Neue Ziele und Lösungen: Warum Cybersecurity mehr als ein IT-Thema ist

IT-Sicherheit bedeutet mehr als vernünftige Mitarbeiter-Passwörter. Neue Bedrohungen erfordern einen umfassenden Ansatz.

Überblick

• Der Ukraine-Krieg ist nur ein Beispiel für neue Bedrohungen – Cybersicherheit muss heute ganzheitlich gedacht werden und betrifft auch Geschäftsprozesse.
• Neben Konzernen und kritischer Infrastruktur sind auch kleine Unternehmen bedroht, besonders wenn sie Teil fragiler Lieferketten sind.
• Chief Information Security Officers (CISOs) mit breiter Verankerung im Unternehmen und Berichterstattung an die Geschäftsführungsebene helfen, Risiken zu erkennen.

Der Ukraine-Krieg hat nicht nur Folgen für Millionen direkt Betroffener, er löst auch ein Umdenken in den Führungsetagen vieler Organisationen zum Thema der globalen Cybersicherheit aus. Plötzlich merken immer mehr Unternehmen und Behörden, dass Krieg und internationale IT-Angriffe Szenarien sind, auf die sie vorbereitet sein sollten.

Eine Folge: IT-Strukturen und Cybersecurity sind auf einmal auch dort dringende Themen, wo man sich bisher nicht vorrangig mit ihnen beschäftigte. Neben Unternehmen, die sogenannte kritische Infrastruktur (KRITIS) betreiben, denken auch andere Marktteilnehmer inzwischen deutlich stärker über den Schutz vor Cyberangriffen nach. Die anstehende EU-NIS2 Richtlinie wird den Trend noch stärker befeuern. Der Trend geht über alle Branchen hinweg: Das 11. Risikobarometer der Allianz mit mehr als 2.600 Teilnehmenden aus knapp 90 Ländern hat gezeigt, dass Cybervorfälle wie Internetkriminalität, IT-Ausfälle oder Datenschutzverletzungen als Geschäftsrisiko Nummer eins gelten.

Die Unternehmen spielen deshalb umfangreiche Szenarien durch, die nicht mehr nur die Informationstechnik im engeren Sinn umfassen und beispielsweise Strukturen zur Sicherheit in die Cloud verlegen, sondern sie denken ganzheitlich über ihre Geschäftsprozesse nach und versuchen, sich auf neue Bedrohungen einzustellen.

Aber der Krieg ist nur ein konkretes Beispiel für die Umwälzungen rund um das Thema Cybersecurity – und dafür, mit welchen Trends sich Organisationen im Jahr 2023 und darüber hinaus beschäftigen sollten.

Neue Ziele, neue Treiber – diese Ursachen führen zu neuem Handlungsbedarf in der Cybersicherheit

Wer zukünftig Bedrohungsszenarien in der Cybersicherheit vollständig verstehen will, muss zunächst den Blick dafür schärfen, wie sehr die Zahl der möglichen Einfallstore gestiegen ist. Neben noch eher traditionellen Zielen und Kanälen wie sozialen Netzwerken und mobilen Datenverbindungen sind inzwischen auch Bedrohungen durch das Internet of Things (IoT), KI-Technologien oder Quantum möglich. Auch neue Tools auf der Basis generativer KI lassen sich in den falschen Händen als Cyberwaffe benutzen.

Große gesellschaftliche Umwälzungen treiben diese Bedrohungen an. Nationalismus, Vertrauensverlust und sich radikalisierender Aktivismus führen zu neuen Motivationen für Angriffe. Auch zunehmende wirtschaftliche Ungleichheit, Rezessionsentwicklungen und härter geführte Handelskriege müssen als Auslöser für Attacken mit bedacht werden.

Die Bedrohungen kommen aus aller Welt

Die Gefahr durch staatliche Akteure wächst. „Handelnde im Auftrag von Nationalstaaten greifen mit zunehmend anspruchsvolleren Cyberattacken an, gezielt darauf ausgerichtet, dass sie lange nicht entdeckt werden. Das Aufkommen von Cyberwaffen im Hybridkrieg in der Ukraine ist der Beginn eines neuen Zeitalters“, heißt es dazu beispielsweise im Microsoft Threat Report. Damit steigt auch das Bewusstsein dafür, dass Angreifer aus der ganzen Welt kommen können.

Gerade der Ransomware-Bereich, also beispielsweise das Lahmlegen von IT-Systemen mit Trojanern zum Erpressen von Geld, hat zwar häufig Wurzeln in China, Russland und Nordkorea – Ländern mit großem Interesse an ausländischen Devisen; aber viele andere Bedrohungen werden inzwischen von überall ausgelöst und können schlechter einzelnen Nationen oder Regionen zugeordnet werden: Industriespionage geschieht rund um den Globus und relevante Hackergruppen gibt es inzwischen in deutlich mehr Gebieten der Erde.

Fortgeschrittene Bedrohungen und zusätzliche Schwerpunkte für CISOs im Jahr 2023

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat angesichts dieser Trends im „Bericht zur Lage der IT-Sicherheit in Deutschland 2022“ für drei Zielgruppen besonders gravierende Bedrohungen der nahen Zukunft unterschieden. Während sich aus BSI-Sicht die breite Gesellschaft vor allem mit Fragen wie Identitätsdiebstahl, Sextortion und Fake-Shops im Internethandel auseinandersetzen muss, sollte die Wirtschaft in jedem Fall Vorkehrungen in den Bereichen Ransomware, offene und falsch konfigurierte Online-Server und zur IT-Sicherheit in der Supply Chain treffen. Schwerpunkte für die Verwaltung seien ebenfalls Ransomware und die Konfiguration von Online-Servern, aber auch sogenannte Advanced Persistant Threats (APT) durch komplexe, zielgerichtete Angriffe.

Ergänzen lässt sich diese Liste mit weiteren häufig auftretenden Cybersicherheitsbedrohungen aus der Beratungspraxis. Beispielhaft seien hier fehlgeleiteter Code in IoT-Devices oder die Manipulation von KI-Datensets genannt. Auch der Faktor Mensch erfordert eine umfassendere Herangehensweise. Es muss Lösungen und Prozesse für ihn geben – einerseits für zufällige Akteure, die auf Phishing-Mails oder Spam hereinfallen, andererseits für „vertrauenswürdige Insider“, die das Unternehmen aktiv aus kriminellen Motiven heraus bedrohen.

Daraus ergeben sich wiederum zusätzliche konkrete Arbeitsschwerpunkte der IT-Experten und Führungskräfte für 2023 und darüber hinaus. Die Einrichtung der Rolle „Chief Information Security Officer“ (CISO) wird immer notwendiger. Deren Arbeit ist derzeit stark von der Notwendigkeit geprägt, Cybersicherheit intern übersichtlich darzustellen und zusammenzuführen. Risikobewertung, verändertes Handeln und Controlling müssen über viele Unternehmensteile und Hierarchiestufen hinweg einheitlich verstanden und mit klaren Dashboards verfolgt werden. Gleichzeitig wird immer klarer, dass es intern oft an Fachkräften und finanziellen Ressourcen fehlt, obwohl parallel immer neue Anforderungen erfüllt werden müssen.