Die dunkle Seite der Digitalisierung
und wie der echte Norden sie erhellt
Home-Office ist für mittelständische Unternehmen kein Fremdwort mehr. In Sachen dezentrale Organisation, virtuelle Führung und Unternehmenskultur im digitalen Zeitalter sind Firmen inzwischen fit. Doch je mehr sie sich auf digitale Strukturen verlassen, desto angreifbarer werden sie, wenn nicht vorgesorgt wird. Gerade in der volatilen geopolitischen Lage und vermehrten Cyber Angriffen auf Unternehmen und Infrastruktur wird ein Thema der Digitalisierung immer wichtiger: Die IT-Sicherheit. Über die dunkle Seite der Digitalisierung – und wie man sie meistert.
Ein sicheres Passwort anlegen, keine verdächtigen E-Mails öffnen. Das haben die meisten inzwischen gelernt. Doch Cyber-Attacken sind heute viel raffinierter. Und die Gefahren nicht immer sofort erkennbar. „Auch wenn das Thema unbeliebt ist und gern verdrängt wird“, sagt Bettina Schwarz vom Kieler IT-Beratungshaus lmbit, „wir sehen einen Anstieg von Cyber-Angriffen auf Unternehmen, vor allem seit Beginn der Pandemie.“ Auch für sie stellt Corona einen Bruch dar. Allerdings keinen, wie ihn die meisten wahrnehmen: „Die deutschen Unternehmen sind durch zuvor begonnene Digitalisierungsmaßnahmen zwar relativ gut durch die Krise gekommen“, stellt sie fest, „in puncto Sicherheit sind jedoch weite Teile unserer Wirtschaft eher in die Krise gestolpert, als vorbereitet gewesen: Mitarbeiterinnen und Mitarbeiter haben ungeschützt im Home-Office gearbeitet, für Meetings unsichere Videokonferenzdienste genutzt, weil es nicht anders möglich war. Unternehmen mussten handlungs- und arbeitsfähig bleiben. Oftmals fehlte die Zeit für eine Prüfung der genutzten digitalen Infrastruktur, so dass massive Sicherheitslücken entstehen konnten. Und die wurden auch ausgenutzt.“ Fast unbehelligt konnten Cyber-Kriminelle in die Wohnzimmer und damit in die Unternehmen eindringen. Cyber-Kriminalität hat sich zu einem der am stärksten wachsenden illegalen Bereiche entwickelt – auch weil das Geschäft vergleichsweise risikoarm ist. Fahndung und Aufklärung sind schwierig, Zugriffe je nach physischem Standort des Angreifers fast unmöglich. Bettina Schwarz findet drastische Worte: „Die Frage ist nicht, ob man angegriffen wird. Sondern wann.“
Kosten für einen durchschnittlichen Cyber-Angriff: 72.000 Euro
Laut einer Erhebung der Hiscox Versicherungsgesellschaft, die Versicherungen gegen Cyber-Kriminalität anbietet, haben 46 Prozent der deutschen Unternehmen im Jahr 2020 eine Cyber-Attacke erlebt. Da viele den Angriff verschweigen, dürfte die Dunkelziffer höher liegen. Doch nicht nur die hohe Anzahl betroffener Unternehmen alarmiert: Die meisten der Angriffe (42 Prozent) wurden dabei von eigenen Mitarbeitenden verursacht – ohne böse Absicht. Bettina Schwarz ist nicht überrascht. „Das Verhalten eines Menschen wird durch unterschiedliche Faktoren beeinflusst, welche sowohl in der Persönlichkeit verankert sind, aber auch durch sein Umfeld einwirken. Hierbei spielen firmeninterne Fehler- und Sicherheitskultur sowie kontinuierliche Wissensvermittlung eine maßgebliche Rolle. Das Bewusstsein für IT-Sicherheit samt korrektem Verhalten diesbezüglich darf sich nie wie ein Störfaktor anfühlen, sondern sollte sich vielmehr als selbstverständlich in den Arbeitsalltag einfügen. Ob die Belegschaft am Ende richtig handelt, ist also immer ein Zusammenspiel zwischen Wissen, Können und Wollen.“ Im Schnitt kostete eine Attacke ein deutsches Unternehmen 72.000 Euro im Jahr 2020. Für Deutschland errechnet Bitkom einen Gesamtschaden von 223,5 Milliarden Euro, allein in 2021. Generell zeichnet sich jedoch der Trend ab, dass Angriffe sich vom Internetbetrug hin zur Erpressung mit Ransomware verschieben – und dass kleinere Unternehmen breit (z.B. durch Schadsoftware in Software-Updates) und große Unternehmen gezielt angegriffen werden. Die Kosten sind weltweit explodiert. Allein in der Energiebranche stiegen die durchschnittlich durch Cyberangriffe verursachten Kosten von 10.000 auf 337.000 US-Dollar im Pandemiejahr 2020.
Vor allem für IT gilt: Better safe than sorry
Der Handlungsbedarf zeichnete sich schon vor der Pandemie ab, mit dem Home-Office wurde er unübersehbar und er ist weiterhin akut. Doch laut einer CapGemini-Studie nannten nur 22 Prozent der Geschäftsleitungen in der DACH-Region die Erhöhung der Datensicherheit als wichtigste Anforderung an die IT im Jahr 2021, für über 70 Prozent stand der Ausbau der Digitalisierung an erster Stelle. Dennoch stiegen die Ausgaben für Sicherheit anteilig an den Gesamtausgaben für IT an. Von 12 Prozent in 2020 auf 20 Prozent in 2021 (Hiscox 2021).
Digitale Geiselnahme
„Mit der technologischen Weiterentwicklung entwickeln sich die Cyber-Attacken mit. Waren es noch vor zehn Jahren vor allem Viren und Trojaner, also klassische Malware, sehen wir heute immer mehr Ransomware-Attacken“, sagt Bettina Schwarz. Dabei werden sämtliche Daten auf einem Computer oder Netzwerk mithilfe von Schadprogrammen verschlüsselt – und so zu Geiseln gemacht, für deren Herausgabe die Angreifer hohe Lösegelder fordern.
Wer Opfer einer Cyber-Attacke geworden ist, verliert nicht nur viel Kapital, Daten oder Aufträge. Sondern bekommt ein Vertrauensproblem. Kundendaten, Projekte, die der Schweigepflicht unterliegen und persönliche Daten sind unwiderruflich kompromittiert. Neben einem finanziellen Schaden, der im Extremfall in die Insolvenz führen kann, ist das Vertrauen der Kunden und Kundinnen dahin. Und sehr schwer wiederaufzubauen.
Das können Unternehmen jetzt tun
Was braucht es heute, um sich vor Angriffen zu schützen? „Das Allerwichtigste ist, dass Unternehmen nicht die Augen vor diesem Problem verschließen“, sagt Bettina Schwarz von lmbit. „Der Rest ist gar nicht so schwer.“