Passend zum düsteren Bedrohungsszenario, dem sich deutsche Unternehmen durch die zunehmende Anzahl von Cyberangriffen ausgesetzt sehen, zeigte sich auch das Wetter am Nachmittag des 26.09.2024 von seiner schlechtesten Seite. Dennoch fanden die meisten der knapp 50 angemeldeten Teilnehmer den Weg nach Frankfurt, um sich beim F.A.Z. Towergespräch mit ausgewiesenen Expertinnen und Experten über die Gefahren von Cyberwarfare und Cybercrime auszutauschen. Die vom global agierenden Beratungsunternehmen FTI Consulting in Kooperation mit F.A.Z. Business Media und dem Deutschen AnwaltSpiegel ausgerichtete Konferenz wendete sich vor allem an die General Counsels und Verantwortlichen für Informationssicherheit (CISOs) führender Unternehmen, von denen u.a. die Branchen Mobilität und Verkehr, Finanz- und Versicherungswesen, Telekommunikation und Healthcare vertreten waren.
In Anbetracht von beinahe täglich berichteten Angriffen auch auf Behörden, Schulen und die öffentliche Infrastruktur bei geschätzten Verlusten von jährlich fast 270 Milliarden Euro eröffnete Tagesmoderator Alexander Armbruster, Wirtschaftsredakteur der Frankfurter Allgemeinen Zeitung, die Runde mit der nicht ganz ernst gemeinten Frage, ob die beiden noch nicht betroffenen Unternehmen auch anwesend seien. Denn laut einer Studie des Digitalverbands Bitkom waren im vergangenen Jahr acht von zehn Unternehmen das Ziel von Cyberkriminalität, darunter Datendiebstahl, Industriespionage oder Sabotage (siehe hier).
Renato Fazzone, Geschäftsführer FTI Consulting DACH-Region, zählte in seiner Begrüßung weitere bekannt gewordene Fälle aus Hessen auf: So wurde z.B. im Oktober 2023 ein unberechtigter Zugriff auf das IT-System des Frankfurter Uniklinikums entdeckt, was dazu führte, dass es aus Sicherheitsgründen vom Internet getrennt werden musste. Obwohl keine Daten verschlüsselt oder abgefangen wurden, waren die Auswirkungen erheblich. Neben dem Vorliegen technischer Schwachstellen und unzureichender Sicherheitsmaßnahmen sind es meistens die menschlichen Benutzer, die durch fahrlässiges Verhalten (z.B. durch Downloads von Schadsoftware) oder gezieltes Manipuliertwerden (z.B. durch Social Engineering) den Angreifern Tür und Tor öffnen.
Wie unterstützt die Politik?
Im Bühnengespräch mit Prof. Dr. Roman Poseck, seit Januar 2024 Hessischer Minister des Innern, für Sicherheit und Heimatschutz und davor Hessischer Justizminister, ging es um eine insgesamt angespannte Sicherheitslage sowohl durch analoge als auch digitale Bedrohungen, deren Bekämpfung Auftrag und Anspruch der Landesregierung sei.
Zu deren wichtigsten Maßnahmen gehört dabei etwa die Gründung des Hessen CyberCompetenceCenters (Hessen3C) im Jahr 2019, dessen Aufgabe darin besteht, cyberspezifische Gefahren abzuwehren und die Effizienz der Bekämpfung von Cyberkriminalität zu steigern, und das zu diesem Zweck eng mit der hessischen Polizei und dem Landesamt für Verfassungsschutz zusammenarbeitet.
Weiterhin beruht die Hessische Cybersicherheitsstrategie auf den vier Säulen Prävention, Erkennung, Reaktion und Kooperation und zielt darauf ab, die IT-Systeme und Daten der Landesverwaltung zu schützen. Dabei wird besonderer Wert auf digitale Souveränität und resiliente IT-Infrastrukturen gelegt.
Darüber hinaus beinhaltet die Strategie auch Investitionen in Forschung und Bildung im Bereich der Informationssicherheit, um die Bevölkerung über den Umgang mit persönlichen Daten aufzuklären und zu befähigen. Mit Blick auf die Debatte um erweiterte Kompetenzen für die Bundesbehörden und eine dafür erforderliche Grundgesetzänderung betonte Poseck, dass neue Bedrohungen auch nach neuen Formen der Bekämpfung verlangen. Da Ransomware-Angriffe die derzeit größte Bedrohung für Unternehmen und Verwaltungen darstellen, appellierte der Justizminister eindringlich an die Eigenverantwortung, was die Ausbildung und Sensibilisierung der Mitarbeiter betrifft.
In der anschließenden Diskussion wiesen die Unternehmensvertreter darauf hin, dass Deutschland inzwischen an vierter Stelle weltweit bei den Kosten infolge von Cyberschäden stehe, so dass eine frühzeitige Information über aktuelle Bedrohungen essentiell für den Industriestandort sei. Auch der Blick auf den Fachkräftemangel insbesondere im IT-Bereich warf die Frage auf, ob der Staat überhaupt die Gehälter zahlen könne, um qualifizierte Experten für diese Aufgaben zu finden und zu binden. Der Verweis auf eine gesellschaftspolitisch relevante und sinnstiftende Tätigkeit reicht dabei längst nicht mehr aus.
Wie können sich Unternehmen schützen?
Mit der Frage, was zu tun und wie im Krisenfall richtig zu reagieren sei, befasste sich im nächsten Programmpunkt ein Panel, das mit führenden Experten aus Unternehmensberatung, Sicherheitsbehörden und Wissenschaft besetzt war. Neben Hans-Peter Fischer, Senior Managing Director und Head of Cybersecurity Germany von FTI Consulting (siehe auch das Interview in Deutscher AnwaltSpiegel 19/2024), diskutierten Michael Gams, Referatsleiter „Strategische Cyber-Bedrohungsanalyse“ beim Bundesnachrichtendienst (BND), Carsten Meywirth, Leiter der Abteilung Cybercrime beim Bundeskriminalamt (BKA), und Prof. Dr. Haya Schulmann, Professorin für Cybersicherheit am Institut für Informatik der Johann Wolfgang Goethe-Universität Frankfurt am Main, woher die größten Bedrohungen stammen.
Zwar können die meisten Angriffe bis zu den üblichen Verdächtigen in China, Nordkorea, Iran oder Russland zurückverfolgt werden, doch werde der höchste Schaden durch rein kriminelle Strukturen angerichtet. So sind international agierende Erpresserbanden mittlerweile selbst wie Unternehmen organisiert, bei denen CFOs und CEOs nach Wirtschaftlichkeit über neue Projekte, Kooperationen und technische wie personelle Ressourcen entscheiden und ihr Geschäftsmodell als Franchise an Lizenznehmer vergeben (siehe dazu das Schaubild in der F.A.Z. vom 21.02.2024). Dabei wird die Businessstrategie von der Suche nach dem lukrativsten Opfer und dem schwächsten Glied in der Kette bestimmt. Ob dahinter politische Akteure oder staatliche Auftraggeber stehen, sei nur so lange relevant, als sich damit Geld verdient lässt.
Wenn demgegenüber Kriterien wie Mitarbeiterschulung und IT-Sicherheit nur unter Kostengesichtspunkten betrachtet würden und das Schwachstellenmanagement für flächendeckend eingesetzte Hard- und Softwaresysteme daran kranke, dass die Hersteller selbst nicht für fehlerhafte oder fehlende Updates haftbar zu machen sind, sei es kein Wunder, dass die Kernprobleme bereits seit Jahrzehnten bekannt sind.
Zwar führt die geplante Umsetzung der NIS2-Richtlinie dazu, dass noch mehr Unternehmen als bislang dazu verpflichtet werden, ihre Sicherheitsmaßnahmen, einschließlich Risikomanagement, Vorfallsmeldungen und technischer Maßnahmen, zu verstärken und IT-Systeme kontinuierlich auf dem neuesten Stand zu halten. Doch passe die Sicherheitsarchitektur gar nicht mehr zu den komplexen Informationssystemen, wie Prof. Schulmann unterstrich. Sie hob hervor, dass traditionelle Sicherheitsmaßnahmen, wie der Einsatz von VPNs und Firewalls zur Perimetersicherung, nicht mehr ausreichend seien, um moderne Cyberbedrohungen abzuwehren. Stattdessen empfiehlt sie den Einsatz von Zero-Trust-Architekturen, die darauf abzielen, jeden Zugriff innerhalb eines Netzwerks zu verifizieren und die Rechte der Nutzer auf das Notwendige zu beschränken.
Auch die Erstellung von Notfallplänen sowie eine regelmäßige Simulation des Ernstfalls wurde den Unternehmen von den BND- und BKA-Experten nahegelegt, um die Sensibilität für die Gefahren zu fördern und die Resilienz gegenüber Cyberangriffen zu stärken. Ein Rückfall hinter die Digitalisierung sei zwar keine ernst zu nehmende Option, doch könne es nicht schaden, die wichtigsten Kontaktadressen und Krisenmaßnahmen in einem physischen Ordner zu hinterlegen, wenn der Zugang auf die IT-Systeme verwehrt ist.
Wenn alle Daten verschlüsselt und für eine Freigabe Lösegeldzahlungen erpresst werden, lässt sich auch die Frage „Zahlen oder nicht zahlen?“ nicht immer eindeutig beantworten. Da man es mit Verbrechern zu tun hat, motiviert ein Nachgeben zu weiteren Forderungen und unterstützt das kriminelle Geschäftsmodell. Doch gibt es auch Fälle, in denen durchaus „das Falsche“ getan werden muss, um den Fortbestand des Unternehmens und die berufliche Existenz von Mitarbeiterinnen und Mitarbeitern kurzfristig zu sichern. Das Ergebnis der lebhaften Diskussion, dass mit der europäischen Regulierungshoheit auch eine technologische Marktführerschaft einhergehen müsse und sich informationstechnische zu wirtschaftspolitischen Herausforderungen erweitern, leitete dann zum interaktiven Experten-Talk des F.A.Z. Towergesprächs über.
Welche Krisen stehen aktuell und zukünftig im Fokus?
Jede Technologie hat immer zwei Seiten: Den gesteigerten Risiken stehen wachsende Chancen gegenüber, als Unternehmen oder Volkswirtschaft gestärkt aus einer krisenhaften Entwicklung hervorzugehen. Dr. Stefan Heissner, Senior Managing Director Chair Forensic & Litigation Consulting bei FTI Consulting, sortierte daher die Fragen der Cybersicherheit in die Megatrends der vergangenen Jahrzehnte wie Digitalisierung, Nachhaltigkeit und Geopolitik ein.
Mit mehr als drei Jahrzehnten Erfahrung bei der Aufklärung und Verhinderung von Wirtschaftskriminalität und Korruption beobachtete er bereits seit einigen Jahren, dass staatlich unterstützte Hackergruppen in einer instabilen geopolitischen Landschaft Cyberoperationen nutzen, um politische Ziele zu verfolgen. Diese Gruppen zielen häufig auf kritische nationale Infrastrukturen ab, um Schwachstellen auszunutzen und die Stabilität von Staaten zu untergraben. Kritische Infrastrukturen sind besonders gefährdet, da sie für die nationale Sicherheit essentiell sind. Angreifer nutzen die Komplexität und oft veraltete Systeme dieser Infrastrukturen aus, um Angriffe durchzuführen, die weitreichende Auswirkungen haben können.
Die zunehmende Verfügbarkeit von KI-Technologien ermöglicht es den Angreifern, komplexe und schwer zu erkennende Angriffe durchzuführen. Gleichzeitig müssen Unternehmen künstliche Intelligenz nutzen, um ihre Verteidigungsstrategien zu stärken und sich gegen diese Bedrohungen zu wappnen. Da Cyberbedrohungen keine Grenzen kennen, ist eine internationale Zusammenarbeit zwischen Staaten und Organisationen unerlässlich. Heissner betonte die Wichtigkeit gemeinsamer Anstrengungen zur Entwicklung von Sicherheitsstandards und zur Bekämpfung von Cyberkriminalität auf globaler Ebene.
In einer vernetzten Welt mit ihren allumfassenden Gefahren bietet auch das Networking auf Mikroebene, wie es die hier beschriebene Veranstaltung zum Ziel hatte, eine wertvolle Möglichkeit, den Erfahrungsaustausch und Wissenstransfer zwischen Unternehmen, Politik und Experten zu fördern und so den Bedrohungen durch Cyberkriminalität auf allen Ebenen wirksam zu begegnen.
Autor
Dr. Thomas R. Wolf
F.A.Z. Business Media GmbH, Frankfurt am Main
Redakteur Rechtspublikationen