Mehr Resilienz ist notwendig

„Die Bedrohung im Cyber-Raum ist so hoch wie nie zuvor“, meldete das Bundesamt für Sicherheit in der Informationstechnik bei der Vorstellung des jüngsten „Lageberichts“ Ende 2023. Fast täglich werden große deutsche Konzerne und Mittelständler von organisierten Hacker*innen oder staatlichen Terrororganisationen attackiert. Die gute Nachricht: Die Firmen sind nicht schutzlos ausgeliefert – Cyber-Resilienz lässt sich aufbauen und stärken.

Überall nur schwarze Bildschirme. Kein Zugang zu Meldedaten, kein Zugriff auf das Rechnungswesen, auf Kassensysteme oder Bezahlvorgänge – und die Friedhofsverwaltung war auch lahmgelegt. Der Hackerangriff, der Ende November vergangenen Jahres auf die Server des Zweckverbands gemeindliche Datenverarbeitung im Landkreis Neu-Ulm stattfand, hatte dramatische Folgen. Faktisch ging nichts mehr in den Verwaltungen der insgesamt 12 angeschlossenen Kommunen. Nach gut drei Wochen lief das Rechenzentrum zwar wieder – und damit rechtzeitig vor der anstehenden Landratswahl. Der materielle und immaterielle Schaden indes geht in die Hunderttausende.

Der Zweckverband ist nicht das einzige Opfer von Hacker*innen. In den vergangenen Monaten hat es Angriffe unter anderem auf den Automobilzulieferer Continental, den Trinkwasserverband Stade, die Hotelkette Motel One und das Berliner Kaufhaus KaDeWe gegeben. Cyber-Kriminalität und -Spionage sind längst zu einer gesamtwirtschaftlichen Bedrohung geworden. Nach einer Studie des Digitalverbands Bitkom, für die im Vorjahr mehr als 1.000 Unternehmen quer durch alle Branchen repräsentativ befragt wurden, sind der deutschen Wirtschaft durch Diebstahl von IT-Ausrüstung und Daten sowie digitale und analoge Industriespionage und Sabotage 206 Mrd. € Schaden entstanden. Die Summe lag damit zum dritten Mal in Folge über der 200-Mrd.-€-Marke (2021: 223 Mrd. €; 2022: 203 Mrd. €).

Grenzen zwischen organisierter Kriminalität und Staatsterror verwischen

„Die deutsche Wirtschaft ist ein hochattraktives Angriffsziel für Kriminelle und uns feindlich gesonnene Staaten. Die Grenzen zwischen organisierter Kriminalität und staatlich gesteuerten Akteur*innen sind dabei fließend. Der leichte Rückgang der betroffenen Unternehmen ist ein positives Zeichen und deutet darauf hin, dass die Schutzmaßnahmen Wirkung entfalten“, kommentierte Bitkom-Präsident Ralf Wintergerst die Studienergebnisse. „Generell ist für Unternehmen die Bedrohung stark gestiegen, Opfer von Cyber-Kriminalität zu werden“, beobachtet auch Stefan Weddemar, Senior Manager, IT Advisory Financial Services and Sustainability bei Forvis Mazars in Deutschland. Nach Einschätzung des Research-Unternehmens Cybersecurity Ventures werden die weltweiten Kosten für Cyber-Schäden und Cyber-Abwehr von 8 Billionen US$ im Jahr 2023 auf 10,5 Billionen US$ im Jahr 2025 steigen.

Kritische Infrastrukturen werden zur Achillesferse für Angriffe

Zwar sind die Schäden beim kommunalen Zweckverband im Landkreis Neu-Ulm dagegen überschaubar, dennoch zeigt das Beispiel auf, welche Schadenpotenziale Cyber-Kriminalität inzwischen hat. „Das Spektrum reicht dabei von rein finanziellen Verlusten bis hin zu Rufschädigung, Datenverlust und im schlimmsten Fall einer Betriebsunterbrechung“, weiß Weddemar aus seiner Beratungspraxis. Angriffe auf kritische Infrastrukturen (KRITIS), wie etwa Krankenhäuser oder Energieversorger, können schnell weite Kreise ziehen und dramatische Auswirkungen auf einen größeren Teil der Bevölkerung haben. „Das unterstreicht für Organisationen die Bedeutung proaktiver Cyber-Sicherheitsmaßnahmen“, bekräftigt der Experte von Forvis Mazars.

Die möglichen digitalen Angriffspunkte und Schwachstellen gerade in Unternehmen sind vielfältig. Zu den häufigsten Einfallstoren für Cyber-Kriminelle gehören unsichere Passwörter, veraltete Software und mangelnde Schulung der Mitarbeiter*innen in Sachen Cyber-Sicherheit. „Gerade der Faktor Mensch stellt einen wesentlichen Angriffspunkt beziehungsweise eine Schwachstelle dar“, sagt Weddemar.

Für ihre Angriffe nutzen Hacker*innen häufig sogenannte Ransom-Software. Sind diese Trojaner erst einmal in das System eingeschleust, entpacken sich die Programme von selbst, sperren anschließend Systemzugänge und verschlüsseln wichtige Dateien. Dann wird Lösegeld gefordert, um die digitalen Blockaden zu lösen. „Vor dem Hintergrund dieser erhöhten Bedrohungslage tun Unternehmensverantwortliche also gut daran, ihre Cyber-Resilienz zu stärken“, empfiehlt der Experte von Forvis Mazars.

Unter digitaler Resilienz wird die Fähigkeit eines Unternehmens verstanden, flexibel auf Cyber-Angriffe und Störungen zu reagieren, sich schnell zu erholen und dabei geschäftskritische Funktionen aufrechtzuerhalten. Ganz praktisch gehören dazu zum Beispiel vorbeugende Maßnahmen, um Schwachstellen zu identifizieren, eine regelmäßige Überprüfung und Anpassung von Cyber-Sicherheitsmaßnahmen und eine situative Anpassungsfähigkeit an neue Bedrohungen und sich ändernde Angriffsmuster.

Soweit der Idealfall. Die Frage ist jedoch, wie Unternehmen diese digitale Resilienz entwickeln und trainieren können. „Generell sind hier drei Säulen entscheidend: die Digitalisierungsprozesse, der Betrieb digitaler Technik und entsprechender Infrastruktur sowie die Ebene der Digitalgeräte“, sagt Weddemar. Zusätzlich gilt es nach seinen Worten, eine Reihe weiterer digitaler Themen zu adressieren: Dazu gehört zum Beispiel, das Sicherheitsbewusstsein der Mitarbeiter*innen zu fördern, etwa, indem verpflichtende Schulungen über Phishing, sichere Passwörter und allgemeine Cyber-Sicherheitspraktiken angeboten werden.

Beim Zugriff auf IT-Ressourcen gilt: Weniger ist hier mehr (Sicherheit)

Wichtig sind darüber hinaus regelmäßige Audits und Risikobewertungen, aktualisierte Sicherheitsrichtlinien, Software-Updates und die Implementierung eines Systems von Zugriffsbeschränkungen. Letzteres stellt sicher, dass Mitarbeiter*innen nur auf die für ihre Arbeit notwendigen IT-Ressourcen zugreifen können. „Dazu kommt schließlich die rein technische Seite – also zum Beispiel die Verbesserung der Netzwerksicherheit durch entsprechende Firewalls und Intrusion Detection Systems (IDS)“, sagt Weddemar. „Systematische Datensicherungs- und Wiederherstellungspläne helfen, im Falle eines Angriffs Datenverluste zu minimieren. Und mit der Konzeption eines Incident-Response-Plans steht ein Kriseninstrument zur Verfügung, mit dem Unternehmen im Ernstfall effektiv auf einen Cyber-Angriff reagieren können.“

Um cyber-resilient zu werden, sollten sich Unternehmen an aktuellen Sicherheitsstandards wie DORA oder ISO 270XX orientieren und regelmäßig überprüfen, ob sie diese auch einhalten. „Angesichts der technischen Komplexität dieser Richtlinien sollten Unternehmensverantwortliche überlegen, externe Dienstleister hinzuzuziehen, um sich damit fachliche Expertise und die notwendige Überwachung der IT-Systeme ins Haus zu holen“, empfiehlt Weddemar.

Aufsichtsrat spielt zentrale Rolle bei der Stärkung der IT-Sicherheit

Der Aufsichtsrat spielt in diesem Zusammenhang eine entscheidende Rolle, indem er die digitale Widerstandsfähigkeit aktiv fördert und überwacht. Dazu muss er die Entwicklung und Umsetzung einer umfassenden Cyber-Sicherheitsstrategie einfordern und sicherstellen, dass diese Strategie mit den Geschäftszielen übereinstimmt. Die Organmitglieder sollten sich parallel dazu die Ergebnisse regelmäßiger Risikobewertungen und Sicherheitsaudits im IT-Bereich darstellen lassen. So können sie Schwachstellen identifizieren und bekommen notwendige Informationen an die Hand, um angemessene Maßnahmen zu ergreifen (siehe Kasten „Digitale Resilienz: Checkliste für Aufsichtsrät*innen“).

Für Weddemar steht fest, dass digitale Resilienz zum immer wichtigeren Wettbewerbsfaktor für Unternehmen wird. Wer seine starke digitale Resilienz nachweist, fördert das Vertrauen bei Kund*innen und Partner*innen und stärkt die Reputation des Unternehmens. „Das ist ein differenzierender Faktor – erst recht in Zeiten steigender Sensibilität für Datenschutz. Dazu kommen positive Effekte bei Innovation, Agilität und Kosteneffizienz“, sagt Weddemar. „Nicht zuletzt können sich Unternehmen mit hoher digitaler Resilienz als zuverlässige Partner in Lieferketten positionieren. Vor dem Hintergrund der Anforderungen aus dem Lieferkettensorgfaltspflichtengesetz ist das ein echter Wettbewerbsvorteil.“

Digitale Resilienz: Checkliste für Aufsichtsrät*innen
Berichterstattung: Fordern Sie eine klare und regelmäßige Berichterstattung über den aktuellen Status der digitalen Resilienz ein, einschließlich potenzieller Bedrohungen, praktischer Vorfälle und ergriffener Maßnahmen.
Compliance: Fordern Sie regelmäßig Nachweise, dass alle relevanten Gesetze und Vorschriften zur Cyber-Sicherheit eingehalten werden.
Schulung und Bewusstseinsbildung: Fördern und kontrollieren Sie die Durchführung von Schulungsprogrammen für Mitarbeiter*innen im Bereich Cyber-Sicherheit.
Krisenmanagement und Prophylaxe: Initiieren Sie die Konzeption und Implementierung wirksamer Incident-Response-Pläne, sodass die Firma angemessen und zügig auf Sicherheitsvorfälle reagieren kann.
Finanzielle Ressourcen: Genehmigen Sie angemessene finanzielle Ressourcen, die für die Cyber-Sicherheit und entsprechende Maßnahmen zur Verfügung stehen, um einen wirksamen Schutz zu gewährleisten.
Externe Expertise: Ziehen Sie externe Expert*innen hinzu, um unabhängige Beratung und Know-how im Bereich Cyber-Sicherheit für das Unternehmen griffbereit zu haben.
Controlling: Überprüfen Sie regelmäßig die Fortschritte bei der digitalen Widerstandsfähigkeit des Unternehmens.

 

Kontakt