Sind deutsche Unternehmen auf ein Cyber Großschadensereignis vorbereitet?
Der digitale Fortschritt schreitet unaufhaltsam voran, doch mit ihm wächst auch die Bedrohung durch Cyberangriffe. Deutschland steht vor der Herausforderung, sich gegen immer komplexere und gefährlichere Cyberattacken zu wappnen. Denn was passiert, wenn Mobilfunknetze plötzlich gestört sind, Bankautomaten nicht mehr funktionieren oder Krankenhäuser keine Patienten mehr behandeln können, weil ihre Systeme offline sind? Ein solches Cyber Großschadensereignis könnte Deutschland in einen Ausnahmezustand versetzen.
Sind wir auf ein solches Szenario vorbereitet? Auf welche Herausforderungen müssen sich Unternehmen einstellen?
Bei der Absicherung von Risiken denken viele zunächst an Versicherungen – so auch bei drohenden Cyberangriffen. Cyberversicherungen gelten inzwischen als wichtiger Baustein im Sicherheitskonzept vieler Unternehmen. Doch das Blatt wendet sich: Versicherer müssen ihre Policen an die aktuelle Bedrohungslage anpassen, die Obliegenheiten der Versicherten erhöhen oder sich gänzlich aus dem Markt zurückziehen. Der Grund: Das Geschäft ist zu neu, zu riskant. Die Eintrittswahrscheinlichkeit für Cyberangriffe und die potenzielle Schadenhöhe sowie die damit verbundenen Kumulrisiken sind in den letzten Jahren stark angestiegen; dies zeigt eine Umfrage der Bafin[1]. Eine unglückliche Aneinanderreihung von Großschadensereignissen könnte dazu führen, dass selbst große Versicherer in finanzielle Schieflage geraten. Diese Entwicklung wirft die Frage auf, wie Unternehmen künftig ihre Risiken absichern sollen, wenn selbst Versicherer passen (müssen).
Das Eintreten von mehreren Großschäden in der IT-Landschaft von Deutschland ist längst kein fiktives Szenario mehr, wenn man den Konflikt zwischen Russland und der Ukraine betrachtet. Cyberkrieg kennt keine nationalen Grenzen. Ein Beispiel: Der Ausfall eines Windparks in Deutschland Anfang 2022 infolge eines Cyberangriffs, der eigentlich gegen die Ukraine gerichtet war. Diese Kollateralschäden verdeutlichen, wie verwundbar die digitale Infrastruktur in Deutschland ist. Solche Vorfälle könnten in Zukunft zunehmen, wenn sich geopolitische Spannungen weiter verschärfen. Deutschland muss sich dringend die Frage stellen, wie es sich besser gegen die direkten und indirekten Folgen solcher Konflikte schützen kann.
Auch ohne die Beteiligung externer Angreifer kann es zu erheblichen Schäden durch IT-Ausfälle kommen. Ein fehlerhaftes Update einer weit verbreiteten Sicherheits-Software legte im Juli 2024 die globale IT-Landschaft still. Daraufhin kommt es in Deutschland an Flughäfen und in Krankenhäusern zu Ausfällen. Große Software-Hersteller wie Crowdstrike spielen eine zentrale Rolle in der digitalen Infrastruktur vieler Unternehmen. Doch was passiert, wenn ein solcher Dienstleister selbst Ziel eines Angriffs wird? Die Infektion eines Dienstleisters kann weitreichende Konsequenzen haben, da sich Schadsoftware über die gesamte Lieferkette ausbreiten kann. Es zeigt sich: Die IT-Sicherheitslage eines Unternehmens hängt immer mehr von der Sicherheit Dritter ab. Dies erfordert eine intensivere Zusammenarbeit und striktere Sicherheitsanforderungen entlang der gesamten Lieferkette.
Mit der rasanten Entwicklung im Bereich der Künstlichen Intelligenz (KI) und des maschinellen Lernens eröffnet nicht nur neue Möglichkeiten für Unternehmen, sondern auch für Cyberkriminelle. Diese nutzen bereits heute fortschrittliche Algorithmen, um Angriffe zu planen und durchzuführen. Angreifer können Schwachstellen durch maschinelles Lernen in Netzwerken erkennen und diese hochautomatisiert ausnutzen. Die Frage, die sich stellt: Können wir uns auf diese neuen Bedrohungen schnell genug einstellen? Unternehmen und staatliche Stellen müssen ihre Abwehrstrategien kontinuierlich anpassen und dabei auf moderne Technologien setzen.
Der Gesetzgeber reagiert zwar auf die wachsenden Bedrohungen, doch der Prozess ist träge. Mit der Umsetzung von NIS2 (der zweiten EU-Richtlinie zur Netz- und Informationssicherheit) sind neue Regularien auf dem Weg, doch die Implementierung in den Unternehmen gestaltet sich schwierig. Die Anpassung an neue Sicherheitsstandards ist oft komplex, zeitaufwendig und kostspielig. In der Zwischenzeit entwickeln sich Cyberbedrohungen jedoch rasant weiter. Können unsere Gesetze diesem Tempo standhalten? Die Realität zeigt, dass Unternehmen häufig überfordert sind, die gesetzlichen Vorgaben rechtzeitig und umfassend umzusetzen. Diese Verzögerungen eröffnen Angreifern ein gefährliches Zeitfenster, in dem Sicherheitslücken ausgenutzt werden können.
Die Herausforderungen sind vielfältig und komplex. Deutschland steht vor der Aufgabe, seine IT-Infrastrukturen in einer immer bedrohlicheren digitalen Welt zu schützen. Dazu bedarf es einer konzertierten Anstrengung von Staat, Wirtschaft und Gesellschaft. Ein Hoffnungsschimmer – Das Risiko ist bekannt und wird aktiv angegangen. Im vergangenen Jahr fand die LÜKEX 23[2] – eine Bundesweite Krisenübung – zum Thema „Cyberangriff auf das Regierungshandeln“ statt. Dabei konnten die Teilnehmer aus Bund, Ländern und kritischen Infrastrukturen und Organisationen gemeinsam erproben, wie sie im Falle eines IT-Angriffs am besten zusammenarbeiten. Doch es braucht mehr solcher Übungen, von kleinen Unternehmen bis hin zur großen Bundesebene, um sich auf kommende Bedrohungen einzustellen. Um für den Ernstfall bestmöglich vorbereitet zu sein, müssen effiziente und effektive Notfallkonzepte nicht nur etabliert, sondern auch im Rahmen von Simulationen getestet werden.
Was bleibt: Cyberangriffe verschwinden nicht, sie werden sich weiterentwickeln. Die Frage ist nicht, ob Deutschland von einem Cyber Großschadensereignis betroffen sein wird, sondern wann. Nur durch eine proaktive, flexible und umfassende Sicherheitsstrategie kann Deutschland den kommenden Herausforderungen standhalten. Es bleibt zu hoffen, dass wir diese Herausforderung meistern, bevor es zu spät ist.
[1] https://www.bafin.de/SharedDocs/Veroeffentlichungen/DE/Fachartikel/2024/fa_bj_2402_Cyberversicherung.html
[2] https://www.bbk.bund.de/DE/Themen/Krisenmanagement/LUEKEX/Auswertungsbericht/auswertungsbericht_node.html