Thought Leadership
In den letzten Jahren sind Cyber-Angriffe in das Bewusstsein der Öffentlichkeit gedrungen. Dennoch besteht, zumindest außerhalb der IT-Branche, immer noch die Auffassung, dass diese Attacken nur im Internet passieren.
Es ist schlicht schwierig, die Auswirkungen von Cyber-Kriminalität auf die Opfer nachzuvollziehen, gleichgültig, ob es sich um eine Einzelperson handelt, die auf einen Online-Betrug hereingefallen ist, oder um ein Unternehmen, das gezwungen war, ein Lösegeld zu zahlen, um seine Systeme wiederherzustellen. Aus diesem Grund wird Cyber-Kriminalität selten wie ein übliches, tatsächliches Verbrechen betrachtet oder behandelt.
Der Gedanke, dass ein Hacker ein multinationales Unternehmen zu Fall bringen könnte, das ist freilich ein wenig weit hergeholt – und liegt auch an den Stereotypen über die Verbrecher, die als verärgerte Informatikstudenten dargestellt werden. Doch in Wirklichkeit sind diese Zeiten vorbei und die meisten virtuellen Angriffe sind das Werk von großen, organisierten und wohlhabenden Verbrecher-Syndikaten. Es handelt sich um hochentwickelte Operationen mit dem Ziel, einem Unternehmen oder einer Behörde, zu schaden.
Machen wir uns der Opfer-Täter-Umkehr schuldig?
Die Sympathie für Unternehmen, die Opfer von Cyber-Kriminalität geworden sind, ist aber eine andere als jene, die wir einer Einzelperson entgegenbringen. Erzählt jemand, dass er attackiert, seine persönlichen Daten kompromittiert und sein Geld gestohlen wurde, ist die natürliche Reaktion das Mitleid. Bei Unternehmen dagegen folgen die Rufschädigung und der Vertrauensverlust. Wir neigen dazu, anzunehmen, dass die Firma als Ganzes etwas falsch gemacht hat oder unvorsichtig handelte. Tatsächlich sagen mir 32 Jahre Erfahrung in der Datensicherung, dass die überwiegende Mehrheit der Zwischenfälle vermeidbar gewesen war und das Ergebnis von Unternehmen sind, die sich nicht an bewährte Praktiken halten, wie zuverlässige Backups.
Das aber führt dazu, dass Unternehmen als Schuldige statt als Opfer angesehen werden, während hingenommen wird, dass die Hacker nicht bestraft werden können, weil es keinen einheitlichen globalen Rechtsrahmen und kein weltweites Justizsystem gibt. Wenn beispielsweise ein Krimineller aus einem anderen Land in die USA reist und ein Verbrechen gegen ein Unternehmen auf amerikanischem Boden begeht, gibt es ein eindeutiges diplomatisches Verfahren, um sicherzustellen, dass diese Person vor Gericht gestellt und das Opfer entschädigt wird. Das ist bei Ransomware nicht der Fall.
Internationale und interkontinentale Zusammenarbeit ist darum die einzige Möglichkeit, um ein Umfeld zu schaffen, worin das Risiko für die Kriminellen höher ist, als die Beute verlockend wirkt.
Selbstverteidigung lernen
In Ermangelung eines Rechtssystems, das uns vollständig schützt, verlangt der grundlegende menschliche Überlebensinstinkt, dass wir lernen, uns selbst zu verteidigen. Im Zusammenhang mit der Cyber-Sicherheit bedeutet dies, dass wir uns auf ein paar grundlegende Dinge konzentrieren müssen. Erstens, es braucht jedes Unternehmen einen dedizierten IT-Sicherheitsbeauftragten, der Zugang zur Geschäftsleitung hat und befugt ist, die Initiative zu ergreifen. Auch kleinere Unternehmen benötigen dringend eine Person, die für die IT-Sicherheit zuständig ist und sich auf die Datensicherung spezialisiert hat. Zweitens, müssen die Unternehmen eine tadellose Digitale Hygiene praktizieren. Dazu gehören zuverlässige Backup- und Wiederherstellungslösungen, sowie obligatorische Schulungen für alle Mitarbeiter, damit sie Angriffe erkennen können und wissen, an wen sie diese melden müssen. Dabei gilt: Je mehr Menschen sich von der Notwendigkeit einer guten IT-Selbstverteidigung überzeugen lassen, desto aufmerksamer sind sie und umso bereitwilliger werden sie die Scheuklappen abnehmen. Lösegeld zu zahlen gehört jedoch nicht zu den guten Ratschlägen, denn Unternehmen, die Lösegeld zahlen, nähren das Gefühl der Verbrecher, dass es einfach ist, Geld zu erpressen. Das führt dazu, dass diese Angriffsart lukrativer und somit verlockender wird. Besser ist die Umsetzung einer modernen Datenschutzstrategie, die wirksame Abwehrmaßnahmen gegen IT-Angriffe mit einem umfassenden Ansatz für Datensicherung und Notfallwiederherstellung kombiniert. Das hilft, um im Fall des erfolgreichen Angriffs die Systeme schnell wieder in Betrieb nehmen zu können.
