthalten und für Angriffe missbraucht werden können, kontinuierlich. Auf diese Gesamtentwicklung reagieren Cyberkriminelle mit geballter Kraft.
Darüber hinaus lässt sich sagen, dass die Hackerszene bislang nach einem Streuprinzip agiert, Angriffe also branchenübergreifend stattfinden. Es besteht die reale Gefahr, dass kriminelle Aktivitäten künftig stärker kanalisiert werden, wodurch es zu flächendeckenden Ausfällen in ausgewählten Branchen kommen könnte.
20 Prozent des IT-Budgets sollten laut dem Bitkom Digitalverband für die Sicherheit aufgewandt werden. In der Praxis zeigt sich jedoch noch ein anderes Bild. Woran liegt es, dass viele Unternehmen nach wie vor zu wenig in Cyber Security investieren?
Das Weltwirtschaftsforum hat Cyberangriffe zum zweithäufigsten Risiko für Unternehmen in diesem Jahrzehnt erklärt – viele Geschäftsführer wissen das. Dennoch ist ein Großteil der Unternehmen nach wie vor unzureichend abgesichert, weil IT-Security schwer greifbar ist. Anders als etwa in der Finanz- oder Rechtsabteilung, wo viele Daten und Fakten vorliegen, erfolgt die Entscheidungsfindung im IT-Bereich in vielen Fällen gefühlsbetont. Die Frage der Geschäftsführung: „Sind wir sicher?“ wird aufgrund unzureichender Messwerte vorschnell bejaht. Auch sind intern kaum konkurrenzbezogene Vergleiche der Sicherheitslage möglich. Entscheider wiegen sich daher in falscher Sicherheit – weshalb sollten sie mehr als bisher investieren, wenn das Unternehmen vermeintlich geschützt ist? Um die eigene Gefahrenlage realistisch einschätzen zu können, braucht es Controlling und das wiederum wird durch Lösungen sowie die Expertise spezialisierter Anbieter wie der Deutschen Gesellschaft für Cybersicherheit ermöglicht.
Wer die IT-Sicherheit optimiert, investiert in die digitale Zukunft seines Unternehmens. Das veranschaulicht eine aktuelle Bitkom-Studie, nach der neun von zehn Unternehmen in den Jahren 2020/2021 von Diebstahl, Spionage und Sabotage betroffen waren. Die Schadenssumme ist auf 223 Milliarden Euro angestiegen und hat sich im Vergleich zu 2018/2019 mehr als verdoppelt. Hätten betroffene Unternehmen nur einen Bruchteil dieses Geldes für die Sicherheit aufgewandt, hätten sich viele Vorfälle vermeiden lassen können.
Geschäftsführender Gesellschafter, DGC)
Gibt es Branchen, die besonders von den steigenden Gefahren aus dem Netz betroffen sind?
Generell sind sämtliche Branchen von der Zuspitzung der Sicherheitslage betroffen. Entscheider sollten bedenken, dass nicht nur Bürosoftware verwundbar ist, sondern zum Beispiel auch Maschinenparks in Industrieunternehmen angreifbar sind.
Exponentiell gefährdet sind jene Branchen, die den digitalen Wandel verschlafen haben, zum Beispiel Behörden. Kommt es hier zu Sicherheitsvorfällen, sind wichtige Bereiche des gesellschaftlichen Lebens betroffen. Das zeigt der kürzliche Angriff auf kommunale IT-Strukturen in Schwerin und im Landkreis Ludwigslust-Parchim: Eine Schadsoftware sorgte für die Verschlüsselung von Servern, wodurch ein Großteil des Bürgerservices Einschränkungen unterlag.
Wie wichtig branchenweites Umdenken ist, lässt sich auch anhand der Medienlandschaft verdeutlichen: Große Medienhäuser fokussierten sich bei der Einführung und Absicherung digitaler Prozesse zunächst auf den redaktionellen Bereich. Weniger bedacht wurde, dass es auch digitale Verbindungen zu Druckereien, Archiven und weiteren Akteuren zu schützen gilt. Zu einem flächendeckenden Aufwachen kam es 2020 – nachdem bundesweit die Systeme einer bekannten Mediengruppe verschlüsselt worden waren. Der Cyberangriff betraf mehrere zentrale IT-Systeme, die dahinterstehende Erpressergruppe forderte 50 Millionen Euro Lösegeld.
Cyber Security sollte zu einem Topthema in den Vorstandsetagen werden und eine umfangreiche Absicherung zur notwendigen Pflicht. Denn Fakt ist: Ist ein Unternehmen nicht hinreichend abgesichert, haften Führungspersonen mit ihrem Privatvermögen. Statt Erpressergeld zu zahlen, ist es für Unternehmer zielführender, für eine präventive Rundumabsicherung der IT-Infrastrukturen zu sorgen.
Worauf sollten sich Unternehmen also einstellen – wie sehen die größten Cyberrisiken in 2022 aus?
Sehr öffentlichkeitswirksam wird sich der Trend zu Ransomware bzw. Verschlüsselungstrojanern fortsetzen. Cyberkriminelle generieren durch den Einsatz der Erpressungssoftware schnell enorme Summen: Bitkom meldet, dass damit verbundene finanzielle Schäden seit 2019 um 358 Prozent zugenommen haben. Inzwischen gibt es sogar Hacker-Gruppierungen, die Ransomware als Dienstleistung anbieten. Cyberkriminelle sind damit imstande, eine komplette Infrastruktur zu mieten, um Millionen von E-Mails mit einem Trojaner im Anhang zu verschicken. Bei diesem perfiden Geschäftsmodell werden die Ransomware-Vermieter finanziell beteiligt – die IT-Security muss hier unbedingt mit maßgeschneiderten Lösungen entgegenwirken.
In Fachkreisen werden die steigenden Ransomware-Angriffe trotzdem eher als Modeerscheinung gehandelt.
Professionelle Hacker stellen ein weitaus größeres Risiko dar, da sie verdeckt vorgehen und umfangreichere Schäden verursachen. 2020 hat es durchschnittlich 207 Tage gedauert, bis ein Datenleck entdeckt wurde. Bis dahin betreiben Hacker im großen Stil Datenklau und schaffen sich zwei bis drei Zugänge, um wiederholt ins System vorzudringen und Daten zu manipulieren. Die Folgen für betroffene Unternehmen sind immens: Neben dem Verkauf von Millionen vertraulicher Datensätze kann ein professioneller Hacker Finanzströme manipulieren, Geschäftsgeheimnisse wie Patente oder Forschungsergebnisse ausspionieren sowie auf der Basis vertraulicher Vorstandsinformationen an den Aktienmärkten agieren.
Welche Maßnahmen sollten Unternehmen ergreifen, um den steigenden Anforderungen an die eigene Cybersicherheit in 2022 nachzukommen und die Gefahrenlage zu managen?
Jedes Unternehmen sollte IT-Sicherheit zur Chefsache machen. Geschäftsführer sind dazu angehalten, sich regelmäßig mit dem eigenen IT-Team auszutauschen sowie externe Berater einzubinden, die zur gezielten Optimierung der Sicherheitslage notwendig sind. In der Theorie sind gerade große Unternehmen oft schon recht gut mit Firewalls und IT-Software ausgestattet – allerdings mangelt es an personellen Ressourcen und „Inhouse-Verständnis“, um angezeigte Gefahrenindikatoren zu analysieren.
So kam es bei einem unserer Neukunden in der Vergangenheit zu einem folgeschweren Cyberangriff. Obwohl die Firewall bereits Tage vorher verdächtige Aktivitäten gemeldet hatte, fiel die Warnmeldung keinem IT-Mitarbeitenden auf. Die Angreifer konnten Server ungestört nach Daten durchsuchen, Backups löschen und den Betrieb schließlich lahmlegen, um Lösegeld in Millionenhöhe zu erpressen. Unsere Sicherheitsanalysten, die im Cyber Defense Operation Center (CDOC) für eine umfassende Angriffsüberwachung und -abwehr sorgen, hätten diese Gefahr innerhalb weniger Minuten nach der Firewall-Meldung gemeldet und es wäre nie zu der Erpressung gekommen.
Der Vorfall ist kein Einzelfall und zeigt, dass isolierte Einzellösungen kaum wirkungsvoll sind, sondern eine 360-Grad-Sicherheit angestrebt werden sollte. Nur so werden Unternehmen in der Lage sein, das Potenzial neuer Technologien komplett auszuschöpfen und den eigenen digitalen Wandel erfolgreich zu gestalten.
Nicht zuletzt ist es auch aus Datenschutzgründen wichtig, Cybersicherheit in der Geschäftsführung anzusiedeln. Unternehmen sind bei einer Datenpanne gesetzlich dazu verpflichtet, diese binnen 72 Stunden zu melden. Nach dem Verstreichen der Meldefrist drohen Bußgelder bis zu 20 Millionen Euro oder bis zu vier Prozent des gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahres. Diese enormen Risiken lassen sich mit einer durchdachten Sicherheitsstrategie minimieren.
Vielen Dank für das interessante Gespräch.
