Cyberattacken: So verwundbar ist die digitale Wirtschaft

Zudem bieten Cloud Computing, Internet der Dinge (IoT), Virtualisierung, offene Schnittstellen (APIs) und IT-Systeme Angriffspunkte, die intelligent abgesichert werden müssen. Deshalb müssen die Fragen im Fokus stehen: Wie können wir uns vor Spionage, Datendiebstahl und Cyberkriminalität schützen? Wie verwundbar ist die digitale Wirtschaft durch Cyberattacken? Wie können mögliche Angriffe sicherer gemacht werden? Besonders gefährdet sind „kritische Infrastrukturen“ wie Verkehrsnetze, Telekommunikation, Energiekonzerne, Wasserwerke, Krankenhäuser und Banken.

Der Herausgeberband „CSR und Digitalisierung“ zeigt, dass die digitale Vernetzung für Unternehmen Chance und Risiko zugleich ist, denn wenn sie etwas digitalisieren, öffnen sie auch mögliche Einfallstore für Angreifer. Viele sind unsichtbar – etwa, wenn Hacker nicht Unternehmen selbst angreifen, sondern einen Dienstleister, dessen Mailprogramm genutzt wird, „um präparierte Dokumente an das eigentliche Ziel zu schicken.“ Das wird häufig nicht in den Blick genommen, obwohl die Hacker eine Vielzahl von Informationen sammeln können, um einen Konzern lahmzulegen.

600 Milliarden Dollar Schäden (516 Mrd. Euro) entstanden durch Cyberattacken weltweit im Jahr 2017. Bei vernetzten Maschinen haben Kriminelle über das Internet nicht mehr nur bessere Möglichkeiten, auf einen Computer im Unternehmen zuzugreifen, sondern können in Einzelfällen auch sogar den gesamten Maschinenpark attackieren. Das betrifft auch Daten, die die Basis von Geschäftsmodellen sind.

Die größte Gefahr gehe nach Angaben der IT-Sicherheitsfirma McAfee und dem Zentrum für Strategische und Internationale Studien (CSIS) von russischen und nordkoreanischen Hackern aus. Auch das Allianz-Risk-Barometer sieht IT-Ausfälle und Verletzungen des Datenschutzes als eine der größten Bedrohungen überhaupt an. Der Schutz vor Datenverlusten oder -pannen aufgrund von technischen Problemen, Datendiebstahl oder Virenangriffen ist unerlässlich – das gilt gleichermaßen für den rechtlichen Datenschutz und die Achtung der Privatsphäre. Fehlende Regelungen zum Datenschutz und zur Datensicherheit werden die Schäden aus Cyberkriminalität und der Verletzung von Persönlichkeitsrechten weiterhin stark ansteigen lassen.

Nach Angaben des russischen Präsidenten Putin kam es während der Fußball-WM zu rund 25 Millionen Cyberattacken auf das Gastgeberland. Auch Deutschland ist betroffen. Laut der Studie „IT-Security-Trends in Deutschland 2018“ verzeichneten zwei Drittel der befragten Unternehmen in den vergangenen Monaten Sicherheitsvorfälle. Durchgeführt wurde die Studie das Marktforschungs- und Beratungsunternehmen International Data Corporation (IDC) – TA Triumph-Adler war als Kooperationspartner beteiligt. Demnach hat sich im Zuge der Digitalisierung die Sicherheitslage verschärft. Zwar wachse bei Unternehmen das Verständnis für den Nutzen moderner, ganzheitlicher IT-Security, die Umsetzung lasse jedoch weiterhin zu wünschen übrig. Außerdem sind nach wie vor die eigenen Mitarbeiter auch durch mangelnde Awareness das Sicherheitsrisiko Nummer 1.

Laut IDC würden Cyberattacken immer ausgefeilter und ließen sich mit vorhandenen Schutzmechanismen immer schlechter parieren. Gesetzliche Vorgaben, Regelwerke, Compliance-Anforderungen und der damit verbundene Datenschutz (z. B. EU-DSGVO) sowie die Absicherung von IT-Systemen, die in kritischen Infrastrukturen (Kritis) betrieben werden, würden ebenfalls neue Investitionen nötig machen.

Bei den 67 Prozent der Unternehmen mit Sicherheitsvorfällen waren am häufigsten PC und Notebooks (34 Prozent), Netzwerke (31 Prozent) sowie Smartphones und Tablets (30 Prozent) betroffen. Das ist laut IDC vor allem deshalb kritisch, weil diese als Einfallstor in das Rechenzentrum genutzt werden. Aber auch die Rechenzentren selbst (29 Prozent) und Server (28 Prozent) waren ebenso wie Drucker (MFP), Sensoren und IoT betroffen.

Dabei sei der Anwender potenzielles Angriffsziel. Der Mitarbeiter rangiere nach wie vor auf Platz 1 bei den größten Risiken, gefolgt von unzureichend gesicherten Endpoints (37 Prozent) und Angriffen von Cyber-Kriminellen, so die Marktforscher. Das Anwender-Fehlverhalten sowie mangelnde Awareness – etwa für die Gefahr von Phishing-Mails, Downloads oder Geräteverlusten – hätten Externen demnach in den vergangenen Monaten den Zugang zu Firmendaten erleichtert.

Leider haben nur 58 Prozent der Firmen ein zentrales Konzept und einen Gesamtlösungsansatz für Informationssicherheit, der alle Systeme und Geräte umfasst. Weniger als der Hälfte der befragten Unternehmen ist der Schritt der Neubewertung ihrer IT-Security vom vorherrschenden „Prevent and Protect“, also der eher reaktiv orientierten Sicherheitslandschaft hin zu „Detect and Respond“ bisher gelungen. Letztere zielt auf eine kontinuierliche Echtzeitüberwachung ab. Demnach hätten nicht einmal 50 Prozent ihre Security-Prozesse umfassend automatisiert. Dadurch würden Potenziale wie beschleunigte Abläufe, eine höhere Transparenz, die Verringerung manueller Fehler sowie die Entlastung der Mitarbeiter weitestgehend nicht genutzt.

Security-Silos wie Endpoint-, Messaging-, Network- und Web-Security können keinen ausreichenden Schutz mehr bieten, so die Einschätzung von IDC. Immerhin betrachten zwei Drittel der befragten Unternehmen die Integration für bessere Schutz- und Abwehrfähigkeiten als erforderlich und haben erkannt, dass ein integrativer Ansatz besser als die Summe aller Security-Lösungen schützt. Dementsprechend stehe in der Bewertung der verschiedenen Security-Prozessthemen die Integration an erster Stelle und unterstreiche die Relevanz für die Anwender. Dennoch mangelt es auch hier mit der Umsetzung.

Weiterführende Informationen:

Die Zusammenfassung der Studie mit konkreten Handlungsempfehlungen zum kostenlosen Download

CSR und Digitalisierung. Der digitale Wandel als Chance und Herausforderung für Wirtschaft und Gesellschaft. Hg. von Alexandra Hildebrandt und Werner Landhäußer. SpringerGabler Verlag. Berlin Heidelberg 2017.