Wir treffen jeden Tag unzählige Entscheidungen, viele davon um zu vergleichen, mögliche Risiken abzuschätzen und sich dann für eine Möglichkeit zu entscheiden. Oft geschieht das ohne einen bewussten Aufwand. Da liegt die Vermutung nahe, dass sich mögliche Risiken nicht nur in unserem privaten Leben, sondern auch im unternehmerischen Kontext verstecken. Risiken, die sich nicht nur auf einen selbst, sondern auf Prozesse, Verfahren oder die Organisation im Gesamten auswirken können. Doch trotz der möglichen Risiken hat das Management eben dieser in einigen Unternehmen noch einen geringen Stellenwert.
Als Beraterin beschäftigt mich die Frage, warum das so ist. Warum die Geschäftsführung oft nicht bereit ist, die entsprechenden Ressourcen zur Verfügung zu stellen, warum sie Ausgaben scheut und zeitweilig so schwer von den positiven Auswirkungen eines angemessenen Risikomanagements zu überzeugen ist.
Die Geschäftsführung trägt eine hohe Verantwortung, in jedem Unternehmen. Neben den täglichen Aufgaben müssen Zukunftspläne erarbeitet, die Beschäftigten geführt, die Wettbewerber und der Markt beobachtet werden. Und dann ist da noch diese Informationssicherheit.
Die unaufhaltsame Digitalisierung vieler Wertschöpfungsprozesse führt zu einer immer größer werdenden Menge an verarbeiteten Informationen und Daten. Daten, die wichtig sind. Daten, die weniger wichtig sind. Daten, die gespeichert, in nachfolgenden Prozessen weiter verarbeitet werden, die sensibel oder nicht für die Öffentlichkeit bestimmt sind. Daten, die rund um die Uhr verfügbar sein müssen oder auf die wir auch mal einige Stunden oder sogar Tage verzichten können.
Doch genau diese Daten können gestohlen, veröffentlicht, manipuliert oder zur Erpressung, zu Wettbewerbsvorteilen oder ähnlichem genutzt werden. Es muss nicht passieren. Es muss nie etwas passieren und sollte etwas passieren, könnte es ja auch die anderen treffen.
Könnte. Da ist er wieder, der Konjunktiv. Doch Beispiele belegen, dass es häufiger anders kommt als man denkt.
- April 2021: Das Medienhaus der Madsack Gruppe mit Sitz in Hannover wird angegriffen und es kommt zu massiven Einschränkungen in den Lokalteilen der Printmedien und des Online-Angebots.
- Mai 2021: Cyberkriminelle greifen eine Kraftstoff-Pipeline in den USA an. Neben Datendiebstählen und der Datenverschlüsselung sorgte das für Hamsterkäufe und Tankstellen ohne Benzin. Es wurden fünf Millionen Dollar Lösegeld gezahlt.
- Juli 2021: Die us-amerikanische IT-Firma Kaseya wird angegriffen. Die Kunden von Kaseya sind größtenteils IT-Dienstleister, die wiederum weitere Kunden betreuen. Ein Domino-Effekt tritt ein. Für die Entschlüsselung der Daten fordern die Erpresser 70 Millionen Dollar.
- Im Juli 2021 wurde der erste Cyber-Katastrophenfall in Deutschland ausgelöst. Im Landkreis Anhalt-Bitterfeld wurde die Kreisverwaltung mit einer Schadsoftware attackiert. Die komplette Verwaltung ist für mehrere Tage arbeitsunfähig.
- August 2021: Kriminelle verschlüsseln Daten und manipulieren IT-Systeme einer Maschinenfabrik im Landkreis Hameln-Pyrmont. Über 1000 Beschäftigte müssen bis zur Wiederherstellung der Arbeitsfähigkeit in Kurzarbeit.
- August 2021: Erpressung des baden-württembergischen Sparkassenverbandes. Der Angriff und die Einschleusung einer Schadsoftware erfolgten per E-Mail.
- September 2021: Angriff auf die Firma Olympus. Durch die BlackMatter Ransomware wurden Daten verschlüsselt und Lösegeld gefordert. Das betrifft auch die europäische Tochter von Olympus.
Das sind nur einige aktuelle Beispiele aus den letzten Monaten, deren Details Sie unter https://unternehmen-cybersicherheit.de/category/hackerangriff-aktuell/ nachlesen können.
Fällt Ihnen bei diesen Beispielen etwas auf? Cyberangriffe treffen nicht nur die großen Unternehmen. Vielleicht ist genau das der Moment, in dem Sie sich Gedanken über Ihr Informationssicherheits-Risikomanagement im Unternehmen machen sollten.