Das Öl des 21. Jahrhunderts und seine Auswirkungen auf unsere Wirtschaft und Industrie

Speziell die Bereiche der Informationstechnologien sowie der Vernetzung funktionsübergreifender Prozesse sind entscheidend für den zukünftigen Unternehmenserfolg. Daher ist es notwendig, dass sich die Unternehmensleitung nicht blind auf die Aussagen der IT-Abteilung verlässt, sondern das Thema IT-Sicherheit zur Chefsache erklärt und geeignete Maßnahmen ergreift, um Sicherheit und Kontinuität zu gewährleisten. Hierzu müssen Strukturen geschaffen werden, in denen bei allen Mitarbeitern ein Grundverständnis für den sicheren Umgang in Bezug auf alle relevanten Bereiche der IT-Sicherheit gewährleistet wird. Weiterhin ist es wichtig, in der Unternehmenskultur eine funktionsübergreifende Zusammenarbeit im Sinne der Unternehmensziele zu schaffen, so dass möglichst wenige Schwachstellen entstehen und diese bei ihrem Auftreten zügig und vollständig behoben werden.

In vielen mittelständischen Unternehmen herrscht häufig immer noch der Irrglaube, dass sich Cyber-Angriffe hauptsächlich auf Großkonzerne und staatliche Einrichtungen beschränken und kleinere Betriebe von derartigen Attacken zumeist verschont bleiben. Dies mag in der Vergangenheit der Fall gewesen sein, da Cyber-Kriminelle grundsätzlich wie Wirtschaftsunternehmen agieren und versuchen, den größtmöglichen Nutzen aus ihrer „Arbeit“ zu ziehen. Da sich jedoch bisher gerade mittelständische Betriebe häufig noch nicht adäquat mit den Auswirkungen von Cyber-Vorfällen auseinandergesetzt haben, sind sie zunehmend lohnendes Ziel solcher Angriffe und die Folgen in vielen Fällen für die Inhaber tiefgreifender als zunächst angenommen.  

Gerade im Bereich der Cyber-Kriminalität ist die technische Entwicklung in den letzten Jahren rasant fortgeschritten. Daher haben sich auch die Tools und Angriffsflächen signifikant verändert.

Allgemein bekannt ist, dass es sich bei der Cyber-Kriminalität um eine globale Erscheinung handelt, die weder Grenzen noch Regeln kennt und sich daher allein an marktwirtschaftlichen Maßstäben orientiert.

Cyber-Vorfälle sind daher immer dort am wahrscheinlichsten, wo die größten Schwachstellen bestehen, völlig unabhängig davon, ob es sich dabei um staatliche Einrichtungen, mittelständische Produktionsbetriebe oder aber kleine Dienstleister handelt. Dies resultiert daher, dass sich seit geraumer Zeit vollautomatisierte Programme im Umlauf befinden, deren einziger Auftrag es ist, Schwachstellen im Netz ausfindig zu machen und deren Systeme zu penetrieren.

Das größte Schwachstellenpotenzial ist dabei nachweislich nicht, wie zumeist angenommen wird, die Technik (Hard- und Software), sondern vielmehr der Faktor Mensch. Dies ist auch mit ein Grund, weshalb gerade mittelständische Betriebe mittlerweile so häufig Opfer von Cyber-Attacken werden. Die bei Großkonzernen obligatorischen Schulungsmaßnahmen zur Nutzung der IT-Infrastruktur stehen kleineren Betrieben in der Regel nicht zur Verfügung, was dazu führt, dass oftmals grundsätzliche Regeln im Umgang mit IT-Sicherheit nicht eingehalten werden. Wie alle „guten“ Einbrecher nutzen Cyber-Kriminelle nicht die gut geschützten Bereiche als Ziel ihrer Angriffe, sondern verwenden entweder „Hintertüren“ innerhalb der IT-Infrastruktur oder aber die „Gutgläubigkeit“ unerfahrener Mitarbeiter um an ihr Ziel zu gelangen. In der Praxis sind es oftmals die kleinen Dinge, die bei Unternehmen große Auswirkungen haben. Beispielsweise wird einem Lebensmittelproduzenten ohne Etikett und IT-Warenvoranmeldung die Annahme am Distributionszentrum verweigert, auch wenn sich seine Ware in absolut einwandfreiem Zustand befindet. Weiterhin kann beispielsweise ein Naturkosmetikproduzent ohne das DATEV-System keine Rechnungslegung realisieren, was sich im Zweifel massiv auf die Liquidität des Unternehmens auswirken und sogar existenzbedrohend sein kann. Wenn sich dann auch noch bei einer Werbeagentur auf der Webseite anstatt der offerierten Leistungen obszöne Bilder und Videos wiederfinden, können irreparable Schäden entstehen, ohne dass tatsächlich massiv in den Produktionsprozess eingegriffen wurde. Für kleine und mittlere Betriebe sind häufig nicht die Schäden an der IT entscheidend, sondern vielmehr die Kosten für Forensik sowie nachgelagerte Maßnahmen aus Datenrechtsverletzungen, welche sich massiv auf die Liquidität und das Fortbestehen eines Unternehmens auswirken.

Die Auswirkungen von Cyber-Vorfällen betreffen fast immer sämtliche Unternehmensbereiche. Anders als im Brandfall gibt es jedoch keine Feuerwehr, die umgehend vor Ort ist und eingreifen kann. Vielmehr muss das Unternehmen vorab einen umfassenden Notfallplan erstellen und geeignete Maßnahmen ergreifen, mit denen die Schäden handhabbar gemacht werden können. Dabei handelt es sich nicht nur um den Schaden an der IT-Infrastruktur und um die Kosten für die Bereinigung der schadhaften Systeme, sondern auch um zusätzliche Aspekte wie Betriebsunterbrechung, Forensik oder Haftpflichtansprüche von geschädigten Dritten. Fazit der Entwicklung ist daher, dass das Risiko von Cyber-Vorfällen im aktuellen Wirtschaftsleben nicht mehr zu unterschätzen und jeder Unternehmer gut beraten ist, die Sicherheit der eigenen IT-Infrastruktur selbst in die Hand zu nehmen. Ein guter Berater muss daher in der Lage sein, sich gemeinsam und funktionsübergreifend mit den Gegebenheiten vor Ort auseinanderzusetzen und im Dialog geeignete Maßnahmen – und hierzu gehört auch maßgeschneiderter (Cyber-) Versicherungsschutz – zu ergreifen.