Digitale Bedrohung in Unternehmen: Cybersecurity betrifft alle

Cybercrime ist zum großen globalen Schrecken des 21. Jahrhunderts geworden – für Unternehmen und Regierungen. Erst im vergangenen Juli haben Cyberkriminelle über die IT-Firma Kaseya mehr als tausend Unternehmen in den USA und in Europa attackiert. US-Präsident Biden will nun 30 Länder international zusammenbringen, um gemeinsam eine Initiative gegen Cybercrime zu starten.

Auch in Europa wird das Problem zunehmend virulent – und dennoch gibt es Nachholbedarf in Sachen Cybersecurity in den Unternehmen. Daher lud die WU Executive Academy ihre MBA-Studierenden und -AbsolventInnen zum Webinar How to Successfully Prevent Cybercrime ein, um das Thema Cybersecurity mit renommierten ExpertInnen abseits von technologischen Fachdiskursen breit zu diskutieren. „Cyberattacken werden für alle Unternehmen zu einer ernsthaften Gefahr. Mit diesem Webinar wollten wir unseren MBA-Studierenden und -AbsolventInnen die Möglichkeit geben, gemeinsam mit ExpertInnen tiefer in die Relevanz dieses Themas einzutauchen“, sagt Barbara Stöttinger, Dekanin der WU Executive Academy.

Digitale Bedrohung für alle

Richard Knowlton, Director of Security Studies an der Oxford Cyber Academy und CEO der Richard Knowlton Associates, führte aus, dass Cyberattacken oft mit kriminellen Organisationen gleichgestellt würden: „In den 20er Jahren dieses Jahrhunderts sind wir mit verschiedenen schwierigen internationalen Bedrohungen konfrontiert, wie Veränderungen in der Weltwirtschaftsordnung, Herausforderungen durch China und Russland, Terrorismus, Konflikte im Nahen Osten, Klimawandel und Flüchtlingskrisen. All diese Bedrohungen können durch die Art und Weise, wie Cyberkriminelle und Länder digitale Technologien nutzen, noch gefährlicher werden.“ Cyberangriffe würden oft mit kriminellen Organisationen gleichgesetzt, „aber es sind oft gar nicht diese ,bösen Jungs‘, die Cyberangriffe durchführen, sondern Länder, die sogenannte Cyber-Operationen umsetzen – von der Manipulation politischer Meinungen über Spionage bis hin zu Angriffen auf kritische nationale Infrastrukturen. Cyberangriffe kommen also den Interessen vieler Länder entgegen“, sagte Knowlton.

Inzwischen würden jährlich Milliarden Euro von Unternehmen an Cyberkriminelle fließen, so Knowlton, etwa durch erpresserische Ransomware-Angriffe. Sogenannte "Zero-Day-Attacken", also Schwachstellen, über die Cyberkriminelle in das System eindringen, die dem Unternehmen aber unbekannt sind, seien ebenfalls ein großes Problem.

So gut wie jedes Unternehmen sollte darauf vorbereitet sein, ein potenzielles Ziel zu sein, hob der Experte hervor: "Egal, ob das Unternehmen groß oder klein ist, es wird früher oder später Ziel von Cyberangriffen werden – wenn es das nicht schon ist", so Knowlton. Es ist ein weit verbreiteter Irrglaube, dass nur große Unternehmen für Cyberangriffe attraktiv sind, so Knowlton, denn

Ein starker neuer Trend ist laut Thomas Stubbings, Cybersecurity-Experte und CEO der CTS Cyber Trust Services, die Supply Chain von Unternehmen über Software-Updates anzugreifen. „Cyberattacken treffen die empfindlichsten Nerven unserer Gesellschaft und können jeden und jede treffen“, führte Stubbings aus. 2015 waren 200.000 Menschen in der Ukraine von Stromausfall wegen einer Cyberattacke betroffen. Ein anderes Beispiel ist die Schadsoftware NotPetya, welche über eine ukrainische Buchhaltungssoftware exponentiell weltweit verbreitet und Schaden an diversen globalen Konzernen angerichtet hatte; dadurch wurden globale Wertschöpfungsketten zum Teil außer Kraft gesetzt. Es kam auch zum ersten Todesfall: „Vor einem Jahr starb eine Patientin wegen einer Ransomware-Attacke in einem deutschen Krankenhaus, weil sie aufgrund der Cyberattacke nicht zeitgerecht behandelt werden konnte“, sagte Stubbings.

Inzwischen sei das Bewusstsein auch von Ländern gestiegen, sich mit dem Thema auseinanderzusetzen: „Zunehmend wird die Notwendigkeit von Cybersecurity-Regularien diskutiert“, so Stubbings. Die USA war damit schon im Jahr 1996 mit einem Gesetz für Gesundheitsorganisationen und 2003 mit dem Homeland Security Act Vorreiter, „Europa war mit den Regularien im Jahr 2016 mit der NIS-Richtlinie (Netz- und Informationssystemsicherheit) vergleichsweise spät dran.“ 

Laut Richard Knowlton diskutieren die UN-Ausschüsse bereits seit 2003 über gemeinsame Maßnahmen zur Cybersicherheit: "Bisher mussten wir uns mit Gentlemen's Agreements zwischen den Ländern über akzeptables und inakzeptables Verhalten im Cyberspace begnügen. Doch die Grenze zwischen Cyberkriminalität und staatlichen Cyberoperationen verschwimmt zunehmend. Wenn Cyberkriminelle die Drecksarbeit für Regierungen erledigen, drücken die Regierungen auch bei kriminellen Aktivitäten ein Auge zu."

Die Lösung: Awareness und Selbstverantwortung

Doch wie setzt man Cybersecurity nun in Unternehmen wirksam um? „Um Cybersecurity in Unternehmen zu gewährleisten, ist der Fokus auf drei Dimensionen wichtig“, führte Maha Sounble, Chief Security Information Officer der WU Wien, mit einem Vergleich zum Autofahren aus: „erstens die technologische Dimension: wir müssen Applikationen und Devices in punkto Sicherheit vertrauen können – wie wir auch beim Autofahren der Technologie im Auto vertrauen. Zweitens, die organisationale Dimension: wir müssen über Regularien und organisationale Prozesse und Rollen zu Cybersecurity im Unternehmen sprechen – in der Allegorie des Autofahrens wären das die Verkehrsregeln. Drittens, der Mensch als Sicherheitsfaktor: die Sicherheit steht und fällt mit dem Verhalten der Menschen – beim Autofahren und im Umgang mit Datensicherheit und Cyberattacken.“

Richard Knowlton zufolge ist es wichtig, sich auf den menschlichen Risikofaktor zu konzentrieren: "Mehr als die Hälfte der Cybervorfälle werden von Menschen ausgelöst. Cyberkriminelle nutzen das mangelnde Bewusstsein, die Fehleranfälligkeit und die Unachtsamkeit der Menschen aus." Dies zeige auch die Entwicklung der letzten 18 Monate, sagte er: "Mit der Corona-Pandemie und der Home-Office-Kultur haben die Cyberattacken entsprechend zugenommen."

Deshalb, so Richard Knowlton, seien nicht nur die IT-Abteilungen, sondern auch die Führungskräfte gefordert, das Thema Cybersecurity auf breiter Ebene zu thematisieren: "Cybersecurity geht jeden im Unternehmen an und muss auch von der Unternehmensspitze ernst genommen werden. Die Existenz des Unternehmens hängt davon ab." Der menschliche Risikofaktor sei von entscheidender Bedeutung: "In der Vergangenheit wurde Sicherheit als etwas angesehen, das man den Menschen ermöglicht hat. Inzwischen ist Sicherheit etwas, das die Menschen selbst gestalten. Dazu müssen Unternehmen die Arbeitsweisen und Arbeitsabläufe ihrer MitarbeiterInnen analysieren und ihre Sicherheitsstrategie darauf aufbauen." Er empfahl, das Thema in den Unternehmen breit zu diskutieren und auch in Meetings immer wieder als strategisches Thema anzusprechen.

Auch Thomas Stubbings sah Awareness als wesentlichen Faktor für mehr Sicherheit an: „Die Menschen in Unternehmen müssen verstehen, dass sie ein wesentlicher Teil der Cybersecurity-Kultur sind. Erst dann können Unternehmen tatsächlich für mehr Sicherheit sorgen.“ Er riet zu 80:20 Regel: „80 Prozent der Attacken sind unspezifisch: sie treffen ins Blaue. Hier kann der menschliche Faktor helfen: indem man etwa nicht auf unbekannte Links klickt oder keine fremden USB-Sticks in den Computer steckt. Die 20 Prozent gezielten Attacken dagegen benötigen viel Technologie und Manpower. Egal ob Basissicherheit oder fortgeschrittene Sicherheit: „in jedem Fall ist es erforderlich, sich im Unternehmen mit dem Thema auseinanderzusetzen und ein für das eigene Risikoprofil angemessenes Sicherheitskonzept zu entwickeln“, sagte Thomas Stubbings.

Mehr Informationen zum Thema Cybersecurity und Cybercrime, finden Sie in unserer Cybersecurity Spotlight Reihe hier.