Das Immunsystem schützt den Körper vor Angriffen von außen. In ähnlicher Weise kann auch ein Unternehmen als „Körper” betrachtet werden. Durch die zunehmende digitale Transformation sind Unternehmen in ihrer Kommunikation und Interaktion mit der Außenwelt offener und damit anfälliger geworden.
Cyberkriminelle nutzen diese Schwachstellen aus und dringen mit immer ausgefeilteren Techniken und Tools in IT-Systeme ein, um Schaden anzurichten. In diesem Sinne ist Cybersicherheit mit dem Immunsystem eines Unternehmens vergleichbar: Sie ist unverzichtbar und entscheidend für das Wohlergehen und sogar für das Überleben eines Unternehmens.
Von Alain Conrard, Präsident der Kommission für digitale Strategien und Innovation des METI (Berufsverband französischer mittelständischer Unternehmen).
Was ist ein Immunsystem?
Das Immunsystem ist ein komplexes Netzwerk aus Zellen, Geweben und Organen. Es schützt den Körper vor Angriffen von außen. Viren, Bakterien, Parasiten, Keime und viele andere Mikroben versuchen ständig, in den Körper einzudringen und sich dort zu vermehren.
Das kann zu Krankheiten führen und den Körper anfälliger machen. Entweder nutzen die Mikroben den Wirt als Nahrungsquelle, wie es bei Parasiten der Fall ist, oder sie nutzen den menschlichen Körper als Nährboden für ihre Vermehrung, wie es bei Viren, Bakterien und Pilzen der Fall ist. Manchmal kann der Wirt diese aggressiven Infektionen nicht überwinden und stirbt.
Von Natur aus ist ein Organismus offen für die Welt, da er sie zum Überleben braucht, um beispielsweise Nahrung zu finden oder zu atmen. Alle Organismen sind anfällig und durchlässig. Sie sind daher ständig vielfältigen Risiken und Angriffen ausgesetzt, die das Immunsystem abwehren muss.
In gewisser Weise kann man ein Unternehmen auch als Organismus betrachten. Es kommuniziert und tritt mit der Außenwelt in Beziehung auf eine viel offenere und verletzlichere Art und Weise. Für ein Unternehmen sind Austausch und Kommunikation sogar überlebenswichtig. Ob es um den Zugang zu Rohstoffen, die Bestellung von Ausrüstung, Partnerschaften oder den Umgang mit Lieferanten und Kunden geht – all diese Aktivitäten sind Kommunikationskanäle nach außen. Die vollständige Digitalisierung durch die digitale Transformation von Unternehmen (und allen Arten von Organisationen) sowie die Corona-Pandemie und die damit verbundenen Lockdowns haben eine völlig neue digitale Art der Kommunikation zwischen all diesen Akteuren hervorgebracht.
Diese digitale Revolution hat zwar zu unglaublichen Fortschritten geführt, aber auch zahlreiche Möglichkeiten für Cyberkriminelle geschaffen. Diese nutzen die Situation schnell aus, um in IT-Systeme einzudringen und sie zu infiltrieren. Sie nutzen dafür immer ausgefeiltere Tools, um absichtlich Schaden anzurichten. Es gibt viele Risiken.
Der Anstieg der Cyberkriminalität, bei dem Hacker die zahlreichen Schwachstellen der heute mehr denn je miteinander verbundenen und komplexen IT-Systeme ausnutzen, erfordert ausgeklügelte und robuste Cybersicherheitslösungen. Diese wirken wie ein Heilmittel oder wie Antikörper und tragen dazu bei, Cyberangriffe zu reduzieren oder sogar abzuwehren. Sie schützen das digital transformierte IT-System eines Unternehmens, das dessen Lebensader ist, und somit das Unternehmen als Ganzes.
Ein gesundes und ausgeglichenes Leben zu führen, regelmäßig Vorsorgeuntersuchungen zu machen, vorsichtig zu sein und bei Bedarf Medikamente einzunehmen – all diese Empfehlungen für die menschliche Gesundheit gelten heute auch für Unternehmen und jede andere Art von Organisation.
Der Begriff „Virus” wird heute sowohl in der Biologie als auch in der IT-Sicherheit verwendet. In diesem Sinne sind alle Cybersicherheitslösungen und -programme das Immunsystem eines Unternehmens. Das Wohlergehen und sogar das Überleben von Unternehmen hängen davon ab.
Ein wichtiger Bestandteil der Unternehmensstrategie
Und so rückt die Cybersicherheit in den Mittelpunkt der Unternehmensstrategie. Mit Blick auf die Zukunft und die neuen Grenzen von Innovation und Geschäftswachstum steht Cybersicherheit an erster Stelle der „To-do-Liste“ – und umfasst weit mehr als nur technologische Überlegungen, wie die meisten Menschen glauben.
Genauso wenig sinnvoll wäre es, das Immunsystem des menschlichen Körpers als einen externen Schutzschild zu betrachten, der lediglich über den Körper gelegt wird, um dessen Funktionieren zu unterstützen, obwohl es doch ein wesentlicher und grundlegender Bestandteil des Körpers ist. Ebenso wenig sinnvoll ist es, Cybersicherheit, so nützlich sie auch sein mag, als Accessoire zu betrachten. Die Aufmerksamkeit und der Fokus, die ihr in den letzten Jahren zuteil wurden, haben Cybersicherheit zu einer geschäftlichen Grundvoraussetzung gemacht.
Sie hat sich von einer „Nice-to-have“-Alternative zu einem „Must-have“ für praktisch alle Unternehmen entwickelt. Wenn sie in der Regel als eine Art „Versicherungspolice“ betrachtet wird – und dieser Aspekt wird derzeit tatsächlich als Ergänzung zu Cybersicherheitspaketen entwickelt –, dann handelt es sich um eine integrierte Versicherungspolice. Während eine Kfz-Versicherung beim Kauf eines Autos nicht enthalten ist, ist Cybersicherheit Teil eines Unternehmens. Die Boston Consulting Group erklärte, dass Cybersicherheit „kein technologisches Projekt ist. Es handelt sich um einen unternehmensweiten Ansatz mit starker technologischer Unterstützung.“
Wie alle Lebewesen ist auch ein Unternehmen darauf angewiesen, sich an Bedrohungen anzupassen, um zu überleben. Das Problem ist jedoch, dass sich diese Bedrohungen ständig ändern, Abwehrmaßnahmen umgehen und oft genug durchkommen. Diese äußerst vielseitigen Bedrohungen sind tatsächlich eines der größten Probleme für Führungskräfte und CIOs/CISOs, denn was heute noch Schutz bietet, ist morgen schon überholt. Die Erfahrungen der Vergangenheit helfen meist nicht weiter, um die Bedrohungen von morgen abzuwehren.
Ein Cyberangriff, der von einem kompromittierten IT-System eines Partners oder Lieferanten ausgeht, kann das gesamte Unternehmen gefährden, indem er die Geschäftsprozesse zum Erliegen bringt. Deshalb müssen alle Mitarbeiter des Unternehmens aktiv in die Schulung zu Best Practices im Bereich Cybersicherheit einbezogen werden: von den Führungskräften über die CIOs und CISOs bis hin zu den Vorstandsmitgliedern und den Mitarbeitern in den unteren Ebenen. Da die meisten Sicherheitsverletzungen auf mangelnde Cyberhygiene, also menschliches Versagen, zurückzuführen sind, liegt die Verantwortung für die Sicherheit eines Unternehmens bei allen. Es ist wie bei einem Körper, der infiziert ist und viele Antikörper produzieren muss, um gesund zu bleiben.
Cybersicherheit erfordert also eine ständige Anpassung. Sobald diese Logik fest verankert ist – denn es gibt definitiv kein Zurück –, wird das Gesamtbild klarer. Es gibt keinen Grund, in Angst zu leben, es sei denn, Angst schürt oder beschleunigt Prävention und Schutz. Sie müssen Risiken einschätzen und die erforderlichen Maßnahmen ergreifen, um Angriffe zu antizipieren und zu verhindern, statt erst im Nachhinein zu handeln. Und wenn es trotz allem zu einem Angriff kommt, müssen Sie in der Lage sein, diesen abzuwehren.
Entscheidend ist, dass Sie potenzielle Bedrohungen strukturiert analysieren und abwehren können, ohne in Hektik oder Panik zu verfallen. Cyber-Risikomanagement erfordert fundierte Kenntnisse. Meistens sind die Menschen, die mit diesen Problemen konfrontiert sind, jedoch absolute Anfänger – insbesondere in KMUs und mittelständischen Unternehmen –, die in der Regel weder über die Zeit noch über die Ressourcen oder Mittel verfügen, um sich effektiv und detailliert mit diesem Thema auseinanderzusetzen.
Sie sind lediglich daran interessiert, die Risiken zu minimieren und sich wieder um ihr Kerngeschäft zu kümmern. Aus diesem Grund ist es unerlässlich, eine Cybersicherheits-Sensibilisierungskampagne auf allen Ebenen durchzuführen – am besten mit Hilfe eines erfahrenen Partners, der Sie auf diesem sich ständig weiterentwickelnden Weg begleitet.
Cyberrisiken gefährden alle Unternehmen und veranlassen sie, darüber nachzudenken, wie sie sicherstellen können, dass ihre Mitarbeiter die erforderlichen Best Practices anwenden. Die Bewältigung dieses Risikos ist mittlerweile ein Regulierungsprozess, der die Integrität eines Unternehmens sichert. Aus diesem Grund zwingt uns die Cybersicherheit, eine ganze Reihe von Betriebsabläufen zu überdenken. Diese sind dann viel rationaler und in gewisser Weise auch effektiver. Somit trägt Cybersicherheit sogar zur Verbesserung der Gesamteffizienz des Unternehmens bei.
Das Risiko einer Pandemie
Was für Unternehmen gilt, gilt auch für Einzelpersonen, Organisationen und Staaten. Genau wie Strahlenrisiken sind Cyberrisiken allgegenwärtig – sie betreffen alle und jeden, unabhängig von der sozialen Schicht. Cybersicherheit hat sich an die Spitze der Prioritätenliste gearbeitet. Tatsächlich sind Cyberrisiken aufgrund ihrer Häufigkeit und der Schäden, die sie verursachen können, neben der globalen Erwärmung, Fragen der öffentlichen Gesundheit und der zivilen und militärischen Nutzung der Kernenergie zu einem Thema von öffentlichem Interesse geworden. Sie gehören nun zu den „größten Bedrohungen für die Welt und die Menschheit“. Cyberbedrohungen haben mittlerweile Pandemieausmaße erreicht.
Diese Pandemie ist nicht mehr wegzudenken. Sie verbreitet sich durch die riesigen Datenmengen, die im Umlauf sind, sowie durch den Wert und/oder die Erkenntnisse, die diese Daten darstellen, immer weiter. Informationen sind zu einem äußerst wertvollen Gut geworden, was sich beispielsweise in Bereichen wie Spionage oder Kriegsführung zeigt. Wir wissen, dass Daten heute die wichtigste Quelle für Wertschöpfung sind. Daher ist es nur logisch, dass mit der Verbreitung dieser Zahlen und Zeichen auch Cyberkriminalität einhergeht, die sich diesen Schatz aneignen und davon profitieren will.
Eine Zahl verdeutlicht das Ausmaß dieses gigantischen Phänomens: Wäre Cyberkriminalität eine eigenständige Wirtschaft, wäre sie nach den Vereinigten Staaten und China die drittgrößte Volkswirtschaft der Welt.
Das Immunsystem der Demokratie stärken: „Silos der Gewissheit“ durchbrechen”
Gier ist nicht das einzige Motiv von Cyberkriminellen, Daten zu stehlen. Daten können nämlich auch dazu genutzt werden, die öffentliche Meinung zu beeinflussen und zu formen. Tatsächlich wurden bereits hochentwickelte Techniken eingesetzt, um Informationen zu verfälschen und mithilfe von Fake News und Deepfakes die öffentliche Meinung zu manipulieren sowie Verschwörungstheorien zu verbreiten. Ausländische Mächte haben diese Techniken bereits genutzt, um Wahlergebnisse zu beeinflussen und die öffentliche Meinung in feindlichen Nationen sowie in verbündeten Ländern zu manipulieren.
Der Cyberspace wurde ursprünglich geschaffen, um den freien Informationsfluss für ein möglichst breites Publikum zu fördern und somit unsere Demokratie zu sichern. Aufgrund des Drucks so vieler unterschiedlicher Einflüsse ist es jedoch inzwischen unmöglich geworden, seine Meinung oder Gedanken zu äußern.
Was passiert, ist, dass Nutzer durch die verschiedenen Algorithmen der sozialen Medien in sogenannten „Blasen der Gewissheit“ eingeschlossen werden. Dadurch wird eine offene und ehrliche Debatte verhindert, die die Grundlage jeder Demokratie und ihrer parlamentarischen Systeme ist. In Parlamenten finden Debatten statt, in denen unterschiedliche Ansichten und Meinungen auf zivilisierte und konstruktive Weise miteinander konfrontiert werden, um Kompromisse zu finden.
In diesen „Blasen der Gewissheit” geht es jedoch nicht darum, demokratische Prinzipien zu diskutieren und zu verteidigen, sondern die eigenen Überzeugungen zu verbreiten und sich selbst zu bestätigen. Die daraus resultierende Gewalt schadet dem Verständnis von Politik. Ein wichtiger Teil der Maßnahmen zur Wahrung der demokratischen Prinzipien ist daher die Cybersicherheit, um Fake News und die Manipulation von Informationen im Cyberspace zu verhindern. Durch die Stärkung des „Immunsystems” der Demokratie gehen wir die potenziellen „Gesundheitsprobleme” der politischen und sozialen Landschaft an.
Die Frage ist jedoch, ob die Machthaber bereit sind, das Notwendige zu tun – in einer Zeit, in der die öffentliche Autorität an Boden verliert und die Autorität des Staates weltweit schwindet. Diese Fragen erfordern, dass die Verantwortlichen wachgerüttelt werden.
Cybersicherheit zählt zu den größten Herausforderungen unserer Zeit. Als das „Immunsystem” von Unternehmen trägt sie maßgeblich dazu bei, die Nachhaltigkeit der Weltwirtschaft unter der ständigen Bedrohung durch Cyberangriffe zu gewährleisten.
Der Artikel wurde ursprünglich in La Tribune veröffentlicht.
