Christian Nolting

Cybersicherheit: die Herausforderung für die digitale Zukunft

Christian Nolting, Global CIO, Deutsche Bank Wealth Management, Frankfurt am Main

Quelle: Deutsche Bank

Christian Nolting, Global CIO, Deutsche Bank Wealth Management, Frankfurt am Main - In den Details ist längst noch nicht absehbar, welche Auswirkungen die Digitalisierung in allen Lebensbereichen auf die täglichen Abläufe haben wird. Und dennoch haben die breite Öffentlichkeit, die Wirtschaft und auch die Politik längst ein Gespür dafür entwickelt, dass es in den kommenden Jahrzehnten enorme Umwälzungen geben wird. Mit dem Fortschreiten der Industrie 4.0, wie diese Entwicklung gerne umschrieben wird, rücken auch Sicherheitsfragen mit all ihrem Angstpotenzial in den Blick. Für den Autor hat Cybersicherheit längst eine gesellschaftspolitische Dimension erreicht und geht weit über das unmittelbare Umfeld jedes Einzelnen und jedes Wirtschaftsunternehmens hinaus. Ähnlich wie in ihrer Verantwortung für die politische und physische Sicherheit sieht er es nicht zuletzt als Aufgabe der Regierungen, nun zu entscheiden, inwieweit sie eine Verantwortlichkeit für die elektronische Absicherung ihrer Volkswirtschaften und des Einzelnen tragen. (Red.)

Das Thema Cyber Security ist bereits in den letzten Jahren und vor allem Monaten verstärkt in den Vordergrund gerückt. Dies liegt unter anderem an einigen aufsehenerregenden Fällen, die nicht nur Unternehmen, sondern auch staatliche und politische Institutionen bedroht haben. Das Unbehagen über die Verletzlichkeit persönlicher und gewerblicher Daten ist dadurch nochmals markant gestiegen. Zu den betroffenen Institutionen zählen Gesundheitssysteme, während zu den politischen Institutionen der Betrieb der Wahlkampfkampagnen und die Prozeduren der öffentlichen Meinungsbildung gehören.

Verlässlichkeit von Netzwerken

Es ist für alle Teilnehmer der sozioökonomischen und politischen Umwelt nicht lapidar, sich gegen diese Bedrohung zu wappnen. Dafür gibt es mehrere Gründe. Zunächst einmal ist es für einen Großteil der Gesellschaft schwierig, die Anfälligkeit der Technologie, die den Angriffen und der Abwehr zugrunde liegt, wahrzunehmen.

Die Tatsache, dass es sich um ein vertrauliches Thema handelt, ist für das Verständnis der Problematik nicht förderlich. Unternehmen sind kaum gewillt, ihre Strategien zur Cybersicherheit preiszugeben, während die Anbieter von Sicherheitssoftware ihre Lösungen nur unter Fachleuten besprechen und die Hacker eher im Schatten der Öffentlichkeit agieren.

Fälschlicherweise wird so dieses Thema auf allen Ebenen sehr vertraulich behandelt, was weiter zur Undurchsichtigkeit der Thematik beiträgt. Schließlich ist es eine menschliche Neigung, Dinge, die nicht tagtäglich tangieren, aus der Wahrnehmung auszuklammern, bis die Situation so kritisch wird, dass man sie nicht weiter ignorieren kann.

Doch die sogenannte industrielle Revolution 4.0, die aus der Vernetzung unterschiedlicher Technologien herrührt, gründet auf der Verlässlichkeit von Netzwerken und dem reibungslosen Zusammenspiel von internetbasierten Technologien und ist daher durch externe Störungen dieser Netzwerke verletzbar.

Vier Kategorien von Cyberangriffen

Es hilft dem Verständnis der Problematik, die Mehrzahl der sogenannten Cyberangriffen in vier Kategorien aufzuteilen: Spionage, finanzieller Diebstahl, Diebstahl vertraulicher Daten und Störung von (kritischen) Softwareapplikationen. Angriffe auf politische Institutionen könnten sowohl unter Spionage als auch unter die Kategorie Störung fallen. Spionageangriffe gibt es schon seit längerer Zeit, sind jedoch seit der Infiltrierung des Nationalen Komitees der US-amerikanischen Demokratischen Partei im Jahr 2016 öffentlich bekannt geworden, als über 19 000 E-Mail-Nachrichten gestohlen und auf der Website von Wikileaks veröffentlicht wurden.

Ein typisches Beispiel der Kategorie finanzieller Diebstahl ist der Angriff auf die Zentralbank von Bangladesch, wo sich Hacker in den Computer eines Zentralbankmitglieds einloggten, um über die Überweisungsplattform Swift 81 Millionen US-Dollar umzuleiten. Die Ausspionierung persönlicher Daten wurde durch den Fall der amerikanischen Kaufhauskette "Target" bekannt, als die Daten der Kreditkarten von 40 Millionen Kunden entwendet wurden, was dem Unternehmen einen Schaden von etwa einer Milliarde US-Dollar zugefügt hat.

Dies ist leider nur eines vieler Beispiele dieser Art. Die Bedrohung für softwarebasierte Systeme wurde schließlich durch den sogenannten Wannacry-Angriff zu Beginn des Jahres 2017 bekannt, als Hacker mehr als 200 000 Computer in über 150 Ländern mit virenbehafteter Software infiziert und somit öffentliche Infrastruktur wie Gesundheitssysteme und Telefonnetzwerke lahmgelegt haben. Der Schaden ist schwer zu beziffern, könnte allerdings nach Schätzungen einiger Experten bei über 4 Milliarden US-Dollar liegen.

Die Häufigkeit von Cyberangriffen ist immens: Es kann davon ausgegangen werden, dass es über 10 Millionen solcher Attacken pro Tag gibt.* Über die Hälfte der kleinen und mittleren Unternehmen in den USA sind in den zwölf Monaten zwischen Mitte 2016 und Mitte 1017 mit einem solchen Angriff konfrontiert worden. Heutzutage benötigen Hacker nicht einmal tief greifende technische Kenntnisse: Sie können entsprechende Softwareapplikationen über das Internet und das sogenannte "Darknet" erwerben und sie als Werkzeuge für ihre Attacken benutzen.

Technologischer Wandel

Der digitale Wandel ist heute ein konstanter und permanenter Faktor des Lebens. Bereits klar ist, dass die steigende Vernetzung von Geräten und Applikationen über das "Internet der Dinge" in vielen Fällen nicht nur möglicherweise den Nutzen steigert, sondern gleichzeitig auch neue Möglichkeiten für Angriffe bietet, was eine konkrete Gefahr für Verbraucher und Unternehmen darstellt. Im Durchschnitt besitzt derzeit jeder Verbraucher 6,6 Geräte, die mit dem Internet vernetzt sind. Angesichts der aktuellen Weltbevölkerung bedeutet dies insgesamt über 50 Milliarden vernetzter Geräte.

Mit der Ausbreitung dieser Geräte hat sich auch das Datenvolumen ausgeweitet: Das Volumen der mobilen Daten ist im Laufe der letzten fünf Jahre 18-fach gestiegen, und es wird erwartet, dass es bis 2021 um jährliche 50 Prozent steigen wird. Die 25 bevölkerungsreichsten Länder der Welt haben zusammen eine Internetverbreitungsrate von nur 50 Prozent, da in vielen dieser Länder die technologisierte Mittelschicht noch relativ klein ist, daher wird sich dieser Trend verstärken.

Das Potenzial vernetzter Geräte ist enorm: Es geht primär um Mobiltelefone, Autos, Lichtschaltzentralen und Haushaltsgeräte. Jedes Gerät, das mit dem Internet vernetzt werden kann, unterliegt potenziell der Gefahr, "gehackt" zu werden. Dies könnte zur Infiltrierung von Unternehmensnetzwerken "durch die Hintertür" führen. Das Problem ist, dass die Betreibersoftware meistens nicht mit dem Ziel entwickelt worden ist, vor Angriffen geschützt zu sein. Mit anderen Worten: In nahezu allen vernetzten Geräten gibt es Schwachstellen, die von Hackern ausgenutzt werden können. Oftmals werden Sicherheitsupdates vernachlässigt, was eine unbewusste Gefahr darstellt. Außerdem sind die Investitionen in diesen Bereich in vielen Fällen noch zu gering.

Umfangreiche Sicherheitsvorkehrungen

Was gibt es zu tun? Erstens müssen sich Firmen gegen die Unterbrechung der Geschäftstätigkeit wappnen, welche sowohl den Umsatz als auch das Vertrauen der Kunden gefährden kann. Zweitens müssen Unternehmen die Komplexität der Schwachstellen verstehen und demgemäß Sicherheitskontrollen durchführen. Dafür muss es ein vorab entwickeltes Sicherheitssystem geben, das auf Hardware und Software gründet, die dem Unternehmen bisher fremd gewesen sein mögen. Drittens müssen die Schwachstellen behoben werden, was eine Kenntnis darüber voraussetzt, wie Netzwerke infiltriert werden und welche Sicherheitslücken prioritär zu schließen sind. Viertens müssen für den Notfall redundante Systeme und Netzwerke bereitstehen.

Des Weiteren muss die Fülle der Daten, die sich aus dem Internet der Dinge ergibt, aggregiert und analysiert werden können. Die besten analytischen Lösungen und Algorithmen erkennen nicht nur ungewollte Aktivitäten im Netzwerk, sondern verbessern auch die Schnittstelle für die Kunden. Außerdem müssen Hardware- und Softwarekomponenten bei Bedarf aus dem Netzwerk entfernt werden können, um sie vor von Hackern eingeschleusten Softwarekomponenten unschädlich zu machen. Schließlich sollte die Internetbandbreite der Unternehmen den steigenden Bedürfnissen angepasst werden, um einen möglichen Kollaps des EDV-Systems zu vermeiden.

Die größte Herausforderung für kleine und mittlere Unternehmen dürfte allerdings sein, entsprechende Fachkräfte zu finden und die damit verbundenen Kosten zu tragen. Bereits jetzt hinkt die Ausbildung spezialisierter Sicherheitsexperten dem Bedarf hinterher. Andererseits können die Kosten mangelnder Absicherung für ein Unternehmen existenzgefährdend sein, zum Beispiel im Hinblick auf Patententwendungen (Abbildung 1).

Vom wirtschaftlichen zum gesellschaftlichen Thema

Um sich der Herausforderung der Cybersicherheit zu stellen, ist es zunächst einmal wichtig, dies nicht nur als eine technologische oder wirtschaftliche Aufgabe zu betrachten, die lediglich in der Verantwortung spezialisierter Unternehmen liegt. Stattdessen sollte die Gewährleistung der digitalen Sicherheit als eine gesellschaftliche Aufgabe anerkannt werden, mit der wir nicht nur im Alltag konfrontiert sind, sondern die auch langfristige Auswirkungen auf die politischen und wirtschaftlichen Funktionsmechanismen hat. Dies bietet wohlgemerkt auch Investitionschancen, sofern die Implementierung stimmt. Cybersicherheit kann als ein meritorisches Gut, das heißt ein Gut, bei dem die Nachfrage der Konsumenten hinter dem gesellschaftlich gewünschten Ausmaß zurückbleibt, charakterisiert werden, denn der langfristige Nutzen und Wert der Cybersicherheit wird auf vielen Ebenen noch nicht vollständig erkannt. Was bisher möglicherweise auch nicht erkannt wurde ist, dass Cybersicherheit, wenn sie nicht beachtet wird, eine Bedrohung für das langfristige konjunkturelle Wachstumspotenzial darstellen könnte. Dies geht über die Störung der politischen Meinungsbildung hinaus.

Langfristige wirtschaftliche Wachstumsmodelle wie die Solow-Swan-Analyse erklären das Wirtschaftswachstum, indem sie nicht nur die Kapitalakkumulation, den Faktor Arbeit und das Bevölkerungswachstum berücksichtigen, sondern auch Steigerungen der Produktivität - das Ergebnis technologischen Fortschritts. Wenn mangelnde Cybersicherheit den technologischen Fortschritt stört oder verlangsamt, könnte dies eine materielle Auswirkung auf die wirtschaftliche Wertschöpfungskette und somit die Effektivität des wirtschaftlichen Handelns haben. Die Kosten, die zur Wiederherstellung und Sicherung der Cybersicherheit anfallen, stellen Transaktionskosten dar, die zulasten der Produktivität gehen.

Aus diesen Gründen ist es besonders wichtig, digitale Sicherheit nicht nur als ungeliebten Kostenfaktor zu betrachten, sondern als wesentlichen Teil der Infrastruktur jeder modernen Volkswirtschaft, ähnlich wie ein Rechtssystem. Wie dies funktioniert und wie dies erreicht werden kann, wird für die nächsten Jahre von zunehmender Bedeutung sein. Die Regierungen benötigen dringend eine Antwort im Bereich der Unternehmens- und Staatsführung bezüglich aller Aspekte, die unter dem Stichwort Governance zusammengeführt sind (Abbildung 2).

Ganzheitliche, abteilungsübergreifende Sicherheitskonzepte

Weder die Hacker noch die Anbieter von Lösungen für die Cybersicherheit reden offen davon, was sie tun. In der Vergangenheit hat dies zu vereinfachten und irreführenden Überzeugungen geführt - zum Beispiel zur Annahme, dass nur große Unternehmen gefährdet sind, oder zum Glauben, dass es nur um ein finanzielles Problem geht, ohne die Gefahren für die fortlaufende Geschäftstätigkeit zu berücksichtigen. In manchen Firmen wird die virtuelle Sicherheit als reines Problem der EDV-Abteilung betrachtet, statt Teil eines ganzheitlichen, abteilungsübergreifenden Sicherheitskonzepts zu sein.

Das Thema virtuelle Sicherheit rückt allen mit der Zeit immer stärker ins Bewusstsein, doch die größte Herausforderung für die wirksame Handhabung virtueller Risiken ist die Suche nach dem "Unbekannten" innerhalb eines sich stark wandelnden Umfelds. Risiken können von internen und externen Gefahren herrühren und von verschiedenen Verursachern wie der organisierten Kriminalität, staatlichen Eingriffen, Hobby-Hackern und professionellen Hackern. Es hat sich eine breite Palette von Unternehmen gebildet, die sich darauf spezialisieren, diesen Bedrohungen gerecht zu werden.

Zusätzlich zu den Unternehmen haben in den letzten Jahren mehrere Regierungen verstärkt in diese Branche investiert, trotz der traditionellen Abneigung des Internets gegenüber staatlicher Einmischung und Regulierung. Die Eurozone hat die GDPR-Richtlinie erlassen (General Data Protection Regulation) mit der Absicht, den Schutz der Privatsphäre und die Datensicherheit der Verbraucher zu stärken. Diese Richtlinie verpflichtet Unternehmen, Datenverletzungen innerhalb von 72 Stunden zu melden und sieht Strafzahlungen für Versäumnisse vor. Zu Beginn des Jahres hat der US-amerikanische Gesetzgeber das sogenannte PATCH-Gesetz (Protecting our Ability to Counter Hacking) vorgeschlagen, welches die Regierung verpflichtet, potenzielle Schwachstellen den Unternehmen mitzuteilen, die für die digitale Sicherheit verantwortlich sind. Allerdings bleibt dies bislang ein unvollendetes Projekt. Es wird interessant sein, die Entwicklungen in diesem Bereich weiterzuverfolgen. Es wird für Unternehmen jeglicher Art und Größe unumgänglich sein, stärker und gezielter in Cybersicherheit zu investieren.

Der elektronischen Sicherheitsbranche könnte eine Welle von Akquisitionen und Unternehmenszusammenschlüssen bevorstehen. Für Anleger werden sich Chancen bieten, doch wird dieser Prozess auch eine Debatte über die gewünschte Struktur und Konzentration der Branche hervorrufen. Des Weiteren stellt sich die Frage, wie eng spezialisierte Sicherheitsfirmen mit den existierenden Großunternehmen des Technologiesektors zusammenarbeiten sollen, da letztere bereits wegen ihrer Ansammlung von persönlichen Daten und ihres Umgangs mit vertraulichen Informationen ihrer Kunden in der Kritik stehen.

Verantwortlichkeit der Regierungen

Neue Bedrohungen rufen nach neuen Lösungsansätzen. Ein besonderes Phänomen sind die sogenannten ethischen Hacker, die nach Sicherheitslücken in Netzwerken suchen, um die betroffenen Unternehmen darauf hinzuweisen. Es handelt sich um eine freiwillige, wohlwollende Tätigkeit, eine Art Kooperationsnetzwerk auf freiwilliger Basis für einen gemeinnützigen Zweck. Es lässt sich nur schwer vorhersagen, in welche Richtung diese Entwicklung gehen wird, aber sie scheint ein kreativer, dezentralisierter und vielversprechender Ansatz für die Lösung eines Problems zu sein, dessen Komplexität viele der traditionellen Lösungsansätze übersteigt.

Zurück zu dem Thema Cybersicherheit als Infrastrukturproblem: Es werden sich wahrscheinlich nationale Unterschiede zeigen. Eine gewisse internationale Kooperation wird jedoch notwendig sein, wie dies zum Teil bei Finanzdienstleistungen der Fall ist. Neue Technologien werden zu neuen ethischen Überlegungen in Bezug auf die virtuelle Souveränität des Einzelnen einerseits und zu neuen Gesetzen im Sinne einer neuen digitalen Governance andererseits führen. Ähnlich der Verantwortung für die politische und physische Sicherheit haben Regierungen nun zu entscheiden, inwieweit sie eine Verantwortlichkeit für die elektronische Absicherung ihrer Volkswirtschaften und des Einzelnen tragen.

Fußnote

* ThreatCloud, www.threat-cloud.com

Weitere Artikelbilder

Noch keine Bewertungen vorhanden


X