IT-Sicherheit braucht gesetzliche Regeln
In den Unternehmen wächst die Bereitschaft, in die Sicherheit ihrer Informationstechnik zu investieren. Staatliche Rahmenbedingungen könnten helfen.
Mitte Oktober traf es den Automatisierungsspezialisten Pilz: Eine Erpressersoftware (Ransomware) hatte alle Daten des Unternehmens verschlüsselt und Lösegeld gefordert. Nur der jüngste einer ganzen Reihe von Vorfällen mit Schadsoftware. Kein Wunder also, dass nach einer aktuellen Studie des TÜV-Verbands 47 % der Unternehmen in Deutschland höhere gesetzliche Anforderungen an die IT-Sicherheit in der Wirtschaft einfordern.
Das ist nur ein Ergebnis einer repräsentativen Umfrage des Marktforschungsunternehmens Ipsos im Auftrag des TÜV-Verbands. Befragt wurden IT-Sicherheitsverantwortliche, IT-Leiter und Mitglieder der Geschäftsleitung aus 503 Unternehmen ab zehn Mitarbeitern.
Noch deutlich mehr, nämlich 59 %, stimmen der Aussage zu, dass Regulierung durch den Gesetzgeber wichtig ist und zu einer besseren IT-Sicherheit ihres Unternehmens beiträgt. „Die Unternehmen geben ein überraschend starkes Votum für eine stärkere gesetzliche Regulierung der IT-Sicherheit in der Wirtschaft ab“, sagte Michael Fübi, Präsident des TÜV-Verbands (VdTÜV), bei der Vorstellung der „TÜV Cybersecurity Studie“ gestern in Berlin.
Ein Drittel der Unternehmen ist konkret betroffen
Knapp ein Drittel (29 %) der Unternehmen hat einen Sicherheitsvorfall konkret erlebt. „Sehr viele Unternehmen nehmen Cyberangriffe nicht mehr als abstrakte Gefahr wahr, sondern sind direkt betroffen“, sagte Fübi. Doch auch generell ist das Bewusstsein für die Risiken im Digitalen gestiegen. Als Gründe dafür nennen 78 % der Befragten die zunehmende Digitalisierung und 41 % berichte über konkrete Cyberangriffe. In dieser Situation würden Unternehmen nach Möglichkeiten suchen, wie sie sich besser schützen können. Gesetzliche Vorgaben sowie Normen und Standards helfen dabei. Fübi: „Mit dem geplanten IT-Sicherheitsgesetz 2.0 in Deutschland und dem Cybersecurity Act in der EU stehen Instrumente zur Verfügung, mit denen die Politik den Schutz vor Cyberangriffen in der Wirtschaft wirksam verbessern kann.“
Arne Schönbohm, Präsident des Bundesamts für Sicherheit in der Informationstechnik (BSI), unterstrich bei der Vorstellung die hohe Bedrohungslage für die Wirtschaft, wie sie auch im kürzlich veröffentlichten Lagebericht des BSI zum Ausdruck kam: „Ransomware wie Emotet ist eine der großen Bedrohungen für die Wirtschaft in unserem Land.“ Angriffe auf Regierungsnetze habe man als BSI bisher erfolgreich abwehren können. „Viele Betriebe und Unternehmen jedoch mussten sich mit der Verschlüsselung ihrer Daten und einer anschließenden Lösegelderpressung auseinandersetzen.“
Vielzahl von Bedrohungsszenarien
Schönbohm räumte ein, dass es eine 100 %ige Sicherheit vor Cyberangriffen nicht gebe, aber die Unternehmen könnten sich schützen. „Das BSI mit seiner integrierten Wertschöpfungskette der Cybersicherheit bietet hier unter anderem mit dem seit 1994 erfolgreichen IT-Grundschutz Lösungen und Maßnahmen zum Schutz für Staat, Wirtschaft und Gesellschaft an. Die TÜV-Organisationen als ein Audit-Anbieter sind dabei ein kompetenter Partner für mehr Cybersicherheit in Deutschland.“
Nach den Ergebnissen der Umfrage hatte gut jedes achte Unternehmen (13 %) in den vergangenen zwölf Monaten vor der Befragung einen IT-Sicherheitsvorfall. Jedes vierte betroffene Unternehmen (26 %) berichtet von Phishing-Angriffen, bei denen – in der Regel per E-Mail – Schadsoftware in die Organisation eingeschleust wird. An zweiter Stelle steht dann schon die Ransomware (19 %), die Erpressungssoftware. Ein weiteres weit verbreitetes Phänomen ist das sogenannte Social Engineering (9 %). Dabei werden Mitarbeiter des anzugreifenden Unternehmens gezielt manipuliert, um Zugang zu den IT-Systemen des Unternehmens zu erlangen. Weitere Angriffsszenarien sind Man-in-the-Middle-, Passwort- und DDoS-Angriffe. „Die Folgen sind Systemausfälle, eine geringere Produktivität und nicht zugängliche Dienste für Kunden – der Worst Case für jedes Unternehmen“, sagte Fübi. Die Vorfälle führten zu finanziellen Schäden, aber häufig auch zu einem Schaden für die Reputation des Unternehmens oder zu anderen Wettbewerbsnachteilen.
Künstliche Intelligenz gegen kriminelle Hacker
Unternehmen waren in den vergangenen zwei Jahren nicht tatenlos in Sachen IT-Sicherheit. Auch das bestätigt die Befragung. So lassen sich immerhin 71 % von externen Sicherheitsspezialisten beraten. 64 % der befragten Unternehmen haben neue Software für IT-Sicherheit eingeführt und 60 % Schulungen für ihre Belegschaft durchgeführt. Ihr Budget für IT-Sicherheit haben 32 % der Befragten in den vergangenen zwei Jahren erhöht, weitere 17 % haben zusätzliche IT-Mitarbeiter für diesen Zweck eingestellt. Allerdings hat nur jedes vierte Unternehmen konkrete Notfallübungen durchgeführt. Das ist aus Sicht des TÜV-Verbands viel zu wenig. „Wir wissen heute, dass selbst die besten Schutzmaßnahmen nicht ausreichen, um Cyberangriffe zu verhindern“, sagte Fübi. „Organisationen müssen sich auch darauf konzentrieren, erfolgreiche Cyberangriffe möglichst schnell zu erkennen und in den Griff zu bekommen.“ Dabei helfen Notfallübungen sowie Penetrationstests und spezielle Software für die Erkennung von Angriffen.
Um Angriffe auf IT-Infrastrukturen zu erkennen, kommt immer häufiger künstliche Intelligenz (KI) zum Einsatz. Laut Umfrage nutzen bereits 12 % der Unternehmen KI für den eigenen Schutz. Unter den großen Unternehmen ab 250 Mitarbeitern sind es sogar 38 %. Dabei wird die KI derzeit vor allem genutzt, um Schadsoftware (90 %) oder Anomalien in Datenströmen (70 %) zu erkennen. Weitere Anwendungen der KI sind darüber hinaus moderne Authentifizierungsverfahren, wie die Gesichts- oder Spracherkennung, die 37 % der KI-Nutzer einsetzen. Allerdings sind sich nur relativ wenige Unternehmen dieser Möglichkeiten bewusst. Nur 29 % stimmen der Aussage zu, dass sich ihr Unternehmen mithilfe von künstlicher Intelligenz besser schützen kann. Dagegen sagen fast zwei Drittel (63 %), dass KI in den Händen von Cyberkriminellen eine steigende Gefahr für die IT-Sicherheit ihres Unternehmens darstellt. Mit KI lassen sich Cyberangriffe zum Beispiel automatisieren und personalisieren.
Zertifikate helfen gegenüber Kunden und Lieferanten
Laut Umfrage spielen auch Normen und Standards wie die DIN-ISO 27001 oder der IT-Grundschutz des BSI eine wichtige Rolle für die IT-Sicherheit von Unternehmen. „Normen und Standards geben Regeln und Verfahren vor, wie eine Organisation digitale Sicherheit in der Praxis gewährleisten kann“, sagte Fübi. Unternehmen könnten sich dann von einer unabhängigen Stelle mit einem Zertifikat bestätigen lassen, ob sie eine bestimmte Norm einhalten. Damit dokumentieren sie – zum Beispiel gegenüber Kunden oder Zulieferern –, dass ihre IT-Systeme bestmöglich gesichert sind. Zwei von drei Unternehmen orientieren sich bereits an Normen und Standards oder erfüllen diese sogar vollständig (64 %).
Aus Sicht des TÜV-Verbands können gesetzliche Regelungen entscheidend dazu beitragen, den Schutz von Unternehmen und Privatanwendern vor Cyberangriffen zu verbessern. So sollte der Anwendungsbereich des IT-Sicherheitsgesetzes erweitert werden und sich nicht mehr nur auf die Kritischen Infrastrukturen (Kritis) fokussieren. Denn Mindeststandards für die IT-Sicherheit seien in allen Wirtschaftsbereichen notwendig. Bisher fielen unter dieses Gesetz nur wenige Unternehmen – deutschlandweit etwa 1700. Bestimmte Branchen wie Entsorger, Fahrzeughersteller, Maschinenbauer oder die Chemieindustrie seien nicht erfasst. „Es wäre nur konsequent, den Anwendungsbereich des geplanten IT-Sicherheitsgesetzes 2.0 auszudehnen und die Einschränkung auf Kritis-Branchen aufzugeben“, sagte Fübi.
IT-Sicherheit und Produktsicherheit gehören zusammen
Auch müsse der Cybersecurity Act der EU, der seit Juli 2019 in Kraft ist, konsequent umgesetzt werden. „Wir müssen den Produktsicherheitsbegriff in der EU neu definieren“, sagte Fübi. „In Zukunft muss neben der funktionalen Sicherheit auch die digitale Sicherheit fester Bestandteil eines Produkts sein.“ Nur dann sollte ein Produkt in Europa auf den Markt gebracht werden dürfen. Das funktioniere aber nur, wenn die Anforderungen an die IT-Sicherheit in den Richtlinien der einzelnen Produktgruppen konsequent festgeschrieben werden – für Maschinen, Spielzeuge, Medizinprodukte, Fahrzeuge und viele andere Produkte.