Mehr Resilienz ist notwendig

Überall nur schwarze Bildschirme. Kein Zugang zu Meldedaten, kein Zugriff auf das Rechnungswesen, auf Kassensysteme oder Bezahlvorgänge – und die Friedhofsverwaltung war auch lahmgelegt. Der Hackerangriff, der Ende November vergangenen Jahres auf die Server des Zweckverbands gemeindliche Datenverarbeitung im Landkreis Neu-Ulm stattfand, hatte dramatische Folgen. Faktisch ging nichts mehr in den Verwaltungen der insgesamt 12 angeschlossenen Kommunen. Nach gut drei Wochen lief das Rechenzentrum zwar wieder – und damit rechtzeitig vor der anstehenden Landratswahl. Der materielle und immaterielle Schaden indes geht in die Hunderttausende.

Der Zweckverband ist nicht das einzige Opfer von Hacker*innen. In den vergangenen Monaten hat es Angriffe unter anderem auf den Automobilzulieferer Continental, den Trinkwasserverband Stade, die Hotelkette Motel One und das Berliner Kaufhaus KaDeWe gegeben. Cyber-Kriminalität und -Spionage sind längst zu einer gesamtwirtschaftlichen Bedrohung geworden. Nach einer Studie des Digitalverbands Bitkom, für die im Vorjahr mehr als 1.000 Unternehmen quer durch alle Branchen repräsentativ befragt wurden, sind der deutschen Wirtschaft durch Diebstahl von IT-Ausrüstung und Daten sowie digitale und analoge Industriespionage und Sabotage 206 Mrd. € Schaden entstanden. Die Summe lag damit zum dritten Mal in Folge über der 200-Mrd.-€-Marke (2021: 223 Mrd. €; 2022: 203 Mrd. €).

Grenzen zwischen organisierter Kriminalität und Staatsterror verwischen

„Die deutsche Wirtschaft ist ein hochattraktives Angriffsziel für Kriminelle und uns feindlich gesonnene Staaten. Die Grenzen zwischen organisierter Kriminalität und staatlich gesteuerten Akteur*innen sind dabei fließend. Der leichte Rückgang der betroffenen Unternehmen ist ein positives Zeichen und deutet darauf hin, dass die Schutzmaßnahmen Wirkung entfalten“, kommentierte Bitkom-Präsident Ralf Wintergerst die Studienergebnisse. „Generell ist für Unternehmen die Bedrohung stark gestiegen, Opfer von Cyber-Kriminalität zu werden“, beobachtet auch Stefan Weddemar, Senior Manager, IT Advisory Financial Services and Sustainability bei Mazars in Deutschland. Nach Einschätzung des Research-Unternehmens Cybersecurity Ventures werden die weltweiten Kosten für Cyber-Schäden und Cyber-Abwehr von 8 Billionen US$ im Jahr 2023 auf 10,5 Billionen US$ im Jahr 2025 steigen.

Kritische Infrastrukturen werden zur Achillesferse für Angriffe

Zwar sind die Schäden beim kommunalen Zweckverband im Landkreis Neu-Ulm dagegen überschaubar, dennoch zeigt das Beispiel auf, welche Schadenpotenziale Cyber-Kriminalität inzwischen hat. „Das Spektrum reicht dabei von rein finanziellen Verlusten bis hin zu Rufschädigung, Datenverlust und im schlimmsten Fall einer Betriebsunterbrechung“, weiß Weddemar aus seiner Beratungspraxis. Angriffe auf kritische Infrastrukturen (KRITIS), wie etwa Krankenhäuser oder Energieversorger, können schnell weite Kreise ziehen und dramatische Auswirkungen auf einen größeren Teil der Bevölkerung haben. „Das unterstreicht für Organisationen die Bedeutung proaktiver Cyber-Sicherheitsmaßnahmen“, bekräftigt der Mazars Experte.

Die möglichen digitalen Angriffspunkte und Schwachstellen gerade in Unternehmen sind vielfältig. Zu den häufigsten Einfallstoren für Cyber-Kriminelle gehören unsichere Passwörter, veraltete Software und mangelnde Schulung der Mitarbeiter*innen in Sachen Cyber-Sicherheit. „Gerade der Faktor Mensch stellt einen wesentlichen Angriffspunkt beziehungsweise eine Schwachstelle dar“, sagt Weddemar.

Für ihre Angriffe nutzen Hacker*innen häufig sogenannte Ransom-Software. Sind diese Trojaner erst einmal in das System eingeschleust, entpacken sich die Programme von selbst, sperren anschließend Systemzugänge und verschlüsseln wichtige Dateien. Dann wird Lösegeld gefordert, um die digitalen Blockaden zu lösen. „Vor dem Hintergrund dieser erhöhten Bedrohungslage tun Unternehmensverantwortliche also gut daran, ihre Cyber-Resilienz zu stärken“, empfiehlt der Mazars Experte.

Unter digitaler Resilienz wird die Fähigkeit eines Unternehmens verstanden, flexibel auf Cyber-Angriffe und Störungen zu reagieren, sich schnell zu erholen und dabei geschäftskritische Funktionen aufrechtzuerhalten. Ganz praktisch gehören dazu zum Beispiel vorbeugende Maßnahmen, um Schwachstellen zu identifizieren, eine regelmäßige Überprüfung und Anpassung von Cyber-Sicherheitsmaßnahmen und eine situative Anpassungsfähigkeit an neue Bedrohungen und sich ändernde Angriffsmuster.

Soweit der Idealfall. Die Frage ist jedoch, wie Unternehmen diese digitale Resilienz entwickeln und trainieren können. „Generell sind hier drei Säulen entscheidend: die Digitalisierungsprozesse, der Betrieb digitaler Technik und entsprechender Infrastruktur sowie die Ebene der Digitalgeräte“, sagt Weddemar. Zusätzlich gilt es nach seinen Worten, eine Reihe weiterer digitaler Themen zu adressieren: Dazu gehört zum Beispiel, das Sicherheitsbewusstsein der Mitarbeiter*innen zu fördern, etwa, indem verpflichtende Schulungen über Phishing, sichere Passwörter und allgemeine Cyber-Sicherheitspraktiken angeboten werden.

Beim Zugriff auf IT-Ressourcen gilt: Weniger ist hier mehr (Sicherheit)

Wichtig sind darüber hinaus regelmäßige Audits und Risikobewertungen, aktualisierte Sicherheitsrichtlinien, Software-Updates und die Implementierung eines Systems von Zugriffsbeschränkungen. Letzteres stellt sicher, dass Mitarbeiter*innen nur auf die für ihre Arbeit notwendigen IT-Ressourcen zugreifen können. „Dazu kommt schließlich die rein technische Seite – also zum Beispiel die Verbesserung der Netzwerksicherheit durch entsprechende Firewalls und Intrusion Detection Systems (IDS)“, sagt Weddemar. „Systematische Datensicherungs- und Wiederherstellungspläne helfen, im Falle eines Angriffs Datenverluste zu minimieren. Und mit der Konzeption eines Incident-Response-Plans steht ein Kriseninstrument zur Verfügung, mit dem Unternehmen im Ernstfall effektiv auf einen Cyber-Angriff reagieren können.“

Um cyber-resilient zu werden, sollten sich Unternehmen an aktuellen Sicherheitsstandards wie DORA oder ISO 270XX orientieren und regelmäßig überprüfen, ob sie diese auch einhalten. „Angesichts der technischen Komplexität dieser Richtlinien sollten Unternehmensverantwortliche überlegen, externe Dienstleister hinzuzuziehen, um sich damit fachliche Expertise und die notwendige Überwachung der IT-Systeme ins Haus zu holen“, empfiehlt Weddemar.

Aufsichtsrat spielt zentrale Rolle bei der Stärkung der IT-Sicherheit

Der Aufsichtsrat spielt in diesem Zusammenhang eine entscheidende Rolle, indem er die digitale Widerstandsfähigkeit aktiv fördert und überwacht. Dazu muss er die Entwicklung und Umsetzung einer umfassenden Cyber-Sicherheitsstrategie einfordern und sicherstellen, dass diese Strategie mit den Geschäftszielen übereinstimmt. Die Organmitglieder sollten sich parallel dazu die Ergebnisse regelmäßiger Risikobewertungen und Sicherheitsaudits im IT-Bereich darstellen lassen. So können sie Schwachstellen identifizieren und bekommen notwendige Informationen an die Hand, um angemessene Maßnahmen zu ergreifen (siehe Kasten „Digitale Resilienz: Checkliste für Aufsichtsrät*innen“).

Für Mazars Experte Weddemar steht fest, dass digitale Resilienz zum immer wichtigeren Wettbewerbsfaktor für Unternehmen wird. Wer seine starke digitale Resilienz nachweist, fördert das Vertrauen bei Kund*innen und Partner*innen und stärkt die Reputation des Unternehmens. „Das ist ein differenzierender Faktor – erst recht in Zeiten steigender Sensibilität für Datenschutz. Dazu kommen positive Effekte bei Innovation, Agilität und Kosteneffizienz“, sagt Weddemar. „Nicht zuletzt können sich Unternehmen mit hoher digitaler Resilienz als zuverlässige Partner in Lieferketten positionieren. Vor dem Hintergrund der Anforderungen aus dem Lieferkettensorgfaltspflichtengesetz ist das ein echter Wettbewerbsvorteil.“