Geopolitisch motivierte Cyberangriffe finden immer öfter nicht nur zwischen Nationalstaaten statt. Behörden, Regierungsstellen und private Organisationen sind laut der europäischen ENISA-Agentur beliebte Ziele. Unternehmen und öffentlicher Sektor sind gefordert, in Sachen Cybersicherheit aufzurüsten, um den Angriffen standzuhalten.
Laut der Europäischen Cybersicherheitsagentur (ENISA) betrafen allein fast ein Fünftel der Vorfälle die öffentliche Verwaltung. Weitere 13 Prozent hatten die digitale Infrastruktur und digitale Dienstleistungen als Ziel. Kleine Behörden oder Unternehmen (KMU) sind nicht zwingend das primäre Ziel. Sie können den Angreifern jedoch als Einfallstore für Großkonzerne oder Staaten dienen, zum Beispiel wenn diese KMUs ihre Lieferanten sind.
Schwachstellen können beispielsweise bei den eingesetzten Software-Produkten oder externen Dienstleistern auftreten. Um solche Verflechtungen herauszufinden, betreiben politisch motivierte Angreifer regelrecht Marktrecherche, um auch auf verschlungenen Pfaden an ihr Ziel zu gelangen.
Auch Rechenzentren oder IT-Dienstleister stehen dabei im Fokus. Diese sind interessante Ziele, weil sie Zugänge zu einer Vielzahl an öffentlichen Einrichtungen und Unternehmen haben. Geopolitisch motivierten Angreifern geht es dabei nicht unbedingt um Geld. Sie wollen laut ENISA häufig sensible Daten und Betriebsgeheimnisse stehlen oder sogar Unterbrechungen verursachen.
Wie gut sich Organisationen dagegen wehren beziehungsweise mit einem Sicherheitsvorfall umgehen können, ist nicht primär von ihrer Größe abhängig. Wichtig ist vor allem, welchen Stellenwert die Cybersecurity einnimmt und welche Ressourcen zur Verfügung gestellt werden:
# Chief Information Security Officer (CISO): Cybersicherheit ist kein Thema mehr, das sich nebenbei erledigen lässt. Idealerweise sollte es eine Person geben, die für die IT-Sicherheit voll verantwortlich ist.
# Verortung des CISO: Cyber-Risiken können zur existenziellen Bedrohung eines Unternehmens werden. Die Cybersicherheit sollte deshalb eng mit der Geschäftsstrategie verwoben sein. Daher sollte der CISO und sein Team nicht der IT-Abteilung zugeordnet sein, sondern direkt an Geschäftsführung und Vorstand berichten.
# Bereitschaft zur Prozessveränderung: Security ist eine Querschnittseigenschaft, die auf viele Prozesse innerhalb einer Organisation einwirkt. Egal ob Personalprozesse, Einkaufs- und Finanzprozesse oder Asset- und Berechtigungsmanagement: Security sollte überall integriert werden.
# Budget für Security-Tools: Der CISO sollte genug Budget zur Verfügung haben, um die nötige Security-Technologie anzuschaffen, auf den spezifischen Bedarf anzupassen und zu betreiben, die auch automatisiert verdächtige Vorgänge im Unternehmensnetzwerk erkennen kann.
# Personelle Ressourcen: Neben der technischen Komponente braucht eine Organisation eine gut aufgestellte Cybersicherheitsabteilung. Zum einen ist der Schutz vor Cyberangriffen ein breites Feld, das verschiedenste Kompetenzen erfordert. Zum anderen ist Cybersicherheit sehr zeitaufwändig, da sich die Angreifer nicht an Geschäftszeiten halten und die Angriffsmethoden immer komplexer werden.
# Resiliente Prozess-Ketten: Auch wenn die Cybersicherheit gut aufgestellt ist, kann es zu einem Sicherheitsvorfall kommen. Dann ist es wichtig, ein Konzept parat zu haben, wie man im Fall der Fälle vorgeht. Die Prozesse sollten sich über alle Bereiche spannen: von der Fachseite über die Technik bis hin zu Dritten, wie Dienstleistern oder Kunden. Geplant werden sollte unter anderem, wer wen im Ernstfall informiert, wer welche Entscheidungsbefugnisse besitzt und wie in zeitkritischen Situationen auf einen Vorfall reagiert wird. Der Aufbau eines Business Continuity Management Systems geht diese Herausforderungen strukturiert und nachhaltig an.
Die Entwicklung einer Cybersicherheitsstrategie ist oft eine anspruchsvolle Aufgabe. Zunächst muss im gesamten Unternehmen ein Bewusstsein für die Bedrohungslage geschaffen werden, damit die IT-Sicherheit die nötige Bedeutung erhält. Interne Widerstände sind dabei nicht zu unterschätzen, daher ist es wichtig, alle Mitarbeitenden auf allen Ebenen einzubeziehen. Für die Konzeption und den täglichen Betrieb kann es hilfreich sein, externe Unterstützung in Anspruch zu nehmen, beispielsweise von einem Managed Security Service Provider (MSSP). Die Technologie muss regelmäßig überprüft und aktualisiert werden, und auch das Fachpersonal muss stets über die neuesten Angriffsmethoden und Sicherheitsrisiken informiert sein. Es kann sinnvoll sein, ganze Teilbereiche, einschließlich Personalressourcen, Security-Technologie und (Teil-)Prozesse an einen Dienstleister auszulagern und ein SOC-as-a-Service zu nutzen, entweder als cloud- oder On-Premise-basiertes Betriebsmodell, je nach Bedarf. Auf diese Weise bleibt die Sicherheitstechnik und das Know-how auf dem neuesten Stand, und das Unternehmen kann sich auf sein Kerngeschäft konzentrieren.
