Im 2021 ist Cybersecurity zum Problem für alle geworden

Corona war wohl auch im 2021 das stärkste aufwühlende und beschäftigende Thema bei den meisten von uns gewesen. Die COVID-19-Pandemie hat die Art und Weise, wie wir leben und arbeiten, grundlegend verändert und die Digitalisierung auf Hochtouren laufen lassen. Im Gegenzug haben Häufigkeit, Intensität und Raffinesse von Cyberangriffen stark zugenommen und die vielen Schwachstellen unserer digitalen Infrastruktur offengelegt. In diesem nun wohl bald zur Neige gehende 2021 ist wohl in der Wahrnehmung der Cybersecurity-Bedrohung in Unternehmen zu einem grösseren Wendepunkt geworden.  War das Risiko eines Cyberangriffs früher vor allem für IT-Verantwortliche von Bedeutung, so ist es heute ein Hauptanliegen von CEOs und gar Regierungsverantwortlichen geworden.

Cyberattacken auf zentrale und lebenswichtige Infrastrukturen haben in diesem Jahr uns allen aufgezeigt, wie verletzlich wir in unserer realen Welt durch Angriffe aus dem Cyberspace geworden sind.  Der Angriff auf die Colonial Pipeline im Osten der USA mit ihren 5‘500 Meilen hat zum Herunterfahren der Versorgung von Benzin, Diesel und Flugzeug-Sprit für rund die Hälfte der Bewohner geführt. Oder der Angriff seitens des russischen Militärs auf die Finanzwelt von der Ukraine zeigt, wie grundsätzlich ausgeliefert die Unternehmen heute dieser Art von Bedrohung tatsächlich sind. Wir lesen praktisch jede Woche von etablierten Unternehmen, welche Opfer eines Ransomware-Angriffs geworden sind.

Die Kombination aus Kryptowährung und Ransomware hat sich als besonders schwer zu bekämpfen erwiesen, da es oft im geschäftlichen Interesse eines Opfers liegt, zu zahlen, anstatt das Risiko eines Datenverlusts oder gar einer Geschäftsunterbrechung einzugehen.

In der Zwischenzeit zeigt die aktuelle Log4j-Schwachstelle, wie anfällig unsere digitalen Systeme sind. Es handelt sich zwar nur um ein einziges Stück Open-Source-Code, aber es wird so breit eingesetzt und die Schwachstelle ist so grundlegend, dass fast jedes Unternehmen und jede Regierung potenziell angreifbar ist. Das Bundesamt für Sicherheit BSI hat am Samstagabend die Warnstufe ROT ausgerufen.

Kein Winkel der Welt ist gegen diese Bedrohungen immun. Cyberangriffe bedrohen Unternehmen jeder Größe und in jedem Sektor sowie Regierungen auf Bundes- und lokaler Ebene. Aufsehenerregende Angriffe wie der SolarWinds-Hack haben deutlich gemacht, dass unsere nationale Sicherheit und wirtschaftliche Vitalität von unserer Fähigkeit abhängen, die Cybersicherheit zu verbessern.  Den Kampf gegen solche bösartigen Angriffe kann man allein nicht mehr gewinnen. Es ist keine Frage mehr, ob man verschont wird. Es ist nur noch eine Frage der Zeit, wann es passiert. Der Cyberkrieg ist ein Wettrennen ohne Ziellinie. Die Domäne des Cyberspace ist nicht durch eine binäre Grenze zwischen Krieg und Frieden geprägt.

Cybersicherheit ist zum grossen Thema geworden, was unsere Aktivitäten in die nächsten Jahre stark prägen wird. Aber um dies erfolgreich zu erreichen, müssen der öffentliche und der private Sektor enger zusammenarbeiten, um eine umfassende Strategie und eine effektivere Verteidigung gegen Cyber-Bedrohungen zu entwickeln. Hier hat JP Morgan einen Vorstoss gemacht und ein International Council ins Leben gerufen, um die Entwicklung dieser Bedrohungen und ihre geopolitischen Auswirkungen zu diskutieren.  So erstellt dieser Rat Empfehlungen für die Zusammenarbeit zwischen dem öffentlichen und privaten Sektor, um den Schutz der Unternehmen und der nationalen Infrastruktur zu gewährleisten. Gut, dieser Internationale Rat hat den primären Fokus auf den Heimmarkt von JP Morgan – aber genau solche engeren Abstimmungen wären überall auf der Welt überlebenswichtig.

Cybersecurity muss Teil einer jeden digitalen Transformation werden und damit auch Teil der Unternemensstrategie. Das Thema darf nicht mehr in den Händen von technischen Experten bleiben. Ich habe dies bereits im August dieses Jahres in einem Netzwochen-Artikel ausführlich diskutiert. Eine ISO/IEC 27001 Zertifizierung mag dabei wohl eine Bestätigung für Unternehmen zu sein. Aber wenn der Scope nicht das gesamte Unternehmen umfasst, dann bleibt die Sicherheit ein löchriger Käse.

1 Kommentar zu «Im 2021 ist Cybersecurity zum Problem für alle geworden»

  1. Vielen Dank für Ihren interessanten Artikel zur Cybersecruity. Corona hat auch im Bereich IT-Sicherheit wie ein Brennglas gewirkt und Schwachstellen schonungslos offengelegt. Mir war bewusst, dass viele KMU eher nachlässig mit dem Thema IT-Sicherheit umgehen. Häufig entnehme ich aus Kundengesprächen eine gewisse Resignation dem Thema Cybersecuirty gegenüber: “Wenn wir uns gegen Cyber-Angriffe schützen wollen, müssen wir ein Vermögen ausgeben” oder “Da kann man sowieso nichts machen” sind häufige Aussagen der Kundinnen und Kunden. Und ja, wollen sich KMU gegen Cyber-Attacken hundertprozentig schützen, wird es teuer.
    Betrachten wir aber einige aktuelle Fälle genauer, sehen wir, dass es für ein hohes Mass an Schutz relativ wenig braucht. Bei zwei Gemeinden in der Waadt, die gehackt wurden, lagen sensible Daten in Mailboxen. Passwörter waren in Dokumenten abgelegt und ebenfalls per E-Mail versandt worden. Mit minimalem Aufwand und aus IT-Sicht “gesundem Menschenverstand” hätte ein Diebstahl der Daten sicherlich schon verhindert werden können. Datenlecks und Sicherheitslücken auf Websiten im medizinischen Bereich deckten Schwachstellen im Prozess auf. Wichtig ist folglich, die Menschen bei der digitalen Transformation mitzunehmen, sie zu sensibilisieren, dafür zu sorgen, dass sie ihre Tätigkeit und ihre Verantwortung verstehen und wahrnehmen. Dazu gehört aber auch eine offene und wertschätzende Unternehmenskultur, in der “digitale Probleme” ernst genommen und gelöst werden. Genau das würde ich mir für die digitale Zukunft wünschen.

Kommentar verfassen

Ihre E-Mail-Adresse wird nicht veröffentlicht.