Die Motivation von Cyberkriminellen wandelt sich. Drehte sich früher meistens alles um Erpressung, geht es heute auch um Zerstörung. Politische Spannungen weiten sich in den digitalen Raum aus und dies hat direkte und spürbare Auswirkungen auf deutsche Unternehmen. Sie müssen sich mit hoher Priorität darum kümmern, cyberresilient zu sein, denn in Deutschland ist die Cyberabwehr auf nationaler Ebene bisher ziemlich lückenhaft.
Früher zielten Cyberangriffe hauptsächlich auf finanziellen Gewinn ab – doch diese Zeiten sind vorbei. Bereits zu Beginn des Ukraine-Kriegs intensivierten russische Hackergruppen ihre Angriffe auf deutsche Firmen. Politisch motivierte Attacken sind mit dem Aufflammen des Israel-Palästina-Konflikts weiter angestiegen und werden in der kommenden Zeit voraussichtlich noch zunehmen. Das Bundesamt für Sicherheit in der Informationstechnologie (BSI) kommt im Lagebericht zur IT-Sicherheit in Deutschland zu einer ähnlichen Feststellung.
Die Ursachen dafür liegen auf der Hand: Deutschlands amerikafreundliche Haltung, die NATO-Mitgliedschaft und unsere Stellung als eine der größten Volkswirtschaften Europas. All das macht Deutschland zu einem Hauptangriffsziel. Die Attacken sind also auch Ausdruck politischer und ideologischer Auseinandersetzungen, die auf dem digitalen Schlachtfeld ausgetragen werden. Eine nationale Cyberabwehr auf Landesebene ist in Deutschland leider praktisch nicht vorhanden. Unternehmen stehen daher selbst in der Pflicht, wirksame Vorsorgemaßnahmen zu ergreifen.
Neue Regularien zum Schutz von Unternehmen
Organisationen müssen damit rechnen, nach einem Incident nicht mehr mit Erpressern in Verhandlungen eintreten zu können, sondern dass hinter den Angreifern Hacker aus totalitären Staaten oder terroristische Vereinigungen stehen. Und diese verfolgen nicht mehr monetäre Ziele, sondern es geht ihnen primär darum, Systeme zu infiltrieren, Daten zu löschen und handlungsunfähig zu machen.
Verantwortliche sollten ihren Fokus deshalb darauf richten, ihre Cyber-Resilienz zu stärken. Die NIS2-Richtlinie, die im Januar in Kraft trat und bis Herbst dieses Jahres umgesetzt werden muss, kann und sollte hierzu als Leitfaden dienen. Sie stellt einen entscheidenden Schritt der EU dar, ein einheitliches Sicherheitsniveau für Netz- und Informationssysteme in allen Mitgliedsstaaten zu etablieren und Demokratien resilienter zu machen. Dabei hat sich der Anwendungsbereich im Vergleich zur ersten Version maßgeblich erweitert. Während in der ersten Version der Fokus auf Unternehmen und Organisationen aus dem direkten KRITIS-Umfeld (kritische Infrastrukturen) lag und die Privatwirtschaft weniger betroffen war, hat sich der Kreis mit NIS2 deutlich erweitert: Die neue Einteilung in „wesentliche“ und „wichtige“ kritische Sektoren gilt nun auch für die Privatwirtschaft.
Maßnahmenpaket gegen Cyberangriffe
Betroffene Unternehmen müssen Maßnahmen ergreifen, Cyberangriffe mit zeitgemäßen Erkennungstools aufzuspüren und zu bekämpfen, die Auswirkungen von Cyberbedrohungen zu begrenzen, die Widerstandsfähigkeit gegenüber Angriffen zu stärken sowie die Fähigkeit verbessern, sich von einem Sicherheitsvorfall schnell zu erholen. Best Practices wie die Einführung von ISO-Normen und IT-Grundschutz, sind ein solider Anfang. Externe Security-Berater und ein Managed Security Service Provider wie indevis können hier wertvolle Hilfestellung leisten, denn moderne Sicherheitstechnologie ist komplex, benötigt tiefgehendes Know-how und ausreichende Ressourcen.
Landesweite Cyber-Resilienz: mit gutem Beispiel voran
Bedauerlicherweise beinhaltet die NIS2-Direktive Ausnahmen, die den öffentlichen Sektor betreffen. Diese Schlupflöcher ermöglichen es, sich vor der Umsetzung von IT-Sicherheitsmaßnahmen zu drücken. Da staatliche Institutionen vor dem Hintergrund der aktuellen weltpolitischen Lage bevorzugte Ziele für Angreifer sind, ist zu vermuten, dass dies Deutschlands sicherheitstechnischen Fortschritt insgesamt behindert.
Um das Land ausreichend widerstandsfähig zu machen, sollten wir grundsätzlich die Möglichkeit einer national organisierten Cyber Defence erwägen, wie es die USA, England oder Australien bereits vormachen und diese zum Beispiel bei der Bundeswehr verankern. Denn wir müssen uns bewusst machen, dass IT-Sicherheit heute ein wesentlicher Teil der Landesverteidigung ist.
Es wird also aller Voraussicht nach nicht genügen, wenn Unternehmen allein die Initiative ergreifen. Aber ohne allseitige Investitionen in einen zeitgemäßen Schutz vor Cyberbedrohungen geht es nicht mehr. Es gilt, mit gutem Beispiel voranzugehen.