Luxemburger Wort, June 2018

Kann man Cybersicherheit kaufen?

  • Share

Das Recht eines jeden Bürgers auf informationelle Selbstbestimmung, verbrieft durch die EU Datenschutzgrundverordnung, und die im Falle von mißbräuchlicher Nutzung oder auch Verlust von personenbezogenen Informationen drohenden Strafen haben zuletzt für eine deutlich gesteigerte Wahrnehmung der Risiken gesorgt, die durch mangelnde Datensicherheit bzw. unausgereifte Notfallmechanismen entstehen.

Ebenso stark erregen Meldungen wie zu einem mutmaßlichen Eindringen russischer Hacker in das bundesdeutsche Regierungsnetz oder zu Datenklau im großen Stil, wie im Fall der unglückseligen US-amerikanischen Kreditauskunftei Equifax, breite Aufmerksamkeit und befeuern die Sicherheitsdebatte.

Schäden durch Cyberkriminalität

Die datenbasierten Kronjuwelen - Forschungs- und Entwicklungsergebnisse, Kundendaten, die Bewertung einer umfangreichen Firmenübernahme oder anderer Transaktionen, deren Details aus gutem Grund weder kompromittiert, weitergegeben oder gar durch Dritte in krimineller Absicht verwertet werden dürfen – stellen indes eine lukrative Beute für Cyberkriminelle und deren Hintermänner dar.

Eine von McAfee in Zusammenarbeit mit dem Center for Strategic and International Studies herausgegebene Studie zum globalen wirtschaftlichen Einfluss von Cyberkriminalität quantifiziert die 2017 aufgelaufenen Kosten auf atemberaubende 600 Milliarden US Dollar. Reputationsschäden der betroffenen Unternehmen einmal nicht mitgerechnet.

Ist technische Aufrüstung das Gebot der Stunde?

Es ist unbestritten, daß die Vernachlässigung technischer Sicherheitsmaßnahmen ein unkalkulierbares Risiko darstellt und geradezu irrational fahrlässig wäre. Diesen Konsens macht sich der Markt zunutze. Die praktisch unüberschaubare Anzahl von Geräten und Werkzeugen mannigfaltiger Couleur erzeugt die Illusion, daß Cybersicherheit wie ein Produkt käuflich - und damit auch unbegrenzt skalierbar - ist.

Aber selbst Institutionen und Unternehmen, die erhebliche Summen in technische Sicherheitsmaßnahmen investieren, werden regelmäßig und häufig auch recht medienwirksam Opfer von Cyberkriminellen. Finanzinstitute geben verglichen mit anderen Wirtschaftsbereichen sogar etwa dreimal so viel Geld für Cybersicherheit aus. Wäre absolute Sicherheit also alleine durch die richtige Ausstattung herzustellen, dann wäre Cyberkriminalität schlicht kein Risiko. Ist sie aber doch, wie uns die Realität lehrt.

Die bloße Bereitstellung weiterer finanzieller Mittel ist offenbar nicht der Schlüssel zum Schutz vor Hackern. Diese nüchterne Feststellung wird entsprechend alle diejenigen Entscheidungsträger freuen, die zwar Schutz vor mehr oder minder realistischen Bedrohungsszenarien suchen, bei denen Kosten durch technische Investitionen außerhalb des Kerngeschäfts jedoch naturgemäß wenig populär sind.

Darüber hinaus, und diese Problematik ist auf dem mit aufsichtsrechtlichen Vorschriften wahrlich nicht unterversorgten Finanzsektor hinlänglich bekannt, tragen zusätzliche Sicherheits- und Kontrollmechanismen eher selten zu einer Steigerung der Effizienz betrieblicher Abläufe bei, und seien diese genannten zusätzlichen Elemente im Kontext der Cybersicherheit auch üblicherweise automatischer Natur.

Cybersicherheit ist eine Geisteshaltung

Ausdruck eines verantwortungsbewussten Managements ist es, Cyberkriminalität als Risiko anzuerkennen und konsequent zum Bestandteil der Strategiediskussion zu machen. Nur so wird sichergestellt, daß der Gedanke der Cybersicherheit in allen Bereichen des Unternehmens, und nicht nur in der IT, Einzug hält.

Den Ernstfall proben, um die eingerichteten Kontrollen und Prozeduren zu testen und Unzulänglichkeiten der eigenen Abwehrstrategie zu identizieren: ein eleganter Weg, die ohnehin notwendigen Budgets anschliessend gezielt und damit wirkungsvoll einzusetzen. Häufig nämlich liegen die Schwachstellen überhaupt nicht in der Technik, sondern in unklaren Abläufen oder schlicht in der Unkenntnis der Betroffenen.

Ein Grossteil aller Cyberangriffe, um ein Beispiel zu nennen, bedient sich u.a. der Techniken des sogenannten Social Engineerings, häufig in Form irreführender E-Mails, die ahnungslose Mitarbeiter zum Herunterladen einer Schadsoftware verleiten, zur Initiierung einer Finanztransaktion drängen oder zur Preisgabe von Firmeninterna bewegen. Der auch in Luxemburg nicht unbekannte CEO-Betrug, der laut FBI in den USA Verluste in Höhe von immerhin 676 Millionen Dollar bei Opfern im Jahr 2017 verursacht hat, fällt ebenfalls in diese Kategorie. Die angemessene Sensibilisierung der Mitarbeiter/-innen kann in diesen Fällen einem Schaden wesentlich besser vorbeugen, als es eine Firewall oder ein Virenscanner jemals könnten. Cyber Awareness Trainings, in Form von Onlineangeboten oder gar als klassisches Brett- oder Rollenspiel, erfreuen sich daher wachsender Beliebtheit als nachweislich wirksames Instrument der Mitarbeiterschulung.

Cybersicherheit hat einen realen Preis, aber wichtiger als die Frage nach dem „wieviel“ ist, in welche Maßnahmen Investitionen getätigt werden.