Führung · Innovation · Risikomanagement
X LinkedIn V+ Abonnement
VANGUARD VANGUARD
Sicherheit

Cybersicherheit: Alle reden davon – aber wer handelt?

Patrick Bardel | | 1 Min. Lesezeit

Alle reden von Cybersicherheit, aber keiner tut was dafür. Das scheint derzeit allgemeine Wahrnehmung zu sein. Es fehlt nicht an Erkennt - nissen und Experten, um zu wissen, was zu tun ist. Sobald es darum geht, die angemessenen Maßnahmen umzusetzen und Ressourcen bereit - zustellen sind, prallen sie oft am Festhalten an Gewohnheiten oder Handlungszwängen ab. So laden offenstehende Schwachstellen Hacker mit kriminellen Absichten zum Missbrauch ein. Ein wenig erinnert es an die Situation, als sich die Immun-Erkrankung AIDS ab den 1980er-Jahren ausbreitete. Allen war der Slogan „Kondome schützen“ ein Begriff. Die Praxis war dagegen geprägt vom Ansatz „Ohne ist schöner.“ in Kombination mit dem Mantra „Hab immer aufgepasst, was soll schon passieren …“. Der Vergleich offenbart zudem eine weitere Parallele, warum es gut ist, sich zu schützen: Es geht nicht nur um das eigene Wohlergehen, sondern auch um den Schutz der anderen. Doch spätestens die Erfahrungen der Corona-Pandemie zeigen, dass das Prinzip der dualen Verantwortung für sich und die Gesellschaft ähnlich wie der kate - gorische Imperativ noch keine Allge - meingültigkeit erlangt hat. Das schmälert die Relevanz der Cybersicherheit jedoch keineswegs. Der folgende Artikel leitet diese Relevanz aus drei Aspekten ab: aus dem technischen Entwick - lungstempo, der aktuellen Bedro - hungslage und den regulatorischen Anforderungen. Am Ende lassen sich alle drei Bereiche wieder auf das Prinzip der Verantwortung zurückführen – als eine Einsicht in Notwendigkeit und damit zuge - hörige Komponente zur Freiheit. Seit den letzten Jahrzehnten erlebt der technische Fortschritt im Bereich der Computertechnik eine revolutionäre Entwicklung. Die ersten Großrechner in der Mitte des 20. Jahrhunderts füllten noch Räume mit einer Rechenleistung, die längst von unseren Smartphones in der Hosentasche übertroffen wird. Mit dem Aufkommen des Internets in den 1990er Jahren erfuhr die Welt eine grundlegende Veränderung in der Art und Weise, wie Menschen kommunizieren, Informationen austauschen und Geschäfte tätigen. Die ständige Weiterentwicklung von Netzwerktechnologien hat zu einer global vernetzten Gesell - schaft geführt, die in Echtzeit Infor - mationen austauscht. Effizienz und Produktivität steigerten sich in zahlreichen Branchen und neue Geschäftsmodelle und soziale Inter - aktionen entstanden, die zuvor undenkbar waren. Neue Möglichkeiten schaffen aber auch Abhängigkeiten; und sei es aus der Komfortgewohnheit und dem menschlichen Fortschrittsstreben heraus. Jedes neue Level an Komfort und Fortschritt macht es unvor - stellbar, ohne Not wieder auf einen alten Standard zurückzufallen. Dabei vollzieht sich der Prozess der Digitalisierung in allen Lebensbe - reichen so rasant, dass der Bedarf und die Umsetzung von Schutzmaß - nahmen erst nachträglich erfolgen. Doch das Phänomen kennen wir auch von anderen technischen Entwicklungen. Die ersten Auto - modelle besaßen keine Sicher - heitsgurte. Inzwischen gehören diese zur serienmäßigen Pflichtaus - stattung eines jeden Neuwagens dazu. Die Analogie liefert zudem ein klares Beispiel, dass die Einführung von Schutzmaßnahmen besser funktioniert, wenn sie nicht einseitig erfolgt: Hersteller in der EU sind gemäß Richtlinie 77/541/EWG des EU-Rates vom 28. Juni 1977 verpflichtet, alle in der EU neu zuge - lassenen Fahrzeuge mit Sicherheits - gurten auszustatten. Der Endnutzer muss sie daher nicht extra kaufen, ist aber verpflichtet, sich anzu - schnallen. Was die aktuelle Bedrohungslage für den Cyberbereich angeht, sollten wir alle längst angeschnallt sein. Es ist ein Irrtum, russische Hacker hätten erst mit dem Ukraine-Krieg 2022 begonnen „den Westen“ anzugreifen. Bereits im Mai 2021 wandten sich die Betreiber der Colonial Pipeline an die Behörden in den USA. Angreifer hatten ihre Daten verschlüsselt und forderten ein Lösegeld für deren Wieder - freigabe. Den Hackern gelang es mit einer simplen E-Mail das System zu infiltrieren. Sie konnten zwar nur in den Backoffice-Bereich eindringen und nicht in die Kontrollsysteme. Doch aufgrund der zunächst unklaren Lage entschloss sich das Unternehmen das komplette System herunterzufahren, um das Risiko eines tieferen System - befalls zu reduzieren. Dadurch kam es zu einem tagelangen Ausfall des Pipeline-Transports und zu Engpässen bei der Kraftstoffver - sorgung für die Bevölkerung. Die Regierung in Washington musste zwei Tage nach der Meldung des Angriffs den regionalen Notstand ausrufen. Das FBI ermittelte, bei den Angreifern handele sich um eine Gruppe sogenannter professio - neller Hacker namens DarkSide. Der Name tauchte erstmals im August 2020 in Hacking-Foren in russischer Sprache auf und ist eine Ransomware-as-a-Service- Plattform – eine von inzwischen vielen.  siehe [INFOBOX]. Als im Frühjahr 2023 die „Vulkan Files“ an die Öffentlichkeit gelangten, belegten sie erneut, dass der Kreml im Bereich der Cyberkriegsführung Vorbereitungen als auch Angriffe bereits vor dem Überfall auf die Ukraine begann. Die internen Unterlagen der russischen IT-Firma NTC Vulkan hatte eine anonyme Quelle geleaked. Mehr als 50 Jour - nalisten aus acht Ländern werteten das Material aus. Demnach gab und gibt es mit hoher Wahrscheinlichkeit weiterhin eine gezielte Anwerbung von IT-Ingenieuren für staatliche Cyber-Projekte in Zusammenarbeit mit und zwischen den russischen Geheimdiensten, um Schwach - stellen für mögliche Angriffe auszu - spähen und die Informationsflüsse im Internet zu kontrollieren. Die immerhin gute Nachricht der „Vulkan Files“: sie zeigen Grenzen der russischen Cyberfähigkeiten auf, wie z. B. mangelnde Fähigkeiten komplexe Verschlüsselungen zu knacken. Doch die Dateien verdeut - lichen auch, dass ein Angreifer im Cyberbereich so erfolgreich ist, wie es ihm die Schwachstellen der Opfer erlauben. Dabei sind IT-Schwachstellen nicht nur eine Bedrohung als Einfallstor für kriminelle und staatliche Hacker. Auch Systemfehler können zu Betriebsvorfällen führen. Eine Auswertung der deutschen Bundesanstalt für Finanzdienst - leistungsaufsicht (BaFin) vom Juli 2024 zeigt: Durch IT-Vorfälle verur - sachte Störungen bei Zahlungs - dienstleistern hatten selten einen externen Angriff als Ursache, sondern interne und operationelle Fehler bei den Prozessen und Systemen. In Zukunft ist nicht nur gestraft, wer ungeschützt das Ziel von Cyber-Attacken wird. Wer kein funktionierendes Sicherheitsma - nagement für seine IT-Prozesse hat, wird wegen regulatorischer Verstöße zur Kasse gebeten. Die Europäische Kommission plant ab dem 18. Oktober 2024 in allen EU-Mitgliedstaaten die Anwendung der EU-Cybersicherheitsrichtlinie NIS-2 (The Network and Information Security Directive). Zeitliche Abweichungen können sich national durch die jeweiligen NIS-2-Umsetzungsgesetze ergeben. In Österreich bekam die Richtlinie keine parlamentarische Mehrheit und liegt damit vorerst auf Eis. In Deutschland dürfte die Umset - zungsfrist weiterhin gesetzt sein, doch diagnostiziert der Verband der Internetwirtschaft eco, nur wenige Unternehmen seien wirklich auf NIS-2 vorbereitet. Dabei betrifft die Richtlinie zahl - reiche Branchen: Als wesentliche Organisationen („essential“) sind hauptsächlich KRITIS-Unternehmen gelistet, die für das staatliche Gemeinwesen von entscheidender Bedeutung sind, darunter die Branchen Energie- und Wasser - versorgung, Transport, Finanz- und Bankwesen, Gesundheit sowie öffentliche Verwaltung. Zu den wichtigen Organisationen („important“) zählen sieben Branchen: Post- und Kurierdienste, Abfallwirtschaft, Lebensmittel - produktion, Chemikalienindustrie, digitale Dienste (wie Suchma - schinen, Online-Marktplätze, Cloud- Services, soziale Netzwerke), Industrie (einschließlich Maschi - nenbau, Fahrzeugbau, Datenver - arbeitungsgeräte) sowie Forschung. Es drohen empfindliche Strafen bei Nichterfüllung: bis zu zehn Millionen Euro oder zwei Prozent des Gesamt - jahresumsatzes bei den laut NIS-2 als wesentlich eingestuften Firmen. Bei den als wichtig geltenden Unternehmen fallen bis zu sieben Millionen Euro oder 1,4 Prozent des Gesamtjahresumsatzes an. In beiden Fällen ist der jeweils höhere Betrag maßgeblich. Wichtiger Zusatz hierbei: Es haften die Leitungs - organe von Unternehmen mit ihrem Privatvermögen für die Einhaltung der erforderlichen Maßnahmen. [<-Nach Doppelpunkt fett oder unterstrichen als Markierung möglich?] Für den europäischen Finanzsektor greift zudem ab dem 17. Januar 2025 der europäische Digital Operational Resilience Act, kurz DORA. Damit soll ein einheitlicher Regulierungs - rahmen für die digitale operative Widerstandsfähigkeit von Zahlungs - dienstleistern geschaffen werden. Bei Nichteinhaltung steht es zwar den EU-Mitgliedstaaten frei, Sank - tionen zu erheben. Aber umso mehr sind Bußgelder unausweichlich, da DORA im Gegensatz zur NIS- 2-Richtlinie als Gesetz in Kraft tritt. Diese Form der Belangung bei Verstößen unterstreicht das Prinzip der Verantwortung zum Eigen - schutz und für Dritte. Ein Cyber - angriff betrifft in der Zeit heutiger Produktions- und Dienstleistungs - abhängigkeiten selten eine Insti - tution allein. Mit einer Ausfallzeit von Geschäftsprozessen, dem Schaden in IT-Systemen und dem Datenverlust entsteht auch immer ein Ereignis der wahrnehmbaren Dysfunktionalität. Die Häufung an Dysfunktionalität gefährdet die Stabilität einer Gesellschaft. Am Ende wird immer ein Preis zu zahlen sein: a) Sie investieren in den Schutz ihrer IT-Systeme, weil Sie die Zeichen der Zeit erkennen. b) Sie finanzieren Cyberkriminelle als Opfer ihrer Ransomware. c) Sie verstoßen gegen die für Sie geltenden Anforderungen von NIS-2 und DORA und zahlen Bußgelder. Spätestens wenn Option b) publik wird, kommt Option c) additiv dazu. Und damit beginnt hier die Verant - wortung der Leitungsebene: Sie treffen die Wahl. Cybersicherheit – eine Frage der Verantwortung b jörn h awlitschka

In Zeiten des beliebten Outsourcings ermöglicht Ransomware-as-a-Service lukrative Joint Ventures zwischen Kriminellen mit einerseits fortgeschrittenen und andererseits weniger ausgeprägten IT-Fähigkeiten. Dabei programmieren und warten die Profi-Hacker eine hochwertige Ransomware und stellen sie Kriminellen ohne größere IT-Skills zur Verfügung. Diese können dann die Software nutzen, um die IT-Systeme der von ihnen ausgewähltem Opfer mit Ransomware zu infizieren und Lösegeldzahlungen zu erpressen oder Wirtschafts - spionage bei der Konkurrenz zu betreiben. Vom erzielten Gewinn der „Franchises“ geht ein Anteil an den „Mutter-Konzern“, der auch zur Weiterentwicklung des Produkts reinvestiert wird. Obwohl es sich hier um eine dunkle Seite der Wirtschaft handelt, ohne Compliance geht es hier ebenfalls nicht. So erfolgte im Mai 2021 eine Erklärung der „Leitungsebene“ von DarkSide, dass die Schä - digung des Pipeline-Betriebs nicht ihre Intention war und sie keine Aktion verantworten wollen, die Auswirkungen auf die Bevölkerungsversorgung habe. Zudem wurden Verbes - serungen der Arbeitsprozesse und der Kundenbetreuung versprochen: „Ab heute führen wir Moderation ein und über - prüfen jedes Unternehmen, das unsere Partner verschlüsseln möchten, um künftige soziale Konsequenzen zu vermeiden.“ Wie auch bei anderen Ransomware-Plattformen kommt es bei DarkSide zu einer doppelten Erpressung. Ein Betrag wird fällig, um einen digitalen Schlüssel zum Entsperren von Dateien und Servern zu erlangen. Eine Extrazahlung steht für das Versprechen, dass die Hacker alle kopierten Daten nicht weiterverbreiten, sondern vollständig löschen. Wer als Opfer hier spart, erlebt ein weiteres Geschäftsmodell von DarkSide: Die Daten werden in der Sparte der moralisch unbelasteten Börsenzocker- Community als Vorabinfos über ein Daten-Fiasko verkauft. Danach finden die gestohlenen Informationen über einen „victim shaming blog“ ihren Weg in die Öffentlichkeit. Was ist Ransomware-as-a-Service? b jörn h awlitschka Mediation ist ein vertrauliches und strukturiertes Verfahren, in dem ein neutraler und allparteilicher Vermittler den Parteien hilft, eigenverantwortliche Lösungen zu finden. Dies gilt sowohl für die klassische Mediation als auch für die Wirtschaftsmediation. Doch während klassische Mediation in verschiedensten Bereichen wie Nachbarschaftsstreitigkeiten, Schule, Familie, Scheidungen, Strafrecht oder interkulturellen Konflikten eingesetzt wird, fokussiert sich die Wirt - schaftsmediation auf den beruflichen und unternehme - rischen Kontext (z. B. Arbeitsplatzkonflikte, Spannungen zwischen Mitarbeitern und Vorgesetzten, Konflikte zwischen Abteilungen, Auseinandersetzungen zwischen Gesellschaftern, Streitigkeiten zwischen Unternehmen, Vertragsstreitigkeiten, Unternehmensfusionen, u. dgl.). In der Wirtschaftsmediation sind hingegen die Konflikte oft komplexer und beinhalten mehrere Parteien und Stakeholder mit unterschiedlichen Interessen. Dazu gehören auch rechtliche und wirtschaftliche Rahmen - bedingungen, die berücksichtigt werden müssen. Wirt - schaftsmediatoren benötigen somit spezifisches Wissen über betriebswirtschaftliche Zusammenhänge und unternehmerische Prozesse. Sie müssen in der Lage sein, Machtungleichgewichte auszugleichen und unternehme - rische Abhängigkeiten und Vernetzungen zu erkennen und zu verstehen. Wirtschaftsmediation ist nicht nur in Krisenzeiten von großer Bedeutung, da sie eine Alter - native zu langwierigen und kostspieligen Gerichtsver - fahren bieten und helfen kann Geschäftsbeziehungen aufrechtzuerhalten und zu stärken. Die Vorteile der Wirtschaftsmediation liegen auf der Hand. Es geht um Kostenersparnis, Vermeidung von teuren und langwierigen Rechtsstreitigkeiten, Zeiter - sparnis, schnelle Lösungen im Vergleich zu Gerichtsver - fahren, Erhaltung von Geschäftsbeziehungen, Förderung einer konstruktiven Zusammenarbeit auch nach der Konfliktlösung, sowie um Flexibilität mögliche, kreative und maßgeschneiderte Lösungen zu finden, die für alle Parteien vorteilhaft sind. Diese Möglichkeiten und Auswirkungen der Wirtschaftsmediation finden sich in Unternehmen und Organisationen, Unternehmensko - operationen wieder. Grundelemente der Wirtschaftsmediation sind: ■ Freiwilligkeit: Beide/alle Parteien müssen freiwillig am Mediationsprozess teilnehmen. Die Bereitschaft zur Mediation ist entscheidend für den Erfolg des Prozesses, da die Parteien nur dann konstruktiv und offen miteinander kommuni - zieren, wenn sie freiwillig dabei sind. ■ Neutralität: Der Mediator muss neutral und unparteiisch sein. Er unterstützt die Parteien dabei, eine Lösung zu finden, ohne selbst eine Position zu beziehen oder eine Entscheidung zu treffen. ■ Vertraulichkeit: Alles, was in der Mediation besprochen wird, bleibt vertraulich. Diese Vertraulichkeit fördert ein offenes und ehrliches Gespräch, da die Parteien sicher sein können, dass ihre Aussagen nicht gegen sie verwendet werden. ■ Selbstbestimmung: Die Parteien selbst erarbeiten die Lösung ihres Konflikts. Der Mediator gibt keine Lösung vor, sondern hilft den Parteien, selbst eine Vereinbarung zu treffen, die ihren Bedürfnissen und Interessen entspricht. ■ Strukturierter Prozess: Wirtschaftsmediation folgt einem strukturierten Ablauf, der typischerweise in Phasen unterteilt ist: Einleitung, Erfassung der Themen, Interessenklärung, Entwicklung von Optionen und Vereinbarung einer Lösung. Die Ausbildung zur Wirtschaftsmediation umfasst neben den grundlegenden Mediationsfähigkeiten auch spezielle Kenntnisse und Kompetenzen in den Bereichen Wirtschaft und Recht. Dazu gehören: wirtschaftliches Verständnis (Kenntnisse in Betriebswirtschaft und Unter - nehmensführung), rechtliche Kenntnisse (Verständnis von Handels- und Vertragsrecht), Konfliktmanagement (Spezifische Techniken und Methoden zur Lösung von Konflikten im wirtschaftlichen Umfeld), Kommunikations - fähigkeiten (Fähigkeiten zur effektiven Kommunikation und Verhandlung) Nicht nur in Krisenzeiten, wie wirtschaftlichen Abschwüngen oder pandemiebedingten Heraus - forderungen, spielt die Wirtschaftsmediation eine entscheidende Rolle. Sie kann helfen, Krisen zu bewältigen, indem sie Unternehmen dabei unterstützt, interne und externe Konflikte effizient zu lösen und somit Stabilität und Kontinuität zu gewährleisten. Wirtschaftsmediation bietet wertvolle Werkzeuge und Methoden zur Lösung von Konflikten im geschäftlichen Umfeld. Sie bietet eine flexible, kostengünstige und vertrauliche Alternative zu gerichtlichen Auseinanderset - zungen und fördert kooperative Lösungen, die Geschäfts - beziehungen erhalten. Eine fundierte Ausbildung und spezialisierte Kompetenzen sind entscheidend, um als Wirtschaftsmediator erfolgreich tätig zu sein und den vielfältigen Herausforderungen gerecht zu werden. Im 21. Jahrhundert hat die Wirtschaftsmediation durch Digitalisierung, Globalisierung und die zunehmende Komplexität von Geschäftsbeziehungen an Bedeutung gewonnen. Trotz ihrer vielen Vorteile hat die Wirtschaftsmediation auch Grenzen. Sie kann keine Rechtsberatung bieten, keine Einigung garantieren, keine Entscheidungen erzwingen, keine grundlegend schlechten Geschäfts - beziehungen reparieren und ist nicht für alle Konflikte geeignet, insbesondere solche, die tiefgreifende rechtliche oder ethische Implikationen habe. Dennoch bleibt sie ein mächtiges Werkzeug zur Förderung von konstruktiver Konfliktlösung und langfristiger Zusam - menarbeit im Geschäftsleben. Weiterführende Informationen finden Sie auf: https://www.zfrk.org/fachbereiche/wirtschaftsmediation Wirtschaftsmediation: Effiziente Konfliktlösung im Unternehmen m a G. j ohann h öfler

# Sicherheit