Cybersichere Wirtschaft : Stärkung der Cyberresilienz ist das Gebot der Stunde

Digitale Lösungen sollen Arbeitsabläufe verbessern und Innovation innerhalb eines Unternehmens fördern. Beim dafür nötigen Austausch prozess- und personenbezogener Daten galt das Augenmerk deshalb lange Zeit weniger der Sicherheit als vielmehr der Effizienz und Nutzerfreundlichkeit. In Zeiten, in denen Termini wie „Kritische Infrastruktur“ zunehmend in der breiten Öffentlichkeit diskutiert werden, stehen diese Prioritäten nun zurecht auf dem Prüfstand.

Fakt ist: Die Zahl erfolgreicher Cyberattacken hat nicht erst mit dem Angriff Russlands auf die Ukraine zugenommen. Mit den fatalen Folgen cyberkrimineller Aktivitäten beschäftigt sich die Weltöffentlichkeit spätestens seit dem ersten „Petya“-Fall im Jahr 2016. Und die Frage nach mehr Schutz vor Cyberkriminellen und Sicherheit bei der Nutzung digitaler Dienste ist heute lauter denn je. Doch nicht nur die Angst vor Cyberkriegen, die der Bitkom in einer aktuellen Umfrage erfasste, und Malware-Fällen lassen Menschen ihre Prioritäten verschieben.

Ein kollektives Bewusstsein für den hohen Stellenwert digitaler Privatsphäre stellt sich ein, trotz der politischen Rufe nach Chatkontrolle. Um Wirtschaft und Wohlstand vor Cybergefahren zu schützen, ist die Stärkung der Cyberresilienz das Gebot der Stunde.

Momentum liegt bei Ende-zu-Ende-Verschlüsselung

Ein essenzieller Baustein dafür ist die Ende-zu-Ende-Verschlüsselung. Deren Momentum kann sich derzeit kaum jemand entziehen, wie auch Ankündigungen von Apple und Dropbox zeigen. Auch diese US-Tech-Giganten bekennen sich nun endlich zu ausgeweiteten Angeboten verschlüsselter Funktionen. So ist die Einführung von „Advanced Data Protection“ für iCloud-Daten ein weiterer großer Schritt auf dem Weg, Ende-zu-Ende-Verschlüsselung als Industriestandard für Endgeräte zu etablieren – ein Anliegen, das IT-Sicherheitsexperten bereits seit vielen Jahren verfolgen.

Dass die Vision einer umfassenden Verschlüsselung langsam zur Realität wird, legen auch Daten einer aktuellen Forsa-Studie nahe, die Tresorit in Auftrag gegeben hat. An ihr nahmen 300 Entscheider für IT-Sicherheit und Datenschutz sowie Geschäftsführer in Unternehmen ab 50 Mitarbeitern in Deutschland, Österreich und der deutschsprachigen Schweiz teil. Die Resultate in Sachen Verschlüsselung und digitalem Datenaustausch fallen in den Ländern unterschiedlich aus. So gaben in Deutschland und Österreich rund 80 Prozent der befragten Unternehmen an, E-Mail-Kommunikation zumindest teilweise zu verschlüsseln.

Unternehmen in der DACH-Region, die bereits eine externe Verschlüsselungslösung nutzen oder dies planen, ist es laut Studie fast ausnahmslos wichtig, dass sich der Dienst nahtlos in die eigene E-Mail-Umgebung einbinden beziehungsweise ohne vorherige Schulung einfach nutzen lässt. Darüber hinaus ist die Verfügbarkeit einer echten Ende-zu-Ende-Verschlüsselung für rund drei Viertel der Unternehmen ein wichtiges Entscheidungskriterium.

Sicherheit bei der Produktion mitdenken

Die Antworten sind jedoch mit Vorsicht zu genießen. Denn ob alle dasselbe Verständnis des „Ende zu Ende“-Prinzips haben, sei dahingestellt. Was dennoch klar wird, ist die Tendenz in Richtung Hochsicherheit – ein Gewinn für die digitalen Lösungen und cyberphysischen Systeme der Zukunft.

Um das jeweils Beste der beiden Welten, also IT-Sicherheit und Nutzerfreundlichkeit, zu vereinen, bieten sich Prämissen wie „Ende-zu-Ende-Verschlüsselung ab Werk“ an. Schließlich sind Produkte, die genau daraufhin entwickelt wurden, denen überlegen, die erst im Nachhinein sicher gestaltet werden. Meist bleibt dabei nämlich die Benutzerfreundlichkeit auf der Strecke. Damit und durch regelmäßige – im Idealfall automatische – Sicherheitspatch-Updates wären gesamte Produktlebenszyklen in Sachen Daten und Cloud per Gestaltung um ein gutes Stück weiter.

Nicht nur das industrielle Internet der Dinge setzt solche Entwicklungen im Sinne der Cyberresilienz voraus. Um robust gegenüber Angriffen, Sabotagen und Ausfällen zu agieren, sollte jedes System – vom smarten Ticketing für Kunden bis zum Datenmanagement – von vornherein mit Ende-zu-Ende-Verschlüsselung von Client zu Client aufgesetzt sein. Andernfalls kann es im Nachgang zu unnötig verkomplizierten Prozessen und schlimmstenfalls Stillständen führen.

Missverständnis Cloud-Sicherheit

Die Forsa-Daten offenbaren aber auch Missverständnisse hinsichtlich der Arbeit mit externen Cloud-Dienstleistern: Unternehmen, die bisher keinen externen Verschlüsselungsdienst nutzen oder wollen, begründen dies in allen drei Ländern unter anderem damit, dass Empfänger den gleichen Dienst nutzen müssten, beziehungsweise dass der externe Anbieter auf die verschlüsselten Mails zugreifen könne. So geht rund ein Viertel der Studienteilnehmer in Deutschland davon aus, dass externe Cloud-Dienstleister die E-Mails ihrer Kunden lesen könnten.

Diese allgemeine Annahme ist falsch. Denn sobald eine umfassende Zero-Knowledge-Verschlüsselung der E-Mailkommunikation zum Einsatz kommt, sind sowohl Inhalt als auch Anhänge nur für diejenigen zugriffsbereit, die clientseitig über den jeweiligen Schlüssel zur Ver- und Entschlüsselung verfügen.

Die Ergebnisse liefern Anhaltspunkte dafür, dass auch Jahrzehnte nach Einführung der ersten Cloud-Anwendungen noch immer Aufklärungsbedarf besteht. Ende-zu-Ende-Verschlüsselung ist und bleibt auf absehbare Zeit eine der effektivsten Maßnahmen, um Kommunikation und Datenaustausch nachhaltig zu schützen.

Unbeschadet durch die Krise(n)

Wer Sicherheit, Daten und Prozesse holistisch angeht, ist auf einem sicheren Weg. Teil der Cyberresilienz-Strategie sollte in diesem Sinne sein, auch Lieferketten, genauer Zulieferer und Partner, zu integrieren. Physische wie digitale Komponenten gilt es gleichermaßen zu schützen. Auch regelmäßige Sicherheitsschulungen für Mitarbeiter spielen eine große Rolle. Menschliches Versagen lässt sich durch automatisierte Sicherheitsfunktionen ab Werk präventiv vermeiden. Nötig für die Cyberresilienz von Mensch und Maschine ist also nicht nur Technik, sondern auch (Zero) Trust.

Szilveszter Szebeni ist Ciso von Tresorit, einem Anbieter von verschlüsseltem Cloud-Speicher.