Datenschutz war vor Jahren ein Thema, das die meisten Menschen für uninteressant gehalten haben. Noch vor ein paar Jahren – so Prof. Niko Härting auf der Compliance-Fachtagung 2015 Anfang Mai in Berlin, seien Vorträge zum Thema Datenschutz eher wenig  frequentiert gewesen. Das habe sich angesichts der Abhör- und Spionageskandale in den letzten Jahren stark geändert – wie auch auf der Berliner Tagung - zu beobachten war.

Deutscher Bundestag Opfer von Cyber-Attacken

Und die Bedrohung ist real: Letztes Opfer in einer langen Reihe ist der Deutsche Bundestag. Tagelang haben bisher noch unbekannte Hacker versucht, in das Netzwerk einzudringen. Ganze Bereiche mussten – als letzte Schutzmaßnahme – vom Netz genommen werden. Als Täter vermuten Experten einen ausländischen Geheimdienst.

Doch nicht nur staatliche Stellen kämpfen täglich mit der Bedrohung. Auch viele Unternehmen sind täglich Cyber-Angriffen ausgesetzt. Neben dem Verlust von sensiblen Daten droht aber – so die A.T. Kearney-Studie "Information Security: It’s All About Trust" – auch der Verlust des Vertrauens bei Kunden und Geschäftspartnern.

Die Unternehmen nehmen trotz der realen Bedrohung das Thema IT-Sicherheit immer noch nicht ernst genug. "Unternehmen müssen verstehen, dass Informationssicherheitsrisiken Geschäftsrisiken sind. Die Verantwortung für das Management dieser Risiken liegt bei der Unternehmensführung, nicht bei der IT-Abteilung oder dem CIO", erklärt Michael Römer, Partner bei A.T. Kearney und Leiter des Beratungsbereichs Digital Business in Europa.

Cyber-Angriffe können ebenso schwer vorausgesagt werden wie Erdbeben

Dabei sind die Kosten, die durch Cyber-Angriffe entstehen, immens. Laut der Studie liegen die geschätzten Kosten erfolgreicher Angriffe weltweit jährlich zwischen 400 Milliarden und 2,2 Billionen US-Dollar. Das entspricht etwa dem Bruttoinlandsprodukt von Österreich bzw. Brasilien. Viel langfristiger wiegen aber nach Meinung von Dr. Boris Piwinger, Senior Manager und Leiter des Beratungsbereichs Informationssicherheit bei A.T. Kearney, die Imageschäden, die durch den Vertrauensverlust entstehen. Diese, so Piwinger weiter, seien in einer solchen Berechnung kaum quantifizierbar.

Die Frequenz und damit einhergehend auch die Bedrohungen steigen durch die zunehmende Digitalisierung und den unvermeidlichen Sicherheitsverletzungen. Zugleich werden die die Angriffe immer professioneller. "Der nächste Cyberangriff", so Piwinger, "ist ebenso schwer vorherzusagen wie das nächste Erdbeben.

Nach Ansicht von Piwinger werden die kommenden Jahre durch folgende Trends geprägt sein:

• globale Überwachung,
• gezielte Schwächung von Informationssicherheitstechnologie,
• Attack-as-a-Service-Angebote (AaaS),
• massive Angriffe auf Infrastrukturen und
• industrielle Steuerungssysteme.

Hinzu kommt das „Geschäftsfeld“ Erpressung. Hacker drohen damit, einen zuvor glaubhaft gemachten Schaden massiv in die Höhe zu treiben, bis das "Lösegeld" bezahlt ist.

243 Tage dauert es im Schnitt, bis ein Angriff entdeckt wird

Nach Ansicht der Cyber-Security-Experten von A.T. Kearney agieren viele Unternehmen zu langsam, um mit der rasanten Entwicklung der Angriffe Schritt zu halten. "Wenn Kriminelle erst einmal die Systeme eines Unternehmens infiziert haben, kann es Monate dauern, die Kontrolle zurückzugewinnen“, so Piwinger. „Nach Schätzungen dauert es im Durchschnitt 243 Tage, bis ein Angriff entdeckt wird. So haben die Hacker viel Zeit, um sich nach interessanten Daten umzusehen und das gesamte Unternehmen flächendeckend zu infiltrieren."

Wie Unternehmen ihre Sicherheitsrisiken minimieren können

Nach Auffassung von Piwinger sind "Sicherheitsprobleme selten auf Fehler in nur einem dieser Bereiche zurückzuführen. Erfolgreiche Hacker nutzen typischerweise eine Kombination unterschiedlicher Schwachstellen". Daher, so das Ergebnis der A.T. Kearney-Studie , müssen Unternehmen in den Bereichen Strategie, Organisation, Prozesse, Technologie und Kultur investieren, um die Risiken zu reduzieren. "Unternehmen, die ihre Sicherheitsrisiken minimieren wollen, brauchen eine eng mit der Unternehmensstrategie verbundene Sicherheitsstrategie, ein ausbalanciertes organisatorisches Setup, in dem schwierige Entscheidungen bewältigt werden können, durchdachte und eingeübte Prozesse zur Bewertung und Bearbeitung von Risiken, einen effizienten Einsatz von Technik und vor allem eine starke Unternehmenskultur, die Informationssicherheit als Wertbeitrag und gemeinsame Aufgabe der Gesamtorganisation wahrnimmt“, so Michael Römer abschließend. (Quelle: A.T. Kearney)

Hintergrundinformationen zum Thema IT-Security

Aktuelle Informationen rund um das Thema Datenschutz liefert die Zeitschrift Privacy in Germany (PinG).
Wie Unternehmen ihre IT-Systeme hinsichtlich Sicherheit, Wirtschaftlichkeit und Ordnungsmäßigkeit prüfen können, zeigt Stefan Beißel in dem aktuellen Band "IT-Audit: Grundlagen - Prüfungsprozess - Best Practice".

Und wie – insbesondere öffentliche Institutionen – die Prüfungen von IT-Verfahren effizient ausgestalten, stellt die Fachgruppe "ERP in öffentlichen Institutionen“ im DIIR e.V. erstmals im dem Praxisleitfaden
"Revision von IT-Verfahren in öffentlichen Institutionen" zusammen. Das dargestellte Vorgehensmodell umfasst sowohl eine Bestandsaufnahme als auch Fragen zu den vorhandenen Schnittstellen.