Das amerikanische Marktforschungsunternehmen Enterprise Strategy Group hat in einer aktuellen Untersuchung festgehalten, was IT-Sicherheitschefs gerade den Kopf zerbricht: Ein Anstieg im Volumen und technisch immer raffiniertere Malware, eine rasche Veränderung der IT-Landschaft und immer gezieltere Angriffe auf das eigene Unternehmen führen die Rangliste an. Auf dem vorletzten Platz: Das Know-how im eigenen Unternehmen über Cyber-Risiken und -Abwehrmaßnahmen. Dabei stellt gerade dieser Faktor eines der wichtigsten Einfallstore dar.
Aus technischer Perspektive ist den Befragten Recht zu geben: Malware wird immer komplexer, schwerer zu identifizieren und unschädlich zu machen – das zeigt aktuell LoJax. Eine Schadsoftware, die sich im BIOS von Computern festsetzt und damit auch durch einen Komplettaustausch von Festplatte und Datenträgern nicht entfernt werden kann. Und auch die sich immer schneller ändernden Soft- und Hardwarekomponenten sorgen dafür, dass zwar unablässig Sicherheitslücken geschlossen werden, zur gleichen Zeit aber eine unbekannte Zahl neuer Schlupflöcher entstehen. Ein relevantes Argument dafür, technische Lösungen für Prävention und insbesondere Detektion und Abwehr in den Fokus zu rücken.
Bereits aber die dritte große Sorge, ein immer gezielteres ‚Targeting‘, steht jedoch im Widerspruch zur nur unzureichenden Berücksichtigung des Faktors Mensch. Denn ein Großteil von Computern und Netzwerken wird heute aufgrund der Unachtsamkeit von Menschen kompromittiert. Der falsche Link in der Email, clever gemachte Social-Media-Accounts die zur verdeckten Installation von Malware bitten, betrügerische Anrufe um sich Zugangsdaten zu erschleichen – all das passiert heute täglich in deutschen Unternehmen und bei Privatanwendern. ‚Targeting‘ kann nämlich übersetzt werden mit: Menschen ein digitales Angebot zu machen, auf das sie hereinfallen und mit dem sie sich selbst die Schadsoftware ins Haus oder im schlimmsten Fall ins ganze Unternehmensnetzwerk holen.
Zielgerichtete Angriffe erfolgen fast immer über Menschen
Die IT-Sicherheitsfachmesse Command Control, die gerade zum ersten Mal in München stattgefunden hat, kommt dementsprechend in ihrem Command Control Cybersecurity Index 2018 zu dem Schluss, dass 61 Prozent der von ihnen befragten Unternehmen die eigenen Mitarbeiter als relevanten Schwachpunkt in ihrer IT-Strategie empfinden. Nur ca. die Hälfte hat angegeben, dass Mitarbeiter bei der Einstellung im Unternehmen bereits für den Umgang mit IT-Gefahren geschult werden. Zwischen großen und kleinen Unternehmen gebe es kaum einen Unterschied. 40 Prozent der Unternehmen haben angegeben, ihre Mitarbeiter nicht kontinuierlich über aktuelle Cyber-Risiken auf dem Laufenden zu halten. Die Mehrheit hat eine klare Verbotsliste von nicht autorisierten Apps und Anwendungen erstellt, aber in jedem zweiten Unternehmen werde dieses Verbot nur nachlässig kontrolliert.
Die hier erhobenen Zahlen decken sich mit meiner jahrelangen Erfahrung im Cyber-Sicherheitsumfeld: Die technischen Lösungen werden immer weiter verbessert, Anwälte haben sehr ausgefeilte und detaillierte Kodizes und Verhaltensrichtlinien erstellt. Aber beim Mitarbeiter kommt das Thema nach wie vor nicht ausreichend an. Ein Mangel an Information und Schulung führt zu zwei Polen: Zum einen ein ‚überhöhtes Risikoverständnis‘, in der Richtlinien so stark überinterpretiert werden, dass sie dem Business nicht mehr zweckdienlich sind. Zum anderen ein ‚kaum vorhandenes Risikoverständnis‘, häufig begründet mit dem Argument „da kann man sowieso nichts machen. Wenn’s einen erwischt, dann erwischt es einen eben.“ Beide Auslegungen können vom Management, auch hinsichtlich immer strengerer Manager-Haftung, so nicht akzeptiert werden. Die eine mindert Opportunitäten, die andere vergrößert das Risiko, selbst zum Cyberfall zu werden.
Know-how und Bewusstsein heute schaffen
Dabei liegt das Lösungsszenario eigentlich sehr nah: Kaum jemand wird heute noch bezweifeln, welchen Stellenwert Automatisierung und Digitalisierung haben. Und dass diese Entwicklungen unumkehrbar sind, haben mittlerweile auch viele verstanden, die noch vor Jahren Nase rümpfend auf die ersten Digitalisierungswellen geschaut haben. Beides erfasst bereits heute intensiv unsere Lebenswirklichkeit – und das wird in exponentiellem Tempo weiter zunehmen.
Die Kehrseite von diesen Vorteilen sind Cyber-Sicherheit und Datenschutz. Ob es Menschen – und damit auch Unternehmen – gefällt oder nicht: Technologien, die Cyber-Abwehr stärken, lassen sich heute schon sehr gut ausgelagert betreiben. Wissen und Bewusstsein lassen sich jedoch nicht outsourcen. Ich plädiere darum dafür, den Faktor Mensch da einzuordnen, wo er hingehört: Auf gleicher Ebene mit der Technologie. Unternehmen, die IT-Sicherheit bisher vor allem technisch gedacht haben, sollten dringend damit beginnen, es bei den Menschen zu verankern. Nur dann wird ein durch das Management beschlossene ‚Security by Design‘ auch gelebt werden können.
