Foto: Gorodenkoff - shutterstock.com
Würde jeder Cyberangriff auf ein deutsches Unternehmen einen Alarm auslösen, wären die Sirenen hierzulande im Dauereinsatz. Laut IT-Branchenverband Bitkom waren im vergangenen Jahr 81 Prozent der hiesigen Firmen von Datenklau, Spionage oder Sabotage betroffen. Weitere zehn Prozent vermuten dies. Im Umkehrschluss bedeutet das: Gerade einmal eins von zehn Unternehmen ist verschont geblieben.
Bei diesen Zahlen läuten die Alarmglocken. Bildlich gesprochen ist allerdings genau das ein Problem: IT-Sicherheit, also der Schutz vor Cyberangriffen, wird in vielen Unternehmen noch immer als Alarmanlage begriffen. Als ein reaktives Instrument, das Angreifer abschrecken oder Schäden vermeiden soll.
Das ist aus zwei Gründen problematisch. Zum einen wird die Gefahr aus dem Netz immer größer. Mit Hilfe Künstlicher Intelligenz (KI) überwinden Cyberkriminelle herkömmliche Sicherheitsmechanismen spielend: Durch Prompt Scanning und Prompt Injection werden Large Language Models (LLMs) manipuliert, Deep Fakes von Audio- und Videodateien lassen sich in ungeahnter Qualität und kürzester Zeit generieren. Cybersicherheit als reaktive Maßnahme zu begreifen, wird schlicht nicht mehr ausreichen, um den Angriffen standzuhalten. Zum anderen bleibt durch diese Sicht auf Cyber-Security Potenzial auf der Strecke.
Sicherheit als Teil der Innovationsstrategie
Deshalb muss ein Umdenken stattfinden. IT-Sicherheit darf nicht länger als reaktives Instrument verstanden werden, sondern muss in der Innovationsstrategie verankert sein. An dieser Stelle können Sicherheitsmaßnahmen sogar Antrieb sein - für neue Dienstleistungen oder Geschäftsmodelle.
Doch was ist dafür zu tun?
Der Schlüssel zum Erfolg liegt darin, wie Cybersicherheit in der Organisation verstanden wird. Um beim Bild der Alarmanlage zu bleiben: Es genügt nicht, bestehende Systeme durch einzelne Komponenten aufzurüsten - also hier einen Zaun aufzustellen oder dort eine Überwachungskamera zu installieren. Cybersicherheit muss von Beginn an mitgedacht werden. Nur dann kann sie ihr volles Potenzial entfalten.
Das Gebot der Stunde lautet deshalb - "Security by Design". Das klingt theoretisch, lässt sich aber sehr praktisch interpretieren: Wenn die gesamte Unternehmens-IT ein Gebäude ist, besteht der Sicherheitsaspekt von Security by Design in der Beschaffenheit der einzelnen Bausteine: Wie bei Lego handelt es sich um ein einheitliches System, bei dem alle Komponenten nahtlos zusammenpassen. Egal welche Teile künftig hinzukommen: Sie gehören alle zum selben Steckkasten, in dem (Sicherheits-)Lücken gar nicht erst entstehen. Das Gegenbeispiel aus der aktuellen Praxis vieler Unternehmen ist die Kombination von Lego-Bauklötzen mit Playmobil oder Duplo-Steinen. Klar, dass diese Konstruktion erhöhte Spaltmaße aufweist.
Eine Instanz, vier Funktionen
Getrieben wird diese Entwicklung, natürlich, vom technologischen Fortschritt: Automatisierung, moderne Security-Methoden, Technologien die Bedrohungen beim Benutzerverhalten oder der Assets erkennen und proaktiv reagieren, KI-Komponenten - alle verändern sie die Rolle der Sicherheitsfunktion in Unternehmen komplett. Selbst vollautomatisierte SOC-Agenten rein durch AI ist Zukunftsmusik.
Es geht nicht mehr darum, den Betrieb vor bekannten Bedrohungen zu schützen; mit Firewall, Antivirensoftware oder internen Erkennungssystemen. Cyber-Security von morgen ermöglicht, mit Hilfe modernster Technologie innovativ zu sein, ohne dabei die Sicherheit des Unternehmens zu gefährden.
In ihrer neuen Rolle vereint Cyber-Security gleich vier Funktionen. Sie ist Risikomanager, weil sie abwägt, welche Gefahr so groß ist, dass sie das Unternehmen davor schützen muss. Sie ist Investitionsberater, denn sie weiß, wo Sicherheitsressourcen am wirkungsvollsten eingesetzt werden. Sie ist Teil des Reportings bzw. des Lageberichtes der Unternehmen: Wenn Erfolg bedeutet, dass nichts passiert, ist er schwer zu messen. Also muss Cybersicherheit "Pre-Breach" messbar werden, etwa, indem sie zeigt, wie Security-Investitionen Sanktionen oder Betriebsausfälle verhindert haben.
Und schließlich ist die Cybersicherheit künftig auch noch Technologietreiber. Zum Beispiel für KI. Diese Technologie schafft es, manuelle Arbeit im Sicherheitsmanagement zu automatisieren, etwa bei der Anomalie-Erkennung, beim Zusammenfassen von Daten, Security Events und sogar beim Erstellen "selbstheilender" Systeme.
Die Bank als Datenbroker
Insbesondere in der Finanzwelt gibt es dafür jede Menge Anwendungsfälle. Schließlich müssen hier mit zunehmender Digitalisierung gleich eine ganze Reihe neuer Kundenszenarien abgesichert werden. Bis zum Ende gedacht, kann Cyber-Security sogar zum Ermöglicher neuer Geschäftsmodelle werden. Etwa im Bereich Datensicherheit.
In einer digitalen Welt könnten Banken zum Datenbroker werden. Die Elektronische Identität (eID) ist ein Beispiel dafür. Mit ihr können Bürger einen Ausweis beantragen oder sich für bestimmte Dienste auch bei Banken wie eine Kontoeröffnung verifizieren. Verwalten sie diese Identität auf ihren eigenen Geräten und die Daten gehen verloren, sind sie verloren. Werden sie jedoch bei Banken verwaltet und durch deren Systeme abgesichert, besteht dieses Risiko nicht mehr. Bürger wissen ihre Daten geschützt, Banken können daraus ein Geschäft machen.
Die gute Nachricht: Viele Unternehmer haben das Potenzial bereits erkannt. Laut einer aktuellen CEO-Befragung wollen 73 Prozent der Unternehmenslenker weltweit künftig mehr in die Cybersicherheit ihrer Betriebe investieren. Fast genauso viele (72 Prozent) setzen sogar bereits auf Security by Design, indem sie Cyber-Teams in frühen Phasen ihrer Projekte einbeziehen. Sie haben ihre Alarmanlagen bereits aufgerüstet.
Mehr vom Autor:
So wird Cyber Security zum Innovationstreiber
Banken haben Nachholbedarf in Sachen IAM
Christian Nern wird Partner für Cyber-Sicherheit bei KPMG