Die Bedrohung durch Cyberattacken nimmt seit Jahren rasant zu.
Der Russland-Ukraine-Konflikt zeigt, wie präsent die Bedrohung durch Cyberangriffe zum Beispiel im Hinblick auf kritische Infrastrukturen (KRITIS) ist – der Krieg hat somit auch eine digitale Dimension.
Durch die COVID-19-Pandemie wurde die Digitalisierung stark beschleunigt. Das bietet Vorteile für Unternehmen und deren Beschäftigte, die digital, schneller, effizienter und mobil arbeiten können. Jedoch ergeben sich dadurch ebenso neue Einfallstore für Cybercrime. Im Rahmen des Internet of Things (IoT) und Industrial Internet of Things (IIOT) nimmt die Vernetzung unterschiedlichster Geräte stetig zu. Die damit potenziell verbundenen Risiken sind vielen Nutzern indes nicht unbedingt bewusst. So kann die Fragilität der Systeme steigen. Die steigende Konvergenz in Industrieunternehmen zielt darauf ab, nahezu alles mit IT zu verbinden. Dadurch sollen Prozesse rationalisiert, Antwortzeiten verkürzt, die Produktion kontrolliert oder das Ressourcenmanagement optimiert werden. Doch mit der zunehmenden Vernetzung z.B. von Fabriken, vergrößert sich auch die Angriffsfläche. Mit Industrie 4.0 und der Vernetzung sämtlicher Objekte, wird die Fabrik zu einer Smart Factory – einer vernetzten Umgebung basierend auf Sensoren. Diese digitale Transformation darf bei allem Fortschrittsstreben nicht auf Kosten von Cybersecurity und Datenschutz gehen. Ansonsten entstehen unkalkulierbare Risiken.
I. Deutsche Wirtschaft erleidet 223 Milliarden Euro Schaden durch Cyberattacken allein im Jahr 2021
Im letzten Jahr verzeichneten IT-Experten eine Rekordanzahl an Cyberangriffen. Laut einer Studie des Digitalverbands Bitkom von 2021 erlitt die deutsche Wirtschaft im Jahr 2021 einen Gesamtschaden von 223 Milliarden Euro durch Cyberattacken. Noch vor wenigen Jahren war die Schadenssumme nur halb so hoch. Fast 90% aller Unternehmen in Deutschland waren 2021 von Cyberangriffen tangiert. Hauptziel der Angreifer ist die Monetarisierung durch Erpressung (Datenverschlüsselung gepaart mit Androhung von Veröffentlichungen). Fälle von Datendiebstahl können nicht nur zu Reputationsschäden führen, sondern existenzgefährdend sein. Aus Unternehmenssicht erscheint es daher wichtiger denn je, ein diesbezügliches Bewusstsein zu haben und entsprechende präventive Schutz- sowie Reaktionsmaßnahmen in Bezug auf Cyberattacken zu implementieren.
II. Was ist Cybercrime?
Es existiert keine eindeutige Definition von Cybercrime und Cyberattacken. Die Angriffe können unterschiedlich motiviert sein. Alle Cyberattacken werden über das Internet ausgeführt mit dem Ziel die Kontrolle über fremde IT-Systeme zu erlangen.
Zunächst müssen die Angreifer Zugang zu den Systemen erlangen, z.B. durch:
- Social Engineering (Ziel: Menschen so zu manipulieren, dass sie sensible Informationen offenlegen), beispielsweise in Form von Phishing-Mails oder Vishing (manipulierte Telefonanrufe)
- Manipulation von Webseiten, sodass Besucher unwissentlich einen Schadcode herunterladen (“Drive-by-Download”)
Im nächsten Schritt nutzen die Täter die Systeme aus, beispielsweise in Form von:
- Ransomware-Angriffen, hierbei infizieren Cyber-Angreifer andere Systeme mit Schadsoftware (Malware), um Daten zu verschlüsseln und um Daten zu gewinnen. Im Anschluss fordern sie – oft verbunden mit der Aussicht auf Wiedererlangung des Zugangs zu den Daten – Lösegeld von den betroffenen Unternehmen. Dabei kann es zur kompletten Blockade von IT-Systemen im Unternehmen kommen. So können die gesamten IT-gestützten Arbeits- und Geschäftsprozesse im Unternehmen zum Erliegen gebracht und Druck aufgebaut werden, z.B. durch Androhung der Veröffentlichung von Daten oder des Anschwärzens bei Kunden, Konkurrenten oder Behörden, um das Unternehmen zu erpressen.
- Missbrauch der technischen Einrichtung für weitere Angriffe (beliebt bei Kaperung von IoT-Devices)
- Abschöpfen von Rechenleistung für Kryptomining (Bitcoin et.al.)
- Missbrauch der Datenspeicher zur Verbreitung illegaler Inhalte
Bitkom-Präsident Achim Berg konstatiert besorgt: „Die Wucht, mit der Ransomware-Angriffe unsere Wirtschaft erschüttern, ist besorgniserregend und trifft Unternehmen aller Branchen und Größen“.
Das gilt es in ausreichendem Maße zu berücksichtigen, denn bis dato geben Unternehmen laut Bitkom lediglich 7 % ihrer IT-Mittel für IT-Sicherheit aus. Das wird der Bedrohungslage nicht gerecht und somit besteht Handlungsbedarf.
III. Omnipräsentes Risiko von Cyberattacken und Haftungsfolgen für Unternehmen
Nahezu jedes Unternehmen kann heute Opfer einer Cyberattacke werden. Wenn Hacker die Kontrolle über die IT eines Unternehmens erlangen oder diese lahm legen sowie Daten stehlen, geht das mit hohen Kosten für die Beseitigung der daraus resultierenden Betriebsstörung und negativer Reputation einher.
Im Falle einer erfolgreichen Cyberattacke können Mitarbeiter für ihr individuelles Fehlverhalten haftbar gemacht werden. Hat die Unternehmensleitung jedoch – z.B. durch mangelndes Cyber-Risk-Management – kein adäquates, dem Stand der Technik entsprechendes IT-Sicherheitskonzept als Vorsorgemaßnahme im Unternehmen implementiert, kann auch sie in Haftung genommen werden. Für die Cyberattacke selbst ist das Management nicht verantwortlich, wohl aber kommt es zur Haftung, wenn die Schaffung einer sicheren IT-Umgebung unterblieb.
Eine Unternehmenshaftung kann bei mangelhaftem Schutz vor solchen Attacken durch das Unternehmen auch daraus resultieren, dass Angreifer Zugang zu personenbezogenen Daten, Geschäftsgeheimnissen oder anderen vertraulichen Dokumenten erlangen. Bei Nichteinhaltung von IT-Compliance-Vorschriften müssen Unternehmen daher mit hohen Bußgeldern rechnen.
Verstöße in Bezug auf personenbezogene Daten, die nicht mit der Datenschutzgrundverordnung (DSGVO) konform sind, können ebenfalls zu schwerwiegenden Haftungsfolgen für das Unternehmen führen. Hat das datenverarbeitende Unternehmen keine adäquaten Schutzmaßnahmen getroffen und bekommen Dritte so Kenntnis von personenbezogenen Daten, haftet das Unternehmen.
IV. Gefahren durch organisierte Kriminalität und Fehler eigener Mitarbeiter
Externe Angriffe durch organisierte Kriminalität tragen zur Bedrohungslage bei. Oftmals sitzen die Angreifer im Ausland und sind schwer haftbar zu machen. Es gibt ebenso indirekte Angriffe, z.B. auf Unternehmen innerhalb der eigenen Lieferkette des Unternehmens.
Häufig sind es aber auch die eigenen Mitarbeiter oder ehemalige Unternehmensangehörige, von denen schädigende Handlungen – meist unabsichtlich – ausgehen. Fehler lassen sich nicht vollumfänglich verhindern – weder in Bezug auf Systemschwachstellen noch hinsichtlich menschlichen Fehlverhaltens. In Unternehmen arbeiten Menschen, Menschen machen Fehler und sind teils für Manipulation anfällig. Das machen sich Täter im Rahmen von Social Engineering zunutze, was zu Cyber Risks führen kann. Mitarbeiter sollten in Bezug auf verdächtige Anrufe und E-Mails vorsichtig sein, vor allem was die Erteilung von Auskünften oder die Befolgung von Handlungsanweisungen betrifft. Es geht den Tätern meist darum, sensible Daten wie Passwörter abzugreifen. Teils fehlt bei Mitarbeitern das Bewusstsein, die Aufmerksamkeit und die nötige Sensibilisierung in Bezug auf Cyber Risks compliant zu agieren.
Solche Fehler können die gesamte Betriebsfähigkeit eines Unternehmens beeinträchtigen. Daher sind neben präventiven Sicherheitsmaßnahmen auch die Erkennung von Sicherheitsvorfällen als Resultat von Fehlern sowie die Reaktion darauf mittels geschaffener Notfallmanagementprozesse für den Ernstfall von Relevanz.
Das Arbeiten im Home Office hat die Situation zusätzlich verschärft. So gibt es IT-Sicherheitsvorfälle, die eindeutig auf die Tätigkeit im Home Office zurückzuführen sind. Meistens aufgrund einer mangelnden Sicherung der Geräte und Kommunikationskanäle zum Unternehmen. Es ist zwingend erforderlich, dass der Kommunikationstunnel sicher ist, Personen ordnungsgemäß authentifiziert werden und der Austausch verschlüsselt ist.
V. Besserer Schutz vor Cyberattacken – Cyber Risk Literacy
Im Kampf gegen Cyberattacken sind Maßnahmen der Politik, des Gesetzgebers und von Unternehmensseite gefragt. So sollte beispielsweise verstärkt gegen ausländische Cyberattacken vorgegangen werden und die EU beim Thema Cybersecurity enger zusammenarbeiten. In Deutschland gibt es im Bereich der Cyber-Sicherheitsarchitektur viele unterschiedliche Akteure auf verschiedenen Ebenen.
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) als primäre Anlaufstelle bietet Unternehmen Dienste und Hilfestellungen an. Auch können Unternehmen Teilnehmer bei der Allianz für Cyber-Sicherheit (ACS) werden und so relevante Informationen, z.B. zur aktuellen Cyber-Bedrohungslage erhalten.
Problem: Diese Angebote sind meist zu wenig bekannt und werden somit nicht in ausreichendem Maße genutzt. Von Unternehmensseite sollte Interesse bestehen sich in das Thema Cybersecurity bereits im Vorfeld eines Angriffes einzuarbeiten. Es bedarf einer Vorbereitung auf den Ernstfall.
Jedes Unternehmen sollte sich mit den folgenden drei Aspekten beschäftigen: Prevention, Detection, Reaction.
- Prevention: Unternehmen müssen sich auf Angriffe vorbereiten und ihre Systeme schützen (Absicherung mit Firewall, Einrichtung von VPN-Tunneln, etc.). Kontakte zu Unternehmen, die im Notfall unterstützen können, sollten aufgebaut werden. Auch die Bereithaltung einer Notfall-IT ist erforderlich und Teil eines funktionierenden Notfallmanagements.
- Detection: Woran erkenne ich einen Angriff und dessen Zeitpunkt?
- Reaction: Wie gehe ich mit einem eingetretenen Vorfall adäquat um?
Cyber Risk Literacy sollte künftig nicht nur eine Kompetenz von Cyber-Sicherheits-Fachleuten sein, sondern in Unternehmen und der Gesellschaft insgesamt zunehmen. Schlüsselfaktoren für Cyber Risk Literacy sind die Schaffung eines Bewusstseins für die Bedrohung durch Cyberattacken. Zudem sollte Cyber Risk Literacy als integrativer Bestandteil von Bildungssystemen etabliert und die Cyber Risk Literacy von Mitarbeitern gesichert sein.
VI. Cyber-Resilienz als Schutzmöglichkeit im Umgang mit Cyberattacken
Der Begriff der Resilienz ist vor allem aus der Psychologie (psychische Widerstandsfähigkeit einer Person) und den Ingenieurswissenschaften (Fähigkeit von technischen Systemen, bei einem Teilausfall nicht völlig zu versagen) bekannt. Immanent ist dem Begriff der Resilienz also die Widerstandsfähigkeit.
Die Bafin definiert Cyber-Resilienz als „die Widerstandsfähigkeit von Unternehmen gegen Angriffe auf die Sicherheit ihrer Informations- und Kommunikationstechnik (IKT).“
Im Rahmen von Cybersecurity ist der Schutz des Systems durch Abwehr von Cyberangriffen von zentraler Bedeutung.
Hier soll die Cyber-Resilienz Abhilfe schaffen, denn neben der Prävention von Angriffen soll auch das Aufrechterhalten bzw. die Wiederherstellung der laufenden Betriebsfähigkeit des Unternehmens gesichert werden. Es geht also darum, wie ein Unternehmen einen Cyberangriff möglichst gut kompensieren kann.
Ein Cyber-Resilienz-Plan für Unternehmen sollte folgende Komponenten enthalten:
Threat Protection (Bedrohungsschutz), Adaptability (Anpassungsfähigkeit), Durability (Beständigkeit) sowie Recoverbility (Fähigkeit zur Wiederherstellung).
Ein Unternehmen mit einem guten Cyber-Resilienz-Konzept kann den Schaden optimalerweise auf ein Minimum begrenzen.
Besonders wichtig, um als Unternehmen angemessen auf Angriffe reagieren zu können, sind:
- Ein funktionierender Backup-Prozess (inklusive regelmäßiger Tests zur Wiederherstellbarkeit der Daten und Systeme)
- Eine solide IT-Infrastruktur (mit so wenig Schwachstellen wie möglich)
- Eine optimale Abstimmung von Prozessen
- Die Etablierung von Regeln und Richtlinien im Bereich Cybersecurity
- Geschulte Mitarbeiter
- Eine frühzeitige Meldung bzw. Erkennung eines Cyberangriffs (wirkt sich meist positiv auf die Schadensfolgen aus)
- Die Etablierung von Notfallmanagementprozessen
- Die Erstellung eines detaillierten Schadensberichts
- die Hinzuziehung der Ermittlungsbehörden
Um nachhaltig resilienter zu sein, müssen IT-Security-Spezialisten ein Konzept zur Cyber-Resilienz des Unternehmens erstellen und implementieren. Mit dem Ziel, die Angriffsfläche zu verkleinern, die IT-Sicherheit zu stärken und Prozesse zu etablieren, die im Falle einer erfolgreichen Attacke greifen. Hierbei ist Cyber-Resilienz ein Prozess der kontinuierlichen Verbesserung.
Individuelle und umfassende Cyber-Resilienz-Konzepte können für Ihr Unternehmen entwickelt werden. Sprechen Sie unsere Berater gerne an.
Unser exklusiver Datenschutz Downloadbereich bietet zusätzliche Tipps zum Umgang mit Cyberangriffen sowie zur Sicherstellung der Cybersicherheit im eigenen Unternehmen.
VII. Überragende Bedeutsamkeit von Mitarbeiterschulungen
Zur Vorbeugung von Anwenderfehlern müssen Mitarbeiter regelmäßig Schulungen zu IT-Sicherheit und zur Bedrohung durch Cyberattacken erhalten. Dadurch erhöht sich die Cyber-Resilienz des Unternehmens. Unaufmerksamkeit gepaart mit Unwissenheit über Angriffsszenarien können sonst fatale Folgen haben. Sind unterschiedliche Cyber-Bedrohungen bekannt, können Mitarbeiter diese viel leichter erkennen und adäquat darauf reagieren. Es gilt eine positive Fehlerkultur im Unternehmen zu schaffen. Mitarbeiter sollten die Möglichkeit haben aus Fehlern zu lernen, statt sie aus Angst vor möglichen Sanktionen zu verschweigen. Schulungen zu Cyber-Resilienz klären z.B. über Phishing-E-Mails und das Erkennen von ungewöhnlichem System-Verhalten auf. Zudem wird aufgezeigt, welche Schritte im Falle einer erfolgreichen Cyber-Attacke zu befolgen sind.
Schlussendlich ist das Ziel einer cyber-resilienten Unternehmenskultur eine sicherheitsbewusste Umgebung zu schaffen, die Cyberattacken verhindert, indem menschliche Fehler auf ein Minimum reduziert werden.
VIII. Fazit
Die Mehrzahl deutscher Unternehmen, insbesondere mittlere Unternehmen, rechnen generell mit einem weiteren signifikanten Anstieg von Cyberattacken. Um als Unternehmen künftig gegen Cyberattacken gewappnet zu sein, ist ein Aufbau von Cyber-Resilienz im Rahmen eines Cyber-Risk-Managements unabdingbar. Es gilt dabei, die rechtlichen Anforderungen an Cyber-Risk-Compliance zu beachten. Genauso sollte die Awareness für solche Angriffe, deren Prävention und Impact in den Köpfen der Mitarbeiter verankert werden.
Nora Lynn Rodiek, Dipl.-Jur. & B.Sc. (Univ.), Senior Consultant & Legal Counsel bei der mip Consult GmbH, Studium: Jura & Wirtschaftswissenschaften. Datenschutzbeauftragte (DEKRA), Fachkraft für Datenschutz (DEKRA), Betrieblicher Gesundheitsmanager (TÜV).
Wir unterstützen Sie beim Schutz vor Cyberattacken und der Sensibilisierung Ihrer Mitarbeiter in Bezug auf Cyber-Risks (z.B. in Form von unternehmensinternen Schulungen). Bei Bedarf sprechen Sie uns gerne an.