Cyberbedrohungen
Cyberrisiken im sozio-ökonomischen Spinnennetz
Die Studien des Weltwirtschaftsforums und der Allianz Versicherung kommen beide zum selben Schluss: Das Risiko Cyberbedrohung bleibt Top-Herausforderung für Unternehmen und Gesellschaft. Ein Kommentar zu den Zusammenhängen der Risiken untereinander.
Risikomanagement ist etwas, das Unternehmen regelmäßig durchführen müssen. Es unterscheidet sich je nach Geschäftszweig und Aufgabe. Dabei werden Ziele festgelegt, die dann überwacht werden. Kein Wunder also, dass regelmäßig zu Jahresbeginn verschiedene Analysten anhand von Umfragen herausfinden wollen, welche Risiken auf Unternehmen zukommen könnten, aber auch wie sich Risiken aus der Sichtweise verschiedener Berufsgruppen entwickeln.
Das Weltwirtschaftsforum (WWF) sowie die Allianz Versicherungsgruppe kommen in ihren Betrachtungen unabhängig voneinander zum Schluss, dass die durch Cyberangriffe verursachten Schäden zu den Top-Risiken für Unternehmen zählen. Interessant sind die Bereiche „Cyber Incidents“ (Cybervorfälle bei der Allianz) bzw. „Cyber Insecurity“ (Cyber-un-sicherheit beim WWF).
Geschäftsrisiken im Allianz Risk Barometer 2024
Das jährlich erscheinenden „Risk Barometer“ der Allianz Versicherungsgruppe betrachtet Unternehmensrisiken. Dem liegt eine Umfrage unter Geschäftsleuten zugrunde, die die Risiken für ihr Unternehmen benennen und in deren Bedrohlichkeit einschätzen sollen. Daraus ergibt sich eine Rangliste der bedrohlichsten Faktoren allgemein, die auch auf die landesspezifische Ebene heruntergebrochen werden kann.
Das Risikobarometer führt Cybervorfälle bereits seit sechs Jahren unter den Top drei Geschäftsrisiken, davon viermal auf Platz eins der weltweiten Bedenken. Nach drei Jahren in Folge auf dieser Position haben Cybervorfälle aktuell einen ungewöhnlich großen Vorsprung von 5% auf das zweite Risiko gewonnen.
Das Spannende daran: Geschäftsrisiken sind durchaus etwas, das Unternehmen im Voraus ermitteln und entsprechend mindern können. Dadurch nimmt ihre Bedrohlichkeit naturgemäß ab. Ein gutes Beispiel dafür ist das auf Rang zwei folgende Risiko Geschäftsunterbrechungen. Waren zu Covid Zeiten noch der Ausfall der Lieferkette ein Hauptrisiko innerhalb dieser Risikogruppe, so stellten sich Unternehmen darauf ein, von kritischen Lieferanten unabhängiger zu werden. Der Ausfall eines Lieferanten kann so inzwischen besser kompensiert werden.
Dennoch ist das Risiko Geschäftsunterbrechung wiederholt auf Rang zwei zu finden und die Hauptsorge das Thema Cyberangriffe, die von 50% der Befragten geteilt wird. Ebenfalls eine Rolle, in Deutschland sogar auf Rang 4 (weltweit Rang 10), spielt dabei der Fachkräftemangel. Er erschwert die Einstellung von Personal zur Bekämpfung von Cybervorfällen.
Welt Wirtschaft Forum – „The Global Risk Report 2024“
Vom Weltwirtschaftsforum (WWF) kommt der „Globale Risiko Report“ Er betrachtet die kurz- (nächsten zwei Jahre) und langfristige (nächsten 10 Jahre) Entwicklung von Risiken und beruht ebenfalls auf einer Umfrage, allerdings werden hier auch anderer Berufe wie z.B. Akademiker oder Politiker befragt. Das ermittelte Risikospektrum wird dadurch breiter. Das WWF geht granularer vor und betrachtet nicht nur die Auswirkung auf die Wirtschaft, sondern setzt diese in Zusammenhang mit anderen Faktoren wie gesellschaftliche und politisch-soziale Strömungen. Interessant dabei ist auch die Betrachtung der Beziehungen der einzelnen Risiken zueinander.
Unter den Top fünf kurzfristigen Risiken (nächsten zwei Jahre) sieht das WWF gleich zwei mit IT Hintergrund. Die Top Position hat dabei Fehlinformation/Desinformation, auf Rang vier folgt Cyber „Un-sicherheit“ bzw. Cyberattacken. Langfristig (über 10 Jahre) gesehen, finden sich diese Risiken auf den Rängen fünf und acht, wobei „ungünstige Ergebnisse bedingt durch künstliche Intelligenz“ - ein weiteres IT-Risiko – sich auf dem Rang sechs ebenfalls in die Top 10 vorschiebt. Insgesamt nehmen IT Risiken dabei auch langfristig Spitzenpositionen ein, wobei das WWF die größeren Gefahren in zehn Jahren vor allem in umweltbedingten Risiken (Plätze eins bis vier) sieht.
Betrachtet man die Wechselwirkungen mit anderen Herausforderungen, so haben IT-Risiken, wenig überraschend, vor allem auf politische und ökonomische Herausforderungen Einfluss. Die „Cyber-un-sicherheit“, ist dabei Katalysator für politische und soziale Unruhen, die ausgelöst durch Klimaveränderungen aber auch politische Konflikte und vor allem durch organisierte Kriminalität zunehmen wird.
Hinzu kommt, dass Technologie wie künstliche Intelligenz auch den Kriminellen manche Handlungen erleichtert: Es fallen zum einen Sprachbarrieren bzw. kulturelle Unterschiede weg, und infolgedessen können organisierte Gruppen aus „sicheren Häfen“ heraus operieren. Zum anderen begünstigen die wirtschaftlichen/politischen Unterschiede auch den Aufbau echter Feindbilder und damit eine Entmenschlichung der Opfer, bzw. das Verschwinden eines Unrechtsbewusstseins.
Bereits heute ist die Strafverfolgung von Cyberkriminellen auf internationale Zusammenarbeit angewiesen. Je mehr Länder es gibt, die sich aus politischen Gründen gegen eine solche Kooperation entscheiden, desto häufiger haben Cyberkriminelle freie Hand. Korruption aber auch die Unterstützung politischer Ziele (z.B. Ausspionieren/Sabotage unliebsamer politischer Gegner) ermöglicht es Kriminellen, ihre Taten ohne Angst vor Strafverfolgung durchzuführen.
Gegenmaßnahme Cybersecurity?
Aktuell existieren allein in Deutschland mehrere Hundert Unternehmen, die sich im Fachhandel als Dienstleister oder als Hersteller mit der Umsetzung von Cybersecurity beschäftigen. Jeder Staat hat eine politische Einheit wie hierzulande das BSI, welches als Schirmherr die IT-Sicherheit für die Einrichtungen des Bundes und als zentraler Ansprechpartner für die Industrie betreut. Die internationale Zusammenarbeit von Polizeibehörden erringt einen Erfolg nach dem anderen gegen die Cyberkriminalität. Und doch verschwinden die Sorgen nicht, sondern sie wachsen.
Und der Grund ist bei der Politik zu suchen. Man nehme nur die gegenwärtige Diskussion zu Softwareschwachstellen hinsichtlich der Umsetzung der europäischen NIS2-Direktive in Deutschland. Aus Sicht der IT-Security gibt es hierzu keine zwei Meinungen. Schwachstellen müssen umgehend geschlossen, veraltete Systeme möglichst ausgetauscht werden. Noch im Koalitionsvertrag der Bundesregierung heißt es zum Thema: „Wir führen … ein wirksames Schwachstellenmanagement, mit dem Ziel Sicherheitslücken zu schließen, … ein.“ Dies scheint aber mit den Interessen der Strafverfolgung und Landesverteidigung zu kollidieren. Sprich: nicht alle Lücken sollen geschlossen werden, sondern nur solche, die sich nicht mehr zur staatlich legitimierten Durchsuchung von Computersystemen verwenden lassen? Eine in Deutschland immerhin offen geführte Diskussion im Gegensatz zu Ländern mit geringeren Skrupeln (auch nicht zur Frage wo die staatliche Legitimierung aufhört). Das Internet ist schließlich grenzenlos. So wurden auch innerhalb der Europäischen Union Überwachungsprogramme in bedenklichen Maßen verwendet.
Fazit
Das Risiko Cyberbedrohung bleibt weiter eine Top Herausforderung für Unternehmen. Das ambivalente Verhalten der globalen Politik zum Thema bedeutet, dass aus dieser Richtung nur wenig Hilfe zu erwarten ist. Unternehmen werden sich deshalb weiterhin selbst verteidigen müssen. Die Technik ist vorhanden, aber die Komplexität wird zur Herausforderung. Denn IT-Security muss für die gesamte IT Umgebung geplant werden. Da sich Unternehmen in ihrem Einsatz der IT oft fundamental unterscheiden braucht es eine vernünftige Planung und Umsetzung.
Wir erstellen wir unsere Lösungen nach bestem Wissen und Gewissen, doch bleibt die Herausforderung bestehen, dass diese Plattformen auf die Bedürfnisse des jeweiligen Kunden angepasst werden müssen. Deshalb bieten wir neben der Technik die Dienstleistung an, diese Systeme einzurichten und sogar zu betreiben, wenn auf Kundenseite nicht genügend eignes Fachpersonal vorhanden ist. Mehr zu unserer Strategie finden Sie hier.