Cybersicherheit: Die digitale Gefahr

Digitalisierung  Unternehmensjurist

Cybersicherheit: Die digitale Gefahr

Autor: Harald Czycholl | Ausgabe: 2/19

Angriffe aus dem Cyberspace nehmen zu, die Schäden für die Wirtschaft sind immens. Neben Investitionen in die technische IT-Sicherheit müssen Unternehmen vor allem ihre Mitarbeiter sensibilisieren. Geschäftsleitung, Rechtsabteilung und IT müssen hier gemeinsam handeln.

500 Millionen Menschen, die zwischen 2015 und 2018 in Hotels der Marriott-Tochter Starwood genächtigt hatten, bekamen Ende vergangenen Jahres eine unerfreuliche Nachricht von dem Hotelkonzern: Hacker hätten teils sensible Daten wie Adressen, Telefonnummern und nicht zuletzt Kreditkartendaten erbeutet, teilte das Unternehmen mit. Schon 2015 soll der groß angelegte Datendiebstahl begonnen haben. Erste Hinweise auf einen Angriff auf die Tochter Starwood, zu der wiederum Marken wie Westin, Sheraton, Le Méridien, St. Regis und W Hotels gehören, sind den Marriott-Angaben zufolge aber erst Anfang September vergangenen Jahres entdeckt worden. Bis Mitte November 2018 habe Marriott Gewissheit gehabt Behörden und Regulierer über den schwerwiegenden Sicherheitsvorfall unterrichtet, heißt es in einer Pressemitteilung. Anschließend seien die betroffenen Kunden informiert worden. Der Vorfall ist ein Desaster für den Hotelkonzern – nicht nur aufgrund des angerichteten Schadens, sondern vor allem wegen des damit einhergehenden Imageverlustes, denn wer ein Hotelzimmer bezieht, will sich schließlich sicher fühlen und sich sowie seine persönlichen Daten in guter Hand wissen. Angriffe aus dem Cyberspace machen Unternehmen immer stärker zu schaffen, zeigt eine aktuelle Studie des Digitalverbands Bitkom.

Wenn es schnell gehen muss…

Zusammenfassung

Unternehmen sind zunehmend durch Cyberangriffe bedroht, jährlich entstehen Milliardenschäden.

Notwendig ist ein durchgehendes Sicherheitskonzept, das regelmäßig auf Angemessenheit und Wirksamkeit geprüft wird.

Unternehmen sollten nicht nur die technische IT-Sicherheit im Blick haben, sondern auch die Mitarbeiter mitnehmen und für die Problematik sensibilisieren.

Jedes System ist nur so lange sicher, wie sich sein Benutzer an zuvor vereinbarte Standards hält. Regelmäßige Mitarbeiterschulungen sind daher wichtig.

Rechtsabteilung und IT müssen gemeinsam handeln.

„Man kann nicht davon ausgehen, in der quasi unendlichen Wolke des Internets noch unerkannt dahinschweben zu können.“

Peter Lotz
Rechtsanwalt und Partner, MAYRFELD LLP

Demnach hat für gut acht von zehn befragten Unternehmen (84 Prozent) die Anzahl der Cyberattacken in den vergangenen zwei Jahren zugenommen, für mehr als ein Drittel (37 Prozent) sogar stark. Die zunehmende Digitalisierung und Vernetzung durch Entwicklungen wie Industrie 4.0 bieten Cyber-Angreifern dabei weitreichende Möglichkeiten, Informationen auszuspähen, Geschäfts- und Verwaltungsprozesse zu sabotieren oder sich anderweitig auf Kosten Dritter kriminell zu bereichern. Wie drängend die Gefahr ist, zeigen gleich zwei prominente Fälle, die im Januar öffentlich wurden: Zum einen der zu Jahresbeginn bekannt gewordene Hackerangriff auf Politiker und Prominente, im Zuge dessen persönliche Daten der Betroffenen über ein eigens zu diesem Zweck erstelltes Twitter-Konto veröffentlicht wurden. Zum anderen die Veröffentlichung der „Collection #1“, die 772 Millionen E-Mail-Adressen und 21 Millionen Passwörter enthält. „Das zeigt, dass es jeden treffen kann – jederzeit“, betont Peter Lotz, Rechtsanwalt und Partner in der Kanzlei MAYRFELD LLP in Frankfurt. „Man kann nicht davon ausgehen, in der quasi unendlichen Wolke des Internets noch unerkannt dahinschweben zu können.“

Unternehmen sollten die jüngsten Vorfälle zum Anlass nehmen, „ihre technischen, organisatorischen und personellen Sicherheitsvorkehrungen zu verstärken“, mahnt Achim Berg, Präsident des Digitalverbands Bitkom. Deutsche Unternehmen unter digitalem Dauerbeschuss – von digitalen Kleinkriminellen über die organisierte Kriminalität bis zu Hackern im Staatsauftrag. Und Besserung ist nicht in Sicht: Der Studie zufolge prognostizieren 82 Prozent der Unternehmen, dass die Anzahl der Cyberattacken in den nächsten zwei Jahren weiter zunehmen wird. Die Schäden, die dadurch entstehen, sind immens: Studien gehen von weltweiten jährlichen Kosten von bis zu 575 Milliarden US-Dollar aufgrund von cyberkriminellen aus. Und wegen ihrer Wirtschafts- und Innovationsstärke gelten deutsche Unternehmen – vor allem aus technikintensiven Branchen wie Chemie, Pharmazeutik, Finanzen oder Automotive – als besonders attraktives Ziel für Hacker. Im Bereich der technischen IT-Sicherheit verfügen zwar mittlerweile fast alle Unternehmen über Virenscanner, Firewalls und einen Passwort-Schutz für die Geräte. Doch der gängige Basisschutz reicht längst nicht mehr aus, denn die IT-Angriffe zuletzt immer komplexer geworden. Oftmals werden sie wie im Fall von Marriott erst nach mehreren Jahren erkannt und der Abfluss von Daten bleibt lange Zeit unbemerkt. Der technische Vorsprung der Angreifer ist in vielen Fällen immens. „Angreifer und ihre Technik entwickeln sich unaufhaltsam fort“, betont Johanna M. Hofmann, Rechtsanwältin bei CMS in München und Expertin für IT- und Datenschutzrecht. „Genauso muss auch die IT-Sicherheit im Unternehmen stetig aktualisiert werden, um neuen Risiken standhalten zu können.“

„Angreifer und ihre Technik entwickeln sich unaufhaltsam fort.“

Johanna M. Hofmann
Rechtsanwältin, CMS Deutschland

Oft noch Nachholbedarf

Der Bereich der IT-Sicherheit könne gar nicht ernst genug genommen werden, betont Hofmann. Viele Unternehmen hätten allerdings erheblichen Nachholbedarf in Sachen IT-Sicherheit. „Sicherheitsmaßnahmen müssen rechtzeitig ergriffen werden, um Angriffe auf vertrauliche Daten im Vorfeld zu verhindern, zumindest aber zu erschweren“, sagt CMS-Expertin Hofmann. „So können Unternehmen durch angemessene IT-Sicherheitsmaßnahmen nicht nur Datenverlust verhindern, sondern einer Haftung und drohenden massiven Bußgeldern entgehen.“ Regelmäßige Überprüfungen, Monitoring der Systeme und Aktualisierungen seien elementar. IT-Sicherheit sei aber nicht allein Frage der Einrichtung technischer Maßnahmen wie zum Beispiel einer Firewall, ergänzt MAYRFELD-Anwalt Lotz. „Sie bedarf der Einbindung in einen Sicherheitsprozess, der im Unternehmen fokussiert initiiert, organisiert und durchgeführt werden muss.“

Denn schließlich müsse man sich heute auf Cyberattacken einstellen, betont Frank Braun, Chief Legal & Compliance Officer bei der MEAG MUNICH ERGO Asset-Management GmbH in München. „Das Thema IT-Sicherheit hat eine hohe Bedeutung, denn es drohen nicht nur wirtschaftliche Schäden, sondern auch ein Vertrauensverlust bei den Kunden.“ Derartige Imageschäden sind ein weicher Faktor mit großem Gewicht: Gelten ein Unternehmen oder seine Produkte bei Kunden und Geschäftspartnern erst einmal als unsicher, lässt sich das nur schwer wieder aus der Welt schaffen. Ein solcher Reputationsverlust kann ein Unternehmen letztlich sogar in seiner Existenz gefährden. Nicht zuletzt deshalb gehöre die IT-Sicherheit zu den Grundsätzen einer ordnungsgemäßen Organisation und sei damit auch eine Haftungsfrage für die Geschäftsführung. „Wir haben täglich irgendwelche Attacken von Hackern, aber es gab glücklicherweise bisher keinen Schaden“, so Braun.

„Das Thema IT-Sicherheit hat eine hohe Bedeutung, denn es drohen nicht nur wirtschaftliche Schäden, sondern auch ein Vertrauensverlust bei den Kunden.“

Frank Braun
Chief Legal & Compliance Officer, MEAG MUNICH ERGO AssetManagement GmbH

„Es kommt darauf an, die handelnden Personen mit auf die Reise zu nehmen und entsprechend zu schulen.“

Friedrich Wimmer
Leiter IT-Forensik & Cyber Security Research, Corporate Trust Business Risk & Crisis Management GmbH

Fähige IT-Spezialisten, die die Technik im Griff haben und mögliche Sicherheitslücken sofort erkennen und schließen, seien dabei aber nur die eine Seite der Medaille. „Mindestens genauso wichtig sind gut geschulte und für die Problematik sensibilisierte Mitarbeiter“, betont Chefjurist Braun. Es sei illusorisch, IT-Sicherheitsmaßnahmen ohne die Einbeziehung der Mitarbeiter umsetzen zu wollen, pflichtet ihm Anwalt Lotz bei. „Aufgrund der mannigfaltigen Einfallstore für Angriffe können unerfahrene Mitarbeiter schnell unfreiwillig zum Gehilfen eines Angriffs werden.“

Daher seien Unternehmen in der Pflicht, ihre Mitarbeiter durch Schulungen und Information vor den Gefahren in der digitalen Sphäre zu schützen, sagt CMS-Juristin Hofmann. „Eine Kette ist immer nur so stark wie ihr schwächstes Glied. Menschliches Fehlverhalten ist nach wie vor mit Abstand die häufigste Ursache für Datenschutzverletzungen.“

Dass die eigenen Mitarbeiter ein großes Sicherheitsrisiko sein können, zeigt etwa der Fall des Automobilzulieferers Leoni, in dem keine technisch aufwändigen Angriffe auf das Computersystem des Unternehmens zum Einsatz kamen, sondern simple E-Mails mit gefälschten Identitäten: Mithilfe der falschen Mails gaben sich die bis heute unbekannten Betrüger gegenüber Mitarbeitern der rumänischen Tochtergesellschaft des Unternehmens als hochrangige Leoni-Manager aus und ordneten zahlreiche Überweisungen in zumeist einstelliger Millionenhöhe auf ausländische Konten an. Um insgesamt 40 Millionen Euro erleichterten die Betrüger das Unternehmen durch die als „CEO-Fraud“ bezeichnete Methode. „Solche CEO-Frauds haben wir auch schon gehabt, aber die Mitarbeiter haben die Fälschungen erkannt“, sagt MEAG-Syndikusanwalt Braun. „Man muss die Mitarbeiter jeden Tag abholen und sie sensibilisieren. Wir nutzen dafür auch das Intranet und haben auch schon mit Aufklebern an den Bürotüren dafür geworben.“ Zudem würden neue Mitarbeiter an ihrem ersten Tag neben einer Compliance-Schulung auch eine Schulung in Sachen IT-Sicherheit erhalten. „Die Schulung der Mitarbeiter ist das A und O“, so Braun. „Es fängt damit an, ein wirklich sicheres Passwort auszuwählen und nicht auf Phishing-Mails oder gar CEO-Frauds hereinzufallen.“ Die Rechtsabteilung und die IT-Sicherheit arbeiten bei MEAG Hand in Hand und organisieren unter anderem die Mitarbeiterschulungen gemeinsam.

Geschäftsleitung sollte vorangehen

Die Aufklärung der Mitarbeiter über die Gefahren, Funktionsweisen und Gründe bestimmter einzuhaltender Verhaltensregeln und die Gefahren im Fall der Nichtbeachtung sei essenziell, betont auch Rechtsanwalt Lotz. Sein Vorschlag: „Warum nicht einmal einen lauteren Hacker einbestellen, der im Rahmen einer Mitarbeiterschulung das Smartphone eines Mitarbeiters knackt? Ich wette, die Mitarbeiter sehen IT-Richtlinien dann mit völlig anderen Augen.“

Höhere Investitionen in IT-Sicherheit

Unternehmen investieren mehr in ihre IT-Sicherheit: Laut Berechnungen des Marktforschungsunternehmens IDC im Auftrag des Digitalverbands Bitkom legten die Umsätze mit Sicherheitslösungen im vergangenen Jahr um neun Prozent zu und wuchsen damit etwa fünfmal als die Wirtschaft insgesamt. 4,1 Milliarden Euro wurden den Berechnungen zufolge 2018 mit Hardware, Software und Services für IT-Sicherheit umgesetzt. Für dieses Jahr ist ein weiteres Wachstum um neun Prozent auf dann 4,4 Milliarden Euro prognostiziert.

Der mit Abstand größte Teil der Ausgaben entfällt auf Dienstleistungen für digitale Sicherheit. In diesem Segment wurden im vergangenen Jahr 2,2 Milliarden Euro ausgegeben, ein Plus von elf Prozent zum Vorjahr. Für IT-Sicherheits-Software wie beispielsweise Virenscanner oder standardisierte Firewalls lagen die Ausgaben bei 1,3 Milliarden Euro (plus zehn Prozent), die Ausgaben für entsprechende Hardware lagen mit 550 Millionen auf ähnlichem Niveau wie im Jahr 2017 (plus 0,3 Prozent). „Die Unternehmen haben verstanden, dass sie mehr für ihre IT-Sicherheit tun müssen. Also investieren sie“, sagt Susanne Dehmel, Mitglied der Bitkom-Geschäftsleitung. „Cyberattacken werden immer professioneller und immer mehr Geräte sind untereinander vernetzt. Alles was eine IP-Adresse hat, kann potenziell angegriffen werden und muss geschützt werden.“

weiterlesen...

Der Prozess zur Implementierung einer IT-Sicherheitsstrategie solle von der Geschäftsleitung initiiert werden, meint Lotz. Rechtlicher Anknüpfungspunkt kann hier eine Regelung sein, die zunächst nicht mit IT in Verbindung gebracht wird: Das Gesetz zur Kontrolle und Transparenz im Unternehmensbereich (KonTraG), das der Geschäftsführung die Aufgabe der Risikofrüherkennung und der Einrichtung eines Risikomanagementsystems allgemein auferlegt. „Die Geschäftsleitung sollte den Sicherheitsprozess initiieren, steuern und kontrollieren“, so Lotz. „Sie entscheidet letztlich über den Umgang mit Risiken und stellt Ressourcen zur Verfügung.“ Hierzu sollte sie in engem Diskurs mit der Rechtsabteilung und der IT-Abteilung stehen.

IT-Sicherheit betreffe alle Abteilungen im Unternehmen, sagt CMS-Juristin Hofmann. Gleichwohl müsse der Impuls von oben kommen. „Die Umsetzung selbst ist Aufgabe der IT-Abteilung, wobei die Rechtsabteilung mit der Konkretisierung rechtlicher Anforderungen und bestenfalls deren Übersetzung in die Sprache der Technik unterstützen muss“, so die Expertin für IT-Recht. „Alle sollten an einem Strang ziehen. Zuständigkeiten sollten klar zugewiesen sein, es sollte einen Ansprechpartner für Fragen der IT-Sicherheit geben.“

Sicherheitskonzepte überprüfen

Dass Rechtsabteilung und IT Hand in Hand arbeiten, ist auch aus Sicht von Friedrich Wimmer, Leiter IT-Forensik & Cyber ecurity Research bei der Corporate Trust Business Risk & Crisis Management GmbH, essenziell für das Gelingen einer jeden IT-Sicherheitsstrategie. „Zumindest hat die Rechtsabteilung bei der Feststellung des Schutzbedarfs, der Anforderungen an die IT und dem Sicherheitskonzept mitzuwirken“, so
der Experte. „Ferner soll sie die Angemessenheit und Wirksamkeit der Maßnahmen aus Rechtssicht regelmäßig prüfen.“ Bei einer vermuteten Datenschutzverletzung oder bei einer vermuteten Verletzung der Vertraulichkeit von geschäftsrelevanten Daten muss sie natürlich in die Bearbeitung des Vorfalls einbezogen werden.

„Aus technisch-organisatorischer Sicht erwarte ich im ersten Schritt ein durchgehendes Sicherheitskonzept, dass mindestens einmal jährlich auf Angemessenheit und Wirksamkeit geprüft wird und in dem auch der Schutzbedarf klar definiert wurde“, sagt Wimmer. Technisch gelte es, wirksame Maßnahmen unter anderem in den Bereichen Datensicherung und Backup, Hackerresistenz und Sicherheitsmonitoring zu implementieren. Und schließlich komme es darauf an, „die handelnden Personen mit auf die Reise zu nehmen und entsprechend zu schulen“, so der IT-Sicherheitsexperte, denn grundsätzlich gilt, dass jedes System nur so lange sicher ist, wie sich sein Benutzer an zuvor vereinbarte Standards hält. Auch ganz einfache Verhaltensregeln können schon dazu beitragen, das Risiko zu minimieren, Opfer eines Hackerangriffs zu werden. Beim Entsperren mobiler Geräte müsse beispielsweise klar sein, dass das Eingeben von Passwörtern in nicht gesicherten Bereichen durchaus mitgefilmt werden kann. „Dem Risiko kann einfach begegnet werden, indem beim Eingeben von Passwörtern der Laptopdeckel etwas nach unten geklappt wird“, so Wimmer. Auch technische Lösungen wie Fingerabdrucksensoren können helfen. „Ferner sollten unbekannte Zertifikate und Warnmeldungen nicht akzeptiert Sichtschutzfolien genutzt werden.“ Diese helfen dabei, Blicke der Sitznachbarn in Zug oder Flugzeug zu verhindern. „Die weitverbreitete Ansicht, die Einrichtung von sei zwangsläufig mit hohen Investitionen Technik und Sicherheitsexperten verbunden, ist nicht notwendigerweise zutreffend“, sagt Anwalt Lotz. „Was zählt ist ein gesunder Menschenverstand, eine durchdachte Sicherheitsstrategie und Mitarbeiter, die selbstständig Sicherheitserfordernisse umsetzen.“ Im Rahmen der Umsetzung könne dann gegebenenfalls auch über die Durchführung weiterer Schritte entschieden werden, so Lotz. „Es gilt, die sachgerechte Abwägung zwischen dem rechtlich Notwendigen auf der einen Seite und dem technisch Machbaren und Notwendigen auf der anderen Seite zu treffen.“

Bildnachweise: © shutterstock.com/Sergey Nivens