Die beste Sicherheitsstrategie beginnt auf Führungsebene

Führungskräften mangelt es an Verantwortungsbewusstsein

Im vergangenen Jahr kam es zu einer Reihe massiver Cyber-Angriffe – zu den wohl bekanntesten Opfern zählten Unternehmen wie Uber, LastPass oder Reddit. Dabei kam interessanterweise des Öfteren eine Kombination aus Social Engineering und anderen Methoden zum Einsatz, deren Ziel darin bestand, die Multi-Faktor-Authentifizierungssysteme (MFA) zu umgehen.

Das allein ist nichts Außergewöhnliches. Um an ihr Ziel zu gelangen, versuchen Hacker:innen immer wieder, MFA-Systeme zu umgehen, die gegen mehr Angriffsklassen schützen als Ein-Faktor-Authentifizierung. Allerdings wird die Vorgehensweise der Cyber-Kriminellen zunehmend professioneller, wie auch die bereits erwähnte Studie von Bitkom belegt: 2019 wurden nur 21 Prozent aller Angriffe von organisierten Hacking-Banden ausgeführt – inzwischen liegt ihr Anteil bei satten 51 Prozent.

Doch die ausgeklügelten Methoden sind nicht das einzige Problem. Auch innerhalb der Unternehmen gibt es zahlreiche Versäumnisse, die den Betrüger:innen zusätzlich in die Karten spielen. Manche befinden sich angesichts der Gefahr in einer regelrechten Schockstarre und wissen vor lauter Überforderung gar nicht, wo sie anfangen sollen, um die eigenen Systeme vor der potenziellen Gefahr zu schützen. Andere messen der Thematik schlichtweg nicht genügend Wichtigkeit bei. In den aller meisten Fällen gehen die Gründe für eine mangelnde Cyber-Sicherheit jedoch mit einer Verantwortungslücke in der Chef:innen-Etage einher – und diese lässt sich auch vom besten IT-Team der Welt nicht ausgleichen.

Angriffsabwehr ist nicht unmöglich

Da Hacker:innen immer raffinierter vorgehen, ist es für viele Mitarbeiter:innen inzwischen unmöglich, Maschen wie Social Engineering oder Phishing-Mails als Betrugsversuch zu enttarnen. Für Unternehmen ist das ein ernstzunehmendes Problem, denn trotz aller Sicherheitsmaßnahmen, die ergriffen werden, ist das schwächste Glied am Ende häufig der Mensch selbst. Bedeutet das etwa, dass Unternehmen keine Chance mehr haben, sich vor Angriffen auf ihre sensiblen Daten zu schützen? Die gute Nachricht lautet: Nein. Dass es möglich ist, Phishing von Zugangsdaten und MFA-Umgehungsversuche zu verhindern, haben Fälle aus der Vergangenheit bereits eindrucksvoll bewiesen.

Im vergangenen Jahr berichtete beispielsweise das US-Unternehmen Cloudflare, wie es Opfer eines 0ktapus-Angriffs wurde: 76 Mitarbeiter:innen erhielten zeitgleich eine Nachricht, die von einer angeblichen IT-Abteilung stammte und dazu aufforderte, auf einer verlinkten Website das Passwort zu ändern. Da die Seite der unternehmenseigenen IT-Plattform zum Verwechseln ähnlich sah, wurde der Angriff von Cloudflares Überwachungssystemen nicht als betrügerisch eingestuft, was zur Folge hatte, dass einige Mitarbeiter:innen ihre Zugangsdaten bedenkenlos weitergaben. Glücklicherweise konnte dank der verwendeten FIDO-Security Keys Schlimmeres verhindert werden.

Wie das Beispiel von Cloudflare beweist, ist es durchaus möglich, sich gegen Datendiebstahl oder Spionage zu wehren. Was hält Unternehmen also davon ab? Wir beobachten in der Regel zwei wesentliche Hindernisse, die den Fortschritt ausbremsen: Entweder liegt die Verantwortung bei den CSOs oder CISOs, die sich der Problematik zwar bewusst, aufgrund begrenzter Ressourcen oder Unterstützung seitens des Unternehmens aber nicht in der Lage sind, effektive Maßnahmen einzuleiten. Oder aber das IT-Team arbeitet isoliert und erfährt nur wenig Unterstützung der Geschäftsführung, weshalb potenziell erfolgreiche Sicherheitsstrategien bereits vor der Umsetzung scheitern. Letzteres ist vor allem in kleineren Unternehmen ein ernstzunehmendes Problem.

Sicherheit beginnt in der Führungsetage

Der derzeitige Umgang mit Cybersicherheit erinnert stark an die Art und Weise, wie ESG-Themen (Environmental, Social and Governance) vor etwa einem Jahrzehnt behandelt wurden. Ein Begriff, der in diesem Zusammenhang geprägt wurde, ist das sogenannte „Purpose Washing“, der leere Versprechungen beschreibt, ohne tatsächlich ins Handeln zu kommen. Sowohl Regierungen als auch Konsument:innen verlangen jedoch zunehmend, dass Unternehmen sich nicht nur als ESG-freundlich darstellen, sondern ihre Fortschritte anhand von Zahlen und Fakten belegen. Auch hinsichtlich der eigenen Cyber-Sicherheit reicht es nicht aus, proaktives Handeln nur vorzugeben, um Rufschädigung oder Vertrauensverlust vorzubeugen. Spätestens dann, wenn die Folgen öffentlich werden, ist der Reputationsschaden nur noch schwer zu beheben.

Um messbare und verlässliche Ziele erreichen zu können, ist es wichtig, das stiefmütterliche Verhältnis zur Cybersecurity endlich zu überwinden. Noch immer wird die Thematik als rein technisch missverstanden und die Führungsetage geht davon aus, dass die Verantwortung allein beim IT-Team liegt. Doch genau diese Einstellung hat viele Unternehmen in die prekäre Lage gebracht, in der sie sich heute befinden. Sie müssen sich aus ihrer reaktiven Ohnmacht befreien und stattdessen eine proaktive Herangehensweise etablieren – und die beginnt auf höchster Ebene.

Dass die Geschäftsführung die Verantwortung, die sie trägt, endlich entsprechend wahrnimmt, ist essenziell. Sie müssen in ständigem Kontakt mit den Security-Verantwortlichen stehen, Informationen austauschen, Fragen stellen, Maßnahmen abstimmen und finanzielle Mittel freigeben. Dieses Engagement wird nicht nur untereinander, sondern auch für die gesamte Belegschaft als positives Signal dienen. Denn am Ende ist es nur dann möglich, eine umfassende Strategie zu implementieren, die eine dauerhaft sichere Unternehmensumgebung gewährleistet, wenn alle an einem Strang ziehen.