Der Lagebericht des Bundesamtes für Sicherheit in der Informationstechnik (BSI) macht deutlich: Die Bedrohung durch Cyberangriffe in Deutschland ist so hoch wie nie zuvor. Der russische Angriffskrieg gegen die Ukraine sowie die Entwicklung neuer Technologien wie Künstliche Intelligenz (KI) verschärfen die Situation zunehmend. Der TÜV-Verband fordert daher seit Jahren eine Nachschärfung der gesetzlichen Vorgaben, um die Cybersicherheit von Staat, Unternehmen, Organisationen und Verbraucher:innen zu gewährleisten. „Angesichts der hohen Bedrohungslage sind auch strenge gesetzliche Vorgaben für die Cybersicherheit notwendig“, sagt Marc Fliehe, Fachbereichsleiter für Digitalisierung und Bildung beim TÜV-Verband. „Dazu gehört zum Beispiel der Cyber Resilience Act, der Standards für vernetzte Produkte schafft, um die Widerstandsfähigkeit von Systemen gegen Cyberangriffe zu stärken. Hier kommt es jetzt auf eine zügige Umsetzung an.“ Gesetzliche Vorgaben und Regulierungen helfen zudem, die Geschäftsleitungen für das Thema zu sensibilisieren.
Die meisten Unternehmen schweigen über IT-Sicherheitsvorfälle
Cyberangriffe sind eine allgegenwärtige Gefahr. Laut BSI-Lagebericht stellen Ransomware-Angriffe die größte Bedrohung dar. Dies zeigen auch aktuelle Ereignisse wie der Angriff der Ransomware-Gruppe „Lockbit“ auf den US-Flugzeughersteller Boeing oder der Angriff auf die Hotelkette MotelOne. Die Folgen solcher Cyberangriffe reichen von finanziellen Verlusten und Reputationsschäden über die Beeinträchtigung der Arbeitsproduktivität von Mitarbeitenden bis hin zum Ausfall von Diensten für Kunden oder der Veröffentlichung von personenbezogenen Daten.
82 Prozent der deutschen Unternehmen, die in den vergangenen zwölf Monaten einen IT-Sicherheitsvorfall zu verzeichnen hatten, hielten diesen geheim. Das ergab eine repräsentative Ipsos-Studie im Auftrag des TÜV-Verbands, bei der rund 500 Unternehmen befragt wurden. Nur 15 Prozent der Unternehmen informierten die Öffentlichkeit über den Vorfall, 4 Prozent davon, weil sie gesetzlich dazu verpflichtet sind. Dies ist zum Beispiel der Fall, wenn personenbezogene Daten abfließen. Fast drei Viertel der befragten Unternehmen gaben an, dass sie es vermeiden, einen Cybersicherheitsvorfall öffentlich zu machen, weil sie einen Reputationsschaden befürchten (74 Prozent). Und das, obwohl 83 Prozent der Meinung sind, dass mehr Unternehmen Cybersicherheitsvorfälle öffentlich machen sollten, um das Risikobewusstsein zu schärfen.
Transparenz schärft Bewusstsein für Cyberangriffe
Den meisten Unternehmen fehlt es an Transparenz, wenn sie Opfer eines Cyberangriffs geworden sind. Dabei kann Transparenz sogar zur Cybersicherheit beitragen. Das Publikmachen solcher Angriffe zeigt anderen Betroffenen, dass Cyberattacken ein weit verbreitetes Phänomen sind. „Täter und Opfer werden in der Wahrnehmung oft vertauscht“, so Fliehe, „auch, wenn ein Unternehmen ein hohes Maß an Sicherheitsvorkehrungen trifft, kann es Opfer eines Cyberangriffs werden.“ Transparenz könne hier ein Umdenken bewirken. „Unternehmen sollten eine aktive Informationspolitik betreiben und nicht zum Spielball von Hacker:innen werden“, so Fliehe. „Wir brauchen eine Kultur, in der auch der öffentliche Umgang mit Cybersicherheitsvorfällen selbstverständlich ist.“
Aufklärung hilft dabei, Hacker:innnen zuvorzukommen
Cybersicherheit ist nicht nur ein Thema für die IT-Abteilung eines Unternehmens, sondern sollte auch eine Priorität für das Management sein. Unternehmen sollten in moderne Hard- und Software investieren und sich gegebenenfalls von externen Expert:innen beraten lassen. Auch Praxistests werden immer wichtiger, um Schwachstellen aufzudecken und in Notfallübungen den Ernstfall zu proben. Fliehe: „Wichtig ist es, alle Mitarbeiter:innen gezielt zu schulen und zum Beispiel für Phishing-Angriffe zu sensibilisieren.“
Im Ernstfall kommt es auf die Vorbereitung an
Neben der Prävention von Cyberangriffen ist es wichtig, Angriffe zu erkennen, schnellstmöglich zu reagieren und die IT-Systeme nach einem Sicherheitsvorfall wiederherzustellen. Um einen Angriff so schnell wie möglich abzuwehren, muss bereits im Vorfeld klar sein, welche Maßnahmen in welcher Reihenfolge ergriffen werden müssen. „Hacker greifen auch gerne an Feiertagen an“, sagt Fliehe, „deshalb müssen Reaktionszeiten, Erreichbarkeiten und Kommunikationsabläufe vorher festgelegt werden.“ Um hier routiniert agieren zu können, sollten Unternehmen den Ernstfall vorher geprobt haben
Maurice Shahd
Pressesprecher
TÜV-Verband e. V.
Comments