Cyberkriminalität und Risiken in der „digitalen Sphäre“

Aktuelle und zukünftige Bedrohungslagen sowie tragfähige Präventionsmaßnahmen

5 Handlungsperspektiven: Cyberattacken abwehren, Risiken in der digitalen Sphäre neutralisieren, wirksame Präventionsmaßnahmen durchsetzen

Die entscheidende Zukunftsfrage lautet: Wie lassen sich die zuvor beschriebenen Cyberangriffe abwehren, wie kann dafür gesorgt werden, dass die aus solchen Angriffen resultierenden Schädigungen – die die Wirtschaft, öffentliche Einrichtungen und letztlich das gesamte Gemeinwesen betreffen – unterbunden werden? Auf der Ebene öffentlicher Einrichtungen muss zunächst konstatiert werden, dass insbesondere kleinere Kommunen in Deutschland im Hinblick auf Risiken in der digitalen Sphäre oftmals nicht ausreichend geschützt sind. Der Nachholbedarf ist beträchtlich. Nach Expertenhinweisen müssten, um solche Schwachstellen zu beheben, alle staatlichen Stellen – ob es sich nun um eine Landesbehörde, Kreisverwaltung oder Kommune handelt – mehr Investitionen in die IT-Sicherheit und den Datenschutz vornehmen.¹⁵ Die Notwendigkeit dieser Schritte wird heutzutage von den Entscheidungsträgern in Behörden, Verwaltung und Politik nahezu ausnahmslos eingeräumt. Die Entwicklung von passgenauen Sicherheitsmodellen für komplette IT-Lebenszyklen einschließlich Analyse, Planung, Implementierung und Überwachung sowie die Sicherung der KRITIS im Einklang mit den gesetzlichen Vorgaben und Empfehlungen des Bundesamts für Sicherheit in der Informationstechnik (BSI) schreitet folgerichtig voran, um die erheblichen Rückstände früherer Zeiten aufzuholen. Die entsprechenden Maßnahmen umfassen auch spezielle Modellierungen unterschiedlicher Risikoszenarien, sog. Vulnerabilitäts- und Penetrationstests (System- und Anwendungs-Checks auf Schwachstellen und mögliche Einfallstore für Hacker) sowie die Konzeption, Realisierung und Kontrolle der stetig dominanter werdenden Cloud-Verlagerungen.¹⁶ Die im Juli 2022 vom Bundesinnenministerium vorgestellte Cybersicherheitsagenda unterstreicht die grundsätzliche Dringlichkeit derartiger und kontinuierlich auszubauender Maßnahmen. Kernelemente der Cybersicherheitsagenda sind eine neu organisierte Cybersicherheitsarchitektur mit einer führenden Rolle des Bundes, erweiterte Befugnisse für die Sicherheitsbehörden, um Cyberattacken abwehren zu können, die konsequente Bekämpfung und strafrechtliche Ahndung von Cyberkriminalität, aber auch die Stärkung der deutschen Cybersicherheitsforschung zur Erhöhung der sog. Cyber-Resilienz.¹⁷

Technischer Nachholbedarf in der IT-Sicherheit findet sich mithin auch in zahlreichen privatwirtschaftlichen Unternehmen. Eine besondere Vulnerabilität vieler Produktionsanlagen rührt daher, dass die Technik zum Teil bereits Jahrzehnte alt ist: „Gerade in der Industrie sind Investitionszyklen von 30 bis 40 Jahren keine Seltenheit. Damit stammen Maschinen und Steuertechnik vielfach noch aus Zeiten, in denen die Vernetzung der Anlagen übers Internet oder gar die Auswertung der Betriebszustände mithilfe intelligenter Analysesoftware noch völlig irrelevant waren. Weil die Technik meist allenfalls intern vernetzt und damit gegen externe Zugriffe geschützt war, spielten mögliche Hackerbedrohungen jahrzehntelang keine Rolle. In Zeiten der allumfassenden Digitalisierung der Produktion, einschließlich der angejahrten Altsysteme, rächt sich das jetzt“.¹⁸ Es ist durchaus irritierend, dass Deutschland bei der digitalen Sicherheit internationalen Standards „hinterherhinkt“, obwohl es hinsichtlich der weltweiten Handelsbeziehungen in den zurückliegenden Jahren stets einen der vordersten Ränge einnehmen konnte.¹⁹

Die aufgeworfene Zukunftsfrage nach der wirksamen Unterbindung von Cyberattacken und deren gesamtwirtschaftlichen und gesellschaftlichen Schäden lässt sich also nicht nur für öffentliche Einrichtungen, sondern ebenso auf Seiten von Unternehmen in Deutschland im Sinne einer durchgreifenden sicherheitstechnischen Optimierung beantworten. Eine entscheidende Rolle kommt dabei den Entscheidungsträgern und Führungskräften sowie der Organisationsentwicklung in den Unternehmen zu. Auf dieser personellen und organisatorischen Ebene „hapert“ es allerdings nach wie vor. Das notwendige Gefahrenbewusstsein scheint oftmals nur rudimentär ausgeprägt zu sein. Nach aktuellen empirischen Erhebungen „fehlt offenbar die nötige Sensibilität für den Schutz der Technik: Nicht einmal jedes fünfte Unternehmen hat [...] bisher ein eigenes Cybersicherheitsbudget für den Schutz der OT-Systeme“²⁰ – solch ein Erhebungsbefund sollte aufrütteln, da ja namentlich bei Industrieunternehmen die Zuverlässigkeit von digital eingebundenen Steuerungssystemen für die Betriebssicherheit und damit auch für den wirtschaftlichen Erfolg von essenzieller Bedeutung sind. Hinweise zum Gefahrenbewusstsein und zur Risikosensibilität machen deutlich, wie wichtig der Faktor Mensch bei dem Ringen um Cybersicherheit bzw. bei der wirksamen Abwehr derartiger, in Unternehmen und anderen Organisationen unentwegt erfolgenden Angriffe ist. Menschliches Fehlverhalten kann die technischen Potenziale einer noch so guten Cyberabwehr unterminieren und leider geschieht dies tatsächlich immer wieder. So weisen Studiendaten darauf hin, dass annähernd jeder zweite kritische Cybersicherheits-Vorfall oder -Hack das Resultat von Unaufmerksamkeit oder nicht ausreichender Schulung von Mitarbeitern war.²¹ Es ist davon auszugehen, dass Mitarbeiter in Unternehmen und Organisationen oftmals nicht wirklich realisieren, dass Cyberbedrohungen sehr ernst zu nehmen sind, dass derartige Attacken gravierende Konsequenzen auf innerbetriebliche/-organisatorische Abläufe haben und letztlich den eigenen Arbeitsplatz gefährden können.

Mithin ist es nicht sinnvoll, primär eine Defizitperspektive einzunehmen, Menschen also vorrangig als „Sicherheitslücke“ zu betrachten. Vielmehr sollte der Mensch als aktiver „Abwehrschirm“ und „Sicherheitsfaktor“ gegen Cyberattacken erkannt werden. Damit Menschen diese Rolle einnehmen können, bedarf es in Unternehmen, Organisationen und Institutionen gezielter Aus- und Weiterbildung sowie einer geeigneten Aktivierung der Risikoerkenntnisfähigkeit von Mitarbeitern. Der Auf- und Ausbau eines entsprechenden Problem- und Sicherheitsbewusstseins im Verbund mit regelmäßigen Schulungen sind „wichtige präventive Maßnahmen um den ‚Sicherheits-Faktor Mensch‘ zu stärken. Relevante Gefährdungen müssen bekannt sein und die Erwartungshaltung hinsichtlich der Informationssicherheit in dem Unternehmen oder der Institution sollte klar kommuniziert werden. So wird die Grundlage für einen sensiblen Umgang mit Daten und IT-Informationssicherheit gelegt“.²² Man spricht in diesem Zusammenhang auch von „Awareness“ als elementarer Sicherheitsmaßnahme. Awareness beinhaltet, dass zunächst das Problembewusstsein für Cybersicherheit erlangt werden muss, um darauf aufbauend die erforderlichen Verhaltensänderungen für die digitale Ebene umsetzen zu können.²³

Sowohl Einzelfirmen und -organisationen als auch übergeordnete Institutionen und Verbände sind gefordert, ihre Mitarbeiter im Hinblick auf diese Awareness und konkrete Handlungskompetenzen zu schulen und kontinuierlich weiter zu qualifizieren. Im Bereich der Finanzwirtschaft, namentlich bei Banken, die für die Aktivitäten von Cyberkriminellen ein häufiger gewähltes Ziel darstellen, werden entsprechende Maßgaben umgesetzt. Die sich immer wieder ändernden Bedrohungslagen und Begehungsformen der Cyberkriminalität machen eine entsprechend flexible Anpassung bzw. Neuentwicklung von Schulungs- und Weiterbildungsprogrammen erforderlich. In der genossenschaftlichen Qualifizierung und Weiterbildung werden diese Herausforderungen aktiv angegangen, um hinsichtlich IT/Digitalisierung eine stetig aktualisierte und damit belastbare Wissensbasis sowie die notwendigen Handlungskompetenzen auf der Entscheiderebene, bei Fachkräften und anderen Mitarbeitern zu gewährleisten. Qualifizierungsmaßnahmen richten sich hier sowohl an die Mitarbeiter von Genossenschaftsbanken als auch genossenschaftlich verankerten Organisationen weiterer Branchen und zielen insbesondere auf ein tragfähiges Informationssicherheits- und Risikomanagement ab, das im Regelbetrieb Cybergefahren identifizieren und wirksam neutralisieren kann. Dabei wird auch die Vermittlung von strukturellen Grundlagenkenntnissen zur digitalen Transformation sowie von entsprechenden Handlungskompetenzen (Digital Leadership, Personal- und Organisationsentwicklung) angestrebt.

Bildrechte: Davide Oliveira.