IM-Expertenpool: Digitalisierung : Gehackt – geplatzte Digitalisierungsfantasien?

Verschiedene Einflussfaktoren haben in den letzten Monaten dazu geführt, dass Kriminelle Schwachstellen in Unternehmen noch besser nutzen konnten – Home-Office ist nur eine davon. Andere Einfallstore waren auch vorher schon vorhanden. Fachleute des Rückversicherers Munich Re stellten bereits 2019 bei Cyberkriminellen sowohl eine größere Zielgenauigkeit als auch die Perfektionierung bereist etablierter Methoden, wie Phishing, fest.

Laut der Cyber Security Studie 2020 von KPMG geben 57 % der befragten Unternehmen an, in diesem Jahr Opfer einer Cyberattacke geworden zu sein. Die Dunkelziffer ist höher, weil einige dies nicht offen zugeben und andere den Angriff gar nicht bemerkt haben. Im Durchschnitt dauert es 180 Tage bis eine Attacke auffällt. Außerdem geben 36 % der befragten Unternehmen an, sie könnten den Schaden nicht beziffern und 20 % erwägen sogar den teilweisen oder vollständigen Rückzug aus Anwendungen der digitalen Technologien.

Fälschlicherweise stellen sich viele Leute Hackerangriffe noch immer so vor, als säßen Nerds mit Flaschenbodenbrillen und fettigen Haaren in irgendwelchen Kellern und hacken die Firewalls der Unternehmen. Doch das Klischee trifft nicht zu. Es sind kriminelle Organisationen, die es koordiniert und gezielt auf die Anwenderinnen und Anwender, sprich die Mitarbeitenden, eines Unternehmens abgesehen haben. Eine E-Mail mit täuschend echtem Inhalt, ein Fake-Anruf, der die Preisgabe von Zugangsdaten entlockt oder ein scheinbar harmloses Office-Dokument von einem Kollegen, den man bestens kennt. Diese Art der Intrusion wird als „Social Engineering“ bezeichnet. Sie ist mit 80 bis 90 % der Angriffe, die am weitesten verbreitete Form der Cyber-Attacken. Der Mensch ist und bleibt auch hier die größte Schwachstelle.

Damit man vor Cyberangriffen geschützt ist, braucht es drei Sicherheitsebenen, die vollständig ausgebaut sein müssen.

Die technische Ebene: Diese umfasst die wichtigen Vorkehrungen, wie die richtigen Nutzerrechte, Firewalls, Logs, Managed Clients, regelmäßige Updates, Vieren Scanner, versionierte Backups, usw.

Die menschliche Ebene: Nutzerinnen und Nutzer müssen immer wieder geschult und qualifiziert werden, mit den IT-Anwendungen richtig umzugehen. Dazu gehört insbesondere die Sensibilisierung für Cybersicherheit und das Trainieren der Fähigkeit, suspekte Agitationen zu erkennen.

Die kontinuierliche Ebene: Menschen und Systeme müssen stets überprüft werden, ob die Vorkehrungen auch greifen. Dazu gehören Tests der Backup-Routinen sowie Test-Emails und -Anrufe, die Mitarbeitende in eine „Falle“ locken sollen. Dabei wird geprüft, ob die Person die Bedrohung erkennt. Im Fall eines fehlerhaften Verhaltens muss erneut qualifiziert werden, um die Sensibilität für das Thema konstant aufrecht zu erhalten.

Investitionen in gute IT-Infrastruktur, in die Qualifikation der Mitarbeitenden sowie die dauerhafte Überprüfung der Wirksamkeit kosten viel Geld. Die Investition in diese Elemente ist jedoch minimal gemessen an dem Schaden, der durch einen Cyberangriff entsteht. Neben dem möglichen finanziellen Schaden, etwa im Falle eines CEO-Frauds, bei dem Zahlungen an Unbefugte überwiesen werden, sind auch mittlerweile Verstöße gegen die DSGVO zu berücksichtigen. Wenn fehlerhaftes Verhalten zu Grunde liegt und persönliche Daten verlorengegangen, unbefugt offengelegt oder verändert wurden, kann es teuer werden. Zudem ist der Reputationsschaden bei Kunden und Geschäftspartnern schwer zu beziffern und der Aufwand für alle involvierten Abteilungen im Schadensfall ist beträchtlich.

Dennoch meiden viele Unternehmen teilweise oder ganz derartige Investitionen, denn der Aufwand rechnet sich nicht unmittelbar und leistet keinen Beitrag zur schnellen Erhöhung von Effizienz und Profit.

Hier liegt ein wesentlicher Denkfehler beim Thema Digitalisierung. Unternehmen investierten bisher gerne in digitale Technologien, weil man sich davon mehr Transparenz, mehr Schnelligkeit und mehr vermeintliche Kontrolle – kurz gesagt mehr Effizienz – versprach.

Doch das blieb ein frommer Wunsch. Ich habe unzählige Projekte erlebt, bei denen digitale Technologien eingesetzt wurden, ohne die eigene Prozesslandschaft wirklich verstanden oder gar im Griff zu haben. Hier gilt das bekannte Motto „Shit in, shit out“:

„Ein schlechter Prozess wird, wenn dieser digitalisiert wird, zum schlechten digitalisierten Prozess und ist damit noch instabiler.“

Und weil diese digitalen Lösungen bereits häufig recht kostspielig sind und nicht auf Anhieb funktionieren, werden die nicht unmittelbar zur Effizienz beitragenden Investitionen hintangestellt. So werden einseitige Digitalisierungsstrategien zum offenen Scheunentor für Cyber-Kriminelle und entsprechende Schäden entstehen.

Technologien und Anwendungen können in vielen Fällen sinnvoll sein. Diesen Sinn gilt es stets kritisch zu überprüfen. Es ist jedoch fatal, wenn man die Instrumente der Digitalisierung ausschließlich oder einseitig auf die Steigerung von Effizienz und Profit reduziert. Mindestens genauso wichtig sind Investitionen in Cybersicherheit, sowie in Qualifikation der Mitarbeitenden, um die notwendige Sicherheit zu gewährleisten.

Diese Aufwände sind zwar nicht unmittelbar effizient, zahlen sich aber mittelfristig aus und sind damit sehr effektiv. Unternehmen sollten sich daher nicht von digitalen Technologien verabschieden, sondern verstehen, wie man diese ganzheitlich und sinnvoll einsetzt.

Dr. Mario Buchinger ist Ökonomie-Physiker, Musiker und Autor. Der Spezialist für Veränderungsfähigkeit unterstützt seit mehr als 15 Jahren Unternehmen und Organisationen auf deren Weg zur dauerhaften kontinuierlichen Verbesserung.