Thought Leadership
Eine PwC-Studie zeigt: Firmen legen zu wenig Wert auf Digitalsicherheit und kennen weder potenzielle Gegner noch wirksame Abwehrstrategien. Nur bei der Hälfte der befragten Unternehmen spielte IT-Sicherheit eine zentrale Rolle bei ihrem digitalen Transformationsprozess.
Gefahrenlage für Privatpersonen, Institutionen und Unternehmen immer brisanter
Twitter-Deutschland im Dezember 2018: Sukzessive wurden Daten-Hacks von deutschen Politikern sowie Künstlern und Journalisten über das soziale Netzwerk öffentlich gemacht. Das Daten-Konvolut bestand aus Wohnadressen, E-Mail-Adressen, Telefonnummern, Fotos, Videos und internen Dokumenten, die die betroffenen Personen kompromittieren sollten. Diese Form des Online-Mobbings wird als Doxing bezeichnet und ist im Darknet weit verbreitet, wo sie aus Spaß und als Beweis des „Skill-Levels“ betrieben wird. Die Sammlung von erbeuteten Daten soll zwar keine verheerenden politischen Implikationen nach sich ziehen, ist aber dennoch ein überdeutliches Warnzeichen bezüglich der immer dreister werdenden Hacking-Angriffe. Daten- und Informationssicherheit sollte daher sowohl im Öffentlichen als auch im Privaten großgeschrieben werden, um bösartig gesinnten Hackern den Zugriff zu sensiblen Daten zu verwehren.
Auch der Januar dieses Jahres stand im Zeichen massiver Datendiebstähle. Zum einen wurden die Informationssysteme und Mitarbeiterdaten von Airbus erfolgreich ausspioniert, wobei das Ausmaß der Attacke noch nicht abschließend geklärt ist, zum anderen kam es zu der Veröffentlichung eines gewaltigen Passwort-Leaks. Laut heise.de wurden Zugangsdaten zu 2,2 Milliarden Accounts von unterschiedlichen Plattformen öffentlich gemacht. Bereits vorher war eine Passwort-Sammlung namens Collection 1 publik geworden, nun gesellten sich noch Collection 2 bis 5 dazu. Die Daten selbst stammen aller Wahrscheinlichkeit nach nicht aus einem oder mehreren aktuellen Hacks, sondern wurden aus älteren Einbrüchen „gefarmt“ und in Gänze zugänglich gemacht, jedoch zeigt allein das Vorhandensein einer solch massiven Sammlung an illegal erworbenen Daten, dass die Datensicherheit international noch nicht mit den Aktivitäten von Black-Hat-Hackern mithalten kann.
(Deutsche) Unternehmen konzeptlos bezüglich Datensicherheit
Das Wirtschaftsprüfungs- und Beratungsunternehmen PwC befragte 2018 weltweit 9500 Unternehmen zu internen Strategien bezüglich Daten- und Informationssicherheit. Das ernüchternde Ergebnis: Lediglich 56 Prozent haben überhaupt eine solche Strategie. 53 Prozent der Firmen haben im Zuge der Digitaltransformation bereits Schritte unternommen, um ihre Daten zu schützen und gegen externe Angriffe vorzugehen. Den Status quo personenbezogener Daten im Unternehmen kennen lediglich 51 Prozent und nur 31 Prozent gaben an, einen Überblick über potenzielle Gefahrenquellen zu haben. Bedenkliche Zahlen in einer Welt, deren struktureller Lauf mittlerweile hauptsächlich via Digitalprozesse garantiert wird.
Die deutschen Unternehmen stellen sich bei der Umsetzung des Datenschutzes keineswegs besser an als die internationale Konkurrenz: Zwischen 2016 und 2018 kam es laut der Bitkom-Studie „Wirtschaftsschutz in der Industrie“ bei deutschen Wirtschaftsunternehmen zu einem Gesamtschaden von 43,5 Milliarden Euro – allein aufgrund von Cyber-Angriffen auf Passwörter, Software-Schwachstellen, Spoofing etc. Ganze 47 Prozent der Unternehmen waren in diesem Zeitraum von Angriffen auf Softwaresysteme und Netzwerkumgebungen betroffen. Bemerkenswert ist, dass sechs von zehn Angriffen auf Unternehmen von aktuellen oder ehemaligen Mitarbeitern ausgehen, da diese Zugangsdaten, aber auch Schwachstellen im Abwehrsystem kennen und kompromittieren können.
Fazit: Security by Design & Aufstocken des IT-Budgets
Laut Bundesamt für Sicherheit in der Informationstechnik schätzen 92 Prozent die Datensicherheit und den Datenschutz als „kritisch für die Betriebsfähigkeit ihrer Institution“ ein, jedoch fehlt in Hinblick auf die Milliardenschäden das Know-how, um eine wirksame IT-Security zu etablieren. Viele Unternehmen investieren in Methoden zur Virenabwehr und Netzwerksicherung, allerdings nicht in einen holistischen Security-by-Design-Ansatz, der Sicherheit von Beginn an mit den Prozessen und der Kultur des Unternehmens verwebt und so alle (kritischen) Umgebungen (besser) vor potenziellen Angriffen schützt. Da dieser Schritt bei vielen Unternehmen weltweit verpasst wurde, muss nun schnellstmöglich nachgerüstet werden. Laut dem Marktforschungsunternehmen Gartner sollen die Ausgaben für Informationssicherheit 2019 bei 124,1 Milliarden US-Dollar liegen – das ist ein Anstieg um 22,3 Prozent im Vergleich zum Jahr 2017 (101,5 Milliarden US-Dollar).
Auch die Bundesregierung erhöht ihre Anstrengungen gegen Cyber-Kriminalität. 2017 wurde der Cyber Innovation Hub gegründet, der sich u. a. der Modernisierung der Bundeswehr annimmt, damit dessen Informations- und Datensicherheit auf dem neuesten Stand ist, sowie Start-ups aus dem Bereich IT-Security identifiziert und gezielt fördert. Und bis 2023 sollen aus Innen- und Verteidigungsministerium 200 Millionen Euro Startkapital in die neue Agentur für Datensicherheit in der Region Leipzig-Halle fließen. Es bewegt sich etwas auf dem Gebiet der Digitalsicherheit, doch das muss es auch, denn Cyber-Angriffe bergen immense Risiken für das öffentliche, politische und wirtschaftliche Deutschland.
Mehr Informationen zu „Hacking im digitalen Zeitalter“ inklusive Blick auf historische Cyber-Attacken, den Stand der deutschen Wirtschaft, Ethical Hacking und die Zukunft der Cyber-Sicherheit bietet diese Infografik.
Hacking im digitalen Zeitalter – Daten, Fakten & Prognosen zu Cyberattacken – eine Infografik von RS Components.
Gordon Herenz, Content Marketing Manager, Peak Ace AG, www.pa.ag
