DIVSI wurde am 31.12.2018 aufgelöst. Diese Website dient ausschließlich als Archiv und wird nicht mehr aktualisiert.
DIVSI wurde am 31.12.2018 aufgelöst
und wird nicht mehr aktualisiert.

zurück zur Übersicht

Kein Ausnahmeverbrechen mehr

27. Mai 2013

Bild: scyther5 – Shutterstock

Wie kann mit der neuen digitalen Bedrohung umgegangen werden? Experten schätzen das jährliche Schadenspotenzial auf bis zu 50 Milliarden Euro. Deshalb sollten wir endlich begreifen: IT-Sicherheit geht uns alle an.

Von Arne Schönbohm

„Sehr geehrter Kunde, aufgrund der hohen Malware Anschlag auf unsere Datenbank haben wir unsere SSL zur Hilfe verhindern unbefugten Zugriff auf Ihr online-Konto verbessert. Während dieses Vorgangs Ihr Konto möglicherweise vorübergehend deaktiviert. Wir bitten Sie, überprüfen und aktualisieren Sie Ihr Konto um Permanent Herunterfahren Ihres Kontos zu vermeiden. Überprüfen Sie und aktualisieren Sie Ihr Konto.“

So oder so ähnlich muten Phishing-Mails an – dies hier übrigens eine echte – , über die versucht wird, an Daten eines Inter- net-Nutzers zu gelangen, um diese an- schließend für einen Identitätsdiebstahl zu gebrauchen. Doch die Trickkiste der Cyber-Kriminellen ist selbstverständlich weit vielfältiger und reicht vom digitalen Kreditkarten-Klau über die Manipulation von Medien bis hin zum Eindringen in militärische Entwicklungspläne durch ausländische Geheimdienste – wie zuletzt der Fall von Cyber-Spionage chinesischer Hacker, denen es gelang, Konstruktionspläne von US-Waffensystemen zu stehlen. In einer Zeit, in der das Internet uns die ferne Welt näher bringt, Geschäftsmöglichkeiten eröffnet, Waren und Dienstleistungen jederzeit zugänglich macht, steigt auch die Bedrohung, die vom World Wide Web ausgeht.

Zahlreiche Gesetzesinitiativen auf Bundes- und EU-Ebene beweisen dabei, dass das Thema Cyber-Sicherheit für alle Bereiche der Gesellschaft – insbesondere aber für die Wirtschaft und im öffentlichen Raum – von immer größerer Bedeutung ist. In einer Zeit, in der allein eine Falschmeldung eines gehackten Twitter-Accounts zu einem kurzfristigen Einbruch der Börse führen kann, sollten wir uns fragen: Wie sicher ist das Netz eigentlich? Welche Bedrohungslage ergibt sich für Deutschland und seine Wirtschaft? Und: Wie kann mit der neuen digitalen Bedrohung umgegangen werden?

Die aktuelle Cyber-Gefahrenlage

Die Bedrohungslage im Cyberspace ist sehr dynamisch. Getrieben von politischen Entwicklungen, juristischen Entscheidungen, unternehmerischen Innovationen und der Aggressivität der Kriminellen verändert sie sich. Während es einigen Cyber-Kriminellen um puren digitalen Aktivismus (sog. „Hacktivismus“ wie bei Anonymous) geht, verfolgen andere finanzielle oder rufschädigende Motive.

Täglich werden dabei neue Schwachstellen gefunden, allein 2012 wurden rund 37 Millionen(!) neue Schadprogramme entdeckt. Die genauen Schäden, die jährlich durch Cybercrime verursacht werden, sind schwer zu beziffern, doch allein in Deutschland gehen Experten von einem Schadenspotenzial zwischen 20 und 50 Milliarden Euro aus.

Allein Computer-Sabotage und Datenveränderung haben in Deutschland um 84 Prozent zugenommen, so der Branchenverband BITKOM. Gerade Mittelständler verhalten sich hier noch recht arglos, obwohl sie laut Symantec Internet Security Threat Report 2013 inzwischen im Zentrum der Angriffe stehen. Zu geringe Sicherheitsvorkehrungen führen zum Abfluss von Patenten, Kunden- und Bankdaten.

Allein im vergangenen Jahr zielten 50 Prozent aller gezielten Angriffe auf Unternehmen mit weniger als 2.500 Mitarbeitern. Doch eine weitere Bedrohung lauert in den Unternehmen selbst: Hier stellen unzufriedene und korrumpierbare Mitarbeiter eine ebenso große Gefahr dar wie das Outsourcing der IT-Abteilung, was nicht zuletzt der im Dezember 2012 offen- gelegte Datenklau im Bundesministerium für Gesundheit durch einen externen IT- Dienstleister bewiesen hat. In einer vernetzten und interdependenten Welt kann der (IT-bedingte) Ausfall eines Produktes zu Folgeschäden für nachgeordnete Industrien führen. Fällt beispielsweise im Baukastensystem eines Automobilkonzerns ein wichtiger Bestandteil eines Zulieferers weg, kann es so zur Verlangsamung – wenn nicht gar dem Stillstand – der ganzen Produktion kommen.

Und auch, wenn viele Attacken bisher unentdeckt bleiben: Deutschland ist Ziel und Relaisstation für Cyber-Angriffe. Auch in Zukunft ist keine wirkliche Verbesserung der Lage in Sicht. Gerade mit dem Vormarsch mobiler Endgeräte steigt die Gefahr, Opfer der eigenen IT zu werden, da sich viele Nutzer nicht um den ausreichenden Schutz ihrer Geräte bemühen. Mit zunehmender Digitalisierung bleibt diese Entwicklung jedoch nicht auf den privaten Bereich beschränkt. Zukünftig werden uns vor allem Entwicklungen wie E-Government, smart grids und smart health vor neue Herausforderungen stellen. Die Zukunft ist smart – und nicht ungefährlich.

Cyber-Sicherheit muss Bestandteil deutscher Unternehmenskultur werden

Aus der dargestellten Gefahrenlage im Cyberspace wird offensichtlich: IT- Sicherheit geht uns alle an. Dabei sollte nicht außer Acht gelassen werden, dass hundertprozentige IT-Sicherheit beinahe unmöglich – oder überhaupt nur durch die Entkopplung vom Netz realisierbar – ist. Es geht also nicht um die komplette Vermeidung von Risiken, sondern viel- mehr darum, eine effiziente und wirtschaftliche Abwehrstrategie zu etablieren: Risikomanagement statt Risikovermeidung.

Abseits des politischen Aktionismus und trotz verschiedenster Initiativen ist klar, dass Unternehmen in diesem Kontext auch selbst tätig werden müssen. Die Maßnahmen, die hierbei ergriffen werden können, sind vielfältig. So hat die BuCET Shared Services AG beispielsweise den ‚Cyber Security Check 2.0‘ entwickelt, der es ermöglicht, innerhalb kürzester Zeit eine Einschätzung der aktuellen IT- Sicherheitslage eines Unternehmens bzw. einer Behörde zu geben. Darüber hinaus werden jedoch auch potenzielle zukünftige Gefahren eruiert und konkrete Handlungsanweisungen für eine ganzheitliche Sicherheitsstrategie gegeben.

Immer mehr Kredit- und Finanzinstitute verlangen inzwischen von ihren Kunden nicht nur Bilanz und Steuerbescheid, sondern auch Nachweise für das Cyber-Risikomanagement, berichtete das Handelsblatt im Mai 2013. Zudem können Unternehmen und deren IT-Verantwortliche zur Haftung verpflichtet werden, wenn IT-Sicherheitsstrukturen nur unzureichend umgesetzt worden sind. Ein Sicherheitscheck – wie eben beschrieben – hilft, dabei die Haftungsrisiken zu mindern, Investitionssicherheit zu gewährleisten und Reputationsverlust zu verhindern.

Die zunehmende „Internetisierung“ ist weder aufzuhalten noch wegzudenken. Umso wichtiger wird es, nicht die Augen vor den aus ihr resultierenden Gefahren zu schließen. Lösungen müssen jetzt aktiv angegangen werden. So wurde als Initiative zur Verbesserung der Cyber-Sicherheit im August 2012 der Cyber-Sicherheitsrat Deutschland e.V. gegründet, der zum Zweck hat, Unternehmen, Behörden und politische Entscheidungsträger im Bereich Cyber-Sicherheit zu beraten und durch eine bessere Vernetzung und die Erarbeitung konkreter Lösungen die Cyber-Sicherheit zu erhöhen.

Der Verein wurde gegründet, da es in Deutschland bis dato keine Instanz gab, die sich ausschließlich auf Cyber-Sicherheit konzentrierte. Dieser Ansatz ermöglicht es uns, aufgrund unseres umfassenden Netzwerks im internationalen Kontext, alle Akteure zusammenzubringen: Potenzielle Opfer von Cybercrime ebenso wie Täter. Schließlich endet der Cyberraum nicht an den Landesgrenzen.

Cyber-Sicherheit ist Standortfaktor und Investitionsgrundlage und muss Bestandteil unserer Unternehmenskultur werden. Dazu braucht es auf Ebene der Politik jedoch richtige Anreize, gesetzliche Rahmenbedingungen und eine effizientere Strafverfolgung. Nichtsdestotrotz wird jeder Einzelne – egal ob Privatperson oder Unternehmen – gefordert sein, selbst aktiv zu werden und Verantwortung zu übernehmen, anstatt auf den Staat zu hoffen.

vorheriger Beitrag nächster Beitrag

Der Autor

Arne Schönbohm

Arne Schönbohm

Foto: BSI

studierte Internationales Management in Dortmund, London und Taipeh. Seit 18. Februar 2016 im Amt als Präsident des Bundesamtes für Sicherheit in der Informationstechnik.

nach Oben