IT-Sicherheit als Basis für die Digitalisierung Cybersecurity endlich ganzheitlich denken

Von Mark Großer

In einem Forderungskatalog formuliert der Branchenverband Bitkom das Thema Cybersecurity als wichtiges Handlungsfeld für die neue Bundesregierung. Angesichts der zunehmenden Bedrohungen ein wichtiges Signal an die Politik. Das allein wird nicht genügen: Cybersecurity muss auch in Unternehmen endlich ganzheitlich gedacht werden.

Anbieter zum Thema

Cybersecurity ist kein Add-On, sondern der Schlüssel für eine erfolgreiche Digitalisierung.
Cybersecurity ist kein Add-On, sondern der Schlüssel für eine erfolgreiche Digitalisierung.
(© photon_photo - stock.adobe.com)

Die Zahlen, die Bitkom im August 2021 veröffentlichte, dürften Experten kaum überrascht haben. Neun von zehn bundesdeutsche Unternehmen (88 Prozent) sind bereits Opfer von Angriffen geworden. Daraus entstehen Schäden von 200 Mrd. Euro pro Jahr – ein Wert, der voraussichtlich noch steigen wird, sofern sich im Umgang mit Cybersecurity in Unternehmen nichts verändert.

Die Politik kann und wird es allein nicht richten

Die Bedeutung und Dringlichkeit des Themas sind langsam in der „Breite“ angekommen. Es wäre im Sinne aller Beteiligten wünschenswert, wenn die Forderungen von Bitkom tatsächlich von der neuen Bundesregierung aufgegriffen würden. Wird in dem Forderungskatalog doch auch sehr eindrücklich mit dem Vorurteil aufgeräumt, dass Cybersecurity lediglich ein Kostenblock oder ein nettes „Add-On“ für bestehende Infrastrukturen darstellt. Und es wäre tatsächlich ein großer Schritt in eine positive Richtung, sofern die neue Bundesregierung die in dem Papier erwähnte Förderung für KMU zur Erhöhung ihrer Cyberresilienz tatsächlich auf den Weg bringen würde. Doch das allein kann und wird weder im Mittelstand noch in großen Organisationen ausreichen.

Was muss oder soll man den tun? Muss ich wirklich…?

Jeder kann inzwischen ein Beispiel erzählen, welche Auswirkung ein Cyber-Angriff haben kann. Der Handlungsbedarf scheint unstrittig. Aber wie und was genau tun? Während die Betreiber kritischer Infrastrukturen mal mehr oder weniger offen unter den Vorgaben stöhnen, die ihnen durch die KRITIS-Regulatorik auferlegt sind, orientieren sich zahllose KMU kaum an den darin definierten Prinzipien. Und die meisten Selbstständigen werden davon noch nie etwas gehört haben – betreiben sie eben keine kritischen Infrastrukturen.

Gerade in kleineren und kleinsten Organisationen scheint der Glaube vorzuherrschen, dass die Anschaffung von etwas Software und die Delegation des Themas Cybersecurity an die IT-Abteilung genügt. Überspitzt formuliert: Die Anschaffung eines „Virenscanners“ und dessen ordnungsgemäße Installation durch Fachpersonal muss doch reichen. Eine Haltung, die den aktuellen Entwicklungen und Herausforderungen längst nicht mehr gerecht wird. Wer würde sich heute in ein Auto mit der Sicherheitstechnik der 70er-Jahre setzen und dabei das Gefühl haben, tatsächlich sicher zu sein?

Jeder Vorfall kann zu einer existenziellen Krise eskalieren

Es fehlt vielerorts noch immer am Bewusstsein, dass sich jeder Vorfall zu einer existenziellen Krise für ein Unternehmen auswachsen kann. Hierbei spielen dessen Größe, Branche und Organisationsform keine Rolle.

Wenn durch eine nicht behobene Sicherheitslücke eine Produktionsanlage nicht mehr funktioniert, kann das bereits die Existenz einer Firma gefährden. Man denke nur an Regressforderungen wichtiger Kunden. Ein Schaden, der später mehr oder weniger auf den Euro exakt zu beziffern ist. Aber wie steht es um den Verlust von Reputation und Vertrauen bei (potenziellen) Kunden, die ein Unternehmen meiden, nachdem bekannt geworden ist, dass wichtige persönliche Daten erfolgreich aus einem Shop oder anderem System entwendet wurden? Das drohende Bußgeld mag zwar noch aus den eigenen finanziellen Reserven zu bezahlen sein, das ausbleibende Geschäft mit neuen Kunden dann schon nicht mehr.

Cybersecurity ist kein Add-On, sondern Schlüssel für erfolgreiche Digitalisierung

Die wachsende Vernetzung von unterschiedlichsten Geräten, ständig größer werdende Datenmengen und die gestiegene Abhängigkeit von Internet-Technologien (alles prägnant unter den Schlagworten IoT, Industrie 4.0, Big Data und Cloud-Computing etikettiert) sind Treiber der Digitalisierung in Unternehmen. Doch in all diesen Bereichen tummeln sich auch Kriminelle, die bewusst nach Opfern suchen. Und vorbei sind die Zeiten, in denen es sich um einzelne Täter oder „Skript-Kids“ handelte. Attacken mit Ransomware sind nur ein Beispiel für das Treiben organisierter Kriminalität, die ganz bewusst auch KMU als Opfer sucht. Und das ist nur ein Bedrohungsszenario; von Innentätern soll an dieser Stelle gar nicht erst die Rede sein.

Umso erstaunlicher scheint es, wie es auch Bitkom beschreibt, dass Cybersecurity in den Unternehmen häufig immer noch als eine Art von „Add-on“ gesehen wird, das zu einem späteren Zeitpunkt bereits existierenden Lösungen und Produkten übergestülpt werden kann. Von der Maßgabe „Security by Design“ ist noch nicht viel zu sehen: Anders sind einzelne Vorfälle der jüngsten Vergangenheit nicht zu erklären.

Der beste Schutz vor Sicherheitsrisiken und Stärkung der Cyberresilienz ist eine ganzheitliche Betrachtung des Themas. Es bedarf eines Business Continuity Managements (BCM), das konkrete Bedrohungen analysiert, gewichtet und durch geeignete Maßnahmen zu verhindern sucht.

Die Analyse darf den Blick aber nicht allein auf technische Systeme und die Behebung von Sicherheitslücken richten. BCM in einem umfassenden Sinn berücksichtigt auch Schäden, die durch Verletzung der Regulatorik (exemplarisch DSGVO) entstehen können. Es genügt gerade nicht, bloß Schwachstellen zu erkennen und durch Investition in Sicherheitsmaßnahmen darauf zu vertrauen, dass schon nichts geschieht.

Jetzt Newsletter abonnieren

Täglich die wichtigsten Infos zur IT-Sicherheit

Mit Klick auf „Newsletter abonnieren“ erkläre ich mich mit der Verarbeitung und Nutzung meiner Daten gemäß Einwilligungserklärung (bitte aufklappen für Details) einverstanden und akzeptiere die Nutzungsbedingungen. Weitere Informationen finde ich in unserer Datenschutzerklärung.

Aufklappen für Details zu Ihrer Einwilligung

So muss eine umfassende Strategie zur Stärkung der Cybersecurity und Resilienz auch einen Plan haben, wie der reguläre Betrieb nach einer Krise wieder aufgenommen werden kann. Das muss nicht nur alles beispielsweise in einem Information Security Management System hinterlegt und mit Maßnahmen unterlegt sein, sondern auch im Rahmen von Notfallübungen in der Praxis erprobt werden, um in einem klassischen Deming-Kreis permanent weiterentwickelt zu werden.

Cyberresilienz vereint Technologie, Menschen und Haltung

Die Stärkung der Cyberresilienz ist eine strategische Aufgabe für das Management. Und als solche ist sie zu groß und bedeutend, um sie allein auf den Schultern eines CTO, CIO oder CISO abzuladen. Installation und Betrieb von technischen Systemen wie IDS und SIEM sind nur eine, wenn auch wichtige Seite. Doch die Etablierung eines BCM umfasst bereits unter den Aspekten von Regulatorik und der Übung von Notfallszenarien sehr viel mehr. Hier sind Wissen und Kreativität aller Fachbereiche gefragt. Und das umfasst gerade auch die Mitarbeitenden aus Linienfunktionen. Jeder einzelne kann und sollte seine Kenntnisse und Ideen einbringen, um die Organisation widerstandsfähiger zu machen. Denn jeder Mitarbeitende leistet im Alltag durch umsichtiges und bewusstes Verhalten seinen Beitrag, um das Unternehmen besser gegen Bedrohungen zu schützen.

Damit das gelingen kann, muss ein Bewusstsein dafür vorhanden sein, dass bereits Fahrlässigkeit große Wirkungen zeigen kann. Es braucht eine Haltung, dass Cybersecurity letztlich die Basis für dauerhaften Erfolg und Bestehen des Unternehmens ist. Denn ein Unternehmen wird vor, in und nach einer Krise von den Menschen getragen, die in ihm arbeiten.

Cyberresilienz wird sich nur erreichen lassen, wenn diese Haltung auf allen Ebenen sichtbar wird; während des Betriebs genauso wie bei der Entwicklung neuer Produkte. Technologien und Richtlinien allein genügen auf die Dauer nicht, wenn Cybersecurity nicht „gelebt“ wird. Und das erfordert eine ganzheitliche Betrachtung des Themas.

Über den Autor: Mark Großer ist Managing Consultant bei Detecon International. Im Global Chapter Business Technology koordiniert er die Beratungsfelder Security & Compliance. Er entwickelt das Know-how von Detecon zu diesen Themen weiter und verantwortet Kunden, Projekte und Teams. Seine Erfahrungen, davon zehn Jahre in führenden Rollen, reichen quer über die Branchen mit Schwerpunkten in Financial Services, Energy, Public und Automotive. Großers Expertise umfasst Risk Managment, Cyber-Security, Informations- und IT-Sicherheit und -Compliance beziehungsweise Datenschutz, aber auch Governance und Prozessberatung.

(ID:48015949)