Da Unternehmen immer mehr digitale Technologien nutzen, sind sie auch einem höheren IT-Security Risiko als früher ausgesetzt und es macht sie anfällig für Cyberbedrohungen wie Social Engineering. Das offensichtliche Ziel von Cyber Security besteht darin, das Unternehmen vor Cyberangriffen und -risiken zu schützen. Doch gibt es überhaupt eine Lösung, die 100-prozentigen Schutz bietet? Realistisch betrachtet kann keine Securitylösung dies bieten, auch wenn viele es versprechen. Die Angreifer benötigen nur eine einzige Schwachstelle, um in die Systeme des Unternehmens einzudringen und eine Cyberattacke zu starten. Bei diesen Angriffen können sie etwa einen Cyberdiebstahl begehen und so sensible Daten und vertrauliche Informationen erbeuten. Was jedoch einen Unterschied ausmachen kann, ist die Resilienz eines Unternehmens.
Bei einer einfachen E-Commerce-Website müssen verschiedene digitale Technologien zusammenwirken. So wird zum Beispiel eine Website auf einem Server gehostet, außerdem gibt es ein Zahlungs-Gateway, die Banken des Händlers und des Kunden sind beteiligt, und so weiter. Wenn auch nur ein einziger Teil dieser Kette beeinträchtigt ist, liegt das gesamte Geschäft lahm. Aufgrund der engen Verknüpfung der digitalen Technologien verursacht ein Angriff auf eines dieser Elemente einen Dominoeffekt und Funktionsausfälle.
Die Cyberangriffe werden immer raffinierter und die Anzahl der Cyberrisiken hat zugenommen.
Hier einige Statistiken dazu:
Weltweit gab es bereits eine Reihe an Cybervorfällen, die Organisationen gezwungen haben, ihren Geschäftsbetrieb für längere Zeit oder sogar gänzlich einzustellen. Sehen wir uns einige davon an.
Ein Angriff, der an die Existenz ging
Eine US-amerikanische Hochschule, das Lincoln College, wurde 2021 Opfer eines Cyberangriffs. Die Einrichtung war bereits durch Covid-19 in Schwierigkeiten geraten und die Ransomware-Attacke ließ die Einschreibungen stark zurückgehen. Als die Hochschule, bedingt durch fehlende Liquidität, ihren Betrieb nicht mehr aufrechterhalten konnte, gab sie bekannt, das Institut endgültig zu schließen.
Ein klassischer Lieferkettenangriff
2021 waren die Kassensysteme der schwedischen Supermarktkette Coop von einem Angriff auf die Lieferketten betroffen. Die Supermärkte nutzten eine kompromittierte Software. Der Angriff zwang Coop, etwa 400 Läden zu schließen. Die Hacker forderten 70 Millionen US-Dollar für die Datenwiederherstellung. Es dauerte etwa sechs Tage, bis alle Läden wieder geöffnet werden konnten.
Eine weitere Attacke, die fast kriegsähnliche Zustände verursachte
Im Mai 2021 stellte Colonial Pipeline, ein riesiger US-Energieversorger, fünf Tage lang seinen Betrieb ein, da das Unternehmen von einem Cyberangriff betroffen. Das Unternehmen war letztlich gezwungen, rund 4,4 Millionen US-Dollar an die verantwortlichen Hacker zu zahlen. Dieser Angriff hatte auch Auswirkungen auf andere Branchen wie Fluggesellschaften. Er verursachte eine temporäre Energiekrise in den USA.
Abgesehen vom Vertrauensverlust und Imageschaden gibt es auch finanzielle Auswirkungen, wie die oben geschilderten Beispiele zeigen. Einem von IBM veröffentlichten Artikel zufolge beliefen sich 2022 die durchschnittlichen Kosten von Datenschutzverletzungen auf 4,35 Millionen US-Dollar. Für kleine und mittlere Unternehmen können die Kosten eines Angriffs ein harter Schlag sein. Doch kann ein Unternehmen die Auswirkungen minimieren?
Cybersicherheit ist ganz klar ein Muss, doch wie steht es um die Cyberresilienz?
Unternehmen sollten sich damit befassen, die Auswirkungen von Störungen, die durch Sicherheitsvorfälle verursacht werden, zu minimieren. Die Fähigkeit eines Unternehmens, nach einem Angriff zügig seinen Betrieb wieder aufzunehmen, hängt von seiner Resilienz ab. Ist es in der Lage sich schnell zu erholen? Kann der Angriff rasch eingedämmt werden, so dass er nur minimale Beeinträchtigungen verursacht? Wie schnell können die Systeme wieder einsatzbereit sein? Können die finanziellen Folgen minimiert werden?
Was, wenn der Supermarktkette Coop nur sechs Stunden statt sechs Tage gebraucht hätte, um seine Läden wieder zu öffnen? Die finanziellen Verluste wären erheblich geringer ausgefallen.
Es braucht mehr als eine Sicherheitslösung
Etwa 90 Prozent aller Angriffe sind auf Phishing zurückzuführen.
Unternehmen kommunizieren vor allem per E-Mail. Cyberkriminelle versuchen daher, sich über diesen Kanal mit schädlichen Anhängen oder Links, Zugang zu den Systemen zu verschaffen – der einfachste Weg, um den Geschäftsbetrieb zu unterbrechen.
Ein Unternehmen setzt Lösungen für E-Mail-Sicherheit ein, um diesen Phishing-Versuchen vorzubeugen. Da aber die Angriffe immer raffinierter werden, können Phishing-E-Mails ihr Ziel erreichen, ohne Verdacht zu erregen. Tatsächlich fallen Mitarbeiter:innen immer wieder auf solche Cyberfallen herein. Selbst große Unternehmen sind oft nicht in der Lage, zwischen einer echten E-Mail und einer gut gemachten bösartigen E-Mail zu unterscheiden.
Auch große Digitalunternehmen kann es treffen
Zwischen 2013 und 2015 wurden Facebook und Google Opfer eines Business-E-Mail-Compromise (BEC)-Angriffs. Eine Gruppe von Angreifern hatte ein Scheinunternehmen gegründet und schickte Rechnungen an Google und Facebook. Als der Angriff entdeckt wurde, hatten beide Unternehmen bereits rund 121 Millionen US-Dollar verloren. Die Absicherung der Systeme allein reicht nicht aus, Unternehmen benötigen auch eine resiliente Infrastruktur.
Das oben geschilderte Beispiel des BEC-Angriffs wirkt eher wie ein menschlicher Fehler aufseiten der Unternehmen. Hätten gut geschulte und aufmerksame Teams den Angriff vereiteln können? Auf jeden Fall. Das Sicherheitsbewusstsein der Mitarbeiter:innen ist einer der kritischen Faktoren im Umgang mit Social-Engineering-Angriffen und Spear-Phishing-Kampagnen. Menschen spielen eine wichtige Rolle für die Sicherheit. Sie müssen also dementsprechend geschult werden. Beim Social Engineering werden Personen beispielsweise dazu verleitet, personenbezogene Daten herauszugeben. Eine auf Sicherheit ausgerichtete Kultur oder Denkweise ist entscheidend für eine hohe Cyberresilienz. Was sollten Sie bei Ihrer Cyberresilienz-Strategie noch berücksichtigen?
Erstellen Sie eine Reaktionsstrategie
Die Widerstandsfähigkeit eines Unternehmens ist nur so gut sein wie seine Prozesse. Wie gut ist Ihr Prozess für die Handhabung eines Sicherheitszwischenfalls geeignet? Kommunikation spielt eine entscheidende Rolle. Wen kontaktieren Sie, wenn eine Sicherheitsverletzung entdeckt wurde? Ist es der CEO, der CISO oder ein Vorstandsmitglied? Ist dies überhaupt festgelegt? Wie kommunizieren Sie diese Information, und welche Informationen müssen weitergegeben werden?
Statt nur auf einen Sicherheitsvorfall zu reagieren, muss das Unternehmen über einen vordefinierten Plan verfügen, der auch die Kommunikation mit internen und externen Interessensgruppen umfasst. Ein Unternehmen muss entsprechende Workshops abhalten, bei denen solche Situationen simuliert werden. Dabei geht es nicht nur um die Sicherheitsteams – auch andere Teams wie die Rechtsabteilung, Kommunikation, Compliance usw. müssen in diese Workshops einbezogen werden.
Führen Sie einen Stresstest Ihrer IT-Infrastruktur durch
Einige Branchen mit kritischer Infrastruktur, wie der Banken- und Finanzsektor in Europa, werden durch Aufsichtsbehörden umfassend reguliert. Dies stärkt die Bankensysteme, so dass sie besser auf Ausfälle reagieren können. Die Basel-III-Normen gelten für international tätige Banken und sollen die Entstehung systemischer Schwachstellen verhindern. Allerdings verfügen nicht alle Branchen über einen solchen regulatorischen Rahmen. Können Unternehmen auch ohne solche Vorgaben ihre Risiken reduzieren?
Testen Sie Ihre Resilienz, indem Sie Angriffe auf ein oder mehrere Systeme simulieren, um herauszufinden, ob das System die Angriffe abwehren kann. Dieses Konzept wird als Chaos Engineering bezeichnet. So setzt Netflix zum Beispiel Chaos Monkey ein, um seinen eigenen Code anzugreifen, um Resilienz, Sicherheit, Wiederherstellbarkeit usw. zu prüfen.
Erstellen Sie ein Sicherheitskonzept, das eine gleichbleibende Produktivität sicherstellt
Bereiten Sie sich auf extreme Situationen wie Pandemien und Naturkatastrophen vor. Verfügen Sie über eine starke IT-Infrastruktur, die das Arbeiten von zu Hause aus unterstützt? Wie sicher ist dieser Arbeitsmodus? Kann das Unternehmen das gleiche Niveau an Cybersicherheit auch für eine an unterschiedlichen Orten arbeitende Belegschaft durchsetzen? Unternehmen müssen eine Zero-Trust-Strategie in Betracht ziehen, bei der ein Zugang zu Anwendungen und Daten nur nach einer Identitätsprüfung möglich ist – unabhängig davon, ob der Benutzer vor Ort ist oder nicht. Solche Lösungen stellen minimale Beeinträchtigungen des Betriebs bei gleichbleibender Produktivität sicher.
Schaffen Sie eine Sicherheitskultur
Ein Unternehmen muss Zeit und Geld in die Schulung und Qualifikation der Mitarbeiter:innen investieren. Unaufmerksame oder unwissende Teams stellen in Hinblick auf Phishing- und Social-Engineering-Angriffe ein enormes Risiko dar, wie wir in den oben genannten Beispielen gesehen haben.
Erwägen Sie eine Cyberversicherung
Bei 58 Prozent aller Ransomware-Angriffe wird das Lösegeld gezahlt. Vor diesem Hintergrund erscheint eine Cyberversicherung, die einen Versicherungsschutz gegen Cyberrisiken gewährleistet, sinnvoll. Cyberversicherer bewerten das Risiko und bieten dann eine entsprechende Police an.
Spezialisierte Teams für eine bessere Überwachung, Analyse und Reaktion
Unternehmen brauchen spezialisierte Teams, die Bedrohungen überwachen und in Echtzeit reagieren. Ein Security Operations Center (SOC) könnte eine ideale Lösung darstellen. Da nicht alle Unternehmen über die notwendigen Ressourcen für die Einrichtung eines internen SOC-Teams verfügen, können sie sich auch für ein Managed-SOC-Team entscheiden.
[Erfahren Sie auf dieser Seite mehr über die Tätigkeit eines SOC-Teams]
Unternehmen müssen realistisch sein, was Cyberangriffe angeht. Früher oder später werden sie mit einer Datenschutzverletzung oder einer Securityvorfall konfrontiert sein. Für ein digitales Unternehmen ist es praktisch unmöglich, unter dem Radar zu bleiben und nicht angegriffen zu werden. Es wird Versuche geben, in Ihre Systeme einzudringen – entscheidend ist, wie schnell Sie den normalen Betrieb wieder aufnehmen können. Im Schnitt dauert es ca. 280 Tage, um eine Sicherheitslücke vollständig schließen. Je schneller Ihnen die Eindämmung gelingt, desto niedriger fallen die Ihnen entstehenden Kosten aus – und genau darum geht es bei der Cyberresilienz.
Cyberresilienz mag heute aufwendig erscheinen, doch auf lange Sicht stellt sie einen Wettbewerbsvorteil dar. Aktuelle Daten deuten darauf hin, dass cyberresiliente Unternehmen geringere Schäden erleiden als Unternehmen, die das Risiko in Kauf nehmen.
Die gute Nachricht ist, dass sich die Cybersicherheitskultur entwickelt. Unternehmen sind bereit, Zeit in die Schaffung eines Sicherheitsbewusstseins zu investieren. Daher sind die Ausgaben für Cybersicherheit gestiegen. So gaben einem Bericht von Hiscox zufolge deutsche Unternehmen mit 5,5 Millionen US-Dollar (2021) am meisten für Cybersicherheit aus. Außerdem planen zahlreiche Unternehmen, in Personal und Schulungen zu investieren.
Der Trend hin zu mehr Resilienz dürfte sich fortsetzen. Nach Angaben von Gartner wollen 70 Prozent der CEOs eine Organisationsresilienz-Kultur aufbauen, die Störungen aller Art bewältigen kann, darunter auch Cyberangriffe und -bedrohungen.
Cyberresilienz und Cybersicherheit müssen als Voraussetzungen für Wachstum betrachtet werden. Für jedes Unternehmen, das seine Kund:innen besser und schneller betreuen will, ist Digitalisierung unumgänglich. Doch Störungen wie Cyberangriffe sollten die Unternehmen nicht von der Nutzung digitaler Technologien abhalten. Vielmehr tragen die Stärkung der Sicherheitsarchitektur, die Einführung resilienter Lösungen und die Pflege einer sicherheitsorientierten Einstellung im Unternehmen dazu bei, dieses schneller und sicherer zu digitalisieren.
Transformation und Resilienz gehen Hand in Hand. Resiliente Unternehmen minimieren Datenverluste und Ausfallzeiten und vermeiden kostspielige Gerichtsverfahren. Somit sind Cybersicherheit und Resilienz zum Rückgrat der Digitalisierung geworden.
T-Systems bietet eine Reihe von Assessments und Beratungsleistungen, um Sie auf Ihren Weg zu einem sichereren Unternehmen zu unterstützen.