Der 12. Mai 2017 war kein Tag wie jeder andere, wie sich in den Abendstunden zeigen sollte. Es war der Beginn von einem der größten Cyberangriffe auf öffentliche und private IT-Infrastruktur, auch bekannt als „WannaCry“-Attacke. Ebenso war es auch der Tag, an dem Cyberkriminalität für einen Teil der Bevölkerung erstmalig persönlich sicht- und greifbar wurde.
Flächendeckende Ausfälle der digitalen Anzeigetafeln an Bahnhöfen und Lösegeldforderungen auf dem eigenen Computer waren dabei nur zwei der sichtbarsten Ausprägungen. Doch nicht nur die Bevölkerung wurde auf diese Art und Weise unmittelbar mit Cyberkriminalität konfrontiert. Auch Akteure aus Politik, der Behörden und insbesondere der Industrie bekamen im negativen Sinne eindrucksvoll vor Augen geführt, was sie schon lange hätten wissen (sollen) – die Risiken von Cyberangriffen sind im Hier und Jetzt angekommen.
Digitalisierung? Aber sicher!
Nicht zuletzt dieses Beispiel zeigt, dass Hackerangriffe in den letzten Jahren drastisch zugenommen haben. Schätzungen des Branchenverbandes bitkom gehen alleine in Deutschland von Schäden durch IT-Angriffe in Höhe von über 40 Milliarden Euro nur in den vergangenen zwei Jahren aus. Mit der Digitalisierung aller Branchen wächst die Bedrohung durch Cyberkriminalität.
Vor dem Hintergrund der dafür notwendigen Modernisierung der IT-Infrastruktur gilt es, neue Wege zu beschreiten, um einerseits Innovation zu ermöglichen, auf der anderen Seite jedoch kompromisslos Sicherheit zu gewährleisten. Denn eines ist klar: Cybersicherheit ist ein elementarer Bestandteil für wertschöpfende Innovation, darf aber gleichzeitig nicht zum Hemmschuh von Innovation werden. Dabei gilt es, die richtige Balance zwischen Innovation und Sicherheit zu finden.
Zum einen sind hier die Akteure der Wirtschaft in der Pflicht, die in den eigenen Unternehmen der strategischen Ausrichtung der IT-Infrastruktur zur Gewährleistung von Cybersicherheit beitragen müssen. Eingeschlossen darin sind die Mitarbeiter aller Hierarchieebenen, die bewusst und entschlossen mit Bedrohungen durch Cyberkriminalität umgehen müssen.
Zum anderen bedarf es klarer regulatorischer Rahmenbedingungen und der Bereitschaft von Politik und Verbänden zur Partizipation im Bereich der Ressourcenbereitstellung. Erst der Austausch aller beteiligten Stakeholder ermöglicht, dass eine nachhaltig, cyber-resiliente Umwelt geschaffen werden kann.
Cybersicherheit bedeutet Vertrauen und Verantwortung
Den Beschäftigten kommt dabei eine besondere Bedeutung zu. Jeder Mitarbeiter ist ein Teil der Firewall und es ist gemeinsame Aufgabe der Sicherheitsverantwortlichen, die Mitarbeiter in die Lage zu versetzen, sich selbst und ihren Arbeitsplatz und damit auch das Unternehmen gegen Cyberangriffe zu schützen. Wiederum sind Mitarbeiter auch in der Pflicht, die notwendigen Schritte bewusst umzusetzen und so zum gemeinsamen Erfolg beizutragen.
Strukturell spielt dabei der Austausch neuralgischer Funktionen eine besondere Rolle. Es ist essentiell, Silos aufzubrechen und oftmals isolierte IT-Security-Abteilungen eng an operative Themen anzubinden und in Projekte zu involvieren. Dies kann nicht nur zu einer deutlichen Erhöhung des Sicherheitsniveaus beitragen, sondern durch Methoden wie IT-„Security by design“ zur Kostenreduktion und Standardisierung der Prozesse beitragen.
In enger Abstimmung mit dem zentralen Sicherheitsverantwortlichen, der ausgestattet mit weitreichender Kompetenz, Verantwortliche aller relevanten Bereiche koordiniert und anleitet, gilt es im Konsens Cyber-Risiko-Toleranzen festzulegen und Priorisierungen vorzunehmen. Es gilt, Beteiligte zu Betroffenen zu machen und so das Bewusstsein für die gemeinsame Verantwortung zu schärfen. Dabei geht es sowohl um ein gemeinsames Verständnis bei Budgetfragen, ist Cybersicherheit doch nach wie vor ein kostspieliges Unterfangen, aber ebenso um ein Commitment zu den gemeinsamen Anstrengungen und Zielen.
Der Rolle des Chief Information Security Officers (CISO) kann genau diese Aufgabe zukommen. So kann er in einer Bündelung von Verantwortlichkeit, neben der reinen IT-Sicherheit auch mit Aspekten der IT-Governance, der IT-Infrastruktur und insbesondere der IT-Strategie betraut werden. Dabei ist er weniger Vermittler zwischen den Themen als vielmehr das verbindende Element.
Letztlich muss man sich jedoch darüber bewusst sein, dass eine Unternehmung kein geschlossener Organismus ist, sondern sich über eine Vielzahl menschlicher und technologischer Schnittstellen definiert. Im Umkehrschluss bedeutet dies, dass trotz aller individuellen Anstrengung, Rahmenbedingungen und Umweltfaktoren diese von zentraler Bedeutung für den Wirkungsgrad von Sicherheitsmaßnahmen sind.Hier gilt es, bilateral zwischen Politik, Wissenschaft, Verbänden und Industrie, sowohl auf nationaler als auch supranationaler Ebene, an Lösungen zu arbeiten und Standards zu definieren.
Cybersicherheit ist eine gesellschaftliche Aufgabe
Am Beispiel Israels sieht man, wie ein gemeinsames Verständnis von Cybersicherheit aussehen kann. Industrie, Politik, Sicherheitsorgane, Wissenschaft und Verbände ziehen dort nicht nur an einem Strang, sondern haben einen kontinuierlichen Wissenstransfer institutionalisiert. An dieser Stelle greift jedoch noch ein viel wesentlicherer Aspekt: Israel hat es geschafft, ein gesellschaftliches Interesse für Cybersicherheit herzustellen.
Der Nutzer, folglich der Bürger, ist sich in seinen Anwendungssituationen bewusst über Gefahren und die Reaktionswege im Fall eines Angriffs. Ein Zustand, der für Unternehmen wie einen Staat gleichermaßen einem Idealzustand gleicht. Aber auch hier gilt: Absolute Sicherheit wird es niemals geben.
Es ist unabdingbar, dass wir gesamtgesellschaftlich digitale Kompetenz entwickeln müssen, die im wissenschaftlichen Diskurs bereits mit dem Schlagwort der „Digital Fluency“ beschrieben wird, der „digitalen Gewandtheit“. Es muss das Ziel sein, dass „Cybersecurity-Sensibilität“ expliziter Bestandteil eines solchen Werkzeugkastens ist, wenn nicht sogar eine eigene Kernkompetenz.
Wie eine Zusammenarbeit zwischen Zivilgesellschaft und Wirtschaft aussehen kann, zeigt ein praktisches Beispiel bei Lufthansa: Im Rahmen eines sogenannten Bug-Bounty-Programms, einem Prämienprogramm für Programmfehler, werden Nutzer be- und entlohnt, die Sicherheitslücken identifizieren und dem Konzern auf sicherem Wege melden. Im Falle der Lufthansa erfolgt die Entlohnung in Form von Prämienmeilen.
Wir sind in Deutschland auf einem guten Weg. Mit dem Bundesamt für Sicherheit in der Informationstechnik (BSI) verfügt die Bundesrepublik über eine ressourcenstarke Behörde, die im Austausch mit Wissenschaft und Industrie für die IT-Sicherheit verantwortlich zeichnet. Und dennoch zeigt sich immer mehr ein großer Bedarf an institutionalisierter Zusammenarbeit aller Akteure und der Implementation von Standards, nicht nur für den Worst-Case.
Dabei ist es von höchster Priorität, die Ressourcen von Staat, Wissenschaft und Industrie zu bündeln und dem geteilten Interesse nach Sicherheit zu folgen. Nur gemeinsam kann über eine resiliente IT-Infrastruktur beraten, verhandelt und entschieden werden.
Roland Schütz ist Executive Vice President und Chief Information Officer (CIO) des Lufthansa Konzerns. Heute spricht er auf der Code-Konferenz des Forschungsinstituts Cyber Defence der Bundeswehr-Universität in München. Dieser Gastbeitrag ist eine gekürzte Version seiner heutigen Keynote.