Wer über die Digitalisierung spricht, sollte das Thema Sicherheit nicht vernachlässigen. Denn ein erfolgreicher Hacker-Angriff kann heute für ein Unternehmen existenzbedrohend sein. Darüber diskutierten Experten kürzlich auf dem Cyber-Security-Tag.
Die Digitalisierung schreitet voran, aber mit ihr auch die Cyberattacken. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) spricht mittlerweile von rund 400.000 Angriffen pro Tag auf IT-Infrastrukturen in Deutschland. Tendenz steigend, vor allem angesichts des Kriegs in der Ukraine. Das zusätzliche Problem: Die Attacken werden immer raffinierter und stellen sowohl Behörden und Unternehmen als auch Privatkunden vor immer größere Herausforderungen – und jeder kann betroffen sein, ob gezielt oder rein zufällig. Das Bundesamt für Sicherheit in der Informationstechnik beziffert den wirtschaftlichen Schaden inzwischen auf über 230 Milliarden Euro pro Jahr. Die Cyber-Inzidenz wird demnach zu einer der größten Geschäftsrisiken.
Vorbeugen ist besser als heilen, lautet ein altbekanntes Sprichwort. Und das gilt vor allem für den Schutz der IT-Infrastrukturen. Denn wenn erst einmal die Cyberangriffe erfolgreich waren und der Verlust wichtiger Geschäftsdaten vorliegt, kann ein Unternehmen sogar in seiner Existenz bedroht sein. Wie man sich schützen kann, wo die größten Schwachstellen liegen, welche Erfahrungen Betroffene gemacht haben und was daraus gelernt wurde, darüber diskutierten Fachleute aus Forschung, Politik und Wirtschaft, allen voran der IT-Branche, auf dem Cyber Security Day Anfang Juli in Saarbrücken.
Während es bei groß angelegten Angriffen auf Institutionen, Industriekonzerne oder Spitzenpolitiker oftmals um Spionage geht und die Angreifer großen Wert darauf legen, nicht erkannt zu werden, steckt hinter sogenannten Ransomware-Attacken oftmals das organisierte Verbrechen mit dem Ziel, viel Geld zu erpressen. Gelingt es diesen Angreifern zum Beispiel Trojaner in die Unternehmensnetzwerke zu schleusen, um die Daten bis zur Unkenntlichkeit zu verschlüsseln, ist es meist schon zu spät. Wohl dem, der dann gut vorgesorgt hat und seine wichtigen Geschäftsdaten doppelt und dreifach gesichert hat.
Stärkere Digitalisierung erfordert mehr Schutz
Die Einfallstore aus dem Internet sind riesig und treiben den IT-Verantwortlichen oftmals die Schweißperlen auf die Stirn. Das reicht von leicht zu knackenden Passwörtern über bösartige Anhänge in E-Mails, Schlupflöcher in den Netzwerken bis hin zu Schwachstellen in der Software. Die Vorgehensweise sei in vielen Fällen professionell und aus dem Ausland gesteuert, erklärt Vera Sikes vom BSI am Standort Saarbrücken. „Wir wollen mehr Digitalisierung, brauchen aber dafür auch den entsprechenden digitalen Schutz." Stefan Schneider, CIO beim Autozulieferer Eberspächer, kennt das ungute Gefühl, wenn sonntagmorgens der Worst Case aller IT-ler bittere Realität wird. Im vergangenen Jahr wurde das Unternehmen gehackt und per Ransomware ein groß angelegter Erpressungsversuch gestartet. „Obwohl wir auf solche Attacken vorbereitet waren, zuvor erstellte Notfallpläne aktiviert haben, haben wir mit den Folgen des Angriffs insgesamt zwei bis drei Monate zu tun gehabt", so Stefan Schneider. „Allein an drei bis vier Tagen musste zum Beispiel beim Wareneingang und -ausgang alles händisch eingegeben werden."
Hauptproblem ist und bleibt die entsprechende „Awareness", sprich das Bewusstsein für die Wichtigkeit von Cyber-sicherheit. „Das gehört auf die Ebene der Unternehmensführung", so Vera Sikes. Das BSI empfiehlt, rund 20 Prozent der IT-Gesamtkosten in die Sicherheit und den Schutz zu investieren. Die Risiko-abwägungen müssten vorab gemacht werden und konkrete Maßnahmen, was im Fall der Fälle zu tun ist, geplant sein. Dazu zählen auch einfache Maßnahmen wie aktuelle Telefonlisten, wer im Krisenfall sofort zu benachrichtigen ist.
Während große Unternehmen über eigene IT-Abteilungen mit entsprechenden Fachleuten verfügen, die im Idealfall wissen, was bei Cyberattacken zu tun ist, sind die Risiken, Opfer eines Angriffs zu werden, für kleinere und mittlere Unternehmen keinesfalls geringer. Im Gegenteil: Sie müssen oftmals Rat und Tat von außen einholen, sprich sich vertrauensvolle IT-Partner am Markt suchen. Eine große Hilfe für hiesige Unternehmen und Privatpersonen könnte dabei das Cyber-Sicherheitsnetzwerk Saarland sein, das Wirtschaftsminister Jürgen Barke auf dem Cyber Security Day offiziell vorstellte. Kern dieses Netzwerks ist die digitale Rettungskette, die bei IT-Sicherheitsvorfällen Unterstützung bieten soll. Entlang dieser Rettungskette mit mehreren Eskalationsstufen stellen zertifizierte IT-Sicherheitsdienstleister Betroffenen ihr Know-how zur Behebung von Störfällen zur Verfügung. Das Saarland sei bundesweit die zweite Region mit einem solchen Angebot, das gemeinsam mit dem BSI entwickelt wurde, freute sich Jürgen Barke. Das BSI ist seit Juni 2021 im Saarland im Forschungsumfeld der Universität präsent und hat als Schwerpunktaufgabe die Sicherheit in der Künstlichen Intelligenz. Mit seinen geplanten 30 Mitarbeiterinnen und Mitarbeitern dient es quasi als Schnittstelle zwischen dem Helmholtz-Zentrum für Cybersicherheit (Cispa) und dem Deutschen Forschungszentrum für Künstliche Intelligenz (DFKI).
Digitale Rettungskette vorgestellt
Zwar verfügen die Konzerne über viel IT-Know-how, sind dafür aber oftmals sehr komplex und international aufgestellt. Daniel Sauder, zuständig für IT-Sicherheit bei Thyssenkrupp, sieht deshalb die Vernetzung im Unternehmen, die Kommunikation und das Vertrauen bei den Mitarbeiterinnen und Mitarbeitern als wichtige Voraussetzungen an, um den digitalen Schutz voranzutreiben. „SAP, Windows, Datenbanken, niemand weiß immer alles über die im Einsatz befindlichen komplexen IT-Systeme in einem Konzern mit vielen Tochterunternehmen im In- und Ausland", erklärt Sauder. „Reden miteinander hilft." Die Integration der verschiedenen IT-Lösungen auf einer Plattform, wie sie Fabian Stalter von Microsoft befürwortet, wäre zwar für den digitalen Schutz einfacher zu handeln, sei aber aufgrund der Komplexität der verschiedenen IT-Systeme in der Praxis schwierig umzusetzen.
Der Cyber Security Day sollte dazu dienen, das Thema sichtbarer zu machen und die Aufmerksamkeit dafür zu erhöhen. In einigen Unternehmen ist dies immer noch eine schwierige Aufgabe. Doch klar ist: Wer sich jetzt nicht kümmert, hat im Falle eines Angriffs massive Schwierigkeiten.