Cyberkriminalität ist attraktiv, denn hier lässt sich mit geringem Aufwand das große Geld machen. So verwundert es wohl kaum, dass die Zahl der Hackerangriffe stetig wächst. Doch das ist nicht alles: Russlands Krieg gegen die Ukraine und weitere politische Spannungen werden auch digital ausgefochten. Die aktuelle Situation wirkt sich natürlich auf die IT-Sicherheit aus, doch viele Unternehmen unterschätzen das Risiko nach wie vor.
ITD: Herr Jetter, auf welche Weise hat die aktuelle Situation die Sicherheitslage verändert – vor allem mit Blick auf die Supply Chain?
Klaus Jetter: Die Absicherung der Supply Chain war noch nie einfach. Und die aktuellen Krisen machen die Situation nicht besser. Doch erinnern wir uns an die Malware Notpetya, die uns 2016 lange Zeit in Atem gehalten hat. Über eine Schwachstelle in einer Software für die Steuererklärung gelangte das Schadprogramm in Unternehmensnetze. Es infizierte die Systeme von Reckitt-Benckiser, Beiersdorf, Mars und Mondelez, blockierte Kassen bei Handelsfilialisten in der Ukraine, befiel Rechner der Metro und legte die Hafenterminals der weltweit größten Reederei Maersk lahm. Mit einem geschätzten Schaden von rund 10 Mrd. US-Dollar handelte es sich damals um einen der weltweit teuersten Cyberangriffe.
ITD: Wie gehen Cyberkriminelle gerne vor?
Jetter: Sie suchen sich innerhalb des Lieferantennetzwerks die schwächste Stelle für ihre Angriffe aus. Das sind häufig kleinere Zulieferer, die wie bei der Steuersoftware nicht einmal im Kerngeschäft tätig sind. Dort ist die Chance am größten, in IT-Systeme einzudringen und sich anschließend zum eigentlichen Ziel vorzuarbeiten. Daran zeigt sich, wie verletzlich Lieferketten wirklich sind. Aktuell sind Unternehmen angreifbarer denn je, denn die Schließung von Grenzen, Unterbrechungen im Transportwesen und Lieferkettenstörungen haben dazu geführt, dass viele Unternehmen Schwierigkeiten haben, ihre Produkte und Dienstleistungen bereitzustellen. Ein weiterer Aspekt, der die Sicherheitslage beeinflusst, ist die Abhängigkeit von bestimmten Ländern und Regionen für die Lieferung von kritischen Waren und Dienstleistungen. Wenn ein Land oder eine Region von einer Krise betroffen sind, kann dies Auswirkungen auf die globale Lieferkette haben und zu Engpässen und Störungen führen.
ITD: Wie sollten Unternehmen vorgehen, um ihre Supply Chain abzusichern? Eine ausschließliche Produktion in Deutschland kann ja nicht die Antwort sein.
Jetter: Leider gibt es keinen 100-prozentigen Schutz und die Frage lautet nicht ob, sondern wann ein Unternehmen angegriffen wird. Unternehmen und Organisationen müssen ihre Lieferketten entsprechend diversifizieren und widerstandsfähiger gestalten, um besser auf zukünftige Krisen vorbereitet zu sein. Darüber hinaus müssen sie ihre Cybersicherheitsmaßnahmen verstärken, um sich vor Hackerattacken zu schützen.
ITD: Wie geht das am besten?
Jetter: Planvoll, um es kurz auszudrücken. Das ist für Unternehmen eigentlich Alltag. Jedes Unternehmen hat strategische Pläne für die Geschäftsentwicklung in den nächsten drei oder vier Jahren. Doch wenn wir die Sicherheitsstrategie für die nähere Zukunft erfahren wollen, schauen wir häufig in fragende Gesichter. Wir sehen da gleich mehrere Hürden: So müssen die Unternehmen zunächst ein Risikobewusstsein aufbauen. Inzwischen ist es leider so, dass auch kleinere Unternehmen ein lukratives Ziel sind. Es ist für Cyberkriminelle technisch möglich, mit sehr wenig Aufwand eine enorme Menge an Geld einzustreichen – über Ransomware oder Distributed-Denial-of-Service-Angriffe (DDoS) auf Webserver. Die Unternehmen müssen sich also auf den Fall vorbereiten. Eine weitere Hürde ist das mangelnde Verständnis für die Bedeutung von Security für das Geschäftsergebnis. Sie ist nämlich sehr hoch, auch wenn sie auf den ersten Blick nach einer lästigen Investition aussieht. Wir plädieren deshalb für die sogenannte ergebnisbasierte Sicherheit – Outcome-based Security.
ITD: Was ist das Besondere an diesem Ansatz?
Jetter: Er spricht die Sprache der Unternehmen, also die Sprache der Effizienz. Denn genau das benötigen Unternehmen. Seit Jahrzehnten steigen in Deutschland die Ausgaben für Cybersicherheit, ohne dass die Zahl erfolgreicher Cyberangriffe nach unten geht. Regelmäßig berichtet der Bitkom-Verband über Milliardenschäden für betroffene Unternehmen. Die Verantwortlichen sind in einer Zwickmühle: Sie erhöhen jedes Jahr ihre IT-Sicherheitsausgaben, sehen aber keine Verbesserung ihrer Cybersicherheit – im Gegenteil. Die Unternehmensleitungen stempeln Cybersicherheit deshalb häufig als reinen Kostenfaktor ab. Sie bekommt den schlechten Ruf, nichts zu den Unternehmenszielen beizutragen. Das rächt sich natürlich. Ein typischer Fall ist ein von uns im Schadenfall unterstütztes Industrieunternehmen. Ein Ransomware-Angriff hat einen Produktionsausfall von zwei Wochen bewirkt. Der Schaden lag alles in allem bei 10 Mio. Euro für den Stopp der Fertigung und die vollständige Rekonstruktion von insgesamt 800 IT-Systemen. Demgegenüber steht eine nicht umgesetzte Investition von etwa 50.000 Euro für die entsprechenden Sicherheitsvorkehrungen. Das zeigt deutlich: Ausgaben für Security stehen in keinem Verhältnis zum Schaden. Natürlich trifft es nicht jeden, aber die Unternehmen sollten das Risiko trotzdem berücksichtigen.
ITD: Wie geht Ihr Ansatz konkret vor?
Jetter: Wir messen den Nutzen von Cybersicherheit. Dafür verknüpfen wir Security mit den Unternehmenszielen. Bei Outcome-based Security handelt es sich um ein Konzept, bei dem der Fokus auf der Einhaltung der Geschäftsziele und aller damit verbundenen Prozesse liegt. Letztlich geht es darum, wie die Ziele erreicht werden und wie Cybersicherheit dafür einen Beitrag leistet. Wir verstehen diese Art der ergebnisorientierten Cybersicherheit nicht als Gegenmodell zu den etablierten strategischen Ansätzen der IT-Sicherheit. Wir bauen vielmehr darauf auf. Der Ansatz der Outcome-based Security ändert nicht nur die Haltung des Sicherheitsverantwortlichen, sondern auch sein Standing im Unternehmen. Dadurch ist der Chief Information Security Officer (CISO) nicht mehr nur der Nein-Sager. Stattdessen sagt er: Ja, wir können diese Geschäftsergebnisse ermöglichen und auf diese Art können wir es sicher machen. Auf einmal spricht er die Sprache der Strategie und der Ergebnisse – auf Augenhöhe mit denjenigen, die am Ende auch über das Budget für die IT-Security entscheiden. So verstehen die Stakeholder endlich, welchen positiven, aktiven Beitrag die Cybersecurity zum Erfolg des Unternehmens leistet.
ITD: Im Zusammenhang mit Sicherheit ist häufig von Datensouveränität die Rede. Was bedeutet dieser Begriff?
Jetter: Datensouveränität bezieht sich in erster Linie auf das Recht und die Fähigkeit eines Unternehmens, die Kontrolle über die eigenen Daten zu haben. Es geht darum, welche Daten gesammelt, gespeichert, verarbeitet und geteilt werden dürfen. Datensouveränität ist somit ein wichtiger Aspekt der Sicherheit, insbesondere in einer Welt, in der Daten zunehmend digital gespeichert und übertragen werden. Die Idee der Datensouveränität ist eng mit den Konzepten der Informationssicherheit und des Datenschutzes verbunden und wird oft als eine grundlegende Voraussetzung für eine erfolgreiche und vertrauenswürdige Digitale Transformation angesehen. Doch dafür müssen auch Staaten die rechtlichen und regulierenden Voraussetzungen schaffen. Schon seit 2019 versucht auch die Welthandelsorganisation (WTO) Regeln für den grenzüberschreitenden Datenverkehr auszuhandeln. Die weit verbreitete Besorgnis über Störungen durch frei fließende Daten hat jedoch dazu geführt, dass sich bisher die Hälfte der 184 Mitgliedsstaaten gegen eine Teilnahme an den Verhandlungen entschieden hat. Diese Länder sind also nicht bereit, gemeinsame Regeln zu entwickeln. Der internationale Datenverkehr wird dennoch weitergehen, aber solange es keinen globalen Ansatz für die Regulierung von Datenschutz und Datenaustausch gibt, müssen wir uns mit einem Flickenteppich konkurrierender Vorschriften herumschlagen. Trotzdem sollte jedes Unternehmen seine eigene Datensouveränität schützen. Dafür ist es z.B. wichtig, dass Unternehmen die Bedingungen und Vereinbarungen mit Dienstleistern sorgfältig prüfen und klären, wer die Kontrolle über die eigenen Daten hat und wie diese geschützt werden.
ITD: Das betrifft dann beispielsweise auch Cloud-Provider. Wie sieht da die Sicherheitslage aus? Oder anders gefragt: Ist die Cloud wirklich sicher?
Jetter: Cloud-Provider haben dieselben Sicherheitsrisiken wie jedes andere Unternehmen. Doch sie sind viel schneller, als es die IT-Organisationen in den meisten Firmen sein können. Die Provider überwachen ihre Infrastruktur engmaschig und achten genau darauf, dass Sicherheitsaktualisierungen unmittelbar und ohne Verzögerung umgesetzt werden. Zudem setzen sie möglichst immer die besten Tools ein und beschäftigen sich intensiv mit neuen Entwicklungen sowohl in der Cyberkriminalität als auch in der Security-Technologie. Das macht Cloud-Services deutlich sicherer als die meisten On-Premises-Installationen. Generell ist die Cloud im Aufschwung, das merken wir beispielsweise auch an unseren eigenen Umsätzen. Natürlich bieten wir sowohl On-Premises-Lösungen als auch Managed Services in der Cloud an. Doch die Umsatzentwicklung zeigt uns klar, dass Security aus der Cloud im Aufschwung ist. Das ist in anderen Branchen ähnlich. Die Vorteile sind einfach zu verführerisch.
ITD: Ein typisches Argument gegen die Cloud ist ja immer der Schutz geschäftskritischer Daten. Wie gehen Sie damit um?
Jetter: Um mit geschäftskritischen Daten umzugehen, verfügen wir über robuste Sicherheitsmaßnahmen, die den Datenschutz und die Datensicherheit gewährleisten. Hierzu gehört u.a. die Speicherung der Daten innerhalb der Europäischen Union mit all den damit verbundenen gesetzlichen Bestimmungen sowie die Nutzung von Verschlüsselungstechnologien, um sicherzustellen, dass Daten während der Übertragung geschützt sind.
ITD: In diesem Zusammenhang: Wie sind Ihre Erfahrungen mit der Datenschutz-Grundverordnung (DSGVO)? Hat sie sich bewährt oder muss sie überarbeitet werden?
Jetter: Die Datenschutz-Grundverordnung ist ein wichtiger Schritt zur Stärkung der Datenschutzrechte von Personen und hat den Datenschutz in der Europäischen Union deutlich verbessert. Die Unternehmen sind dazu gezwungen, sich intensiver mit ihren Datenverarbeitungsprozessen auseinanderzusetzen und Sicherheitsmaßnahmen umzusetzen. Damit ist das Bewusstsein für Datenschutz und Datensicherheit gestiegen und der Schutz personenbezogener Daten besser geworden. Allerdings ist die Umsetzung der DSGVO nicht immer einfach verlaufen. Zu viele Unternehmen haben nach wie vor Schwierigkeiten, sie zu verstehen und umzusetzen. Denn die DSGVO ist sehr komplex und erfordert ein hohes Maß an Fachwissen. Zudem hat die Umsetzung hohe Kosten verursacht, insbesondere für kleinere Unternehmen. Es ist jedoch wichtig zu betonen, dass der Schutz personenbezogener Daten eine Herausforderung ist, die sich ständig weiterentwickelt. Auch die Bedrohungen unterliegen einem ständigen Wandel. Deshalb sollten Unternehmen und Politik sicherstellen, dass die 2018 wirksam gewordene DSGVO mit der Zeit geht. Sie muss auf neue Entwicklungen und Herausforderungen bei Datenschutz und Datensouveränität reagieren.
ITD: Seien wir ehrlich: Ein Problem für die Datensouveränität ist das Quasi-Monopol von IT-Riesen aus den USA und die gleichzeitig völlig andere Auffassung von Datenschutz, vor allem bei Behörden. Wie schätzen Sie die aktuelle Situation ein?
Jetter: Der IT-Markt ist in der Tat von US-Unternehmen beherrscht. Das US-Datenschutzrecht besteht aus einem Flickenteppich von sektor- und bundesstaatsspezifischen Gesetzen. Nach jahrzehntelanger Arbeit wurde im Juni 2022 der Entwurf eines Bundesgesetzes zum Datenschutz verabschiedet. Er ähnelt in seinem generellen Anspruch der DSGVO, auch wenn er Schlupflöcher und Ausnahmen enthält. Selbst wenn das Gesetz beschlossen wird, muss sich erst zeigen, ob es tatsächlich DSGVO-konform ist. Dasselbe gilt hinsichtlich des Dekrets für ein neues Datenschutzabkommen zwischen den USA und der EU, das Präsident Joe Biden im Oktober 2022 erlassen hat. Ein globaler Ansatz ist entscheidend, beispielsweise ein weltweites Abkommen über Datenschutzstandards für den internationalen Datenverkehr. Doch die Fortschritte dabei vollziehen sich in fast geologischen Zeiträumen. Der Datenverkehr zwischen der EU und den USA wird also noch viele Jahre lang schwierig sein. Solange sollten Unternehmen die Notwendigkeit internationaler Datenübertragungen hinterfragen und zu einer stärker lokalisierten Datenverarbeitung übergehen.
Klaus Jetter
Alter: 54 Jahre
Familienstand: verheiratet
Derzeitige Position: Regional VP DACH von WithSecure
Interessen: alles, was der Erholung dient
Bildquelle: Claus Uhlendorf