Cyber-Sicherheit als soziale Verantwortung von UnternehmenDem „globalen Cyberwar“ entgegentreten
5. April 2022Wenn Geschäftsleitungen Unternehmen nicht vor Cyber-Angriffen schützen, gefährden sie nicht nur ihre eigenen Unternehmen, sondern auch ihre Geschäftspartner und die Gesellschaft im Allgemeinen, insbesondere in Kriegszeiten wie der aktuellen Krisensituation in Europa.
Im Cyberspace sind alle Organisationen potenziell Teil einer Krisensituation. In dem Bemühen, schädliche Cyber-Angriffe zu verhindern, hat US-Präsident Joe Biden vor kurzem ein Gesetz unterzeichnet, das kritische Infrastrukturen dazu verpflichtet, alle Cyber-Angriffe innerhalb eines bestimmten Zeitrahmens zu melden. Aber auch Organisationen in anderen Branchen sind nicht immun und sollten sich auf ähnliche Bedrohungen vorbereiten. Es stellt sich nicht mehr die Frage, ob ein Unternehmen angegriffen wird, sondern wann.
Egal, ob kritische Infrastrukturen unter den Angriffszielen sind, die Angriffe absichtlich und freiwillig ausgeführt werden – staatlich agierende Cyber-Kriminelle, staatlich geförderte Hacker und Cyber-Gruppen, die öffentlich ihre Unterstützung für Russland ankündigen, bereiten sich bereits auf Cyber-Angriffe vor, um Schaden anzurichten und lebenswichtige Dienste sowie das öffentliche Kommunikationssystem zu stören.
Unternehmen haben eine soziale Verantwortung (Corporate Social Responsibility, CSR), starke Cyber-Sicherheitsmaßnahmen zu implementieren und sich auf ein Szenario vorzubereiten, in dem Russland Cyber-Angriffe in einem noch nie dagewesenen Ausmaß durchführt. Es gibt viele Möglichkeiten, wie eine Organisation in einem globalen „Cyberwar“ zur Geisel werden kann.
Die Bedrohungen
Eine bevorzugte Methode staatlich gesponserter Bedrohungsakteure ist der Angriff über die Lieferkette, bei dem die Angreifer einen vertrauenswürdigen Partner oder einen Dritten für ihre Angriffe ins Visier nehmen. So musste beispielsweise Toyota vor kurzem 14 Fabriken und 28 Produktionslinien für einen ganzen Tag stilllegen, weil ein Angriff über einen Unterlieferanten erfolgte. In dieser Bedrohungslandschaft besteht die Gefahr, dass Unternehmen zum Einfallstor für Angriffe auf die Lieferkette kritischer Infrastrukturen wie Elektrizität, Finanzdienstleistungen oder Krankenhäuser werden.
Ein weiterer weit verbreiteter Angriffsvektor sind DDoS-Angriffe (Distributed Denial of Service), die darauf abzielen, Dienste durch Überlastung von Servern und Infrastrukturen zu unterbrechen, wie es aktuell sowohl in der Ukraine als auch in Russland stattfindet. Angreifer benötigen sogenannte Botnets, um diese Angriffe auszuführen und ungesicherte Geräte, wie IoT, zu kapern, um lebenswichtige Dienste lahmzulegen.
Man stelle sich vor, dass russische, vom Staat finanzierte Akteure die Kontrolle über ein Netzwerk übernehmen und wichtige Komponenten eines Produkts oder einer Dienstleistung infiltrieren – und damit das Opfer unwissentlich als Aggressor gegenüber den Geschäftspartnern erscheinen lassen.
Ransomware-Angriffe haben in den letzten Jahren immer wieder für Schlagzeilen gesorgt, z. B. bei den Angriffen auf Colonial Pipeline, und CNA Financial zahlte Berichten zufolge 40 Millionen Dollar, um den Zugriff auf Dateien wiederzuerlangen und den Betrieb wieder aufzunehmen. Die Ransomware-Bedrohung hat sich als weit verbreitet und zerstörerisch erwiesen. Die USA haben bereits Konsequenzen gezogen und russische Staatsangehörige angeklagt, die an ausgeklügelten Angriffen auf kritische Infrastrukturen beteiligt gewesen sein sollen.
Cyber-Sicherheitsschutz als ständige Corporate Social Responsibility
Mehrere Ransomware-Gruppen haben sich zu Russland bekannt. Wenn Unternehmen einem Ransomware-Angriff dieser Gruppen zum Opfer fallen, könnten sie den Zugang zu wichtigen Daten für immer verlieren oder das Lösegeld zahlen und damit möglicherweise ungewollt einen finanziellen Beitrag zum fortgesetzten hybriden Krieg leisten.
Die Liste der Möglichkeiten, CSR durch mangelhafte Cyber-Sicherheit zu vernachlässigen, ist lang. Und es ist wichtig zu wissen, dass diese Verantwortung nicht nur in Kriegszeiten relevant ist. Cyber-Sicherheit war schon immer eine soziale Verantwortung der Unternehmen. Aber noch nie war dieser Fakt so offensichtlich wie heute.
Unternehmen, die keine angemessene Cyber-Sicherheit bieten, gehen zu jeder Zeit ein erhebliches Risiko für ihre Kunden, Mitarbeiter, Partner und ihr Umfeld ein, da die Gefahr von Angriffen auf die Lieferkette, Datendiebstahl, Ransomware-Angriffen und DDoS-Angriffen mit realen menschlichen und gesellschaftlichen Auswirkungen allgegenwärtig ist.
Der Ransomware-Angriff auf die Colonial Pipeline, durch den Verbraucher in den USA wochenlang ohne Gas waren, der Angriff auf die Lieferkette von Kaseya, der COOP zur Schließung von Supermärkten in Schweden zwang, der kritische Cyberangriff auf die Wasserversorgung in Florida – all diese Angriffe erfolgten, weil die Sicherheitsüberprüfung nicht funktionierte.
Jetzt ist es an der Zeit zu handeln und Cyber-Sicherheit ganz oben auf die Geschäftsführungsagenda zu setzen. Es ist von entscheidender Bedeutung, dass Unternehmen in der Lage sind, eine robuste Cyber-Sicherheitsstruktur aufzubauen, die bekannte und unbekannte Cyber-Bedrohungen abwehrt.
Die Initiative ergreifen
In Zeiten des Fachkräftemangels im Bereich der Cyber-Sicherheit kann es schwierig sein, genügend kompetente Mitarbeiter einzustellen. Unternehmen können stattdessen zusätzlich auf künstliche Intelligenz und automatisierte Lösungen setzen oder eine Partnerschaft mit einem Managed Security Service Provider eingehen, der rund um die Uhr Cyber-Sicherheit mit ausreichenden Fähigkeiten zur Erkennung von und Reaktion auf Cyber-Bedrohungen bietet.
Darüber hinaus müssen sich Unternehmen von dem Gedanken verabschieden, dass sie von Cyber-Angriffen nicht betroffen sind, und dürfen nicht länger davon ausgehen, dass sie nur durch die Sicherung der äußeren Verteidigungslinien sicher sind. Es braucht nur einen einzigen Cyber-Kriminellen, dem es einmal gelingt, durch die Lücken zu schlüpfen und sich Zugang zu ihrer IT-Umgebung zu verschaffen. Er kann dann die ganze Organisation zum Teil eines größeren Cyber-Angriffs machen oder den Betrieb des Unternehmens gefährden.
Der derzeitige Krieg in der Ukraine hat westliche Organisationen dazu veranlasst, der Ukraine ihre Unterstützung zuzusichern. Viele Unternehmen haben ihre Beziehungen zu Russland eingestellt, sei es in Form von Sanktionen, Corporate-Responsibility-Standards oder um ihren Ruf zu wahren. Wenn jedoch übersehen wird, dass Cyber-Sicherheit eine bedeutende Form von CSR ist, laufen Unternehmen, ihre Kunden und ihre Mitarbeiter Gefahr, Russland bei seiner Cyber-Kriegsführung zu unterstützen. Dies steht im Widerspruch zu den ursprünglich guten Absichten der Unternehmen.
Jesper Zerlang ist CEO von Logpoint