Cyberkriminalität bedroht die Weltwirtschaft
Für das menschliche Immunsystem wie für die Cyberabwehr gilt: Nicht jede Gefahr kann abgewehrt werden. Aber es gilt, Rahmenbedingungen zu schaffen, die es erlauben, selbst unter chronischer Bedrohung zu (über)leben.
Die Nachricht ließ vor Kurzem aufhorchen: Durch eine Sicherheitslücke haben sich Angreifer Zugriff auf Daten von knapp 50 Millionen Nutzern des weltweit größten sozialen Netzwerks verschafft. Inzwischen ist die Schwachstelle entfernt. Ob die gehackten Konten missbräuchlich verwendet wurden, bleibt offen, ebenso, wer hinter der Attacke steckt.
Im Rahmen eines Vergleichs mit US-Behörden hat jüngst ein populärer Fahrdienstvermittler eine Rekordstrafe in Höhe von rund 125 Millionen Euro akzeptiert. Er hatte ein Jahr lang eine Cyberattacke verschwiegen, bei der die Angreifer Daten von rund 50 Millionen Fahrgästen entwendet hatten. Eine europäische Airline räumte zu Ferienende eine Datenpanne bei Buchungen über ihre Internetseite ein. Betroffen waren persönliche und finanzielle Daten von Kunden bei Hunderttausenden von Kartenzahlungen.
Die Liste ließe sich fortsetzen – je größer der Name, desto hörbarer das Medienecho. Durch die rasant voranschreitende Digitalisierung und Vernetzung aller Lebens- und Arbeitsbereiche nimmt unsere Verwundbarkeit zu. Jede Privatperson, jedes Unternehmen kann das nächste Opfer sein, hundertprozentige Sicherheit gibt es nicht.
Die Cyberangriffe werden zahlreicher, ambitionierter und wirksamer. Die zunehmend raffinierteren Cyberkriminellen, die sich hinter klingenden Namen wie „Snake“oder „Sandworm“verbergen, machen vor nichts und niemandem halt. In ihrem jährlichen „Data Breach Investigations Report“dokumentierte die Firma Verizon einen Anstieg von Cyberangriffen um 26 Prozent innerhalb der vergangenen zwölf Monate.
Die Schattenwirtschaft agiert mittlerweile in virtuellen, länderübergreifenden Netzwerken mit ausgeklügelten Geschäftsmodellen und einem hohen Maß an krimineller Energie. Die Motivation der Täter mag unterschiedlich sein – das Auslösen von Chaos oder persönlichem Schaden, das Erzielen finanzieller Gewinne –, die Effekte für die Betroffenen sind ähnlich: Verlust geistigen Eigentums, von sensiblen Daten oder Störung wichtiger Abläufe und Prozesse. Davon zeugen lahmgelegte Infrastrukturdienstleister und Betriebe, die die Produktion stoppen oder Quartalszahlen nach unten revidieren müssen. Die Aktie des sozialen Netzwerks gab am Tag nach der Bekanntgabe des Datenlecks um mehr als drei Prozent nach.
Die Kosten, die Cyberkriminalität verursacht, sind immens: Nach Schätzungen von McAfee und des Center for Strategic and International Studies führten Cyberattacken 2017 weltweit zu etwa 600 Milliarden Dollar Schaden. Vertrauensverluste auf dem Kapitalmarkt, bei Kunden und Partnern sind weitere schmerzliche Symptome. Der „Global Risks Report 2018“des World Economic Forum (WEF) klassifiziert Cyberattacken erstmals als das wahrscheinlichste menschlich verursachte Risiko für die Weltwirtschaft.
Wenn weder die Angriffe verhindert werden können noch hundertprozentiger Schutz existiert, müssen wir dann resignieren? Klare Antwort: Nein! Wir müssen uns gezielter auf die Bedrohung ein- stellen und gleichzeitig die Widerstandskraft von Unternehmen und Privatpersonen stärken. Die moderne Abwehrwaffe heißt Cyber Resilience – erhöhte Widerstandskraft für den Fall des Falles. Dabei müssen wir mehr als bisher auch das schwächste Glied in der Kette adressieren: den Menschen.
Von betroffenen Unternehmen werden zu Recht die Beseitigung der Schwachstellen in der IT-Infrastruktur und ein gezieltes Säubern der Datenströme etwa durch ISPProvider eingefordert. Das ist auch notwendig, reicht aber nicht aus. Tatsächlich sind nach Erkenntnissen der Boston Consulting Group (BCG) über 70 Prozent der erfolgreichen Attacken auf menschliches Fehlverhalten zurückzuführen. Anders ausgesagt: Bessere Technologie hätte nur knapp 30 Prozent der Angriffe abwehren können.
Es sind nicht nur böswillige oder entlassene Mitarbeiter, die Kriminellen die Hintertüren zu geschützten Domizilen öffnen. Zunehmend nutzen Cybertäter Social Engineering, also gezielte Manipulation und Täuschung ausgewählter Personen, um schamlos durch das Haupttor einzutreten. Sie loten das persönliche Umfeld ihres Op- fers aus und täuschen Identitäten vor, um an hochsensible Daten zu gelangen: Die professionellen, individualisierten E-Mails mit hochinfektiöser Schadsoftware haben mit den peinlichen Phishing-Mails 1.0 von gestern wenig gemeinsam. Darauf hereinzufallen, ist menschlich und oft nur eine Frage der Zeit.
Auch beim Datendiebstahl ist es oft der Mensch und nicht die Maschine, der den Cyber-GAU verursacht. Daher sollte für Unternehmen die Förderung einer sicherheitsbewussten Kultur an erster
(* 1969 in Steyr) hat einen Doktortitel der Technischen Universität Wien in Mikroelektronik und Halbleiterphysik sowie einen Master in Elektrotechnik. Er ist Senior Partner der Boston Consulting Group (BCG) und leitet weltweit die Aktivitäten von BCG in den Bereichen Cybersicherheit sowie Risikound Finanz-IT. Stelle stehen. Es braucht ein geschärftes und waches Bewusstsein der Mitarbeiter – auf allen Ebenen und in allen Bereichen.
Cyber Resilience beginnt im Aufsichtsrat und in den Vorstandsetagen: Sie gehört zu den strategischen Aufgaben und zur Verantwortung der Unternehmensführung. Ihre Reife kann zum entscheidenden Wettbewerbsvorteil werden, indem sie das Cyberrisiko handhabbar macht und somit Innovation befördert, statt Flexibilität und Agilität zu hemmen.
Zusätzlich zur Kultur zählt Prävention zu den effektivsten Gegenmaßnahmen. Dazu gehören vor allem die Identifikation der wertvollsten im Fall eines Angriffs betroffenen Assets, das Erarbeiten und Trainieren von Notfallplänen, die Definition klarer Entscheidungs- und Kommunikationswege sowie die Evaluierung der Risken im jeweiligen Umfeld – Kunden, Mitarbeiter, Lieferanten, Lieferanten der Lieferanten, Mitbewerber und öffentliche Infrastruktur.
Zudem bedarf es im Licht der Komplexität und der dynamischen Entwicklung der Cyberbedrohung der Zusammenarbeit zwischen öffentlichem und privatem Sektor. Dies erfordert einen industrie- und kompetenzfelderübergreifenden Austausch, von technischen bis hin zu ethischen Fragen.
Es gibt hier keine simple Lösung, wie die BCG in dem gemeinsam mit dem WEF erarbeiteten Report „Cyber Resilience: Playbook for Public-Private Collaboration“dargelegt hat. Wir müssen Schritt für Schritt und mit vielen Feedbackschleifen arbeiten, wie in der Softwareentwicklung.
Das menschliche Immunsystem hat sich über Millionen von Jahren entwickelt. Es hat gelernt, Eindringlinge zu erkennen und die geeigneten Ressourcen für die Abwehr zu mobilisieren. Wir haben deutlich weniger Zeit, können aber dennoch vieles von ihm lernen.
Das Immunsystem vermag nicht jeden Krankheitsausbruch zu verhindern – das trifft auch auf die Cyberabwehr zu. Es gilt, die Rahmenbedingungen zu schaffen, die es erlauben, selbst unter chronischer Bedrohung zu (über)leben und zu prosperieren.