Angriffe aus dem Netz werden immer dreister und zielen in Zukunft darauf ab, Daten zu manipulieren. Doch viele Manager in Deutschland unterschätzen die Risiken für ihr Unternehmen.
Arpad Nagy-Bagoly/Fotolia
Im vergangenen Mai schreckte der Trojaner Wannacry Unternehmen rund um den Erdball auf. Kürzlich entdecken Experten der Katholischen Universität Löwen Sicherheitslücken im WLAN und sorgten damit für einigen Wirbel. Aktuell erschüttern die CPU-Sicherheitslücken von Prozessoren Anwender in aller Welt. Dass vertrauliche Kundeninformationen und sensible Geschäftsdaten von unsichtbaren Dritten ausgelesen, Passwörter gehackt, Schadsoftware in Umlauf gebracht werden, gehört quasi zum Alltag.
Vernetze Welten sind verletzlich mit steigender Tendenz. Hackerangriffe, schadensanfällige IT-Systeme oder mangelhafte Sicherheitsstandards führen schlimmstenfalls zum wirtschaftlichen Aus von Unternehmen und schädigen im jedem Fall die Reputation. Führungskräfte kennen die Gefahr, fühlen sich aber sicher, wie die Ergebnisse einer Studie zum Thema Digitale Agenda deutscher Unternehmen zeigen.
Cyberkriminelle verhandeln nicht
Informationssicherheit ist ein Unternehmensthema. Denn besonders jene, die mit Daten von Dritten wirtschaften, sie von wechselnden Geräten aus verwalten und in Clouds teilen, sollten für Schutzkonzepte sorgen, die der Höhe der Zeit voraus sind. Verschärft wird die Notwendigkeit dazu demnächst durch die EU-Datenschutzgrundverordnung. Sie tritt am 25. Mai 2018 in Kraft und macht Geschäftsführer persönlich für Schäden aus dem Netz haftbar, wenn sie es versäumt haben, Sicherheitslücken und andere Risiken zu regulieren oder ihre IT-Strukturen ausreichend zu schützen. Dennoch hatten sich im September 2017 laut einer Umfrage des Branchenverbandes Bitkom rund ein Drittel der Unternehmen noch nicht mit der DS-GVO beschäftigt.
Das Bewusstsein für die digitale Sicherheit ist unter deutschen Führungskräften mit Entscheidungsbefugnis bei der Digitalen Transformation zwar vorhanden, aber mit Blick auf die Folgen noch zu wenig ausgeprägt. Von 300 für die Studie "Digitale Agenda 2020" im Auftrag von DXC Technology befragten Teilnehmern, ernannte nur knapp jeder zweite (49 Prozent) das Thema Sicherheit zum Top-Thema. Von der anderen Hälfte sind 26 Prozent der Meinung, die Aufgabe habe im Rahmen der digitalen Agenda keine Priorität und 25 Prozent finden, dass ihre Firma vor digitalen Risiken nicht besonders geschützt werden muss. Mit Angreifern aus dem Netz lässt sich aber nicht nach dem Sankt-Florians-Prinzip verhandeln. Sie können überall zuschlagen.
Datenmanipulation als Verbrechen der Zukunft
Die Motive der Angreifer werden immer böswilliger, findet Springer-Autor Thomas Tscherisch und stellt die Frage "Cybersecurity - What's next?". Ging es den Hackern früherer Generationen noch um die Zurschaustellung der eigenen verschrobenen Genialität, sind heute im Netz Kriminelle unterwegs, die mit disruptiven Attacken die Verfügbarkeit von Systemen stören, blockieren oder sabotieren. Sie erbeuten Daten und erpressen Lösegeld in digitaler Währung. "Angriffsszenarien der Zukunft werden sich jedoch verstärkt gegen die Integrität der Daten richten" , warnt Tschersich (Seite 115). Was tun?
Sicherheit ist nicht nur IT-Strategie
Zunächst einmal müssen Unternehmen umdenken. Noch rüsten sie zwar gegen Angriffe von außen mit Schutzwällen auf, dabei vernachlässigen sie aber die Lücken im Inneren. Verbreiteste und dabei nicht geringste Nachlässigkeit ist, dass Smartphones noch immer als Telefone, nicht aber als Computer betrachtet und Updates als Eingriff in laufende Systeme gescheut werden. Eine Laissez-faire-Haltung, die angesichts der Risiken unangebracht ist.
Es gilt, die digitale Sicherheit aus der IT-Ecke heraus zu holen und zum Unternehmensthema zu machen. Um Vorstände und Aufsichtsräte an Stratgieentwickung und Optimierung von Sicherheitskonzepten aktiv zu beteiligen, schlägt Springer-Autor Marco Gercke die aus dem Militärbereich stammenden Simulationstechniken Red Teaming und Wargaming vor. Beim Red Teaming wird die Effizienz bestehender Konzepte und Strukturen überprüft, indem die Perspektive des Angreifers eingenommen wird. Wargaming simuliert die Gefahrensituation. "Gerade beim Interagieren mit Vorständen und Aufsichtsräten von Großunternehmen hat sich der Simulationsansatz als besonders effektiv erwiesen", schreibt Gercke. Allerdings nur unter der Voraussetzung, "dass die Entscheidungsprozesse im Unternehmen realistisch abgebildet werden." (Seite 38)