Manchmal hilft es, Problemen mit Humor zu begegnen. Wie Timo Stark, Cyber Security Engineer bei whitelisthackers. Er vergleicht beim Cyberprotection Day der WirtschaftsWoche einen Angriff mit Nacktbaden im See: Da sei alles prima, solange man bis zum Hals im Wasser stehe. Aber wenn man herauskomme und jemand habe die Klamotten gestohlen, stehe man blöd da und könne nicht mehr drum herum reden. Im Unterschied zum Klamotten-Klau beim Nacktbaden gilt beim Cyberangriff allerdings: Er kommt auf jeden Fall. Die Frage ist nur, wann. Und mit welchen Folgen? Die unbequeme Wahrheit ist: Niemand ist je zu 100 Prozent geschützt. Das schmerzt vor allem kleinere und mittlere Unternehmen. Für sie ist Cyberprotection eine riesige Herausforderung.
Das zeigt sich auch an persönlichen Berichten von Gästen einer Breakout-Session während der Veranstaltung. Ein Teilnehmer berichtet von einem ehemaligen Arbeitgeber, der Opfer eines Angriffs wurde. Es habe anderthalb Jahre gedauert, sich davon zu erholen. Die Hacker seien aus Russland gewesen. Ein anderer Teilnehmer berichtet von einem Vorfall im Jahr 2020: Man sei bis heute damit beschäftigt, den Zustand wiederherzustellen, der vor dem Hackerangriff herrschte. „Dann auch noch Prozesse optimieren? Undenkbar“, sagt er.
Dabei wäre das doch so wichtig. Yorn Ziesche, CISO der Handelsblatt Media Group, die 2023 einen indirekten Angriff in der Lieferkette erlebt hat, kann das bestätigen: „Wir haben beim Cyberangriff auf unseren Dienstleister auch eine Menge Glück gehabt, dass wir leidlich glimpflich davon gekommen sind. Aber ohne eine detaillierte, rund einjährige Vor- und Präventionsarbeit im Haus, ohne das Wissen um die Prozesse und ohne erprobte Notfallabläufe hätte uns das Glück nicht geholfen.“
Darüber, dass die Cyberbedrohungslage mehr als ernst zu nehmen ist, lässt sich längst nicht mehr streiten. Neun von zehn Unternehmen wurden einer Bitkom-Studie zufolge 2022 Opfer von Datendiebstahl, Spionage oder Sabotage. Das ist auch den rund 120 Teilnehmern des Cyberprotection Days am Dienstag bewusst. Aber: Wieso machen Unternehmen ihre Hausaufgaben dann nicht? „Wenn deutsche Unternehmen irgendwo im Digitalen ganz vorne sind, dann leider offenbar beim Nicht-Schließen von bekannten Software-Schwachstellen“, sagt Manuel Bach, Referatsleiter KMU beim Bundesamt für Sicherheit in der Informationstechnik (BSI).
Und auch große Hoffnungen, dass die EU-Richtlinie NIS2, die Unternehmen stärker in die Pflicht nehmen soll, viel Veränderung bewirken wird, haben Experten nicht: „Die Anforderungen sind nur ein Mindestniveau an Sicherheitsvorgaben. Das sollte niemand abhaken und sagen, ‚jetzt bin ich safe‘“, sagt Udo Schneider, Governance, Risk & Compliance Lead bei Trend Micro. Rechtsanwältin Judith Nink pflichtet ihm bei: „Cybersicherheit ist kein Zustand, den man als Unternehmen irgendwann erreicht, sondern ein fortlaufender Prozess.“
Wie dieser Prozess aussehen kann, weiß zum Beispiel Ulrich Irnich von Vodafone Deutschland. Der CIO plädiert dafür, der psychologischen Sicherheit in Unternehmen einen höheren Stellenwert einzuräumen. Das bedeutet, Mitarbeitern die Sicherheit zu geben, dass sie Probleme offen ansprechen und Fehler zugeben können. Dass Letzteres heute schon Kindern schwerfalle, ganz unabhängig von Cyberprotection, findet Timo Stark besorgniserregend. Er berichtet davon, wie er schon bei seiner siebenjährigen Tochter Erfolgsdruck beobachtet. „Da muss sich in Deutschland etwas ändern. Es muss schon im Elternhaus und in der Schule klar werden, dass wir offen reden können und Fehler Geschenke sind, wenn wir daraus etwas lernen“, sagt Julia Freudenberg, Geschäftsführerin der Hacker School. „Hacker tauschen sich ja auch untereinander über Fehler aus – wieso also nicht auch wir auf der guten Seite?“
Dafür plädiert auch Sebastian Barchnicki, Sprecher der Geschäftsführung beim Kompetenzzentrum für Cybersicherheit in der Wirtschaft in NRW: „Die Unternehmen sind Teil eines großen Getriebes, sie haben auch eine Verantwortung für Dritte und müssen sich dieser stellen.“ Auch, wenn die Unternehmen nicht verhindern können, dass sie angegriffen werden: Sie können immerhin entscheiden, wie sie damit umgehen. Dann tut die bittere Wahrheit vielleicht nicht mehr ganz so weh.
Lesen Sie auch auch: Jeder zweite Einzelhändler Opfer von Cyberangriff oder Datenleck
