Cybersicherheit: Herausforderung und enormes Gefahrenpotenzial

Das Thema Cybersicherheit kann nicht hoch genug eingeschätzt werden und muss in jedem Unternehmen als Chefsache gelten. Dies ist die eindeutige Forderung aller Security-Experten. Laut Bitkom erlitt die deutsche Industrie, in den letzten 2 Jahren, durch Cyberattacken 43 Milliarden Euro Schaden. Weil ein Land alleine keine Chance hat, erarbeitet die EU derzeit den Rechtsakt zur Cybersicherheit. Zudem soll sich in München mit dem Cybersecurity-Summit Command Control eine internationale Austauschplattform für Experten etablieren.

Cybersicherheit ist eine der großen Herausforderungen der Digitalisierung. »Die Welt ist digital vernetzt und zunehmend ist alles miteinander verbunden«, sagt Natalia Oropeza, Chief Cybersecurity Officer von Siemens. »Die Welt ist Software-getrieben und damit verwundbar.« Die Motivation der Angreifer sei unterschiedlich und reiche von finanziellen Aspekten über Ruhm und Ehre bis hin zu Terroraktionen. Mit dem Ausbau digitaler Unternehmensnetzwerke nimmt die Zahl bedrohter Komponenten rasch zu. Mit der Verbreitung des Internet of Things (IoT) steigen auch die Optionen für mögliche Angreifer.

Die Messe München hat für seinen Cybersecurity-Summit Command Control (cmd ctrl) den Command Control Cybersecurity Index 2018 erstellt und 300 Fach- und Führungskräfte mit Entscheidungsbefugnis für digitale Sicherheit in Deutschland zu verschiedenen Aspekten von Security befragen lassen. Ergebnis: Das Gefahrenpotenzial ist enorm und bei fast der Hälfte der Befragten werden Mitarbeiter bei der Einstellung nicht konsequent für den Umgang mit IT-Gefahren geschult. Die eigenen Mitarbeiter sehen 61 Prozent als Schwachpunkt der eigenen IT-Strategie. Zudem halten 76 Prozent der Sicherheitsentscheider in Deutschland klassische IT-Strategien für unzureichend, um sich gegen neue Digitalisierungsrisiken zu schützen.

»Ob Mittelstand oder Konzern: Die Bedrohungslage bei gezielten Angriffen auf die schützenswerten Assets ist vergleichbar«, meint Helko Kögel, Director Consulting von Rohde & Schwarz Cybersecurity. »Dabei gilt es, die unterschiedlichen Sicherheitskulturen in international agierenden Unternehmen im täglichen Umgang mit den ‚Kronjuwelen‘ aktiv zu hinterfragen. Ziel muss ein differenziertes Risikobewusstsein sein, das mit den relevanten Sicherheitsmaßnahmen im Einklang steht.«

cmd ctrl: München die neue Plattform für Cybersicherheit

Klaus Dittrich, Messe MünchenMit dem Cybersecurity-Summit Command Control vom 20. Bis 22. September 2018 kehrt die Messe München nach zehn Jahren zurück auf das Security-Parket. Von 1999 bis 2008 war die it-sa Teil der ehemaligen Systems. Seit 2009 findet die it-sa als eigenständige Veranstaltung in Nürnberg statt und hat sich seitdem sicherlich als die IT-Sicherheitsmesse in Deutschland etabliert (9.-11. Oktober 2018). Richtig vergleichen möchten sich die Münchner allerdings nicht mit der it-sa. »Wir verfolgen einen internationalen Ansatz«, erklärt Klaus Dittrich, der Vorsitzende der Geschäftsführung, in einer Journalistenrunde. Nicht zuletzt, weil hier viele Security-Hersteller angesiedelt sind, sieht Dittrich München als Deutschlands Cybersicherheits-Hauptstadt und als idealen Standort für eine europäische Plattform.

Die cmd ctrl soll auch weniger eine Messe sein, sondern vielmehr eine Informationsstätte für Unternehmensvertreter und Treffpunkt für Branchen-Insider und Experten. In der Tat kann sich das durchaus hochkarätige Vortragsprogramm sehen lassen. Zu den Referenten gehören unter anderem Eugene Kaspersky, Mitgründer und Chief Executive Officer des russischen Security-Unternehmens Kaspersky Lab, Terry Halvorsen, CIO bei Samsung Electronics und ehemaliger CIO des US-Verteidigungsministerium und Lance Spitzner, Director SANS Security Awareness.

»Was früher ein reines IT-Thema war, ist mittlerweile in den Führungsetagen vieler Unternehmen angekommen«, sagt Messe-Chef Dittrich. »Sie verlangen nach Unterstützung und echten Lösungen. So wird eine Frage auch sein: Was bedeutet Cyber-Security für die Unternehmensspitze, für den CEO? Die Command Control wendet sich neben den CEOs, auch an CIOs, CISOs, IT-Leiter, an Sicherheitsbeauftragte für Datenschutz, Risk, Compliance, Legal, an Betriebsleiter und an die Verantwortlichen von Technologie und Produktion.«

Es wäre München und auch Deutschland zu wünschen, wenn sich die cmd ctrl als Plattform zum Gedankenaustausch etablieren könnte. Cybersicherheit ist ein Thema, dessen Tragweite viele Firmenvertreter noch gar nicht richtig erkannt haben. Es geht längst nicht mehr darum, ein paar Hacker oder lästige Viren abzuwehren.

Deutsche Industrie erleidet 43 Milliarden Euro Schaden

7 von 10 Industrieunternehmen wurden Opfer von Sabotage, Datendiebstahl oder Spionage in den vergangenen zwei Jahren (Grafik: Bitkom).Einer Untersuchung des Digitalverbands Bitkom zufolge, ist deutschen Industrieunternehmen in den vergangenen zwei Jahren ein Gesamtschaden von insgesamt 43,4 Milliarden Euro entstanden. Sieben von zehn Industrieunternehmen (68 Prozent) sind in diesem Zeitraum Opfer entsprechender Angriffe geworden, jedes fünfte Unternehmen (19 Prozent) vermutet dies. Befragt wurden repräsentativ über 500 Geschäftsführer und Sicherheitsverantwortliche quer durch alle Industriebranchen.

»Mit ihren Weltmarktführern ist die deutsche Industrie besonders interessant für Kriminelle«, meint Bitkom-Präsident Achim Berg. »Wer nicht in IT-Sicherheit investiert, handelt fahrlässig und gefährdet sein Unternehmen.« So seien in den vergangenen zwei Jahren bei einem Drittel der Unternehmen (32 Prozent) IT- oder Telekommunikationsgeräte gestohlen, bei fast einem Viertel (23 Prozent) sind sensible digitale Daten abgeflossen.

»Illegaler Wissens- und Technologietransfer, Social Engineering und auch Wirtschaftssabotage sind keine seltenen Einzelfälle, sondern ein Massenphänomen«, betonte Thomas Haldenwang, Vizepräsident des Bundesamtes für Verfassungsschutz (BfV).

Jedes fünfte Industrieunternehmen (19 Prozent) berichtet von digitaler Sabotage von Informations- und Produktionssystemen oder Betriebsabläufen. Weitere 28 Prozent vermuten, dass es solch einen Vorfall bei ihnen gab. Bei elf Prozent wurde die digitale Kommunikation (E-Mails, Messenger-Dienste) ausgespäht. Insgesamt haben digitale IT-Angriffe bei fast der Hälfte der Befragten (47 Prozent) einen Schaden verursacht.

Analoge Attacken sind für die Industrie ein Thema, fallen aber vergleichsweise weniger ins Gewicht. »Neben der klassischen Wirtschaftsspionage beschäftigen uns vermehrt Attacken, bei denen davon ausgegangen werden muss, dass Schad-Software mit dem Ziel in IT-Systeme eingebracht wird, Sabotage-Akte vorzubereiten«, erläutert BfV-Vizepräsident Haldenwang.

Aufmerksame Mitarbeiter sehen Experten als den effektivsten Schutz. Bei sechs von zehn Betroffenen (61 Prozent) sind so erstmalig auf Angriffe aufmerksam geworden. 40 Prozent der Betroffenen erhielten Hinweise auf Angriffe durch eigene Sicherheitssysteme, bei fast einem Viertel (23 Prozent) war es hingegen reiner Zufall. Nur bei 3 Prozent der Unternehmen gingen erste Hinweise auf Delikte durch externe Strafverfolgungs- oder Aufsichtsbehörden ein.

»Unternehmen müssen ihre Belegschaft kontinuierlich für das Thema Sicherheit sensibilisieren«, fordert Katharina Keupp, Projektleiterin der Command Control bei der Messe München. »Wenn sie nicht über die wechselnden Bedrohungsszenarien informiert sind und es im Unternehmen an einer laufenden Kommunikation über digitale Sicherheitsrisiken fehlt, öffnen Mitarbeiter Angreifer mit ihrem Verhalten leicht Tür und Tor.«

Investitionen in Cybersicherheit unumgänglich

Künftige Bedrohungen sehen Unternehmen vor allem durch digitale Angriffe. Nahezu alle Befragten (97 Prozent) nennen sogenannte Zero-Day-Exploits als größte Gefahr. Dabei nutzen Angreifer Sicherheitslücken in Software aus, die bis dahin unbekannt waren. 93 Prozent fürchten die Infizierung mit Schadsoftware, zwei Drittel (68 Prozent) geben den Mangel an qualifizierten IT-Sicherheitskräften als Bedrohung an. Die zunehmende Fluktuation von Mitarbeitern ist für 58 Prozent der von Bitkom befragten Unternehmen ein Risiko. Dass Kriminelle die Rechenleistungen von Internetnutzern anzapfen, etwa zum unbemerkten Schürfen von Kryptowährungen, nehmen hingegen nur 29 Prozent der Unternehmen als echte Gefahr wahr.

Immerhin reift die Erkenntnis, dass man etwas für die IT-Sicherheit tun muss. Laut dem Command Control Cybersecurity Index planen rund 60 Prozent der Befragten in den kommenden Jahren, die Ausgaben ihres Unternehmens für digitale Sicherheit deutlich zu erhöhen. Hier stehen Großunternehmen (65 Prozent) natürlich ganz vorne, trifft in etwas geringerem Ausmaß aber auch auf Betriebe aus dem Segment Kritische Infrastrukturen (57 Prozent) und den Mittelstand (52 Prozent) zu. »Dabei nimmt in der Wirtschaft das Bewusstsein dafür zu, dass Cybersicherheit viel mehr als ein Kostenfaktor und eine Notwendigkeit sein kann«, meint Command-Control-Leiterin Keupp. »48 Prozent der Unternehmen in Deutschland empfinden Security als Wachstumshebel und Voraussetzung dafür, die Chancen der Digitalisierung voll ausschöpfen zu können.«

Cybersicherheit: Europa muss zusammenrücken

Prof. Dr. Angelika Niebler, EU-Parlament und Natalia Oropeza, Siemens»Das Thema Cybersicherheit ist nicht hoch genug einzuschätzen«, sagt Prof. Dr. Angelika Niebler, Mitglied des Europäischen Parlaments, gegenüber speicherguide.de. »Es ist mehr als eine Pflichtaufgabe und muss im Unternehmen zur Chefsache erklärt werden. Der durch Cyberkriminalität verursachte, wirtschaftliche Schaden hat sich von 2013 bis 2017 in Europa verfünffacht.« Das sei inakzeptabel. Da kein Land diese Herausforderung alleine bewältigen könne, muss sich Europa besser gegen Cyberangriffe schützen. Aus diesem Grund verhandeln Europaparlament, EU-Kommission und EU-Staaten über den Rechtsakt zur Cybersicherheit (EU-Cybersecurity Act).

Der Rechtsakt zur Cybersicherheit soll den europäischen Cyberraum sicherer machen und das Vertrauen der Verbraucher in digitale Technologien stärken. »Hersteller und Dienstleister müssen Kunden künftig über das Sicherheitsniveau ihrer Geräte und Produkte informieren, etwa ob Updates verfügbar sind und wie man sich als Verbraucher besser vor Hacker-Angriffen schützen kann«, erklärt Prof. Dr. Niebler. »Auch die Einrichtung eines EU-weiten Rahmens für die Zertifizierung von IT-Sicherheitssystemen wird den europäischen Cyberraum sicherer machen. Es ist sinnvoll, dass für kritische Infrastrukturen eine verpflichtende Zertifizierung vorgesehen ist. Auf Cyberangriffe, wie der WannaCry-Angriff im Mai 2017, der Krankenhäuser in Großbritannien und auch die Deutsche Bahn lahmlegte, kann künftig wirkungsvoller und schneller reagiert werden.«