Cyberrisiken sind auch Unternehmensrisiken
Der Klimawandel steht an erster Stelle im Future Risks Report 2021 der Versicherungsgesellschaft Axa. Es folgen im Geltungsbereich Europa Cyberrisiken, Pandemien und geopolitischen Risiken.
In den USA sind Cyberrisiken auf dem ersten Platz 1, in Asien, Afrika stehen sie ebenfalls vor den Risiken des Klimawandels. Auch viele deutsche Unternehmen, vor allem KMU, sind zunehmend von Hackerangriffen betroffen. Sie werden im Zuge der Digitalisierung immer anfälliger für Cyberkriminalität, denn eine umfassende Prozessautomatisierung und das Agieren in Ökosystemen mit Partnern, Lieferanten und Kunden gehen mit einer Vernetzung von IT und IP-basierten Geräten Hand in Hand. Zudem bieten Cloud-Computing, Internet der Dinge (IoT), Virtualisierung, offene Schnittstellen (APIs) und IT-Systeme Angriffspunkte, die intelligent abgesichert werden müssen. Deshalb müssen die Fragen im Fokus stehen: Wie können wir uns vor Spionage, Datendiebstahl und Cyberkriminalität schützen? Wie verwundbar ist die digitale Wirtschaft durch Cyberattacken? Wie können mögliche Angriffe sicherer gemacht werden? Besonders gefährdet sind kritische Infrastrukturen wie Verkehrsnetze, Telekommunikation, Energiekonzerne, Wasserwerke, Krankenhäuser und Banken.
Die digitale Vernetzung für Unternehmen ist Chance und Risiko zugleich, denn wenn sie etwas digitalisieren, öffnen sie auch mögliche Einfallstore für Angreifer
Viele sind unsichtbar – etwa wenn Hacker nicht Unternehmen selbst angreifen, sondern einen Dienstleister, dessen Mailprogramm genutzt wird, „um präparierte Dokumente an das eigentliche Ziel zu schicken“. Das wird häufig nicht in den Blick genommen, obwohl die Hacker eine Vielzahl von Informationen sammeln können, um einen Konzern lahmzulegen. Bei vernetzten Maschinen haben Kriminelle über das Internet nicht mehr nur bessere Möglichkeiten, auf einen Computer im Unternehmen zuzugreifen, sondern können in Einzelfällen auch sogar den gesamten Maschinenpark attackieren. Das betrifft auch Daten, die die Basis von Geschäftsmodellen sind.
Die größte Gefahr gehe nach Angaben der IT-Sicherheitsfirma McAfee und dem Zentrum für Strategische und Internationale Studien (CSIS) von russischen und nordkoreanischen Hackern aus. Auch das Allianz-Risk-Barometer sieht IT-Ausfälle und Verletzungen des Datenschutzes als eine der größten Bedrohungen überhaupt an. Der Schutz vor Datenverlusten oder -pannen aufgrund von technischen Problemen, Datendiebstahl oder Virenangriffen ist unerlässlich – das gilt gleichermaßen für den rechtlichen Datenschutz und die Achtung der Privatsphäre. Fehlende Regelungen zum Datenschutz und zur Datensicherheit werden die Schäden aus Cyberkriminalität und der Verletzung von Persönlichkeitsrechten weiterhin stark ansteigen lassen.
Die Angriffe lassen sich mit vorhandenen Schutzmechanismen immer schlechter parieren. Gesetzliche Vorgaben, Regelwerke, Compliance-Anforderungen und der damit verbundene Datenschutz sowie die Absicherung von IT-Systemen, die in kritischen Infrastrukturen (Kritis) betrieben werden, machen ebenfalls neue Investitionen nötig. In der Studie „Digital Trust Insights 2022“ befragte die Wirtschaftsprüfungs- und Beratungsgesellschaft PwC weltweit über 3600 Führungskräfte aus Wirtschaft und Technologie zu den Herausforderungen und Chancen im Bereich Cybersicherheit. Die wichtigsten Ergebnisse:
57 % von fünf Befragten in Deutschland meinen, dass Cyberkriminalität im kommenden Jahr im Vergleich zu 2021 zunehmen wird – vor allem in den Bereichen Mobile (56 %), IoT (59 %) und Cloud (58 %).
59 % erwarten einen Anstieg von Ransomware-Angriffen, knapp genauso viele gehen von zunehmender Malware durch Software-Updates (58 %) und mehr Angriffen auf Cloud-Services (57 %) aus.
Vier von fünf IT-Führungskräften in Deutschland sehen die Komplexität in ihren Unternehmen auf einem zu hohen Level (damit verbunden sind Risiken für die Bereiche Cybersicherheit und Datenschutz).
Für 21 % (global: 26 %) stellt die Quantifizierung von Cyberrisiken einen integralen Bestandteil ihres Betriebsmodells dar.
Die Regulierung von Investitionen in Technologien, aber auch Cloud-Umgebungen halten 85 bzw. 77 Prozent der deutschen Befragten für zu komplex. Es wird vermutet, dass die Unternehmen deshalb nicht optimal gegen Cyberangriffe geschützt sind (fehlende Resilienz, finanzielle Verluste und mangelnde Innovationsfähigkeit).
Innerhalb des eigenen Unternehmens konnten 72 % ihre Geschäftsumgebung in den letzten zwei Jahren vereinfachen (Rationalisierung von Technologien).
Rund ein Drittel (32 %) der Führungskräfte in Deutschland verstehen die IT- und Software-Risiken in ihrer Lieferkette wenig oder gar nicht.
Die Verhältnisse zu Sub-Dienstleistern sind für 30 % der Befragten undurchsichtig, ebenso wie zu Anbietern von Cloud-Lösungen (29 %), IoT oder anderer Technologien (28 %).
38 % der Befragten gaben an, dass sie in den letzten zwölf Monaten Audits bei Zulieferern durchgeführt haben, um die Sicherheitslage und Compliance einzuschätzen.
Etwa ein Drittel der befragten Unternehmen verfügt über ein vollständiges Data-Governance-Programm.
In Deutschland betrachten weniger Befragte (21 %) eine Threat Intelligence in Echtzeit als wesentlich für ihr Cyber-Security-Betriebsmodell als weltweit (30 %).
CEOs engagieren sich vor allem bei der Berichterstattung zu Cybervorfällen für Aufsichtsbehörden, auch nach Cyberangriffen auf die eigene Organisation oder Branche werden sie selbst aktiv.
Die Unternehmen, deren CEOs sich engagieren und den Bereich Cybersicherheit für wachstums- und vertrauensrelevant halten, haben in den letzten zwei Jahren signifikant häufiger Fortschritte bei der Digitalisierung gemacht.
Unternehmen sollten die Sicherheitslage immer ganzheitlich betrachten, denn die reine Risikobewertung als Momentaufnahme hat bei der heutigen Bedrohungslage ausgedient (an ihre Stelle tritt ein Risiko-Reporting in Echtzeit).
CEOs sollten eine Vorreiterrolle bei der Cybersicherheit einnehmen und Vertrauen in Sicherheit und Resilienz schaffen (Richtungsvorgaben).
Unternehmen sollten Daten und Automatisierung nutzen, um ihre Prozesse effizienter zu gestalten. Dabei führen Prozessvereinfachungen und zugehörige Systeme dazu, Cyberrisiken schneller zu erfassen und IT-Sicherheit besser zu gewährleisten.
Um die Cybersicherheit unternehmensweit zu verbessern, macht es Sinn, das Target Operating Model für Informationssicherheit nochmals strategisch herzuleiten und organisatorisch zu verankern.
CEOs können Cyberrisiken effektiv managen, indem sie diese quantifizieren und damit Investitionen gezielt an den Stellen tätigen können, wo die größten Effekte zu erwarten sind.
„Digitalisierung darf nicht auf Kosten der Sicherheit geschehen – Cyber Security ist eine zentrale Aufgabe des Staates und der Gesellschaft.“ (Judith Gerlach)
Judith Gerlach: Vorwort. In: CSR und Digitalisierung. Der digitale Wandel als Chance und Herausforderung für Wirtschaft und Gesellschaft. Hg. von Alexandra Hildebrandt und Werner Landhäußer. SpringerGabler Verlag. 2. Auflage. Berlin Heidelberg 2021.