Ausblick: Das wird 2022 im Bereich Cybersecurity wichtig

Zwei Dinge gehören obligatorisch zum Jahresanfang: Erstens, gute Vorsätze fassen. Denn auch wenn eigentlich offenkundig ist, dass bestimmte Ziele, die euphorisch für das neue Jahr gesteckt werden – also übliche Dauerbrenner wie „Gesünder ernähren“ und „Mehr Sport treiben“ – richtig schwer umzusetzen sind, stehen trotzdem gerade diese bei vielen wiederkehrend an Neujahr ganz oben auf der Liste.

Zweitens, eine Vielzahl von Prognosen bezüglich der aktuellen IT-Trends in den ersten Tagen des neuen Jahres präsentiert zu bekommen. Ein bisschen vergleichbar sind diese mit den guten Vorsätzen – auch hier gibt es einige, die nicht leicht zu realisieren sind und ebenso erscheint in den jeweiligen Vorhersagen der Experten regelmäßig eine gewisse Zahl an populären Selbstläufern.

Naturgemäß ist dieser Favorit immer mit dabei: die IT- oder Cyber-Sicherheit – dieses Jahr mit dem interessanten Begriff „Cybersecurity Mesh“. Klingt imposant. Falls Sie noch nicht ganz genau wissen, was sich dahinter verbirgt könnte Ihnen folgende Information vielleicht weiterhelfen: In den "The Top 8 Security and Risk Trends We’re Watching“ von Gartner wird der Begriff Cybersecurity Mesh generalisiert als eine "integrierte Sicherheitsstruktur und -haltung zum Schutz aller Vermögenswerte, unabhängig vom Standort" definiert. Gut, aber eigentlich dürfte dies kein neuer Trend für das kommende Jahr sein – nach fast zwei Jahren Homeoffice verursacht durch Corona, oder?   

Ich möchte jetzt keinesfalls auch nur andeuten, dass Cybersicherheit nicht zu den relevanten Trends für 2022 zählen sollte. Dem ist (leider) so. Denn die in zunehmendem Maße ausgereiften Angriffsmethoden – mittlerweile werden sogar Air Gap-Netzwerke, die komplett von anderen Systemen oder dem Internet getrennt sind, attackiert – sind um ein Vielfaches komplexer und somit erfolgreicher geworden. Da diese auf zunehmend digitalisierte Unternehmen treffen, können – bedingt durch die daraus resultierenden Abhängigkeiten – gravierende Schäden entstehen.

Aus diesem Grund gilt es adäquate Maßnahmen zu ergreifen, die umfassend den notwendigen Schutz bieten. Eine wirtschaftlich nachhaltige Vorgehensweise hierfür lässt sich gemäß dem Pareto-Prinzip wie folgt ableiten: Mit 20 Prozent Cyber-Sicherheitsmechanismen ist es möglich, die Risiken um 80 Prozent zu senken. Die Reduzierung des Restrisikos, also der verbleibenden 20 Prozent, hingegen würde 80 Prozent des Gesamtaufwandes erfordern. Mit anderen Worten – durch den Einsatz der richtigen Cyber-Sicherheitsmaßnahmen lässt sich mit einem relativ geringen Investitionsaufwand ein angemessenes Schutzniveau für IT-Systeme herstellen. Trotz allem besteht natürlich immer noch eine potenzielle Gefährdungslage. Aber für diese wird mittlerweile eine Lösung angeboten: die Cyberversicherung.  

Selbstverständlich kann eine Cyberversicherung Angriffe nicht verhindern, aber zumindest lassen sich deren Auswirkungen abmildern. Denn bei einem Vorfall schädigt das unbefugte Eindringen in die IT-Systeme oder die Verbreitung von Schadsoftware das Unternehmen nicht nur unmittelbar, sondern möglicherweise auch weitergehend. Zum Beispiel kann der Verlust von sensiblen Daten Schadenersatzansprüche der Kunden nach sich ziehen oder ein Produktionsstillstand, und dadurch verursacht Lieferengpässe, hohe Pönalen zur Folge haben. Von daher ist es eventuell sinnvoll, eine zusätzliche Absicherung in Erwägung zu ziehen – angefangen bei der Deckung von Produktions- oder Ertragsausfällen über die IT-forensische Untersuchung, um Schadensmaß und Vorgehensweise der Täter zu ermitteln bis hin zur Wiederherstellung der IT-Systeme.

Klingt in der Theorie gut. Aber in der Praxis führen die mittlerweile verschärften Regularien und damit einhergehend strengeren Risikoprüfungen dazu, dass Unternehmen nicht unbedingt einen Vorteil daraus ziehen können. Denn unter anderem gilt es hier allgemein nachzuweisen, dass mittels Patch-Management dafür gesorgt ist, dass die IT-Systeme dank kontinuierlich aktualisierter Software nicht angreifbar sind oder dass die Mitarbeiter ausreichend gut geschult werden oder dass die Datensicherung den allgemein anerkannten Anforderungen entspricht. Alles Voraussetzungen, die keinesfalls für jedes Unternehmen leicht umsetzbar sind, insbesondere nicht im Mittelstand, denn gerade hier fehlen oftmals Knowhow und (finanzielle) Ressourcen für ein umfassendes IT-Sicherheitsmanagement.

Hinzu kommt, dass Cyberversicherungen nicht (mehr) alles abdecken – obwohl die Gefahr in das Visier von Cyberkriminellen zu geraten permanent steigt, allein aufgrund zunehmend ausgefeilter Methoden wie Supply Chain-Angriffe. Im Prinzip ist die Haltung mit Blick auf die hohen Schadenssummen, die allein durch Ransomware-Angriffe entstehen, verständlich. Um hier also auf der sicheren Seite zu sein ist es ratsam, vorab genau zu klären, welche Versicherungsleistungen geboten werden und was getan werden kann, um das individuelle Risiko zu senken.

Die IT-Sicherheit lässt noch zu wünschen übrig, anders sind die Schäden, die jährlich veröffentlicht werden – aktuelle Schätzungen schwanken zwischen 20 und 100 Milliarden Euro – nicht erklärbar. Dabei gibt es doch einige IT-Sicherheitsmaßnahmen, die relativ leicht umgesetzt werden können.

1. Qualität der Software im Blick behalten: Es ist empfehlenswert, nur sicherheitszertifizierte Software einzusetzen und Updates sowie Sicherheits-Patches für Software und Plugins möglichst unmittelbar einzuspielen.
2. Zugriffsrechte managen: Es ist nachgewiesen, dass sich mehr als die Hälfte der Angriffe auf Mitarbeiter zurückführen lässt, so genannte Insider Threats. Zum Teil sind dies ehemalige Mitarbeiter, deren Zugang auf unternehmensinterne IT-Systeme nicht vollständig gesperrt wurde. Von daher sollte sichergestellt sein, dass die Zugriffberechtigungen streng geregelt sind und sich komfortabel verwalten lassen.
3. IT-Sicherheitsmaßnahmen gemäß Stand der Technik einsetzen: Der „Stand der Technik“ bezeichnet die am Markt verfügbare Bestleistung einer IT-Sicherheitsmaßnahme, um ein gesetzliches IT-Sicherheitsziel zu erreichen. Ein positiver Nebeneffekt ist, dass sich der Einsatz von IT-Sicherheitsmaßnahmen gemäß „Stand der Technik“ theoretisch sogar bei der Bewertung eines Sicherheitsvorfalls positiv auswirken müsste, da die bestmögliche Technik zur Abwehr eingesetzt wurde. Denn dass dieser zum Beispiel gemäß IT-Sicherheitsgesetz und DSGVO gefordert wird, spricht für seine hohe Bedeutung.

Ja – der Ausblick für 2022 deutet darauf hin, dass mit einer Entspannung der Sicherheitslage nicht zu rechnen ist, die ersten Meldungen zu neuen Angriffen sind schon raus. Aber wenn Unternehmen auch gute Vorsätze in puncto Cyber-Sicherheit gefasst haben und diese konsequent umsetzen, können sie viel erreichen.

In diesem Sinne wünsche ich Ihnen einen guten Start in das neue Jahr.