So stärken Produktionsunternehmen und ihre Führungsorgane Sicherheit und Resilienz

Routenplaner CyberSecurity

Cybersecurity

Rechtliche Vorgaben verlangen verschärfte Sicherheitsstandards 

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) kommt in seinem Lagebericht vom November 2022 zu folgendem Schluss: „Noch nie war das Risiko für Cyberattacken in Deutschland so hoch wie heute.“ Als Reaktion auf die steigende Bedrohung hat die Europäische Union erstmals Strafmaßnahmen auf Cyberangriffe aus Russland und China verhängt. Zudem hat die EU mit einem Rechtsakt zur Cybersicherheit bereits einen einheitlichen EU-weiten Zertifizierungsrahmen eingeführt, da die Cybersicherheit innerhalb Europas auch von internationaler Sicherheit und Stabilität im Cyberraum abhängt. Durch die im Amtsblatt L333 der Europäischen Union veröffentlichte NIS-2-Richtlinie kommen auf Betriebe und Einrichtungen mit über 250 Mitarbeitenden und über zehn Millionen Euro Jahresumsatz neue Verpflichtungen für gemeinsame Cybersicherheitsstandards zu. Beispiele sind Audits, Risikoabschätzungen sowie ein zeitnahes Einspielen von Updates und Zertifizierungen. Die Mitgliedstaaten müssen die Richtlinie innerhalb von 21 Monaten nach ihrem Inkrafttreten in nationales Recht umsetzen. In Deutschland trat zudem im Frühjahr 2021 das erweiterte IT-Sicherheitsgesetz 2.0 in Kraft, das Organisationen oder Einrichtungen mit wichtiger Bedeutung für das staatliche Gemeinwesen, sogenannte Betreiber kritischer Infrastrukturen, gesetzlich zur Registrierung und Meldung relevanter IT-Sicherheitsvorfälle bei der Cybersicherheitsbehörde des Bundes (BSI) verpflichtet. „Das IT-Sicherheitsgesetz 3.0“ steht bereits in Startlöchern.

Zunehmende Professionalisierung der Cyberkriminalität

Veraltete IT-Systeme, fehlerhafte Codes, ein leichtfertiger Umgang mit Passwörtern, Manipulationen der Mitarbeitenden durch Social Engineering, mobile Endgeräte aber auch schlecht geschützte Apps erleichtern Cyberattacken. Darüber hinaus sind Mitarbeitende in produzierenden Unternehmen oft nur unzureichend im Bereich Cybersicherheit sensibilisiert. In der klassischen IT gibt es außerdem zahlreiche Sicherheitslücken und die vernetzte Operational Technology (OT) ist oft offen wie ein Scheunentor. Die meisten Cyberattacken treffen Unternehmen über die Mitarbeitenden, entweder klassisch durch Phishing-E-Mails, über Apps oder mittels Schadsoftware auf USB-Sticks. Cyberangriffe werden seit Jahren stetig professioneller und richten sich zunehmend auf unternehmenskritische Prozesse und Infrastruktur. Sie sind für Angreifer ein lukratives Geschäft, der Ressourcenbedarf ist gering und die Gefahr einer erfolgreichen Strafverfolgung äußerst niedrig. 

Anzeige

Die benötigten Fertigkeiten für einen Angriff sind einfach zu erlangen. Cyber-Kriminelle sind dabei durch ihr „training on the job“ auf dem neuesten Stand. Sie agieren oft international und können sich dadurch leichter tarnen. Durch den Einsatz von künstlicher Intelligenz (KI) wird es zunehmend auch „Laien“ ohne tiefergehende Programmierkenntnisse ermöglicht Cyber-Angriffe zu initiieren. Im Vergleich hierzu hinkt die Cyber-Risiko-Abwehr in den Unternehmen tendenziell mindestens eine „Generation“ hinterher. Kein Unternehmen ist vor einem Angriff gefeit. Auch Großunternehmen und Dax Konzerne sind beliebte, wiederholte Angriffsziele wie der in diesem Jahr bereits zweite Cyber-Angriff auf Rheinmetall am 14.04.23 eindeutig belegt.

Eine Verlagerung von Geschäftsprozessen in die Cloud ist allerdings kein Allheilmittel obwohl spezifische Technologien entwickelt wurden, um Cloud-Daten und Geschäftsinformationen besser zu schützen. Allerdings variieren die Sicherheitsmaßnahmen je nach Cloud-Anbieter und -Plattform. Besonders der Zugang zu Cloud-Diensten muss geschützt werden. Zusätzlich sollten alle Unternehmensdaten verschlüsselt werden. Wichtig ist es den Standort des Servers zu kennen, da dieser für die den Daten unterliegenden länderspezifischen Rechtsgrundlagen und Gesetzen maßgeblich ist. Besondere Risiken stellen ein Zugang über Smartphones, Zugriff über unsichere Netze und unverschlüsselte Übertragung von Unternehmensdaten und Informationen in die Cloud dar. 

Insgesamt tragen sowohl der Cloud-Anbieter als auch das Unternehmen zusammen die Verantwortung für die Sicherheit der Plattform und der Daten.

Anzeige
Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.

Handlungsempfehlungen zur Erlangung von Cyber-Resilienz 

Cyber-Resilienz basiert auf einer ganzheitlichen Strategie zur Stärkung der Widerstandskraft der IT einer Organisation gegenüber Cyberangriffen. Unternehmen müssen wissen, wie sie bei potenziellen Cyberangriffen reagieren können, um materielle und immaterielle Schäden abzuwenden. Daher sind Präventionsmaßnahmen zu ergreifen. Der Abschluss einer Cyberversicherung kann das Risiko mildern. Allerdings wird für ein Versicherungsangebot üblicherweise die Implementierung eines unternehmensweiten, umfangreichen Sicherungssystems von dem Versicherungsanbieter vorausgesetzt. In diesem Zusammenhang ist zu beachten, dass die Haftung der Organe nur bedingt durch eine Cyberversicherung abgemildert werden kann.

Zur Steigerung der Cyber-Resilienz leiten sich die folgenden auf das jeweilige Unternehmen hinsichtlich Branche, Art und Umfang sowie Risikoprofil individuell abzustimmende wichtige Handlungsempfehlungen ab:

  1. Grundsätzlich ist eine ganzheitliche, risikobasierte IT-Sicherheitsstrategie zu erarbeiten und in das unternehmensweite Risiko Management-System zu integrieren. Ein Cyber-Risikomanagement besteht aus iterativen Prozessen von der Identifikation, über die Quantifizierung und Steuerung bis zur Kontrolle von IT- und Informationssicherheitsrisiken. Da sich die Bedrohungslage permanent verändert, ist eine kontinuierliche Überwachung der eingesetzten IT-Software auf mögliche Verletzbarkeit über den kompletten Lebenszyklus sicherzustellen. Daher sind Sicherheitsprofile so flexibel zu gestalten, dass sie sich problemlos den sich ändernden Bedingungen anpassen lassen. 
  2. Zur Durchführung von Sicherheitstests sind generell – aber auch aus Haftungsgründen der Organe – spezialisierte IT-Sicherheitsunternehmen zu Rate zu ziehen. Im Rahmen von Penetration-Tests werden Cyberangriffe auf die IT-Infrastruktur des Unternehmens simuliert. Zusätzlich können sie eine individuell konfigurierbare Simulationsumgebung zur Verfügung stellen, in der ExpertInnen mit einem digitalen Zwilling weitere Industrieszenarien darstellen können. Industrielle Infrastrukturen und ihre Schwachstellen werden auf diese Art und Weise greifbar.  
  3. Die Ergebnisse dieser Härtetests fließen in ein maßgeschneidertes IT-Sicherheitskonzept und einen detaillierten Maßnahmenplan mit Festlegung von Verantwortlichkeiten ein. CyberSecurity ist niemals eine Standardlösung, sondern immer Ergebnis eines fortlaufenden Prozesses.
  4. Zur Minimierung des „menschlichen Faktors“ als größtes Risiko für Cyberattacken ist die kontinuierliche Sensibilisierung und Zusatzqualifizierung der Mitarbeitenden zur Informationssicherheit durch Schulungen und Workshops ein wichtiges Instrument der IT-Sicherheit. Regelmäßige Erfolgskontrollen und gesteuerte Phishing-Tests sollten das Training ergänzen. Gegebenenfalls sind diese Schulungen auch auf Kunden und Lieferanten mit Zugriff auf das Softwaresystem des Unternehmens auszuweiten.
  5. Ein Frühwarnsystem zur Erkennung von Auffälligkeiten und zur Abwehr von Cyberattacken ist ratsam. Hierzu können ein Security Information and Event Management (SIEM) und CyberSecurity-Software-Analysen eingesetzt werden. Derartige Maßnahmen schaffen Transparenz über die aktuelle IT-Sicherheitslage und den CyberSecurity-Reifegrad eines Unternehmens, dem frühzeitigen Erkennen und Schließen von Schwachstellen, der Entscheidungshilfe zur Optimierung oder Neuausrichtung sowie der Festlegung von Standards. Damit ist es möglich, ein kontinuierliches Monitoring des gesamten Unternehmen-Ökosystems – Unternehmensinfrastruktur, mobile Endgeräte, Third-Party-Anwendungen – zu implementieren, um die Bedrohungslage jederzeit einschätzen und eine effektive Cyberabwehr gewährleisten zu können.
  6. Weiterhin ist eine sichere Implementierung von Software-basierten Anwendungen zu gewährleisten. Software-Updates sind unmittelbar nach Erscheinen zu installieren (gemäß der NIS-2-Richtlinie). Im Falle eines Releasewechsels oder beim Einsatz neuer Varianten sind sofortige Updates jeglicher eingesetzten Software vorzunehmen. Dies gilt auch für Maschinen und Produkte beim Kunden vor Ort. 
  7. Grundsätzlich ist im Vorfeld ein detailliertes Notfallkonzept, ein sog. Plan B, zu entwickeln, um im Falle einer erfolgreichen Cyberattacke gewappnet zu sein. Der Fokus liegt auf einem koordinierten Vorgehen zur schnellen Wiederherstellung der IT-Systeme, Datenbanken und Daten durch Backups sowie der sofortigen Trennung mobiler Endgeräte und externer Quellen von der Unternehmensinfrastruktur im Sinne einer primären Schadensbegrenzung. In Abhängigkeit von Art und Umfang des Angriffs sind gegebenenfalls externe SicherheitsexpertInnen, Forensiker, Polizeibehörden und das BSI (Bundesamt für Sicherheit in der Informationstechnik) einzuschalten. Das BSI bietet auf seiner Homepage diverse Checklisten für KMU bei einem IT-Sicherheitsvorfall an. Existiert eine CyberSecurity-Versicherung, ist das Versicherungsunternehmen entsprechend zu informieren.  
  8. Im Falle einer Cyberattacke müssen die Unternehmensleitung und das Kontrollgremium umgehend informiert werden. Die Unternehmensleitung muss pflichtgemäß reagieren und die Umsetzung des Notfallkonzeptes überprüfen.    

Haftungsrechtlich ist wichtig, dass alle Organisationspflichten zur Einrichtung und laufenden Aktualisierung eines effektiven CyberSecurity Systems eingehalten wurden und auf den Cyber-Angriff pflichtgemäß reagiert wurde. 

  1. Besondere Vorsicht sollten Unternehmer bei einem Unternehmensverkaufsprozess walten lassen: In dieser Phase werden Unternehmen von Cyber-Kriminellen bevorzugt angegriffen. Häufig werden vor und während des Transaktionsprozesses die notwendigen erhöhten Sicherheitsanforderungen nicht ausreichend beachtet. Für die Angreifer ergeben sich dadurch lukrative Angriffsziele bei geringerem Ermittlungsrisiko, da sowohl Käufer als auch Verkäufer Interesse daran haben, den Kaufprozess diskret abzuwickeln. Vor Beginn der Due Diligence und damit vor dem Austausch von Unternehmensinformationen ist es daher empfehlenswert eine sog. „Cyber-Due Diligence“ durchzuführen, um evtl. Schwachstellen in den Netzwerken beider Seiten Käufer und auch Verkäufer feststellen und beheben zu können. 
  2. Ein adäquates Budget für alle IT-Sicherheitsmaßnahmen und ausreichend Manpower ist jährlich zu planen und zur Verfügung zu stellen. CyberSecurity ist hierbei als elementare Investition für eine nahezu ungestörte Funktion unternehmenskritischer Prozesse zu werten. Damit wird vor allem finanziellen Schäden vorgebeugt.

Digitalisierung ohne Cybersicherheit – ein Vabanquespiel

Immer mehr Geschäftsprozesse sind auf eine reibungslos funktionierende IT-Infrastruktur angewiesen. Daher wandelt sich IT-Sicherheit vermehrt zur Unternehmenssicherheit und wird für Firmen und ihre Führungsorgane somit zur haftungsrechtlich nicht delegierbaren Chefsache. Der Schutz und die Sicherheit des Unternehmens, seiner Daten und Informationen muss daher bei jeder Geschäftsentscheidung berücksichtigt werden. Folglich ist die IT-Sicherheit ein elementarer Bestandteil des unternehmensweiten Risikomanagementsystems. 

Es ist damit Aufgabe aller Unternehmen, Einrichtungen und deren Organe geeignete Präventionsmaßnahmen zu ergreifen, um einerseits gesetzlichen IT-Sicherheitsrichtlinien gerecht zu werden und sich andererseits vor den potenziell verheerenden Folgen von Cyberattacken zu schützen. Hierbei gibt es jedoch keinen Status quo, auf dem sie verharren können und der langfristig das nötige Sicherheitsniveau garantiert. Ein CyberSecurity Management System ist in der Strategie, der Kultur und den Prozessen eines Unternehmens fest zu verankern. Weiterhin bedarf es flexibler Sicherheitsprofile, die sich dynamisch anpassen lassen. IT-Security-Strategien stehen und fallen mit dem Erfolg ihrer Umsetzung – also der tatsächlichen Operationalisierung. Kurz gesagt: Es gibt heute und künftig keinen hundertprozentigen Schutz vor Cyberangriffen.

Cyberangriffe werden voraussichtlich drastisch zunehmen und weiterhin die Existenz von Unternehmen bedrohen. Damit ist die Cybersicherheit zur Vermeidung einer Haftungsfalle und zur Risikominimierung bei der Digitalisierung unabdingbare Voraussetzung. 

Silvia Weppler

Silvia

Weppler

Mitgründerin und Gesellschafterin

andugo GmbH

Silvia Weppler ist Mitgründerin und Gesellschafterin der andugo GmbH und war Group CFO und Geschäftsführerin in marktführenden globalen Produktions- und Technologieunternehmen im gehobenen industriellen Mittelstand.
Anzeige

Weitere Artikel

Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.