“Mit zunehmender Vernetzung steigen auch die Risiken.”

Interview mit Autor Thomas R. K?hler zu seinem Buch “Chefsache Cybersicherheit”

Das Thema Cybersicherheit wird immer noch nicht ausreichend ernst genug genommen, sagt Experte Thomas R. K?hler. Er gibt F?hrungskr?ften ein Buch an die Hand, mit dem Sie Ihr Unternehmen f?r den Fall der Cyberbedrohung r?sten k?nnen. Inklusive einem praktischen 360-Grad-Check f?r Ihr Unternehmen.

Sie haben im Campus Verlag das Buch “Chefsache Cybersicherheit” ver?ffentlicht. Warum ist das Thema unbedingt Chefsache (und nicht Sache der IT-Abteilung)?

Thomas R. K?hler: Auch wenn es wenig bekannt ist, ergibt sich das bereits aus der aktuellen Gesetzeslage. Sowohl Aktiengesellschaften als auch Unternehmen anderer Gesellschaftsformen, insbesondere GmbHs, m?ssen demnach “Risikofr?herkennung” betreiben, gerade wenn es um potentiell “bestandsgef?hrdende Risiken” geht. Sp?testens seit der Pleite eines Fensterbauerbetriebes, der 2020 nach einem Cybersicherheitsvorfall den Betrieb nicht mehr anfahren konnte, muss man Cyberrisiken dazu z?hlen. Dar?ber hinaus: Wer, wenn nicht die Chefin oder der Chef, soll sich des Themas denn annehmen, fehlen doch in den meisten mittelst?ndischen Unternehmen klare Verantwortlichkeiten, w?hrend es in Gro?unternehmen meist einen CISO (Chief Information Security Officer) oder CSO (Chief Security Officer) gibt.
Die eigene IT-Abteilung, wenn es denn eine solche gibt und nicht nur ein, zwei Administratoren und den ein oder anderen externen Dienstleister, ist in den meisten F?llen viel zu sehr damit besch?ftigt, daf?r zu sorgen, dass alles “irgendwie l?uft” – hier kann man strategisches Vorgehen mit Blick auf die stark wachsende Bedrohungslage kaum erwarten, vor allen Dingen nicht, wenn der F?hrungsetage das Problem nicht vor Augen ist.

Sind Sie der Meinung, dass die Cybersicherheit hierzulande die Aufmerksamkeit bekommt, die n?tig w?re?

Thomas R. K?hler: Absolut nicht. Rund Dreiviertel der Unternehmen in Deutschland (und ?hnlich viele auch in unseren Nachbarl?ndern ?sterreich und Schweiz) geben zu schon mal einen Cybersicherheitsvorfall erlebt zu haben, dennoch liest man kaum etwas davon in den Medien. Im Gegenteil. Im Regelfall tun die Unternehmen alles daf?r, den Vorfall selbst unter den Tisch zu kehren. Nur wenn das nicht geht, weil die Schadenssumme zu gro? ist, Kunden und Gesch?ftspartner davon Wind bekommen oder das betroffene Unternehmen als b?rsennotiertes Unternehmen zur Ver?ffentlichung verpflichtet ist, erfahren wir ?berhaupt davon und selbst dann oft nur die halbe Wahrheit. Zum Teil, weil man nat?rlich zum Vorfall noch den ?ffentlichen Spott und Vertrauensverlust erleben m?chte und zum anderen nat?rlich, weil bei einem Datenverlust immer zus?tzlich auch noch Bu?gelder der Datenbeh?rden nach DSGVO drohen. Und wer m?chte nach einem Sicherheitsvorfall schon eine Schlagzeile wie “Deutschlands d?mmster Zulieferer” (Manager Magazin) ?ber sich und sein Unternehmen lesen. Da h?lt man lieber still und hofft nicht aufzufallen, nimmt aber so anderen potentiellen Opfern die Chance sich rechtzeitig mit den Herausforderungen zu besch?ftigen.

Wo f?ngt das Thema Cybersicherheit im Unternehmen an und hat sich das mit der gro?en digitalen Disruption grundlegend ver?ndert in den letzten Jahren?

Thomas R. K?hler: Mit zunehmender Vernetzung steigen auch die Risiken, so simpel ist das. Wenn Sie im Vor-Internet Zeitalter einen Konkurrenten aussp?hen oder eine Bank ausrauben wollten, da war der Aufwand und das Risiko gro?. Sie mussten hinfahren oder jemand hinschicken und das stets mit dem Risiko aufzufliegen oder auf frischer Tat gefasst werden. Mit dem Internet und der enormen Bedeutung f?r unsere Arbeits- und Lebenswelt k?nnen Sie nun – auch als Verbrecher – ?berall gleichzeitig sein, ohne auch nur das Haus verlassen zu m?ssen. Sie k?nnen au?erdem gezielt die Schw?chen im System suchen, also etwa, statt die Bank zu ?berfallen, versuchen, ?berweisungen umlenken. Als Verbrecher k?nnen Sie so Millionen umsetzen und in vielen L?ndern der Welt damit rechnen, unbehelligt zu bleiben, solange Sie nicht ihre eigenen Landsleute bestehlen und den “richtigen” Leuten etwas abgeben.
Wir haben es – alles in allem – mit einem explodierenden Problem zu tun. Alleine von 2019 auf 2020 haben sich die gezahlten L?segeldsummen f?r Ransomware-Attacken mindestens verdreifacht. Aber das ist noch nicht alles: Wir erleben gerade, dass Cybersicherheitsvorf?lle zur Gefahr f?r Leib und Leben werden. Im September 2020 starb etwa eine Notfallpatientin, die wegen eines Cybersicherheitsvorfalls nicht in der Uniklinik D?sseldorf aufgenommen werden konnte, beim Weitertransport in ein Krankenhaus nach Wuppertal. Kein Einzelfall: W?hrend wir dieses Interview f?hren, hat ein ?hnliches Problem gro?e Teile des irischen Gesundheitssystems in Mitleidenschaft gezogen. Und erst vor drei Monaten war ein Cyberangriff auf die Wasserversorgung eines Teils des US-Bundesstaates Florida in letzter Sekunde verhindert worden. Anders gesagt: Es geht l?ngst um Leben und Tod.

Aufgrund der aktuellen Corona-Pandemie sind viele Mitarbeiter_innen ins Homeoffice umgezogen. Wie wirkt sich die Umstrukturierung von Arbeit auf die Cybersicherheit aus?

Thomas R. K?hler: Viele Fehler wurden bereits beim Umzug ins Homeoffice gemacht. Provisorische Anbindungen ans Unternehmensnetzwerk wurden vielfach eben so eingerichtet und sind heute, Monate oder Jahre sp?ter, immer noch im Einsatz und eine Einladung an Cybergangster sich mal umzusehen. Hinzu kommt, dass viele Anwenderinnen und Anwender im Homeoffice nicht so genau trennen zwischen unternehmenseigenem und privatem Equipment. Da werden private Rechner mit zweifelhaften Softwarest?nden und nicht selten Virenbefall f?r Unternehmensaufgaben genutzt oder eben auch Unternehmensger?te durch Familienangeh?rige mitverwendet. Sicherheitsvorf?lle sind da vorprogrammiert.
Aber auch die Vereinzelung im Homeoffice belastet die Sicherheitsbilanz. W?hrend Mitarbeiterinnen und Mitarbeiter im B?ro mal eben den Tisch oder Raumnachbarn fragen konnten, wenn ihnen eine Mailanlage oder eine Fehlermeldung zweifelhaft vorkam, so ist das im Homeoffice nicht m?glich und damit problematisch.

Sie sprechen in ihrem Buch von einer ganzen “Verbrechensindustrie”. K?nnen Sie ein Beispiel aus der Praxis nennen, wie so etwas konkret abl?uft?

Thomas R. K?hler: Sie k?nnen heute vollst?ndige Schadsoftwarel?sungen auf dem Schwarzmarkt per Revenue-Sharing erwerben. Nur die Zielunternehmen m?ssen Sie noch selber raussuchen, den Rest erledigen spezialisierte Dienstleister gegen eine angemessene Beteiligung am erzielten Erl?s. Die Entwickler der Software steigern so ihre Reichweite und konzentrieren sich auf die Weiterentwicklung des Produktes. Wieder andere Spezialisten sorgen bei Abschluss f?r die Weiterleitung des Geldes. Diese enorme Arbeitsteiligkeit wurde bereits in vielen F?llen nachgewiesen. Verbunden mit immer h?heren Erl?sen werden die Verbrecher immer professioneller und rekrutieren sich gut bezahlten Nachwuchs. Ich bef?rchte nun, dass vielfach die kl?gsten eines Jahrgangs in vielen L?ndern sich dem Verbrechen anschlie?en. Dies betrifft verschiedene osteurop?ische L?nder ebenso wie asiatische Staaten oder in Afrika etwa Nigeria. Derzeit sieht es nicht danach aus, als das an dieser Ursache f?r die weiterhin explodierende Cybersicherheitsproblematik etwas ?ndert.

Die meisten F?hrungskr?fte sind keine IT-Experten. Inwiefern hilft ihr Buch bei der Suche nach der idealen Sicherheitsl?sung f?r das eigene Unternehmen?

Thomas R. K?hler: IT-Systeme und speziell L?sungen f?r Cybersicherheit sind ein Tummelplatz f?r immer neue Begriffsbildungen und Themen Hypes. Mein Anspruch f?r das Buch ist es, hier Klarheit reinzubringen und den Leserinnen und Lesern – das Buch richtet sich ja ausdr?cklich an “Nicht-Technik-Experten” – das n?tige R?stzeug zu geben, wichtiges von unwichtigem unterscheiden zu k?nnen und die richtigen Investitionsentscheidungen treffen zu k?nnen.

Was sind die aktuell drei gr??ten Bedrohungen f?r den Mittelstand in Sachen Cybersicherheit?

Thomas R. K?hler: Das finanziell bedrohlichste Risiko ist Ransomware. Steht erstmal der Betrieb ist guter Rat vielfach teuer. Wer dann nicht vorgesorgt hat, kommt kaum noch dran vorbei das L?segeld zu bezahlen. Die daf?r aufgerufenen Summen sind inzwischen typischerweise sechsstellig und bei gr??eren Unternehmen auch mal siebenstellig. Das kann leicht den Jahresgewinn um ein Mehrfaches ?berschreiten und an die R?cklagen gehen.
Gleich dahinter kommt in ihrer Tragweite eine Bedrohung, die eigentlich nur zum Teil ein technisches, sondern viel mehr ein organisatorisches Problem ist: “CEO Fraud” oder “Fake President”. Damit ist gemeint, dass Mitarbeiterinnen oder Mitarbeiter im Unternehmen dazu gebracht werden sollen, Geldsummen an Dritte zu ?berweisen. Die Anweisung dazu kommt nur scheinbar von Chefin oder Chef. Typischerweise werden die Strukturen im Unternehmen dazu per Social Media ausgesp?ht und dann reicht vielfach eine gef?lschte Mail und hunderttausende sind weg. Das dritte – vielfach noch vollkommen unbekannte Risiko – steht im Zusammenhang mit dem Internet der Dinge. In dem Masse wir unsere Maschinen, Anlagen und Fahrzeuge vernetzen, m?ssen wir auch dort mit Cybersicherheit nachr?sten. Sonst steht irgendwann der Betrieb, die Teile werden nicht fertig oder k?nnen nicht ausgeliefert werden – die Folge k?nnen Millionenregressforderungen durch die Abnehmer sein.

Thomas R. K?hler ist einer der profiliertesten Vordenker zum Thema Cybersicherheit und Verfasser mehrerer B?cher zur Sicherheit im Netz. Er bringt Erfahrung aus universit?rer Forschung und Lehre, Unternehmensberatung und eigenen Unternehmen mit. Als Gesch?ftsf?hrer der M?nchner Technologieberatung CE21 ber?t er Unternehmen und ?ffentliche Einrichtungen bei der Bewertung von Cyberrisiken und dem Aufbau und Betrieb sicherer Infrastrukturen. K?hler ist seit 2019 Research Professor am Center for International Innovation der Hankou University (China).

Thomas R. K?hler
Chefsache Cybersicherheit
Der 360-Grad-Check f?r Ihr Unternehmen, plus E-Book inside (ePub, mobi oder pdf)
2021, 272 Seiten, gebunden
EUR 39,95/EUA 41,10/sFr 45,02
ISBN 978-3-593-51373-7
Erscheinungstermin: 19.05.2021

Keywords:Datenschutz, Datenklau, Datensicherheit, IT-Sicherheit, Hacker, Industriespionage, Phishing, Sabotage, Spam, Wirtschaftsspionage

adresse

Powered by WPeMatico