Was leider gerne vergessen wird: IT-Schwachstellen sind Chefsache!

Cyber-Sicherheit ist für ein Unternehmen überlebenswichtig und deshalb Chefsache. Eigentlich. In den Etagen der Geschäftsführer und Manager auf C-Level wird diese Tatsache leider gerne verdrängt. Und dies, obwohl IT-Sicherheitsvorfälle für ein Unternehmen schnell existenzgefährdend sein können. Und: Das Risiko einer persönlichen Haftung der verantwortlichen Entscheidungsträger ist nicht von der Hand zu weisen.

Die Risiken der vernetzten Welt sind gekommen, um zu bleiben

Gleichgültig, ob Sie spezielle IT-Medien lesen oder Blätter wie Handelsblatt, FAZ und Spiegel konsumieren: Sicherlich wird Ihnen nicht entgangen sein, dass deutsche Unternehmen unter Beschuss stehen. Und das im wahrsten Sinne. Professionell organisierte Cyber-Kriminelle attackieren die IT-Infrastruktur von Unternehmen Tag für Tag.

Warum? Zum einen: Weil sie es können. Zum anderen: Weil es sehr lukrativ ist, vor allem im Verhältnis zu dem sehr geringen Risiko für Angreifer, tatsächlich strafrechtlich belangt zu werden. Das gilt auch für die damit in Verbindung stehenden Datendiebstähle oder Erpressungshandlungen.

Risiken für Cyber-Angreifer sehr gering

Der von der Firma Coveware aufgestellte Vergleich zwischen Ransomware-Angreifern und kolumbianischen Drogenkartellen ist sehr aufschlussreich. Die Autoren des Blog-Artikels argumentieren sehr einleuchtend, dass die Gewinnmargen der kolumbianischen Kartelle und professionell organisierter Ransomware-Gruppen vergleichbar sind. Aber die Risiken für Leib und Leben fallen für Ransomware-Angreifer im Vergleich verschwindend gering aus.

Es ist daher nicht damit zu rechnen, dass Häufigkeit und Vehemenz von Ransomware- und Cyber-Angriffen zurückgehen werden – im Gegenteil! Die wirtschaftlichen Anreize sind einfach viel zu hoch.

Gelingt es Hackern, ein System zu kompromittieren, können sie unter anderem brisante Daten stehlen, Maschinen stilllegen oder über Ransomware die betroffenen Unternehmen erpressen. Die Folge sind gigantische Schäden. Schäden, die sich laut dem Bitkom auf über 200 Milliarden Euro pro Jahr summieren.

Die Angreifer kommen einerseits aus immer besser organisierten und ausgestatteten Milieus. Andererseits blasen auch Hobby-Hacker und konkurrierende Unternehmen zum Angriff. Ebenso nicht zu vernachlässigen sind Attacken durch (ehemalige) Mitarbeiter, welche zusätzlich die Sicherheit der IT-Infrastrukturen belasten.

Betrifft Sie das?

“Ach, das betrifft uns alles nicht!” – denken Sie so? Oder hoffen Sie insgeheim, dass es immer die anderen trifft? Oder, dass eine genügsame Cyber-Versicherung Ihnen die Risiken abnimmt?

Das alles ist ehrlich gesagt ziemlich naiv. Von Continental, Entega und der Stadtreinigung Kassel über Sixt, Posteo, Deutsche Windtechnik und Thalia bis hin zu den deutschlandweit verteilten Industrie- und Handelskammern: Die Liste der Opfer von erfolgreichen Cyber-Angriffen wächst täglich an. Jedes Unternehmen, jeder Verein und jede Behörde – gleichgültig ob klein oder groß – ist ein Angriffsziel.

Es herrschen – um es bildlich zu beschreiben – kriegerische Zustände. In diesen sind Firmen, Behörden und Vereine, die kaum Schutzmaßnahmen haben, hilflos den aggressiven, profitorientierten Einzeltätern und Banden ausgeliefert.

Warum IT-Sicherheit Chefsache sein muss

Agieren Sie in der obersten Entscheidungsebene, zum Beispiel als Geschäftsführer einer GmbH oder als Vorstandsvorsitzender einer AG? Dann sind Sie besonders dem Wohl Ihres Unternehmens verpflichtet. Ihre Aufgabe ist es, das Überleben Ihres Unternehmens zu sichern und es gut in die Zukunft zu führen. Diese Verantwortung haben Sie gegenüber Ihren Mitarbeitern, Anteilseignern und anderen Stakeholdern.

Ist für die IT-Sicherheit nicht der CTO oder der IT-Abteilungsleiter zuständig? Jein. Fachlich gesehen haben die Spezialisten “den Hut auf”. Doch wie in anderen Bereichen auch, benötigen Ihre IT-Spezialisten klare Maßgaben von oben, sowie ein ordentliches Budget und ausreichend Personal. Genau daran hakt es gerne mal: Viele Unternehmen stecken zwar viel Geld in ihre digitale Transformation, aber die Absicherung der überlebenswichtigen IT-Infrastruktur ist oftmals unterfinanziert.

Trotz der beschriebenen Bedrohungslage wird die IT-Sicherheit tendenziell als “nice to have” und nicht als “must have” angesehen. Warum? Weil Cyber-Sicherheit oftmals nicht “Top-Down” vorgelebt und die IT-Sicherheit gerne als zu erledigende Aufgabe in die IT-Abteilung abgeschoben wird. Mit dem Ergebnis, dass es in zahlreichen Unternehmen ein mangelhaftes oder sogar nicht existentes Bewusstsein für IT- und Informationssicherheit gibt.

In einer solchen Unternehmenskultur ist es nur eine Frage der Zeit, bis es zum großen Knall und die IT aufgrund eines Angriffs zum Erliegen kommt. “Alea iacta est” würden dazu die alten Lateiner sagen.

Verantwortung und persönliche Haftung von Geschäftsführern

Viele Geschäftsführer und Entscheider sind sich wohl dieser zwei Aspekten nicht bewusst:

Zum einen blenden sie gerne aus, dass erfolgreich durchgeführte Cyber-Attacken ein Unternehmen für viele Tage, Wochen oder gar Monate lahmlegen kann. Die direkten und nachgelagerten Folgen (Produktionsausfälle, Umsatzeinbrüche, Datenspionage, Imageverlust, Schadensersatzforderungen etc.) sind meist extrem teuer. Sie überschreiten selbst bei einem kleinen, mittelständischen Unternehmen schnell die Millionen-Euro-Grenze.

Zum anderen scheinen manche Unternehmenslenker nicht zu wissen, dass sie für Versäumnisse persönlich haftbar gemacht werden können. Sei es das GmbH-Gesetz, das Aktiengesetz oder die DSGVO (siehe relevante Gerichtsurteile): Es gilt immer der Grundsatz “Unwissenheit schützt nicht vor Verantwortung!“

Das bedeutet: Kommt es zu Produktionsausfällen, Datenabflüssen oder ähnlichen Schäden wegen einer Cyberattacke, schützen Erklärungen wie “Dafür bin ich nicht verantwortlich, sondern meine IT-Leitung” nicht vor der persönlichen Haftung. Es liegt in der Verantwortung des Vorstandes oder der Geschäftsführung, angemessene Maßnahmen zu treffen, um Risiken zu minimieren, welche die zukünftige Entwicklung und den Fortbestand des Unternehmens gefährden könnten.

Zu solchen Maßnahmen zählt zweifelsohne das proaktive Ausmerzen von IT-Schwachstellen. Schließlich kann ein über eine Schwachstelle erfolgter Angriff von heute auf morgen dazu führen, dass Ihr Unternehmen mitsamt aller Geschäftsprozesse zum existenzgefährdenden Stillstand kommt.

Wie kann die IT-Infrastruktur bestmöglich geschützt werden?

Machen Sie die Cybersicherheit zur Chefsache, benötigen Sie dafür – wie in anderen Bereichen auch – einen klaren Plan. Dieser besteht aus einer Ist-Aufnahme, einer Zielsetzung sowie einem passenden Maßnahmenkatalog. Wir empfehlen, diese Maßnahmen in drei Bereiche zu unterteilen:

• Prävention
• Detektion
• Reaktion

Damit Sie die gesetzten Ziele auch erreichen können, braucht es ein angemessen ausgestattetes Budget und Mitarbeiter mit entsprechenden Fachkenntnissen. In diesem Zusammenhang ist es oftmals sinnvoll, gewisse Tätigkeiten an externe Spezialisten bzw. Dienstleister auszulagern, um:

• Zugang zu den notwendigen Fachkenntnissen zu haben,
• dem Mangel an verfügbaren Fachkräften zu begegnen,
• und die erheblichen Investitionskosten für Personal und Infrastruktur zu vermeiden.

Zu den notwendigen technischen Maßnahmen, die dem oftmals zitierten “Stand der Technik” entsprechen, gehören unter anderem:

• Systemhärtung
• Penetration Testing
• Vulnerability Management
• Managed Detection & Response

Diese Maßnahmen ermöglichen es,

• die potentielle Angriffsfläche zu identifizieren,
• diese gezielt zu verkleinern,
• einen versuchten oder erfolgreichen Angriff umgehend zu detektieren,
• und diesen zu behandeln.

Wichtig: IT-Sicherheit ist ein fortlaufender Prozess. Dieser sieht für Schwachstellenmanagement so aus: