Als größte Gefahr für ihren Geschäftsbetrieb stufen Unternehmen laut dem „Allianz Risk Barometer 2020“ Cyberangriffe, IT-Ausfälle und Datenlecks ein. Nun, die Befragung fand Ende des vergangenen Jahres statt – mit einer weltweiten Pandemie, die Teile der Wirtschaft zeitweise lahmlegt und sogar in ihrer Existenz bedroht, hatte damals kaum jemand gerechnet. Corona hat, und tut das noch immer, die Gesellschaft und Wirtschaft gehörig durcheinandergewirbelt. Viele Unternehmen werden ihre Risiken neu bewerten – dass sie Cybergefahren jedoch plötzlich weniger Bedeutung beimessen als bisher, ist wenig wahrscheinlich, weil insbesondere das Homeoffice die Abhängigkeit von digitalen Infrastrukturen verstärkt und gleichzeitig die Angriffsfläche vergrößert hat. Cyberkriminelle haben das bereits in den Anfangstagen der Pandemie erkannt und ihre Angriffsbemühungen verstärkt.
Dabei ist es keineswegs so, dass nur die Zahl der Attacken zugenommen hat, sondern auch deren Qualität. Über das Darknet haben Cyberkriminelle heute Zugriff auf ein breites Repertoire an Angriffswerkzeugen, das früher nur großen Hackergruppen und Nationalstaaten zur Verfügung stand. Auch Mittelständler und kleine Unternehmen sehen sich dadurch sehr komplexen Attacken ausgesetzt; allerdings behandeln sie IT-Security und IT-Ausfallsicherheit häufig nachlässig, weil ihnen Know-how, Personal oder die finanziellen Mittel fehlen – oder sie sparen schlicht am falschen Ende, weil Cyber-Resilienz ihnen keinen Umsatz bringt.
Dabei unterschätzen oder übersehen sie, wie teuer Sicherheitsvorfälle und Unterbrechungen des IT-Betriebs sind: Laut dem „Global Data Protection Index 2020 Snapshot“ von Dell Technologies kosten Datenverluste ein Unternehmen durchschnittlich mehr als eine Million US-Dollar und IT-Ausfälle durchschnittlich über 800.000 US-Dollar. Das Geld für den Schutz von Daten und Infrastrukturen ist also sehr gut investiert.
Die Frage ist: Wohin soll es fließen? Wegen zunehmend verteilter Infrastrukturen durch remote arbeitende Mitarbeiter und den Einsatz von Cloud-Diensten funktionieren althergebrachte Konzepte und Lösungen nur noch eingeschränkt. Natürlich kommt niemand um die Basics herum: Sicherheitsupdates müssen schnell und zuverlässig eingespielt werden, weil die meisten Angriffe auf Software-Schwachstellen abzielen. Die Mail-Infrastruktur muss geschützt werden, weil E-Mail das Haupteinfallstor für Malware und Phishing ist. Und nach wie vor ist ein aktuelles Backup die beste Versicherung gegen Ransomware oder einen Hardware-Ausfall.
Doch die moderne Arbeitswelt erfordert darüber hinaus neue Konzepte und Technologien. Weil die Grenzen des Unternehmensnetzwerks verwischen und sich nicht mehr so gut abschotten lassen, rücken der Schutz von digitalen Identitäten, die Vergabe von Rechten und die Kontrolle von Zugriffen in den Vordergrund. Hier helfen etwa Zero-Trust-Konzepte und Mehrfaktorauthentifizierung. Zudem darf der Fokus nicht mehr allein auf der Abwehr von Bedrohungen liegen, sondern muss um die Erkennung und Reaktion auf Angriffe erweitert werden – dabei sind KI und Automatisierung von unschätzbarem Wert. Sie entlasten die Mitarbeiter in den Sicherheitsabteilungen und helfen, schnell Gegenmaßnahmen einzuleiten, um Schäden und Ausfallzeiten zu minimieren. Nur so entsteht echte Cyber-Resilienz.
Außerdem benötigen Unternehmen, auch das hat Corona gezeigt, Pläne für den Ernstfall, damit sie in Krisensituationen auf durchdachte und erprobte Prozesse zurückgreifen können und nicht improvisieren müssen. Eine solche Improvisation war im Frühjahr vielfach der Wechsel von Mitarbeitern ins Homeoffice. Zum einen sollten die Heimarbeitsplätze möglichst schnell in das Gesamtsicherheitskonzept des Unternehmens integriert werden, zum anderen brauchen Mitarbeiter klare Vorgaben und Schulungen zum sicheren und verantwortungsvollen Umgang mit Daten und Unternehmensanwendungen im Heimbüro.
IT-Sicherheit muss künftig Bestandteil aller IT-Projekte sein, egal ob es um die dauerhafte Etablierung von Homeoffice geht, die Modernisierung der Infrastruktur oder die Einführung eines neuen Cloud-Dienstes. Denn Cybercrime ist ein Business mit Milliardenumsätzen und entwickelt sich ständig weiter – deshalb müssen das auch Unternehmen tun, indem sie Sicherheit von Anfang an mit bedenken und als Prozess verstehen, der fortwährend überprüft und kontinuierlich verbessert wird.
