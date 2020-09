Die Gefährdungslage

Unternehmen werden häufiger zum Ziel von Cyberangriffen, die verschiedenen Zielen dienen: Datendiebstahl, Industriespionage, Sabotage und Erpressung verursachen Schäden in Milliardenhöhe, vor allem die IT ist von den Attacken betroffen.

Branchenunterschiede bei Cyberkriminalität

Laut Branchenverband Bitkom bestehen zwischen den Branchen jedoch Unterschiede. Vorrangige Ziele unter den deutschen Unternehmen waren in den vergangenen Jahren die Chemie- und Pharmabranche (74 Prozent betroffene Unternehmen) und die Automobilbauer (68 Prozent). Daneben waren Betriebe aus dem Bereich Maschinen- und Anlagenbau (67 Prozent) und Hersteller von Kommunikations- und Elektrotechnik (63 Prozent) Angriffen ausgesetzt.

Dabei handelt es sich um bestätigte Attacken. In allen betroffenen Wirtschafts- und Industriezweigen gibt es jeweils zwischen 18 und 22 Prozent an Fällen vermutlicher Cyberangriffe. Der Grad der Digitalisierung spielt laut der Bitkom-Studie „Wirtschaftsschutz in der Industrie“ zwar eine Rolle, aber nicht in der zu erwartenden Weise: Firmen mit niedrigem Digitalisierungsniveau werden häufiger angegriffen (71 Prozent) als solche mit hohem Digitalisierungsniveau (64 Prozent).

Je wichtiger das Thema Digitalisierung in Unternehmen ist, desto präsenter ist die Sicherheitsproblematik, so die These. Mit steigendem Digitalisierungsgrad erhöhen die Betriebe daher sukzessive die Sicherheitsvorkehrungen, um mögliche Lücken frühzeitig zu schließen.

Gefährdungslage bleibt angespannt

Eine Entwarnung gibt es für Unternehmen jedoch keineswegs. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) beurteilt die Gefährdungslage weiterhin als angespannt– nicht nur in der nationalen Perspektive. Vor allem die Dynamik der Angreifer und die Weiterentwicklung der verwendeten Angriffsmethoden sorgen dafür, dass IT-Sicherheit ein kritischer Faktor bleibt.

Für die Unternehmen besteht die Schwierigkeit deshalb darin, mit solchen Entwicklungen Schritt zu halten, um adäquate Antworten auf verschiedenste Bedrohungen zu finden. Besonders problematisch ist in diesem Zusammenhang die Qualität dieser Bedrohungen. Die Zahl der Spam-Mails beispielsweise ist insgesamt rückläufig, die Gefährdung von Bürokommunikation und auch Produktivbereichen – ermöglicht durch die weitreichende Vernetzung von Unternehmensbereichen im Internet of Things (IoT) – bleibt aber unverändert hoch.

Diese Einschätzung gilt prinzipiell auch für andere Bedrohungen, unter denen Ransomware immer häufiger für gezielte Angriffe genutzt wird. Betroffen sind davon nicht nur Unternehmen, auch Behörden, öffentliche Einrichtungen und Privatanwender sind gefährdet. Die Folgen einer Attacke mit Ransomware reichen bis hin zu vollständigen Ausfällen von Geräten, Netzwerken oder sogar ganzen Produktionsanlagen.

Botnetze hingegen dringen zunehmend über mobile Endgeräte oder IoT-Systeme ein, als zusätzliche Angriffsfläche schätzt das BSI die weite Verbreitung von Cloud-basierten Infrastrukturen ein. Ein immer noch häufig verwendetes Mittel bleiben außerdem Phishing-Angriffe, wie eine PwC-Befragung zu Cyberangriffen gegen Unternehmen ergab – ihr Anteil liegt bei rund 75 Prozent, zusammen mit sonstiger Malware.

Abgesehen davon führt in vielen Fällen individuelles Verhalten von Nutzern zu Einfallmöglichkeiten für Cyberkriminelle.

Interne Probleme bei der Cyber-Sicherheit

Deshalb setzen Unternehmen zum Beispiel gelegentlich auf externe Dienstleister, die gezielte Phishing-Kampagnen durchführen. Sie fungieren als Test, um die Einhaltung der internen Sicherheitsvorgaben durch die Mitarbeiter zu überprüfen. Gleichzeitig soll das Personal für Sicherheitsprobleme sensibilisiert werden.

Unproblematisch sind solche Maßnahmen jedoch nicht, vor allem für das Verhältnis zwischen Unternehmensführung und Mitarbeitern. Es ist sogar möglich, dass die Kampagnen ihren Zweck gänzlich verfehlen und überhaupt kein besseres Sicherheitsverhalten bewirken. Experten vom Karlsruher Institut für Technologie (KIT) empfehlen daher, stattdessen in Aufklärung und vor allem die technische Aufrüstung zu investieren.

Dadurch lassen sich beispielsweise Sicherheitslücken schließen, die in Folge falsch oder gar nicht lizenzierter Software entstehen können: kein Support, eingeschränkte Funktionsweise, Strafzahlungen und eine vermeidbare Gefährdung der Systeme drohen bei fehlenden OEM-Lizenzen. Unter diesem Begriff werden Lizenzen für Programme zusammengefasst, die bei der Auslieferung eines Gerätes bereits vorinstalliert sind (OEM = Original Equipment Manufacturer).

Offizielle Partner von renommierten Software-Entwicklern und Anbietern von Betriebssystemen wie Microsoft helfen nicht nur bei der korrekten Lizenzierung, mit der kostspielige Sicherheitsmängel vermieden werden können. Unternehmen, die mit Microsoft-Programmen arbeiten, bietet Thomas Krenn als zertifizierter Kooperationspartner darüber hinaus die Möglichkeit, die verwendete Software individuell und mit bestmöglicher Kompatibilität an die Serverstrukturen anzupassen. Mit offiziellen Lizenzen erwerben Unternehmen somit Effizienz und Sicherheit gleichermaßen für ihre IT-Systeme – und schaffen so die Grundlage, um folgenschwere Schäden zu verhindern.

Schäden durch Cyber-Kriminalität

Unternehmen entstehen durch Cyber-Angriffe unterschiedliche Schäden:

Unterbrechungen der Betriebsabläufe

Schädigungen der Reputation

Diebstahl geistigen Eigentums

Wertverlust bei zukünftigen Transaktionen

Strafen durch die Regulierungsbehörden

Dies sind nur einige von weiteren negativen Auswirkungen, doch sie zeigen, dass die Folgen sowohl akut und kurzfristig spürbar sein können (unterbrochener Betrieb, beschädigte Produkte) als auch langfristig wirken. Das betrifft nicht nur das Image, sondern genauso Schwierigkeiten, in Zukunft vertrauensvolle geschäftliche Kooperationen zu gestalten. Auch der eigene Schutz wird schwieriger oder gar unmöglich, weil etwa Cyber-Versicherungen für ein Unternehmen mit offenkundigen Sicherheitsproblemen nicht vergeben werden.

Kosten in Folge von Cyber-Angriffen

Der finanzielle Schaden, der im Zuge von digitaler Wirtschaftsspionage, Sabotage und Datendiebstahl bei deutschen Industriekonzernen zwischen 2016 und 2018 entstanden ist, lag laut Bitkom bei etwa 43,4 Milliarden Euro.

Vor allem Imageschäden und negative Berichterstattung in den Medien belastete das Verhältnis zu Kunden und Lieferanten schwer, entsprechend ist der Schaden mit 8,8 Milliarden Euro in dieser Kategorie am höchsten.

Schadenssummen in ähnlichem Umfang sind durch Patentrechtsverletzungen entstanden, insgesamt 8,5 Milliarden Euro. Ausfälle, Diebstähle oder Beschädigungen von Informations- und Produktionssystemen sowie die Störung von Betriebsprozessen verursachten Schäden in Höhe von 6,7 Milliarden Euro.

Beträchtlich sind auch die Kosten für Ermittlungen und Ersatzmaßnahmen (5,7 Milliarden Euro), Umsatzeinbußen, weil entweder Wettbewerbsvorteile verloren gingen (4 Milliarden Euro) oder Plagiate erschienen (3,7 Milliarden Euro) sowie für folgende Rechtsstreitigkeiten (3,7 Milliarden Euro).

Das Beratungsunternehmen PwC hat, in der zuvor erwähnten Studie, ein noch differenzierteres Bild der Kosten gezeichnet, die Unternehmen nach einem Cyber-Angriff zu tragen haben. Berücksichtigt wurde in der Untersuchung beispielsweise, wie sich unterschiedliche Angriffsarten auf die entstehenden Kosten auswirken. Im Vergleich verursachen Ransomware und manuelles Hacking dabei den größten finanziellen Schaden.

Beide Untersuchungen machen aber außerdem deutlich, dass sich Unternehmen auf eine Vielzahl unterschiedlicher Methoden und weitreichende Folgen einstellen müssen.

Die Risikowahrnehmung

Eine dynamischere Entwicklung der Cyber-Kriminalität und hohe Kosten als Folge von Angriffen: Die Bedeutung von Sicherheitsvorkehrungen im digitalen Raum ist den Unternehmen vor diesem Hintergrund durchaus bewusst. Sie stehen daher oben auf den Agenden, um Infrastrukturen und Daten zu beschützen. Die konkrete Risikobewertung fällt dennoch vielfach zu optimistisch aus.

Wahrnehmung und Einschätzung von Risiken für die IT-Sicherheit

Untersuchungen vermitteln hinsichtlich der Risikoeinschätzung deutscher Unternehmen ein geteiltes Bild. Geschäftsführungen und Belegschaften sind sich zwar darin einig, dass ein Bewusstsein für mögliche Risiken vorhanden ist. Wenn es darum geht, die Wahrscheinlichkeit einzuschätzen, mit der diese Bedrohungen tatsächlich auftreten können, zeigt sich jedoch ein gewisser Optimismus.

Ungezielte Angriffe, die Schäden verursachen können, erwartet laut PwC-Umfrage nur rund ein Drittel der Unternehmen (31,5 Prozent), die Mehrheit schätzt ein solches Risiko als eher gering (49,9 Prozent) oder sehr gering (19,1 Prozent) ein. Noch deutlicher sind die Zahlen für das Risiko eines gezielten Angriffs: 93 Prozent der Unternehmen sehen in den kommenden 12 Monaten eine geringe oder sehr geringe Gefahr.

Einschätzung der eigenen Fähigkeiten im Umgang mit Cyber-Angriffen

Dabei zeigt die hohe Zahl betroffener Unternehmen, wie ernst die Gefährdungslage tatsächlich ist – selbst unter Berücksichtigung branchenspezifischer Abweichungen. Hinzu kommt, dass sich nur ein vergleichsweise kleiner Teil der Betriebe ein wirkliches Reifezeugnis in puncto Abwehr und Sicherheit ausstellen.

Noch kleiner ist der Anteil derer, die ihre Fähigkeiten bei Detektion, Prävention und Reaktion für sehr gut halten: Im Durchschnitt würden das nur rund 13 Prozent der befragten Unternehmen von sich behaupten.

Erkennung von Gefahren vielfach unzureichend

Die Experteneinschätzung weicht von der Selbstwahrnehmung der Firmen zumindest in einem Punkt ab. Während in der Prävention in Form von gängigen Maßnahmen wie Firewalls, Virenscannern und geschlossenen Netzwerken schon länger mit gewissen Standards gearbeitet wird, liegen die Probleme vor allem im Bereich der Gefahrenerkennung.

Dabei ist die Entdeckung von Angriffen aus mehreren Gründen ein essenzieller Bestandteil jeder digitalen Sicherheitsstrategie: Wie nicht nur das BSI zeigt, erfolgen Attacken auf Unternehmen auf sehr unterschiedlichen Wegen und die Zahl dieser Angriffe wird insgesamt nicht weniger. Dadurch erhöht sich die Wahrscheinlichkeit eines erfolgreichen Angriffs, zumal Vernetzung und Cloud-Dienste breitere Verwendung finden – die Angriffsflächen werden also zusätzlich größer.

Daneben hat die Detektion einen direkten Einfluss auf mögliche Schäden. Können Bedrohungen frühzeitig erkannt und abgewendet werden, reduziert sich automatisch das Ausmaß der ansonsten eingetretenen Schäden. In diesem Zusammenhang ist das Vertrauen von Kunden und Geschäftspartnern ein wichtiger Faktor, der bei durchgeführten Sicherheitsmaßnahmen berücksichtigt werden muss.

Aufrüsten für mehr Sicherheit

Aus den genannten Gründen – höhere Wahrscheinlichkeit professioneller Cyberangriffe, Sicherheit als Vertrauensbasis etc. – investieren Unternehmen weltweit mehr in den digitalen Schutz. In einer Befragung durch PwC gaben über zwei Drittel der Unternehmen an, mindestens 5 Prozent oder mehr der IT-Budgets für Sicherheitsmaßnahmen auszugeben, ein Drittel plant hierfür sogar 10 Prozent oder mehr ein.

Nach eigenen Angaben ist das eine Reaktion auf die qualitativen und fachlichen Anforderungen, die der Bereich IT-Sicherheit inzwischen erfordert. Gleichzeitig geht damit die Erkenntnis einher, bislang nicht ausreichend auf diese Anforderungen vorbereitet zu sein.

Entsprechend gehören auch personelle Veränderungen zu den meisten Sicherheitsstrategien, um die jeweiligen Abteilungen bestmöglich auf eine dynamische Gefährdungslage einstellen zu können. Daneben spielt die Einbeziehung Dritter eine Rolle in den Überlegungen der Unternehmen, um etwa Kapazitäten im Bereich der Gefahrenanalyse von spezialisierten Partnern ausfüllen zu lassen.

Unterschätzt wird in vielen Unternehmen die Bedeutung, die darüber hinaus technologischen Veränderungen zukommt. Diesem Aspekt messen die meisten Unternehmen eine untergeordnete Rolle bei, lediglich Automatisierung und der Einsatz von Künstlicher Intelligenz fallen unter die dringlichsten Veränderungsmaßnahmen.

Grundsätzlich ist aber die klare Tendenz zu erkennen, sich stärker mit dem Thema Cyber-Sicherheit auseinanderzusetzen und gemessen an den bisherigen Strategien notwendige Verbesserungen vorzunehmen.

Die Vorkehrungen

Denn die digitale Transformation zeigt nicht nur mit dem Blick nach außen, auf die drohenden Risiken, den Handlungsbedarf auf. Die technologischen Anforderungen werden auch firmenintern immer anspruchsvoller:

IT-Infrastrukturen werden zunehmend komplexer.

Die Datenmengen wachsen stetig an.

Datensicherheit und Datenschutz verlangen nach weitreichenden Sicherheitsvorkehrungen.

Risikomanagement, Verantwortung und Zuständigkeiten beim Thema Cybersicherheit

Die Möglichkeiten sind in jedem Unternehmen prinzipiell vorhanden, die Frage ist vielfach aber: In wessen Zuständigkeitsbereich fällt es, die Umsetzung solcher Schutzmaßnahmen durchzusetzen und zu überwachen? Wer kontrolliert die Wirksamkeit bestehender und entscheidet über die Notwendigkeit weiterer Maßnahmen?

Als einen ausschlaggebenden Faktor führt die Bundesdruckerei in ihrer Untersuchung zu „Digitalisierung und IT-Sicherheit in deutschen Unternehmen“ die Größe des Unternehmens an. Je größer ein Betrieb, desto wahrscheinlicher ist es, dass IT-‑Sicherheitsbelange durch dafür eingestelltes Personal übernommen werden.

Eine Schlüsselposition nimmt dabei der Chief Information Officer (CIO) ein, ähnliche Funktionen kommen in vielen Unternehmen dem Leiter der IT-Sicherheit oder dem Informationssicherheitsbeauftragten zu. Der Anteil an Firmen, in denen sich keine Abteilung mit Sicherheitsfragen der IT befasst, ist inzwischen auf einen geringfügigen Bruchteil geschrumpft.

Entscheidungen, die diesen Unternehmensbereich betreffen, werden in der Regel von der Geschäftsführung getroffen – hier scheint demnach das Bewusstsein für die Bedeutung des Themas vorhanden zu sein. An der Umsetzung sind die Führungsetagen hingegen nicht mehr beteiligt. Diese fällt in die Zuständigkeitsbereiche von IT‑Abteilungen, externen Dienstleistern oder IT-Sicherheitsbeauftragten.

Die Größe des Unternehmens ist im Übrigen ein ausschlaggebender Faktor: Je mehr Entscheider involviert sind, umso schleppender zieht sich der Prozess bis zu einer endgültigen Entscheidung hin. In kleineren Firmen mit flacheren Hierarchien werden Maßnahmen im Vergleich dazu schneller auf den Weg gebracht.

Sicherheit auf allen Ebenen: Technik, Organisation und Personal

Diese Maßnahmen erstrecken sich auf drei Teilbereiche, die allesamt für mehr IT-Sicherheit in Unternehmen sorgen: Technik, Organisation und Personal sind die grundlegenden Elemente, die eine sichere IT-Umgebung ausmachen.

Die Einschätzung der Relevanz der einzelnen Bereiche fällt laut Ergebnissen der Bundesdruckerei unterschiedlich aus.

Vor allem bei der Technik sehen 42 Prozent der befragten Unternehmen Verbesserungsbedarf. Nur knapp dahinter liegt die Organisation mit 39 Prozent. Merklich weniger Bedarf sehen die Betriebe hingegen beim Personal.

Der „Cyber Security Report 2019“ von Deloitte hat dafür eine Erklärung. Denn Dienste rund um das Thema Cyber-Sicherheit beziehen Unternehmen weitgehend von externen Dienstleistern, daneben bieten sie Fortbildungen für die Mitarbeiter an. Damit reagieren sie auch auf die anhaltenden Schwierigkeiten, qualifizierte Fachkräfte anheuern zu können.

Entsprechend gehören Beratungsangebote durch die Dritte für viele Unternehmen zu den üblichen organisatorischen Maßnahmen. Zusammen mit der Verteilung von Zugriffsrechten für bestimmte Informationen oder Unternehmensbereiche sowie Sicherheitsregeln für den Umgang mit sensiblen Informationen bilden sie das Grundgerüst der IT-Sicherheits-Organisation.

Bei Sicherheits-Zertifizierungen – wie die international anerkannte ISO 27001-Zertifizierung – oder regelmäßigen Audits ist nur noch deutlich weniger als die Hälfte der von der Bundesdruckerei befragten Unternehmen dabei. Insgesamt bleiben damit viele der Betriebe bei den Basics stehen, ohne einen größeren organisatorischen Aufwand zu betreiben – obwohl das nicht nur möglich, sondern auch sinnvoll ist.

Welche Maßnahmen ergreifen Unternehmen in der Praxis?

Ähnliche Ergebnisse finden sich auch in der zuvor genannten Bitkom-Studie. Zugriffsrechte sind in puncto Organisation inzwischen eine Standardmaßnahme, genauso wie die Klassifizierung von sensiblen Informationen. Weitergehende Maßnahmen wie die Einführung eines Informationssicherheits-Managementsystems (ISMS) oder die angesprochenen Audits sind bei weniger als der Hälfte der Unternehmen im Einsatz oder geplant.

In vielen Betrieben mit weniger als 500 Mitarbeitern fehlt es zudem an einem konkreten Notfallmanagement, das im Falle eines Cyber-Angriffs angewendet werden könnte. Vor allem die größeren Industrieunternehmen gehen in diesem Punkt voran, zwei Drittel von ihnen verfügen bereits über einen schriftlich fixierten Maßnahmenkatalog für den Ernstfall.

Bei der Technik zeichnet sich im Übrigen ein ähnliches Bild wie bei der Organisation – einige Punkte gelten inzwischen als Standard bei der IT-Sicherheit:

Passwortschutz für alle Geräte

Firewalls

Virenscanner

regelmäßige Backups

verschlüsselte Netzwerkverbindungen

Darüber hinaus nehmen die Bemühungen jedoch ab.

Zugriffe beispielsweise werden nur von 67 Prozent der Befragten protokolliert, abhörsichere Sprachkommunikation wird in 59 Prozent der Betriebe eingesetzt. Die Verschlüsselung von Daten auf Datenträgern (47 Prozent) oder des E-Mail-Verkehrs (36 Prozent) gehören dann fast schon zu den Ausnahmen, genauso wie die Absicherung gegen den internen Datenabfluss innerhalb des Firmennetzwerks (28 Prozent) oder Penetrationstests (24 Prozent). Künstliche Intelligenz spielt zumindest bei Fragen der Cyber-Sicherheit noch so gut wie keine Rolle, selbst bei größeren Unternehmen.

Insgesamt, das lassen die Ergebnisse von Bundesdruckerei, Bitkom und PwC als Schluss zu, könnten deutsche Unternehmen die IT-Sicherheit noch sehr viel stärker ausbauen, als das bis jetzt der Fall war. Die steigenden Investitionen sind ein wichtiger Schritt, um sich auf eine dynamische Gefährdungslage besser einstellen zu können.

Gesetzliche Anforderungen durch das IT-Sicherheitsgesetz

Verbesserungen könnten zudem durch das IT-Sicherheitsgesetz zur Pflichtaufgabe für die Unternehmen werden. Der zweite Referentenentwurf, der im Mai 2020 vorgestellt wurde, sieht für die Betreiber kritischer Infrastrukturen sowie für Anbieter von Webangeboten und Telekommunikationsunternehmen einige Neuerungen vor.

So werden Verstöße gegen die Vorgaben des Gesetzes mit Geldbußen von bis zu 20 Millionen Euro geahndet, in Anlehnung an die EU-Datenschutzgrundverordnung (DSGVO). Inbegriffen sind mit dem neuen Entwurf außerdem mehr Infrastrukturen, etwa aus dem Bereich der Rüstungsindustrie und Unternehmen, die von erheblicher Bedeutung für die Volkswirtschaft sind.

Maßnahmen, die bereits jetzt für den Schutz kritischer Infrastrukturen ergriffen werden, erhalten in Zukunft explizite und einheitliche Standards. Die werden auch für Industrial Control Systems (ICS-Geräte) oder Internet-of-Things-Systeme (IoT-Systeme) gelten, um mögliche Schwachstellen zu schließen. Mit der verpflichtenden Einrichtung von Systemen zur Angriffserkennung (Security Incident & Event Management Systems, SIEM), die als Grundlage für ISMS dienen, werden die Unternehmen in diesem Punkt deutlich aktiver werden müssen als bislang.

Fragen der IT-Sicherheit, die bislang eher vernachlässigt wurden, müssen in Zukunft nicht nur wegen der Notwendigkeit stärker berücksichtigt werden. Auch die gesetzlichen Anforderungen zwingen die Unternehmen dazu, den Fokus noch mehr auf das Thema Cyber-Sicherheit zu legen.