Cybersecurity-Strategien für Führungskräfte

Kein Unternehmen ist heute ohne einen wenigstens kleinen digitalen Anteil operationsfähig. Dadurch ist jede Führungskraft gezwungen, sich mit den Themenkomplexen Cybercrime und Cybersecurity zu befassen. Davon ausgehend besteht die Notwendigkeit, eine Reihe strategischer Ansätze im Unternehmen basierend auf Maximen zu verfolgen. Und das möglichst vollständig.

Kein Unternehmen ist uninteressant für Angreifer

Der wichtigste Schritt zu Sicherheit in jeglicher Form ist Selbsterkenntnis. Im Falle von Cybercrime diejenige, dass die eigene Firma definitiv und unabänderlich interessant für Täter ist. Einfach, weil in jedem Unternehmen drei Faktoren vorhanden sind:

1. Geldmittel
2. Wissen / Ideen / Pläne
3. Alleinstellungsmerkmale

Größe, Umsatz und Branche spielen keine entscheidende Rolle. Ähnlich wie ein Taschendieb sich nicht nur auf offensichtlich kostspielig gekleidete Passanten fokussiert, verhält es sich hier. Detailliert nachzulesen ist all das in den Veröffentlichungen des Bundeskriminalamtes.

Dazu eine Zahl: 2022 belief sich allein die deutschlandweite Schadenssumme durch Cybercrime-bedingten Verlust von Wettbewerbsvorteilen auf 41,5 Milliarden Euro – ein Jahr zuvor waren es noch 29 Milliarden Euro.

Niemals ausreichendes Eigenwissen annehmen

Die öffentliche Wahrnehmung von Cyberkriminellen und Cybercrime wird mehrheitlich durch Film und Fernsehen bestimmt – meist fernab jeglicher Realität. Führungskräfte sind nicht davor gefeit, ähnlich beeinflusst zu werden.

Selbst bei Entscheidern, sie sich vollkommen der Gefahren bewusst sind, entsteht deshalb leicht eine Ansicht, wonach das eigene Wissen ausreichend sei – und man vermeintlich amateurhaften, womöglich jugendlichen Hackern weit überlegen sei.

Die Realität sieht folgendermaßen aus: Cybercrime ist

• grenzüberschreitend,
• hochprofessionell
• äußerst kreativ,
• extrem gewieft,
• hochgerüstet und
• als Angreifer stets im Vorteil.

Wie in den BKA-Berichten zu lesen, handelt es sich hierbei nicht nur um eine Schattenwirtschaft, sondern existieren regelrechte Schattenfirmen. Diese bieten Cybercrime as a Service mit enormer Professionalisierung an. Solche „Unternehmen“ arbeiten nicht im Eigeninteresse, sondern im Auftrag von jedem, der sie bezahlt. Dadurch kann prinzipiell jeder unternehmerische Konkurrent auf im Höchstmaß fähige Cyberkriminelle zugreifen.

Zusammen mit einer ausgesprochen hohen kriminellen Energie sind solche Täter dazu in der Lage, selbst Ziele höchster Sicherheitseinstufungen mit guten Erfolgsaussichten zu attackieren. Namentlich beispielsweise Banken und KRITIS-Einrichtungen – wie etwa unlängst in Deutschland geschehen.

Cybercrime nicht nur als reines Internetproblem ansehen

Cybercrime mag zwar international ein feststehender Begriff sein. Leider führt er häufig zu Verwirrung. Viele Laien nehmen an, es handle sich dabei um eine maßgeblich über das Internet ablaufende Kriminalitätsform. Tatsächlich greift diese Definition deutlich zu kurz.

Prinzipiell umfasst Cybercrime sämtliche Straftaten, bei denen Informations- und Kommunikationstechnik für Planung, Vorbereitung, Ausführung und/oder nachträgliche Verschleierung verwendet wird.

Lediglich bei Cybercrime im engeren Sinne sind Computersysteme, Netzwerke oder Digitale Daten das Ziel. Bei Cybercrime im weiteren Sinne hingegen kann die Anwendung von IT sämtliche Formen von Kriminalität unterstützen. Das heißt: Cybercrime kann ein Unternehmen aus zahllosen Richtungen und auf unterschiedlichsten Wegen/Ebenen attackieren.

Jeden Mitarbeiter als potenziellen Gefahrenherd ansehen

Nein, mit dieser Zwischenüberschrift ist nicht das Thema Innentäter gemeint. Vielmehr ist die Herangehensweise von Cyberkriminellen gemeint. Diese nutzen zwei Tatsachen aus:

1. In sehr vielen Unternehmen hat praktisch jeder Mitarbeiter bei seiner alltäglichen Arbeit gewisse Schnittmengen mit der IT – und sei es nur, weil beispielsweise das private Smartphone einer Führungskraft mit dem Firmen-WLAN verbunden ist.
2. Die digitalen Basiskompetenzen der Deutschen sind bei den arbeitsmarktrelevanten Altersgruppen gut bis sehr gut – mehr jedoch nicht. Insbesondere fehlt vielfach das Spezialwissen, um wenigstens die häufigsten Angriffsvektoren zu (er)kennen.

In der Folge nutzen viele Formen von Cybercrime diese Schwachstellen aus. Da es in der Berufspraxis kaum umsetzbar ist, diese Menschen von Zugangswegen für Cyberkriminelle abzukoppeln, kann alles nur auf Bildung hinauslaufen.

Führungskräfte müssen willens sein, regelmäßig und professionell in die digitalen Fähigkeiten und das Cybercrime-Wissen eines jeden Teammitglieds zu investieren. Nur eine Belegschaft, die insgesamt kompetent ist, kann nicht ausgenutzt werden – zumindest nicht so einfach.

Cybersicherheit als individuelles Konzept durch Profis begreifen

Jeder IT-Mitarbeiter besitzt allgemeines Wissen über Cybercrime. Und garantiert wirbt jedes Software-Produkt damit, einen vollständigen Schutz zu liefern. Kurzum: Cybersicherheit scheint sich relativ einfach herstellen zu lassen. Einmal mehr handelt es sich dabei jedoch um einen Trugschluss.

• Die Vielzahl möglicher Herangehensweisen und Angriffsvektoren;
• Die unterschiedlichen Systeme und Netzwerke in jedem Unternehmen;
• Die stark variierende Gefahrenlage.

All das führt zu einer Tatsache: Wirkliche Cybersecurity ist vielfältig, individuell und stets professionell.

Es handelt sich um eine Aufgabe, die Experten für unterschiedliche Ebenen benötigt. Eine Arbeit, die 24/7 getan werden muss und sich keinesfalls nach Geschäftszeiten richtet. Eine Aufgabe, die angesichts dessen selbst finanziell potente KMU rasch überfordert, wenn sie sie in Eigenregie übernehmen.

Ebenso, wie Cybercrime heute immer häufiger als Service angeboten wird, sollten Führungskräfte Cybersecurity as a Service nutzen. Nur auf diese Weise lässt sich die nötige professionelle Herangehensweise gewährleisten, die bei einer Evaluation beginnt und bei regelmäßigen Penetrationstests noch nicht endet.

Da derartige Dienstleister IT-Sicherheit häufig als eines ihre Hauptstandbeine betreiben, lässt sich ohne ausufernde Personalkosten ein Sicherheitsniveau erzielen, das sonst nur in Großunternehmen mit eigenen Security-Abteilungen machbar ist.

Niemals auf einem Sicherheitslevel stehenbleiben

Es gibt nur wenige Felder, in denen ein „Katz und Maus Spiel“ in so schneller Folge abläuft wie im Bereich Cybercrime und Cybersicherheit. Kriminelle ersinnen eine neue Masche oder finden eine neue Schwachstelle, Bekämpfer richten sich auf diese Masche ein und schließen die Lücke. Daraufhin fangen die Kriminellen wieder von vorn an.

Diese Situation lässt sich nur als hochvolatil bezeichnen. Und obwohl es durchaus präemptive Formen von Cybersecurity gibt, so ist diese jedoch im größeren Maßstab meistens reaktiv aufgestellt. Das heißt, Cybersicherheit kann häufig nur reagieren – nicht zuletzt deshalb, weil sich lediglich die Kriminellen nicht an Gesetze und Landesgrenzen halten müssen.

Angesichts eines derart verzerrten Bildes kann Cybersecurity niemals abgeschlossen sein. Selbst das sicherste Netzwerk wird irgendwann von jemandem erfolgreich attackiert. Dieses Mindset sollte bei Führungskräften mit einer weiteren Erkenntnis einhergehen:

Cybersicherheit niemals klassisch-marktwirtschaftlich bewerten

Führungskräfte sind klassische Wirtschaftsmathematik gewohnt: Investition X muss stets einen messbaren und positiven Rückfluss Y generieren – der klassische Return on Investment. Cybersicherheit ist diesbezüglich jedoch ein Spezialfall. Denn eine gute Security liefert keinen bezifferbaren ROI.

Häufig entsteht deshalb die Ansicht, die Sicherheit würde nur Investitionskosten verschlingen, ohne Effekte zu generieren. Eine gefährliche Ansicht. Besser ist es deshalb, eine andere Berechnung heranzuziehen: Jeder in Cybersecurity investierte Euro verhindert Cybercrime-Schäden in mindestens gleicher Höhe – typischerweise sehr viel mehr.

Eine Mitarbeiterschulung für wenige tausend Euro kann erfolgreich eine Phishing-Attacke verhindern, die problemlos den Jahresgewinn gefährden kann. Nur mit diesem Mindset von Führungskräften ist wirkliche Sicherheit machbar.