Cybersecurity: Mehr als nur ein Schutzschild

Cybersecurity zum Schutz für eine nachhaltige Welt und unsere digitale Zukunft

Eine dunkle Gestalt in einem Kapuzenpullover oder ein schwarzer Bildschirm, auf dem schnell ein Code abläuft? Das sind wahrscheinlich die Bilder, die einem in den Sinn kommen, wenn man an Cybersecurity denkt. Bilder, die durch Filme oder die Medien geprägt sind.

Ich hatte das Privileg, im Bereich Cybersecurity zu arbeiten, als sich meine Karrierewege in den Bereichen Technologie und Nachhaltigkeit überschnitten. Durch meine Arbeit bei einem globalen Hersteller von Cybersicherheitssoftware erhielt ich einen Einblick in die Gefahren, die Cyberrisiken sowohl für Unternehmen als auch für den öffentlichen Sektor darstellen. Von Experten erfuhr ich, welche Anstrengungen Softwarehersteller und IT-Dienstleister unternehmen, um Cyberangriffe zu verhindern und zu entschärfen. Es schien immer wie ein endloser Wettlauf zwischen den “bösen Buben”, die Schwachstellen in Software und menschlichem Verhalten ausnutzen, um Terrorakte zu begehen oder Geld zu verdienen, und den “guten Buben”, die ständig an der Prävention durch Software, Prozesse und Schulungen arbeiten, um die Daten und Systeme von Unternehmen zu schützen.

Die Zusammenarbeit mit Sicherheitsexperten auf der ganzen Welt hat mich auch gelehrt, dass der Zweck oft an unauffälligen Stellen verborgen ist. IT-Sicherheitsexperten teilen unabhängig von ihrem Standort oder ihrer Funktion stets die Leidenschaft, Unternehmen dabei zu helfen, sicher zu bleiben. Es ist daher nicht verwunderlich, dass Vorschriften wie die Europäische Datenschutz-Grundverordnung (DSGVO)¹ oder der European Cyber Resilience Act (CRA)² die Branche in Aufruhr versetzen – und die Hoffnung wecken, dass Führungskräfte die Notwendigkeit erkennen, ihre Daten und die ihrer Kunden durch umfassende IT-Sicherheitsmaßnahmen zu schützen.

Doch bis zu dieser Einsicht ist es noch ein weiter Weg, denn für manche Unternehmen ist Cybersecurity ein Hygienefaktor, der kaum auffällt, wenn er funktioniert. Warum also mehr Geld und Mühe darauf verwenden? Wenn sie jedoch nicht funktioniert, wird sie schnell zu einem großen Hindernis, denn Unternehmen können Daten und Geld verlieren und schließlich ihren Ruf ernsthaft schädigen. Ich höre oft von Sicherheitsexperten, die von Gesprächen mit potenziellen Kunden berichten, nur um Monate später zu erfahren, dass das Unternehmen, mit dem sie gesprochen haben, Opfer eines Cyberangriffs wurden. Dennoch nehmen die meisten Unternehmen, mit denen ich zusammengearbeitet habe, IT-Sicherheit und Datenschutz ernst und investieren in Richtlinien, Software, Prozesse und Schulungen.

“Hardware- und Softwareprodukte sind zunehmend Gegenstand erfolgreicher Cyberangriffe, was bis 2021 zu geschätzten jährlichen Kosten der Cyberkriminalität in Höhe von 5,5 Billionen Euro weltweit führen wird.”³

Die Kombination von Technik und Mensch zum Schutz von Daten und Systemen

Ein Unternehmen oder eine öffentliche Einrichtung vor Cybersicherheitsbedrohungen zu schützen, bedeutet, die Daten und den Zugang zu ihren kritischen Systemen wie Betriebssystemen, Netzwerkdiensten oder der Energieversorgung zu schützen.

Ermöglicht wird dies durch eine breite Palette von Softwarelösungen wie E-Mail-Sicherheit, Web-Sicherheit, Datensicherheit, Netzwerksicherheit oder Schutz des Cloud-Zugangs. Da sich die Art und Weise, wie Menschen arbeiten und auf Systeme und Daten zugreifen, ständig verändert, entwickeln sich auch die Cybersicherheitslösungen weiter.

Ein Beispiel: Als die COVID-19-Pandemie dazu führte, dass plötzlich Telearbeit erforderlich wurde, mussten viele Unternehmen ihren Mitarbeitern Fernzugriff auf unternehmenskritische Systeme und Daten gewähren. Dadurch entstand die Notwendigkeit, diesen Zugriff außerhalb der physischen Sicherheitsgrenzen des Unternehmens zu schützen. Es war nicht mehr möglich, das Unternehmen wie eine Festung zu schützen; die Mitarbeiter befanden sich in freier Wildbahn. Und mit dem anhaltenden Trend zur hybriden Arbeit wird diese Herausforderung auch in Zukunft bestehen bleiben.

Auch der Faktor Mensch stellt ein Sicherheitsrisiko dar. Fehlverhalten wie die Weitergabe kritischer Daten kann absichtlich oder versehentlich erfolgen. In den meisten Fällen ist es ein Mitarbeiter, der böswilligen Angreifern unbeabsichtigt Zugang zu diesen Daten verschafft. Es gab bereits zahlreiche Fälle, in denen Hacker durch Social Engineering Mitarbeiter dazu gebracht haben, Geld auf ein falsches Konto einzuzahlen oder Hackern Zugang zu Unternehmensdaten und -systemen zu gewähren. Und mit dem Aufkommen von Künstlicher Intelligenz wird es sicherlich noch leichter, Menschen zu manipulieren.⁴

Es gibt also einen guten Grund für das “S” in Cybersecurity (von “social”, Sie verstehen schon). Die Mitarbeiterinnen und Mitarbeiter sind der Schlüssel zur Sicherheit des Unternehmens; es ist wichtig, sie vor den Gefahren und den Folgen zu warnen, sie fachlich zu schulen und sie auf neue Tipps und Tricks hinzuweisen. Wie in der Unternehmensführung üblich, geht es auch bei der IT-Sicherheit nicht nur um die eingesetzte Technologie, sondern auch darum, wie die Menschen handeln.

Cybersecurity als wichtiger Aspekt der Nachhaltigkeit

Ich habe nicht lange gebraucht, um zu verstehen, dass Cybersecurity einer der wichtigsten Aspekte nachhaltigen Managements ist, sowohl für Unternehmen als auch für Regierungen. Die Sicherheit von Daten, Systemen und Prozessen ist nicht nur für die finanzielle Gesundheit eines Unternehmens entscheidend, sondern auch für seine Kunden und Geschäftspartner. Es ist beängstigend, sich vorzustellen, dass durch einen Cyberangriff Ihre Daten an Hacker gelangen, die sie für Betrug oder Erpressung missbrauchen könnten. Ihre Daten sind in so vielen verschiedenen Systemen gespeichert, bei so vielen Unternehmen, Finanzinstituten und Behörden. Glücklicherweise nehmen die meisten von ihnen das Thema Cybersicherheit sehr ernst.

Gleichzeitig ist IT-Sicherheit einer der Risikobereiche, die in Finanz- und Nachhaltigkeitsberichten offengelegt werden müssen. Das Sustainability Accounting Standards Board (jetzt Teil der IFRS⁵) hat IT-Sicherheitsmetriken in die Standards zur Nachhaltigkeitsberichterstattung aufgenommen, die von Unternehmen und Investoren weltweit verwendet werden:

“Software- und IT-Dienstleistungsunternehmen sind Ziel von wachsenden Datensicherheitsbedrohungen durch Cyberangriffe und Social Engineering, die ihre eigenen Daten und die Daten ihrer Kunden gefährden. Eine unzureichende Vorbeugung, Erkennung und Behebung von Datensicherheitsbedrohungen kann sich auf die Kundengewinnung und -bindung auswirken und zu einem sinkenden Marktanteil und einer geringeren Nachfrage nach den Produkten des Unternehmens führen. Neben der Schädigung des Rufs und der Abwanderung von Kunden können Datenschutzverstöße auch zu erhöhten Kosten führen, die in der Regel mit Maßnahmen verbunden sind, z. B. mit Angeboten zum Identitätsschutz und Mitarbeiterschulungen zum Datenschutz. In der Zwischenzeit werden sich neue und aufkommende Datensicherheitsstandards und -vorschriften wahrscheinlich auf die Betriebskosten der Unternehmen auswirken, da die Kosten für die Einhaltung der Vorschriften steigen. Darüber hinaus sind Unternehmen in dieser Branche gut positioniert, um durch die Bereitstellung von sicherer Software und Dienstleistungen Umsatzmöglichkeiten zu erschließen, um die Nachfrage nach sicheren Daten zu befriedigen.”⁶

Die Berichtskriterien des SASB für Software- und IT-Dienstleistungsunternehmen umfassen quantitative Kennzahlen wie

• Anzahl der Datenschutzverletzungen,
• Prozentsatz der personenbezogenen Daten,
• Anzahl der betroffenen Nutzer

sowie einen Kommentar zu den IT-Sicherheitsmaßnahmen

• zur Identifizierung und Bewältigung von Datensicherheitsrisiken, einschließlich der Verwendung von Cybersicherheitsstandards von Drittanbietern.

Auch die European Sustainability Reporting Standards (ESRS) befassen sich im Rahmen der Offenlegungspflichten gegenüber Verbrauchern und Endnutzern mit Datensicherheitsfragen und -maßnahmen.

Es liegt auf der Hand, dass Datensicherheit als Risikomanagement, als Nachhaltigkeitsthema und sogar als Chance für bestimmte Branchen von größerer Relevanz ist. Generell sind Organisationen, die große Datenmengen sammeln und verwalten, stärker von IT-Sicherheitsrisiken betroffen. Sie müssen ihre Richtlinien, Maßnahmen und Kennzahlen offenlegen, um Investoren und anderen Stakeholdern zu zeigen, wie das Unternehmen die Daten seiner Kunden schützt.

Eine globale Bedrohung der Nachhaltigkeit: das Wettrüsten mit Cyberwaffen

In größerem Maßstab ist Cybersecurity eine kritische nationale und globale Herausforderung. Beispielsweise können Cyberbedrohungen für Krankenhäuser, die Patientendaten ausspähen oder den Betrieb lahmlegen, viele Menschenleben gefährden. Cyberangriffe auf Versorgungsunternehmen wie Kernkraftwerke, Stromerzeuger und -verteiler oder Staudammbetreiber können die Sicherheit und das Wohlergehen ganzer Bevölkerungen bedrohen. Seit Jahren werden Cyberangriffe als Mittel der Kriegsführung eingesetzt, und die Zunahme des staatlich unterstützten Cyberterrorismus ist zu einer globalen Bedrohung geworden.

“This is how they tell me the world ends” (“So sagen sie mir, dass die Welt endet”) von Nicole Perlroth, Cybersicherheitsreporterin der New York Times, ist ein faszinierendes Buch⁷. Die Autorin enthüllt ein globales System, in dem kleine Akteure wie brillante Hacker in Zusammenarbeit mit Regierungen, Geheimdiensten und IT-Unternehmen eine wichtige Rolle bei einigen der größten Bedrohungen für die menschliche Sicherheit spielen. Ich erfuhr von den Zero-Day-Exploits: Schwachstellen in Softwareanwendungen, die Hackern die Möglichkeit bieten, Malware in diese Anwendungen einzuschleusen. Es ist verständlich und erschreckend zugleich, dass es einen Schwarzmarkt für Zero-Day-Exploits gibt. Er bringt Verkäufer und Käufer mit guten Absichten zusammen: die Schwachstellen zu beheben oder zu verhindern, dass sie zu einer Waffe für Cyberterroristen werden. Aber wie Sie vielleicht schon vermutet haben, gibt es auch Anbieter mit weniger guten Absichten. Vom Ausspionieren von Journalisten oder Regimegegnern über Handy-Apps bis hin zu landesweiten Cyberangriffen – manche Organisationen und sogar Nationalstaaten schrecken nicht davor zurück, Software und Hacker-Genie einzusetzen, um ihre Pläne in die Tat umzusetzen. Lesen Sie dieses Buch, um mehr über die Hintergründe und die Forschung zu erfahren, und glauben Sie mir, Sie werden Cybersecurity nie wieder für selbstverständlich halten.

Hinweise:

Wollen Sie Ihren positiven Einfluss auf Umwelt, Soziales oder Governance verstärken? Dann lohnt sich ein Besuch auf der schönen Website von Dunn & Falkenstein Consulting.

[1] Europäische Datenschutzgrundverordnung (GDPR)
[2] [3] European Cyber Resilience Act (CRA)
[4] Finance worker pays out $25 million after video call with deepfake ‘chief financial officer’
[5] IFRS – International Financial Reporting Standards
[6] SASB, “SOFTWARE & IT SERVICES Sustainability Accounting Standard”
[7] Nicole Perlroth: This is how they tell me the world ends

Wenn Ihnen der Beitrag gefällt oder Sie darüber diskutieren wollen, teilen Sie ihn gerne in Ihrem Netzwerk. Und falls Sie sich für weitere Tipps aus der Praxis interessieren, dann testen Sie gerne unseren wöchentlichen Newsletter mit neuen Beiträgen, Downloads, Empfehlungen und aktuellem Wissen. Vielleicht wird er auch Ihr Lieblings-Newsletter!

Olivia Falkenstein hat einen weiteren Beitrag im t2informatik Blog veröffentlicht:

Was macht eigentlich t2informatik? Ein Klick hier und Sie wissen es.