Sie haben im Campus Verlag das Buch »Chefsache Cybersicherheit« veröffentlicht. Warum ist das Thema unbedingt Chefsache (und nicht Sache der IT-Abteilung)?
Thomas R. Köhler: Auch wenn es wenig bekannt ist, ergibt sich das bereits aus der aktuellen Gesetzeslage. Sowohl Aktiengesellschaften als auch Unternehmen anderer Gesellschaftsformen, insbesondere GmbHs, müssen demnach »Risikofrüherkennung« betreiben, gerade wenn es um potentiell »bestandsgefährdende Risiken« geht. Spätestens seit der Pleite eines Fensterbauerbetriebes, der 2020 nach einem Cybersicherheitsvorfall den Betrieb nicht mehr anfahren konnte, muss man Cyberrisiken dazu zählen.
Darüber hinaus: Wer, wenn nicht die Chefin oder der Chef, soll sich des Themas denn annehmen, fehlen doch in den meisten mittelständischen Unternehmen klare Verantwortlichkeiten, während es in Großunternehmen meist einen CISO (Chief Information Security Officer) oder CSO (Chief Security Officer) gibt.
Die eigene IT-Abteilung, wenn es denn eine solche gibt und nicht nur ein, zwei Administratoren und den ein oder anderen externen Dienstleister, ist in den meisten Fällen viel zu sehr damit beschäftigt, dafür zu sorgen, dass alles »irgendwie läuft« – hier kann man strategisches Vorgehen mit Blick auf die stark wachsende Bedrohungslage kaum erwarten, vor allen Dingen nicht, wenn der Führungsetage das Problem nicht vor Augen ist.
Sind Sie der Meinung, dass die Cybersicherheit hierzulande die Aufmerksamkeit bekommt, die nötig wäre?
Thomas R. Köhler: Absolut nicht. Rund Dreiviertel der Unternehmen in Deutschland (und ähnlich viele auch in unseren Nachbarländern Österreich und Schweiz) geben zu schon mal einen Cybersicherheitsvorfall erlebt zu haben, dennoch liest man kaum etwas davon in den Medien. Im Gegenteil. Im Regelfall tun die Unternehmen alles dafür, den Vorfall selbst unter den Tisch zu kehren. Nur wenn das nicht geht, weil die Schadenssumme zu groß ist, Kunden und Geschäftspartner davon Wind bekommen oder das betroffene Unternehmen als börsennotiertes Unternehmen zur Veröffentlichung verpflichtet ist, erfahren wir überhaupt davon und selbst dann oft nur die halbe Wahrheit. Zum Teil, weil man natürlich zum Vorfall noch den öffentlichen Spott und Vertrauensverlust erleben möchte und zum anderen natürlich, weil bei einem Datenverlust immer zusätzlich auch noch Bußgelder der Datenbehörden nach DSGVO drohen. Und wer möchte nach einem Sicherheitsvorfall schon eine Schlagzeile wie »Deutschlands dümmster Zulieferer« (Manager Magazin) über sich und sein Unternehmen lesen. Da hält man lieber still und hofft nicht aufzufallen, nimmt aber so anderen potentiellen Opfern die Chance sich rechtzeitig mit den Herausforderungen zu beschäftigen.
Wo fängt das Thema Cybersicherheit im Unternehmen an und hat sich das mit der großen digitalen Disruption grundlegend verändert in den letzten Jahren?
Thomas R. Köhler: Mit zunehmender Vernetzung steigen auch die Risiken, so simpel ist das. Wenn Sie im Vor-Internet Zeitalter einen Konkurrenten ausspähen oder eine Bank ausrauben wollten, da war der Aufwand und das Risiko groß. Sie mussten hinfahren oder jemand hinschicken und das stets mit dem Risiko aufzufliegen oder auf frischer Tat gefasst werden. Mit dem Internet und der enormen Bedeutung für unsere Arbeits- und Lebenswelt können Sie nun – auch als Verbrecher - überall gleichzeitig sein, ohne auch nur das Haus verlassen zu müssen. Sie können außerdem gezielt die Schwächen im System suchen, also etwa, statt die Bank zu überfallen, versuchen, Überweisungen umlenken. Als Verbrecher können Sie so Millionen umsetzen und in vielen Ländern der Welt damit rechnen, unbehelligt zu bleiben, solange Sie nicht ihre eigenen Landsleute bestehlen und den »richtigen« Leuten etwas abgeben.
Wir haben es – alles in allem - mit einem explodierenden Problem zu tun. Alleine von 2019 auf 2020 haben sich die gezahlten Lösegeldsummen für Ransomware-Attacken mindestens verdreifacht. Aber das ist noch nicht alles: Wir erleben gerade, dass Cybersicherheitsvorfälle zur Gefahr für Leib und Leben werden. Im September 2020 starb etwa eine Notfallpatientin, die wegen eines Cybersicherheitsvorfalls nicht in der Uniklinik Düsseldorf aufgenommen werden konnte, beim Weitertransport in ein Krankenhaus nach Wuppertal. Kein Einzelfall: Während wir dieses Interview führen, hat ein ähnliches Problem große Teile des irischen Gesundheitssystems in Mitleidenschaft gezogen. Und erst vor drei Monaten war ein Cyberangriff auf die Wasserversorgung eines Teils des US-Bundesstaates Florida in letzter Sekunde verhindert worden. Anders gesagt: Es geht längst um Leben und Tod.
Aufgrund der aktuellen Corona-Pandemie sind viele Mitarbeiter_innen ins Homeoffice umgezogen. Wie wirkt sich die Umstrukturierung von Arbeit auf die Cybersicherheit aus?
Thomas R. Köhler: Viele Fehler wurden bereits beim Umzug ins Homeoffice gemacht. Provisorische Anbindungen ans Unternehmensnetzwerk wurden vielfach »eben so« eingerichtet und sind heute, Monate oder Jahre später, immer noch im Einsatz und eine Einladung an Cybergangster sich mal umzusehen. Hinzu kommt, dass viele Anwenderinnen und Anwender im Homeoffice nicht so genau trennen zwischen unternehmenseigenem und privatem Equipment. Da werden private Rechner mit zweifelhaften Softwareständen und nicht selten Virenbefall für Unternehmensaufgaben genutzt oder eben auch Unternehmensgeräte durch Familienangehörige mitverwendet. Sicherheitsvorfälle sind da vorprogrammiert.
Aber auch die Vereinzelung im Homeoffice belastet die Sicherheitsbilanz. Während Mitarbeiterinnen und Mitarbeiter im Büro mal eben den Tisch oder Raumnachbarn fragen konnten, wenn ihnen eine Mailanlage oder eine Fehlermeldung zweifelhaft vorkam, so ist das im Homeoffice nicht möglich und damit problematisch.
Sie sprechen in ihrem Buch von einer ganzen »Verbrechensindustrie«. Können Sie ein Beispiel aus der Praxis nennen, wie so etwas konkret abläuft?
Thomas R. Köhler: Sie können heute vollständige Schadsoftwarelösungen auf dem Schwarzmarkt per Revenue-Sharing erwerben. Nur die Zielunternehmen müssen Sie noch selber raussuchen, den Rest erledigen spezialisierte Dienstleister gegen eine angemessene Beteiligung am erzielten Erlös. Die Entwickler der Software steigern so ihre Reichweite und konzentrieren sich auf die Weiterentwicklung des »Produktes«. Wieder andere Spezialisten sorgen bei Abschluss für die Weiterleitung des Geldes. Diese enorme Arbeitsteiligkeit wurde bereits in vielen Fällen nachgewiesen. Verbunden mit immer höheren Erlösen werden die Verbrecher immer professioneller und rekrutieren sich gut bezahlten Nachwuchs. Ich befürchte nun, dass vielfach die klügsten eines Jahrgangs in vielen Ländern sich dem Verbrechen anschließen. Dies betrifft verschiedene osteuropäische Länder ebenso wie asiatische Staaten oder in Afrika etwa Nigeria. Derzeit sieht es nicht danach aus, als das an dieser Ursache für die weiterhin explodierende Cybersicherheitsproblematik etwas ändert.
Die meisten Führungskräfte sind keine IT-Experten. Inwiefern hilft ihr Buch bei der Suche nach der idealen Sicherheitslösung für das eigene Unternehmen?
Thomas R. Köhler: IT-Systeme und speziell Lösungen für Cybersicherheit sind ein Tummelplatz für immer neue Begriffsbildungen und Themen Hypes. Mein Anspruch für das Buch ist es, hier Klarheit reinzubringen und den Leserinnen und Lesern – das Buch richtet sich ja ausdrücklich an »Nicht-Technik-Experten« – das nötige Rüstzeug zu geben, wichtiges von unwichtigem unterscheiden zu können und die richtigen Investitionsentscheidungen treffen zu können.
Was sind die aktuell drei größten Bedrohungen für den Mittelstand in Sachen Cybersicherheit?
Thomas R. Köhler: Das finanziell bedrohlichste Risiko ist Ransomware. Steht erstmal der Betrieb ist guter Rat vielfach teuer. Wer dann nicht vorgesorgt hat, kommt kaum noch dran vorbei das Lösegeld zu bezahlen. Die dafür aufgerufenen Summen sind inzwischen typischerweise sechsstellig und bei größeren Unternehmen auch mal siebenstellig. Das kann leicht den Jahresgewinn um ein Mehrfaches überschreiten und an die Rücklagen gehen.
Gleich dahinter kommt in ihrer Tragweite eine Bedrohung, die eigentlich nur zum Teil ein technisches, sondern viel mehr ein organisatorisches Problem ist: »CEO Fraud« oder »Fake President«. Damit ist gemeint, dass Mitarbeiterinnen oder Mitarbeiter im Unternehmen dazu gebracht werden sollen, Geldsummen an Dritte zu überweisen. Die Anweisung dazu kommt nur scheinbar von Chefin oder Chef. Typischerweise werden die Strukturen im Unternehmen dazu per Social Media ausgespäht und dann reicht vielfach eine gefälschte Mail und hunderttausende sind weg. Das dritte – vielfach noch vollkommen unbekannte Risiko – steht im Zusammenhang mit dem Internet der Dinge. In dem Masse wir unsere Maschinen, Anlagen und Fahrzeuge vernetzen, müssen wir auch dort mit Cybersicherheit nachrüsten. Sonst steht irgendwann der Betrieb, die Teile werden nicht fertig oder können nicht ausgeliefert werden – die Folge können Millionenregressforderungen durch die Abnehmer sein.
Thomas R. Köhler ist einer der profiliertesten Vordenker zum Thema Cybersicherheit und Verfasser mehrerer Bücher zur Sicherheit im Netz. Er bringt Erfahrung aus universitärer Forschung und Lehre, Unternehmensberatung und eigenen Unternehmen mit. Als Geschäftsführer der Münchner Technologieberatung CE21 berät er Unternehmen und öffentliche Einrichtungen bei der Bewertung von Cyberrisiken und dem Aufbau und Betrieb sicherer Infrastrukturen. Köhler ist seit 2019 Research Professor am Center for International Innovation der Hankou University (China).