Der Kampf zwischen Cybersicherheitsexperten und Cyberkriminellen wird bereits seit über einem Jahrzehnt ausgetragen. Jede Weiterentwicklung von Security-Technologie wird von Hackern sorgfältig auf potenzielle Schwachstellen untersucht – und einmal ausfindig gemacht, als Einfallstor in Unternehmensnetzwerke ausgenutzt. Auch wenn Sicherheitspatches zügig eingespielt werden, können Cyberkriminelle der Patch-Aktion bereits zuvorgekommen sein oder andere Schwachstellen ausfindig gemacht haben. In der Cybersicherheit gibt es nicht die eine, alles umfassende Abwehr. Die einzige Lösung ist eine mehrschichtige Verteidigung; angefangen bei einem robusten Organisationsaufbau, der Risiken aufdeckt, Schwachstellen erkennt und beseitigt, um Cybersicherheitsvorfälle zu verhindern oder den potentiellen Schaden zu minimieren.
Jedes Unternehmen ist Ziel
Über die digitale Supply Chain sind Unternehmen durch Dienstleister, Zulieferer oder Hersteller aller Größenordnungen miteinander vernetzt. Während größere Unternehmen und Konzerne über die erforderlichen Mittel verfügen, ihre Systeme angemessen über verschiedene Verteidigungspunkte hinweg zu schützen, fehlt es kleineren Organisationen eher an nötigen Ressourcen für eine genauso umfassende Cybersicherheitsstrategie. Daher sehen sich Cyberkriminelle bei kleinen und mittleren Unternehmen (KMU) oft mit einer Verteidigungsmauer konfrontiert, die an manchen Stellen zwar starke Verteidigungspunkte aufweist, an anderen wiederum unzureichend geschützt ist.
KMU sind sich der zunehmenden Cyber-Risiken bewusst: Laut einer aktuellen Studie des Spezialversicherers Beazley, gaben 36 Prozent der Führungskräfte in deutschen Unternehmen mit einem Jahresumsatz von weniger als einer Million Euro an, dass Cyber-Risiken die größte Bedrohung für ihren Betrieb seien. Weitere 42 Prozent fühlten sich ihnen in hohem Maß ausgesetzt.
Quelle: Beazley Snapshot Report Deutschland 2023.
Die Verteidigung von Unternehmensnetzwerken zu ergreifen, Risiken zu bestimmen und Maßnahmen einzuführen, ist ebenso von KMU gefragt. Um angemessene Sicherheit aufzubauen müssten Unternehmen ihr Cyber-Risiko analysieren und daraus Maßnahmen ableiten, um ihre Daten und digitalen Assets ganzheitlich zu schützen. Dabei ist die Umsatzgröße eines Unternehmens wenig aussagekräftig hinsichtlich der Attraktivität für Cyberkriminelle, wie diverse öffentlich bekannte Fälle beweisen. Außerdem muss die gesamte Wertschöpfungskette in der Risikoanalyse betrachtet werden: Risikomanager sollten hier holistische Cybersicherheitsstrategien implementieren. Wenn ein Geschäftspartner nicht ausreichend geschützt ist und dadurch kompromittiert wird, kann es bei anderen Organisationen im selben digitalen Ökosystem schnell zu einem Cyber-Schaden in größerem Umfang kommen. Ergänzend haben Unternehmen auch bei nicht digital vernetzten Wertschöpfungsketten das Risiko, dass ein Cyber-Vorfall eines Zulieferers die eigene Produktion unterbricht – beispielsweise wenn dadurch Bestandteile in der Produktion fehlen – insbesondere bei just-in time Wertschöpfungsketten eine Gefahr. Auch diese möglichen Cyber-induzierten Betriebsbeeinträchtigungen sollten in die Entscheidungen des Risikomanagements miteinfließen.
Dazu Christan Taube, Head of Cyber Services – International bei Beazley: „Deutsche Unternehmen wurden von Behörden in ‚höchste Alarmbereitschaft‘ versetzt, da Cyberkriminelle in Europa immer raffiniertere Taktiken anwenden und Schäden durch Angriffe immer größer werden. Jeden Tag tauchen neue Ransomware-Taktiken auf, wie z. B. das ‚Bricking‘, das Systeme von Unternehmen beschädigt und unbrauchbar macht. Deutsche Unternehmen müssen sich auf die sich ständig verändernde Art von Cyberangriffen einstellen.“
Großes Geschäft – großes Risiko
Größere Unternehmen sind sich den Risiken, denen sie ausgesetzt sind, oft bewusster als kleinere. Sie verfügen meist über mehr Ressourcen und Sicherheitsexperten, die die Bedrohungslandschaft monitoren, daraus resultierende Risiken erkennen, entsprechende Handlungsmaßnahmen ableiten und umsetzen. Auch Verantwortlichkeiten für die Vielfalt der Cyber-bezogenen Themen sind eher geschaffen. So fühlen sich laut dem aktuellen Deutschland Report von Beazley fast drei viertel der Entscheidungsträger (74 Prozent) in deutschen Unternehmen mit einem Jahresumsatz von über 100 Millionen Euro auf Cyber-Risiken vorbereitet – im Vergleich dazu teilen nur 54 Prozent der Führungskräfte in kleineren Unternehmen mit einem Umsatz von unter einer Million Euro im Jahr diese Einstellung.
Je größer ein Unternehmen und je vielfältiger die eingesetzten Technologien sind, umso breiter die mögliche Angriffsfläche. Ein einziger Mitarbeiter, kann innerhalb eines unbedachten Moments großen Schaden anrichten, indem sie oder er z.B. auf einen schadhaften Link oder kompromittierten Anhang in einer E-Mail klickt und dadurch Cyberkriminellen das Tor ins Unternehmensnetzwerk öffnet. Wird eine größere oder multinationale Organisation angegriffen, handelt es sich in der Regel um einen Teilangriff: Verschiedene Unternehmensbereiche können je nach Standort über verschiedene IT-Infrastrukturen sowie eine regionale Segmentierung verfügen. Auch wenn das zu einem höheren administrativen Aufwand führt, kann es dazu beitragen, Malware-Verbreitung zu unterbinden und so den Gesamtschaden auf bestimmte Bereiche zu begrenzen.
Trotzdem kann eine saubere Segmentierung mögliche Reputationsrisiken nicht verhindern. Eine Datenschutzverletzung in Brasilien mag zwar nur eine Marke betreffen, doch bleibt die Tatsache, dass Netzwerke nur an einem Standort eines globalen Unternehmens kompromittiert wurden, in den Schlagzeilen oft unerwähnt. Die mangelhafte Informationssicherheit und mögliche Exfiltration von Kundendaten stehen meist im Vordergrund und bleiben der breiten Öffentlichkeit in Erinnerung.
Der Schutz personenbezogener Daten ist ein wesentliches Ziel der Implementierung von Cybersicherheitsmaßnahmen. Für Unternehmensführungen in Deutschland stellt der reibungslose betriebliche Ablauf trotz eines Cyberangriffes das Kerninteresse der Unternehmensführungen dar. Insbesondere für die herstellende Industrie, Logistik oder kritische Infrastruktur steht OT-Sicherheit im Fokus (Operational Technology). Daher sollte Cybersicherheit bereits in der Entwicklungsphase von neuen Produktionslinien berücksichtigt werden, um robuste Standards und Ausweichmöglichkeiten mitzudenken, die auch neuen, digitalen Bedrohungen standhalten können.
Neue Risiken versus bestehende Bedrohungen
Über die alltäglichen Gefahren auf dem Laufenden zu bleiben, denen Unternehmen ausgesetzt sind, ist ein kontinuierlicher Prozess. Risk Manager müssen den Überblick behalten und ableiten, welche Risiken relevant sind und welche nur eine hohes Medieninteresse generieren, wie beispielsweise Deepfakes. Sie stellen zwar eine Bedrohung für Unternehmen dar, doch steht die momentane Berichterstattung nicht im Verhältnis zu ihrem aktuellen Risiko gemäß der tatsächlichen Schadendaten. Dem gegenüber steht die verminderte Sichtbarkeit von Ransomware-Fällen in der Presse nach der Ransomware-Pandemie 2020/2021: Die Bedrohung bleibt aktuell, auch wenn sie weniger im Fokus der Medien steht.
Die richtigen Maßnahmen einzuführen ist unumgänglich, um sich angemessen gegen derzeitige und künftige Risiken zu schützen: Defence in Depth beschreibt eine mehrschichtige Sicherheitsstrategie, um IT-Umgebungen vor Cyber-Risiken zu schützen. Sollte eine der Präventionsmaßnahmen kompromittiert werden, bestehen zusätzliche, voneinander unabhängige Security-Funktionen, die kriminelle Akteure daran hindern sollen, weiter in Unternehmenssysteme vorzudringen. Gerade Cyber-Versicherer, wie Beazley, erkennen Defence in Depth als sinnvollen und empfehlenswerten Ansatz für die Mitigation von Cyber-Risiken an.