Cyberattacken: Wo Unternehmen Aufholbedarf haben

Die Digitalisierung hat die Unternehmensorganisation nachhaltig verändert. Home-Office, Big Data, Machine Learning sind nur ein paar der Buzzwords, die an dieser Stelle oft genannt werden. Die meisten davon haben Veränderungen zum Positiven hervorgebracht. Doch es gibt eine Schattenseite dieser Entwicklungen: Die Cyberkriminalität zieht Jahr für Jahr immer größere Kreise. Unternehmensschäden werden allein in Deutschland auf über 200 Milliarden Euro pro Jahr geschätzt. In Sachen Sicherheitsvorkehrungen hinken sogar viele Großkonzerne den Ansprüchen und Notwendigkeiten weit hinterher. Dabei klingt es doch so einfach: Wer sich im Raum Karlsruhe um steigende Kriminalität Sorgen macht, beschäftigt einfach einen Sicherheitsdienst für Karlsruhe. Doch wie sieht die Lösung für das Problem im digitalen Raum aus? Wo ist hier der „Sicherheitsdienst“? Allgemeiner gefragt: Wo stehen Unternehmen in Deutschland im Kampf gegen die Cyberkriminalität? Und was muss geschehen, um die dramatischen, wirtschaftlichen Schäden zu minimieren?

Keine einfachen Lösungen

An dieser Frage hängt bereits ein Teil der Problematik. Tatsächlich funktioniert die Analogie des Sicherheitsdienstes in der digitalen Welt so nicht. Selbstverständlich besitzt jedes Unternehmen Firewalls und Antivirenprogramme, beschäftigt im Haus und außerhalb IT-Sicherheitsexperten usw. Dennoch zeigt sich: Der Probleme lässt sich auf diese Weise kaum Herr werden. Trotz vieler Cloud-Services von Großkonzernen, die ein Höchstmaß an Sicherheit versprechen, externer IT-Experten uvm. müssen Sicherheitslöcher nicht zuletzt intern gestopft werden. Statt sich auf externe Hilfe zu verlassen, müssen hierfür neue Kompetenzen, nicht selten ganze Abteilungen aufgebaut werden. Dies benötigt Zeit, Planung, Ressourcen, eine Unternehmensstrategie und deren rigorose Verfolgung sowie einen Kulturwandel innerhalb der Organisation. Vielen Firmen – von groß bis klein – fehlen nach wie vor die Kompetenzen, all dies zu bewerkstelligen.

Kein gutes Verständnis des Problems

Und das in einer Zeit, in der die Probleme mit der Cyberkriminalität massiv ansteigen. Die jährlichen Wirtschaftsschäden sind enorm. Systeme müssen nach Angriffen oft komplett heruntergefahren werden und können stundenlang ausfallen. So wie das Thema unter Otto Normalbürgern stiefmütterlich behandelt wird, sieht es in Unternehmen oft nicht besser aus. Viele glauben, das Schlimmste an Cyberkriminalität sei eine Tracking-Cookie oder ein Computer-Virus, der sich mit dem richtigen Tool rasch wieder löschen lässt. Genauso mittelalterlich wie das Verständnis für dieses Problem aussieht, sehen in den meisten Haushalten und Betrieben die vermeintlichen Lösungen aus. Eine funktionierende Antivirus-Software, ein aktives HTTPS und eine SSL-Verschlüsselung werden schon genügen. Tatsächlich sind die Probleme weit größer, komplexer und tiefgründiger, als viele das eingestehen möchten.

Der Stand heute

Zunächst eine kleine Bestandsaufnahme: Inzwischen wird jedes zehnte Unternehmen in der Bundesrepublik Deutschland regelmäßig Opfer von Cyberattacken. Vom Ausnahmefall zur Dauerbedrohung – so ungefähr lassen sich die Entwicklungen der letzten zehn Jahre zusammenfassen. Ein Großteil der Attacken stehen im Zusammenhang mit Industriespionage aus dem Ausland. Seltener – aber doch immer häufiger – kommt die Bedrohung auch aus dem Inland, vor allem von ehemaligen oder aktiven Mitarbeitern (z. B. Datenleaks). Allein seit dem Krieg in der Ukraine im Februar 2022 haben die digitalen Angriffe in Deutschland eine neue Dimension erfahren. Die Konsequenz: nicht erreichbare Webseiten, Einschränkung des Kundenservice, Totalausfall der Systeme und Server. Die unmittelbaren wirtschaftlichen Schäden wurden bereits genannt. Hinzukommen Folgeschäden wie ein Verlust an Reputation, an zahlenden Kunden, an Standort-Attraktivität oder an kompetenten Mitarbeitern. Das alles ist Grund genug, sich mit dem Thema Cyberkriminalität intensiver auseinanderzusetzen. Das Thema hat es zwar inzwischen in viele Vorstände und Meetingräume als weiterer Agendapunkt auf die Liste geschafft. Allerdings benötigen substanzielle Veränderungen in der Unternehmenskultur eine lange Zeit. Die Dauer korreliert mit der Größe des Konzerns, wobei gerade Großkonzerne häufiger Opfer von digitaler Kriminalität werden als mittelständische Firmen.

Fazit

Es reicht nicht aus, eine neue Abteilung zu gründen oder eine Handvoll neuer IT-Experten einzustellen. Digitale Transformationsprozesse dieser Art betreffen eine Vielzahl von Mitarbeitern und oft genug die gesamte Organisation. Mitarbeiter müssen den Umgang mit dem Intranet und der Cloud lernen, Sicherheitstools verwenden können, nicht auf Phishing-Mails reinfallen und sich bei Problemen schnell an die entsprechenden Stellen (im Haus oder extern) wenden. Bei einem hohen Durchschnittsalter der Abteilungen – wie es beispielsweise bei Versicherern der Fall ist – braucht es für diese Veränderungen zusätzlich Zeit und Geld (z. B. für Schulungen und Weiterbildungskurse). Umso wichtiger ist es, schnell die nötigen Schritte einzuleiten, keine weitere Zeit zu verschwenden und das Thema Sicherheit und Schutz vor Cyberkriminalität zum wichtigsten Ziel der Unternehmensorganisation zu machen.