Die Nationale Wirtschaftsschutzstrategie und das wahre Leben

Wenn es um die Cyber-Sicherheit geht, mischt die öffentliche Verwaltung in jedem Land mehr oder weniger intensiv mit. Auch Deutschland ist nicht arm an Initiativen und Organisationen, die Firmen in punkto digitaler Sicherheit auf die Sprünge helfen wollen. Leider mahlen die Mühlen recht langsam, wie beispielsweise die gerade vorgestellte Nationale Wirtschaftsschutzstrategie zeigt. Neben den Spitzenverbänden BDI und DIHK sind verschiedene Sicherheitsbehörden an der Initiative beteiligt, darunter der Verfassungsschutz, das Bundeskriminalamt und das Bundesamt für Sicherheit in der Informationstechnik. Angekündigt im August 2013, vergingen fast drei Jahre, bis diese Woche etwas Vorzeigbares vorgestellt wurde. Im Großen und Ganzen beschränkt sich die Wirtschaftsschutzstrategie auf Broschüren und Erklärfilme, die vor allem den Mittelstand für Sicherheitsbedrohungen – nicht nur im Bereich IT – sensibilisieren sollen. Konkrete Hilfe, zum Beispiel durch finanzielle Unterstützung, wenn Unternehmen zertifizierte Sicherheitsberater buchen oder Sicherheitsprojekte umsetzen, gibt es nicht. Sicherlich ist Awareness für Bedrohungen, egal ob sie aus der realen Welt oder dem Cyberspace kommen, wichtig. Doch ob eine Broschüre zur Arbeiterpartei Kurdistans (PKK), die sich auf dem Internetauftritt unter anderem zum Download findet, den Schutz der nationalen Wirtschaft fördert, ist fraglich. Im besten Fall kann man die Webseite www.wirtschaftsschutz.info als bunte Anlaufstelle für Firmen sehen, die noch gar nicht mit Cyber-Bedrohungen oder dem generellen Abfluss von Informationen durch Spionage in Berührung gekommen sind.

Für den Großteil der Unternehmen, sicherlich alle international tätigen Konzerne und der Großteil des Mittelstands, sind Cyber-Bedrohungen hingegen kein Neuland. Awareness auf Unternehmensseite ist nicht mehr notwendig, eher konsequente Umsetzung. Das zeigt auch der gerade veröffentlichte Verizon Data Breach Investigations Report (DBIR). In seiner neunten Ausgabe beklagen die Autoren recht bitterlich das Beharrungsvermögen der IT-Sicherheitsverantwortlichen, die bestehende und bekannte Schwachstellen ignorieren, bis es zu spät ist. Die gleichen Einfallskanäle für Schadsoftware funktionieren seit Jahr und Tag – und dass noch dazu außerordentlich erfolgreich. Laut Report werden über 30 Prozent aller Phishing E-Mails geöffnet und respektable zwölf Prozent der Benutzer klicken danach auch noch auf den vergifteten Link. Wenn eine Firma eine legale E-Mail Kampagne startet, gelten Klickquoten von ein bis zwei Prozent schon als Erfolg. Genauso kopfschüttelnd bewerten die Verizon-Profis die Tatsache, dass es eine so große Zahl erfolgreicher Angriffe über erbeutete Benutzername/Passwort-Kombinationen gibt, obwohl Mehrfaktor-Authentifizierung wirkungsvoll dagegen schützen würde.

Awareness muss – wenn überhaupt – auf Anwenderebene ausgebaut werden, die IT-Abteilungen wüssten schon, was sie zu tun haben. Dass sie es trotzdem nicht umsetzen, liegt an den üblichen Gründen: Kein Budget, keine Zeit, keine Lobby im Management. Insofern muss man der aktuellen Ransomware-Welle fast dankbar sein. Es ist einfach etwas anderes, wenn die Arbeit im Unternehmen zum Erliegen kommt, weil wichtige Dateien verschlüsselt wurden. Die Folgen sind unmittelbar spürbar, auch für (sorglose) Mitarbeiter und das nicht-IT-affine Management, anders, als bei einer diffusen Bedrohung durch eingeschleppte Schadsoftware, die im Hintergrund lauert.

Man kann es nicht oft genug sagen: IT-Sicherheit ist ein Prozess und kein Produkt. Wer die geldwerten Objekte des Unternehmens – Prozesse, Dokumente, Datensätze – schützen will, muss zunächst wissen, welche das sind und wo sie gespeichert werden oder von welchen physikalischen Assets sie abhängen. Danach kann man mögliche Bedrohungsvektoren identifizieren und aus der Schnittmenge ein Bedrohungsprofil erstellen. Was am wichtigsten oder teuersten und den meisten Bedrohungen ausgesetzt ist, muss am besten geschützt werden. Wenn bereits dafür nicht genug Budget vorhanden ist, muss das Risiko versichert oder ein ernstes Gespräch mit Management geführt werden. Bleiben hingegen Ressourcen übrig, werden sie auf den Rest verteilt. So einfach kann IT-Sicherheit aus der Vogelperspektive sein. Und trotzdem scheitern so viele Firmen daran. Ob die Nationale Wirtschaftsschutzstrategie die Situation ändern wird, bleibt abzuwarten.