Schutzlos gegen Cyberangriffe?
Mit der Datensicherheit ist das in deutschen Unternehmen so eine Sache. Die IT-Abteilungen strengen sich an, um die Daten vor Diebstahl zu schützen, doch funktioniert das wirklich? Klaus M. Brisch von der Wirtschaftskanzlei DWF in Köln schüttelt den Kopf. Der renommierte Fachanwalt für Informationstechnologierecht hat international einen guten Überblick über die tatsächliche Bedrohungslage.
Und die sieht alles andere als gut aus: „Die Schäden, die jährlich in deutschen Unternehmen durch Cyberdiebstahl entstehen, sind hoch: rund 54 Milliarden Euro. Europaweit schätzen wir die Schäden auf insgesamt 327 Milliarden Euro.“Zahlen, die aufhorchen lassen.
Sind denn nicht gerade deutsche Firmen dafür bekannt, besonders penibel auf ihre Daten zu achten? „Im europäischen Vergleich ist Deutschland tatsächlich etwas besser aufgestellt, weil wir hier seit Jahren den Datenschutz durch technische Anforderungen sicherstellen mussten. Allerdings ist Deutschland im weltweiten Vergleich allenfalls Durchschnitt – in der Spitze sind wir schlecht“, konstatiert Brisch.
Wie schlecht es um die Cybersecurity bestellt ist, macht der weltweite Leiter des Technologiesektors am Beispiel Großbritannien deutlich. Hier seien über 50 Prozent aller Unternehmen schon einmal Opfer von Datendiebstahl geworden. „Die Schäden betragen dort im Durchschnitt zwischen 1000 und 9000 Pfund – was zeigt, dass gerade auch kleine und mittelständische Unternehmen oft Ziel von Cyberangriffen sind“, berichtet der Experte. „Schlimmer ist aber, dass die andere Hälfte der Unternehmen glaubt, nicht betroffen zu sein. Dabei sind bei vielen dieser Firmen die Daten längst abgeschöpft worden – sie haben es nur nicht bemerkt.“
Die Sorglosigkeit im Umgang mit Datensicherheit ist gerade auch in deutschen Unternehmen stark verbreitet. „Das Management vertraut oftmals blind den Aussagen der IT-Abteilungen, dass alles sicher sei. Die Wahrheit ist: Die IT-Abteilungen sind in der Regel nicht in der Lage, Cyberangriffe abzuwehren, denn sie unterschätzen die Qualität der Angriffe und konzentrieren sich immer noch darauf, dass die Systeme schlicht laufen.“
Klaus M. Brisch ist aber keiner, der weitere gesetzliche Regelungen und noch schärfere Gesetze fordert. „Das führt nur zu noch mehr Kosten und Bürokratie. Effektive Datensicherheit beginnt schon mit der Rolle, die der IT-Cybersecurity in einem Unternehmen zugesprochen wird“, kritisiert der IT-Fachanwalt: „Viele Manager sehen Cybersecurity als Kostenfaktor, dabei ist es ein Nutzenfaktor, der erheblich zur positiven Reputation eines Unternehmens beitragen kann!“Er ist davon überzeugt, dass es sich gerade international tätige Firmen in Zukunft nicht mehr leisten können, nachlässig mit ihrer Datensicherheit umzugehen. „Verträge werden in Zukunft nur noch mit Partnern geschlossen, die nachweisen können, dass sie über ein funktionsfähiges CybersecurityManagement verfügen.“
Genau hier setzen Brisch und die international tätige Wirtschaftskanzlei an: Die Wirtschaftsanwälte kümmern sich zwar selbst nicht um die technischen Prüfungen, aber sie unterstützen die Unternehmensführungen dabei, den Prozess hin zu einer neuen Sicherheitsarchitektur intern im Unternehmen und extern mit technischen Dienstleistern zu steuern.
Doch Klaus M. Brisch sieht auch den Staat in der Pflicht. Ein positives Beispiel ist für ihn Israel: „Als der Computervirus WannaCry weltweit hunderttausende Rechner befiel, passierte bei Israels Firmen nichts. Hintergrund ist, dass Israel ein Frühwarnsystem für Unternehmen betreibt, mit dem alle Firmen im Rahmen von Notschleifen frühzeitig informiert werden. In Deutschland gibt es ein solches System für die Wirtschaft nicht.“Zwar gebe es mit dem Bundesamt für Sicherheit in der Informati- onstechnik (BSI) eine staatliche Stelle, die Informationen zu Cyberrisiken sammelt – allerdings würden diese Informationen nicht in Echtzeit und flächendeckend für die deutsche Wirtschaft zur Verfügung gestellt.
Brisch hat hier eine klare Vision: „Wir denken etwa an eine elektronische Plattform, die für die Wirtschaft in real-time Informationen über Cyber-Bedrohungslagen zur Verfügung stellt. Das braucht natürlich klare Regeln für alle, die sich an dieser elektronischen Plattform beteiligen“, argumentiert der Wirtschaftsanwalt. „Vor allem würde der deutsche Mittelstand von einer solchen Lösung profitieren, da sogenannte „kritische Infrastrukturen durchaus über unmittelbare Kontakte zu Sicherheitsbehörden verfügen.“
Die Zeit drängt, wie ein Blick auf die Angreifer zeigt. Die sind technisch auf dem neuesten Stand und oft militärisch organisiert: Schätzungen zufolge setzt allein Nordkorea über 7000 Hacker ein, die weltweit Cyberattacken starten.