Digitale Sicherheitslage in Deutschland
Digitale Sicherheit
Warum die Bundesrepublik Deutschland deutlich mehr Mittel in die Cybersicherheit investieren muss - und zwar schnell.
Da sich der digitale Wandel in allen Bereichen unseres Lebens fortsetzt, hängt die Fähigkeit Deutschlands, effektiv und möglichst störungsfrei zu funktionieren, immer mehr von der Cybersicherheit ab. Erst kürzlich war zu lesen, dass wir täglich mehrere Billionen Bytes an Daten erzeugen, und je mehr Daten wir generieren, desto größer ist das Risiko für unsere digitale Sicherheit.
Straftaten im Netz nehmen rasant zu
In Verbindung damit wächst permanent die Gefahr der Cyberkriminalität für jede Organisation - die Angriffe werden nicht nur häufiger, sondern in einigen Fällen auch deutlich gefährlicher. Darum versteht es sich fast von selbst, dass sich das Gesicht der organisierten Kriminalität verändert, wenn sie sich von der traditionellen Kriminalität zur Cyberkriminalität entwickelt.
Tatsächlich sind die Menschen heute mehr von online begangenen Straftaten betroffen, als jeder anderen Art von Kriminalität - das legen zumindest die verschieden Umfragen nahe. Aus denen geht hervor, dass mehr Erwachsene Opfer von Online-Kriminalität wurden, als von Gewalt, Diebstahl oder Raub.
Gefährdungslage Deutschlands ändert sich dramatisch
Darüber hinaus sind die Warnungen des Bundesamtes für Sicherheit in der Informationstechnik (BSI) und privater Sicherheitsdienste nicht mehr zu überhören, dass es nur eine Frage der Zeit sei, bis Deutschland mit einem schweren Cyber-Notfall konfrontiert wird, das heißt einem Cyber-Angriff, der eine nachhaltige Störung der Infrastruktur zur Folge hat.
Ein Angriff dieser Kategorie würde schwere wirtschaftliche und soziale Schäden bis hin zum Verlust von Menschenleben verursachen. Die Dinge haben sich ungemein weiter entwickelt, vom seltsamen, noch neugierig registrierten Virus vor 25 Jahren zu einer länderübergreifenden Bedrohung.
Ein Land, das schlecht vorbereitet ist?
Während neue Untersuchungen darauf hindeuten, dass Mehrzahl der deutschen Unternehmen ihre Ausgaben für Cybersicherheit in den letzten Jahren deutlich erhöht haben, werden die zu geringen Ausgaben des Staates beunruhigt wahrgenommen. Im Vergleich der Ausgaben verschiedener Staaten zeigt, dass Deutschland und auch die Europäische Union vergleichsweise wenig in die Cybersicherheit investieren.
Marktforschungsagenturen wie die International Data Corporation (IDC) oder Gartner Inc. schätzen den Weltmarkt für Cyber Security auf rund 80 Milliarden Dollar. Dabei entfällt ein Viertel auf die USA und die restlichen drei Viertel werden zum größten Teil von US-amerikanischen Sicherheitsfirmen versorgt. Das liegt auch daran dass die amerikanische Bundesregierung mehr für Cybersicherheit ausgibt, als alle anderen Regierungen der Welt. So verwundert es nicht, das von den Top-500 der Branche 364 Unternehmen aus den USA kommen.
Das auch kleinere Staaten viel tun können beweist die Nummer zwei in der Topliste. Dort ist Israel mit 34 großen Unternehmen vertreten, dessen Cybersicherheits-Industrie sich, dank der staatlichen Unterstützung, dynamisch weiterentwickelt. Die relative Zurückhaltung des deutschen Staates gefährdet wohl auch dessen Sicherheit.
Es gibt Hoffnung
Die gute Nachricht ist, dass Regierung und Organisationen in Deutschland endlich beginnen, die wachsende Bedrohung zur Kenntnis zu nehmen und zunehmend in den Schutz ihrer selbst investieren. Spätestens nach den Auswirkungen des WannaCry-Virus 2017 wurden zahlreiche Initiativen zu mehr Cybersicherheit ergriffen.
Zu den empfohlenen und vorangetriebenen Sicherheitsmaßnahmen gehört, dass alle nahezu alle Institutionen und Verbände auf das Betriebssystem Windows 10 zugreifen und es regelmäßig patchen können, Upgrades auf Firewalls und Netzwerkinfrastrukturen sowie die Befähigung der Aufsichtsbehörden, Cyber- und Datensicherheitsstandards zu überprüfen. Das IT-Lage und Analysezentrum ist zu einem IT-Krisenreaktionszentrum herangewachsen, welches dazu beiträgt, Angriffe und Verstöße schnell zu erkennen und zu beheben und mit dem Computer Emergency Response Team für Bundesbehörden kann Schäden vorgebeugt und im Angriffsfall schnell reagiert werden. Das sind alles wirklich positive Zeichen.
Aber ist das genug? Das uralte Problem der sogenannten Sicherheitsökonomie wird weiterhin gedeihen. Das heißt, was ein akzeptables und vernünftiges Investitionsniveau in den Sicherheitsschutz ist, wird mit der Risikoakzeptanz jedes einzelne Unternehmen und jede Organisation des öffentlichen Sektors abgewogen. Sicherheitsexperten kritisieren immer wieder Unternehmen und Regierungen für die Festlegung eines Sicherheitsbudgets, bevor die Sicherheitsstrategie festgelegt wurde. Das sind Probleme, die in vielen Organisationen erkannt und entsprechend priorisiert werden müssen.
Immer ausgefeiltere Angriffe
Die Herausforderung bei der Beurteilung der Sicherheitslage anhand von Statistiken und Durchschnittswerten, besteht darin, dass Cyber-Kriminalität rücksichtslos und unvorhersehbar ist. Sich selbst zu schützen ist keine einmalige Aufgabe; es muss ein Prozess sein der eine ständige Priorität hat und sich mit der Bewegung von Zielen, der Entwicklung von Politiken und der Veränderung von Budgets zu befasst und darauf unmittelbar reagiert.
Denn auch Cyberkriminelle werden immer besser. Mit Dingen wie fortschrittlichen Phishing-Techniken werden Angriffe aus der Ferne auf intelligente Geräte wie Thermostate, Fernseher und Kameras sowie Malware in mobilen Anwendungen immer häufiger. Cyberkriminelle haben sich entwickelt, und so müssen sich auch Unternehmen entwickeln.
Sicherheit ist kein Add-on
Das Öffnen der Tür zur digitalen Welt von morgen, mittel 5G und dem Internet der Dinge, kann in den Unternehmen Wunder bewirken, aber nicht, wenn man die Tür offen gelassen wird. Das Auslagern von Infrastrukturen, die Änderung der Art und Weise, wie Daten gespeichert und gemeinsam genutzt werden, und die Ermöglichung einer größeren Konnektivität zwischen einer Vielzahl von Geräten können Unternehmen neuen Bedrohungen aussetzen, wenn sie nicht die entsprechenden Vorsichtsmaßnahmen treffen. Das große Risiko bei der digitalen Transformation besteht darin, dass der Angriffsvektor jetzt viel größer ist. Daten sind überall, und sie sind nicht mehr hinter Firewalls versteckt.
Ein größerer Zugriff von mehr Geräten bedeutet, dass sich Unternehmen etwas weniger auf die Burgmauern, sprich das Rechenzentrum und seinen Umfang, als auf den Schatz in der Truhe konzentrieren müssen, nämlich die tatsächlichen Geschäftsdaten. Ganz konkret heißt das, dass vor allem das Nachdenken über Zugriffsmanagement, Data Loss Prevention (DLP), Verschlüsselung, robuste Multi-Faktor-Authentifizierung zukünftig Priorität haben muss.
Zu viele Unternehmen betrachten Sicherheit nach als die letzte Stufe der Transformation. Sie bauen die Burg und fügen dann den Graben hinzu. Aber Sicherheit ist keine eigenständige Ebene, die über bestehende Operationen gestellt werden kann. Es ist kein Schalter zum Umschalten. Sie muss so früh wie möglich in Kultur und Prozesse eingewoben werden. Es ist klar, dass deutsche Unternehmen anfangen müssen, Risiken für die Cybersicherheit mit mehr Überzeugung anzugehen - und das bedeutet mehr als nur die Bereitstellung der neuesten Sicherheitssoftware. Bei der Investition von Ressourcen in Sicherheit geht es um Planung und Menschen, ebenso wie um Plattformen.
Der wichtigste Faktor gegen die Cyberkriminalität: Der Mensch
Eines der wichtigsten Elemente eines Investitionsplans für die Cybersicherheit ist die interne Schulung. Benutzer sind die größte Bedrohung für die Sicherheit eines Unternehmens; es wird angenommen, dass mehr als 95 Prozent der Sicherheitsvorfälle durch menschliches Versagen verursacht werden. Viele Anwender in einem Unternehmen glauben immer noch, dass der Schutz vor Cyber-Bedrohungen in der Verantwortung der IT-Abteilung liegt. In Wirklichkeit können Sicherheitssysteme nur dann ausreichend viel bewirken, wenn die Endbenutzer vollständig und immer aktuell über alltägliche Risiken informiert sind, wie zum Beispiel die Links in Spam-E-Mails oder das Sichern ihrer Konten mit dem gleichen Passwort, das sie seit einer Ewigkeit verwenden.
Unserer Meinung nach ist eines der wichtigsten Dinge, die ein Unternehmen tun kann, um sich angesichts der zunehmenden Sicherheitsbedrohungen zu schützen, eine grundlegende Veränderung an seinen Arbeitsplätzen einzuleiten. Unternehmen müssen in Schulungen, internes Messaging und Prozessänderungen investieren, die die Cybersicherheit als ein Wir-Thema und nicht als ein abstraktes Thema positionieren. Mitarbeiter müssen verstehen, dass Cyber-Bedrohungen nicht durch eine einzige, mythische Pipeline hinter ihren Firewalls kommen, sondern von allen Seiten, an allen Fronten.
Angesichts der sich ständig weiterentwickelnden Cyberbedrohungen müssen Unternehmen in der Art und Weise, wie sie ihre Mitarbeiter ausbilden, reaktiver sein. Es reicht nicht aus, wenn die Mitarbeiter einmal im Jahr eine Liste von Regeln lesen und unterschreiben. Es ist genauso wichtig, Menschen zu patchen wie Software. Unternehmen sollten regelmäßig prägnante und informative Aktualisierungen verteilen, um sicherzustellen, dass alle Mitarbeiter über neue Trends oder bekannte Bedrohungen informiert sind. Nur so können Sie wissen, auf was sie achten müssen. Der Kampf gegen Cyber-Bedrohungen wird nicht nachlassen. Es ist an der Zeit, dass Unternehmen klug in ihre Verteidigung investieren oder mit mehr als nur ihrem Geld bezahlen müssen.
Stand, September 2019
