Zum Europäischen Datenschutztag (28.1.24) weist der Autor auf Gefahren im Zusammenhang mit der Digitalisierung hin. Im Hinblick auf die Kosten von möglichen Cyberattacken befürwortet er die Sensibilisierung der Nutzer und spricht sich für striktere Sicherheitsprotokolle im Umgang mit Daten aus.
Im Titelzitat aus der »Kunst des Krieges« des chinesischen Generals Sun Tzu (544-496 v. Chr.) geht es darum, auf einen Krieg vorbereitet zu sein und gleichzeitig alles daran zu setzen, diesen zu vermeiden. Dazu gehören Verteidigungsmechanismen, die so beeindruckend sind, dass ein potenzieller Angreifer es sich zweimal überlegen wird, bevor er wirklich handelt. 2.500 Jahre später greift dieselbe Logik für die digitale Sicherheit: Investitionen in Vorbeugungsmaßnahmen helfen, den Feind in Schach zu halten und sind weit weniger kostspielig als das Ausbaden einer Krise.
Heute ist die Cyberkriminalität ein ausgereifter Wirtschaftszweig. Sowohl Einzelpersonen als auch Unternehmen werden jeden Tag mit neuen Bedrohungen konfrontiert: Im diesjährigen »Global Risks Report« des WEF in Davos steht die digitale Sicherheit an vierter Stelle, nur zwei Plätze hinter »Extremwetter-Ereignisse«. Somit kommt der bevorstehende Europäische Datenschutztag zur Sensibilisierung für Datenschutz und Privatsphäre wie gerufen. In diesem Rahmen organisieren Regierungen, Datenschutzbehörden und andere Akteure jeden 28. Januar Kampagnen zum Schutz personenbezogener Daten und dem Recht auf Achtung der Privatsphäre.
Digitale Gefahren
Auf ihrem Weg ins digitale Zeitalter verlassen sich Organisationen auf der ganzen Welt immer mehr auf Technologie. Die Geschwindigkeit dieser digitalen Revolution über die letzten Jahre mag schwindelerregend erscheinen, doch es zeichnet sich kein Ende dieses Trends ab: Generative KI, maschinelles Lernen, interoperables Edge Computing und andere autonome Technologien dürften eher zu einer Beschleunigung beitragen. Während digitale Lösungen oft schnell übernommen werden, sind die Sicherheitsvorkehrungen nicht immer auf der Höhe krimineller Methoden; es gilt Schritt zu halten, aber trotz häufigen Aktualisierungen sind Cyberbetrügereien – von kleineren Verstößen bis hin zu Angriffen von globalem Ausmaß, die Milliarden von Nutzern betreffen – auf dem Vormarsch. Eine begrüßenswerte Reihe von EU-Richtlinien (DORA, NIS2 und CER) zur Verbesserung der digitalen Resilienz von Organisationen und Unternehmen schafft zwar seit Ende 2022 den notwendigen Rechtsrahmen. Allerdings werden unmittelbare digitale Bedrohungen damit nicht beseitigt und die Folgen können verheerend sein.
Laut einer Studie von Surfshark wurden in der ersten Hälfte des Jahres 2023 weltweit insgesamt fast 154 Millionen Datenschutzverletzungen registriert. Das entspricht knapp 600 Datenschutzverletzungen pro Minute, 24 Stunden am Tag, 7 Tage die Woche und fast ein Drittel davon (46 Millionen) wurden in Europa registriert. Auch wenn Deutschland im internationalen Vergleich relativ gut abschneidet: Das Bundesamt für Sicherheit in der Informationstechnik (BSI) berichtet, dass hierzulande rund 370 Webseiten pro Tag wegen Schadprogrammen aus den Regierungsnetzen gesperrt werden; für das BSI ist die Bedrohung im Cyberraum »so hoch ist wie nie zuvor«.
Zurück in die 80er
Ein Beispiel: Der Cyberangriff auf die Frankfurter Uniklinik im vergangenen Oktober ist relativ glimpflich verlaufen, denn der unbefugte Zugriffversuch wurde schnell erkannt (auf globaler Skala eher untypisch) und die Angreifer konnten keine Daten stehlen oder verschlüsseln. Trotzdem waren große Bereiche der IT-Abteilung der Klinik wochenlang lahmgelegt. Mit einem Schlag waren Termine nur noch per Telefon möglich und Rechnung mussten per Fax verschickt werden. Hinzu kommt, dass der Angriff deutlich weitreichender war als anfangs angenommen: Dutzende von IT-Fachleuten mussten Übergangslösungen finden, um das System wieder zum Laufen zu bringen. Ganz abgesehen vom Vertrauensverlust dürften die Kosten für diesen Cyberangriff nicht unerheblich gewesen sein (es sind keine konkreten Zahlen bekannt). Weltweit liegt der Durchschnittspreis für Unternehmen bei 4,45 Millionen Dollar pro Cyberattacke. Gemäß Bitkom beläuft sich der jährliche Gesamtschaden durch Datendiebstahl beziehungsweise Sabotage und digitale Industriespionage in Deutschland zum dritten Mal in Folge auf über 200 Milliarden Euro.
Dabei ist der Mensch nach wie vor das schwächste Glied in der digitalen Sicherheitskette; Studien zeigen, dass mehr als 80 Prozent der registrierten Datenschutzverletzungen auf menschliches Versagen zurückzuführen sind: Schlechte Passwortverwaltung, falsche Konfiguration, Verwendung veralteter und/oder nicht zugelassener Software und mangelnde digitale Fähigkeiten der Mitarbeiter sind einige der häufigsten Ursachen. Die Folgen können gravierend sein, da die Erkennung von Fehlern, die auf mangelnden Kenntnissen beruhen in der Regel nur langsam erfolgt: Eine Studie von IBM zeigt, dass es im Durchschnitt 213 Tage dauert, bis ein Phishing-Angriff (meist aufgrund mangelnden Sicherheitsbewusstseins) erkannt wird; dazu kommen weitere 80 Tage, bis der Schaden behoben ist. So gesehen ist das Beispiel der Frankfurter Uniklinik quasi ein Glücksfall.
Vorbeugen ist besser als heilen
Unabhängig von Größe oder Tätigkeit können Unternehmen das Ziel eines Cyberangriffs sein. Aus diesem Grund ist die digitale Schulung der Mitarbeiter von entscheidender Bedeutung, denn sie fördert das kritische Denken und die Fähigkeit, potenzielle Warnsignale zu erkennen (zum Beispiel unerwartete Anfragen oder Angebote, die ein Gefühl der Dringlichkeit vermitteln oder verdächtig großzügig sind). Der Mangel an Cybersicherheitsspezialisten in Deutschland könnte dabei eine Chance für IT-Fachleute sein. Fest steht, dass Unternehmen klar definierte digitale Unternehmensrichtlinien aufstellen müssen.
Mit zu den dringenden Problemen gehören die Datensicherheit im Zusammenhang mit der Arbeit von Zuhause, die Praxis der Schatten-IT ohne angemessene Sicherheitskonfigurationen/-protokolle und die Nutzung unsicherer Kommunikationskanäle (wie zum Beispiel Messenger-Apps ohne hinreichenden Datenschutz). Vorbeugende Investitionen in die digitale Sicherheit können somit die beste Verteidigung gegen Cyberangriffe und digitalen Betrug darstellen: Das Schützen sensibler Daten vor neugierigen Blicken hilft Unternehmen, die Europäischen Datenschutzverordnung (GDPR) einzuhalten und somit die Privatsphäre von Kunden, Mitarbeitern und Drittparteien zu gewahren. Dies wiederum reduziert das Risiko von Negativschlagzeilen und Reputationsschaden. So gesehen könnte Sun Tzu auch im digitalen Bereich recht behalten.
Miguel Rodríguez, Mitglied der Geschäftsleitung, Chief Revenue Officer, Threema