IT-Sicherheit wird zunehmend zur IT-Gefahrenabwehr. Denn echte „Sicherheit“ in der IT gibt es spätestens dann, wenn Menschen ins Spiel kommen, im Prinzip nicht. Das zeigt der Ende Oktober vorgestellte Jahresbericht zur IT-Sicherheit in Deutschland 2022 des Bundesamtes für Sicherheit in der Informationstechnik (BSI) mehr als eindrücklich. Cyber-Erpressung mit exfiltrierten und verschlüsselten Daten bleibt eine der größten Bedrohungen für jeden. Hilfs- und Wohlfahrtsorganisationen, Verbände, Kommunen und Kreisverwaltungen, Bildungseinrichtungen, Gesundheitssektor und auch Energieversorger sind im vergangenen Jahr von hochprofessionellen Cyber-Kriminellen ins Visier genommen worden. Während ein Landkreis in Sachsen-Anhalt in Folge von Ransomware für 207 Tage im Katastrophenfall abtauchte, verschwanden andere Unternehmen wie zuletzt ein Möbelhersteller verschwanden in der Insolvenz. Alles Einzelfälle? Das globale Versicherungsunternehmen HISCOX hat in seinem „Cyber Readiness Report 2022“ auf die Weltkarte geschaut: 48 Prozent der befragten Unternehmen bestätigte einen Cyberangriff in den vergangenen zwölf Monaten. Jedes fünfte Unternehmen stand dadurch am Rande der Insolvenz – ein Plus von 24 Prozent zum Vorjahr, wobei Folgekosten durch betriebliche Ausfälle, Überstunden, externe Berater, neue Hardware etc. nicht miterfasst wurden.
IT-Sicherheit bleibt ein Katz- und Mausspiel, wobei die „Katze“ allein im vergangenen Jahr auf die Unterstützung durch 20.174 Mausefallen, also den vom BSI erfassten neu gefundene Schwachstellen in Softwareprodukten, zurückgreifen konnte. Updates und Patches helfen, Awareness der Mitarbeitenden hilft noch mehr: 69 Prozent aller Spam-Mails, die vom BSI auf dem Weg in Regierungsnetze abgefangen hatte, enthielten Cyber-Angriffstools für Phishing oder Ransomware. Monatlich wurden 34.000 E-Mails mit Schadprogrammen in deutschen Regierungsnetzen abgefangen. Allein im vergangenen Jahr waren 116,6 Millionen Schadprogramme im aktiven Umlauf.
Und spätestens jetzt wird klar sein: jedes Unternehmen und jede Behörde muss den Fall durchspielen, dass das Katzenrudel die Maus fängt. Ein Szenario, das manche Unternehmer in unserer täglichen Arbeit als Business Continuity Manager nicht gern hören. Dabei verliert das Szenario zum Teil seinen Schrecken, wenn man im Unternehmen die richtigen organisatorischen und technischen Maßnahmen ergreift. Ja, im Falle eines erfolgreichen Cyberangriffs steht auch bei guter Vorbereitung meist erst einmal alles still – aber nur kurz: Notfallpläne stellen sicher, dass die geschützten Daten und Backups nicht bei der Krisenbewältigung versehentlich ebenfalls zerstört werden. Technische Schutzmaßnahmen und damit verbundene Arbeitsabläufe, verbindliche Dienstanweisungen für den Ernstfall und auch die Krisenkommunikation mit professionell erstellten Anschreiben für Kunden, Lieferanten und Beschäftigte lassen sich im Zuge des Business Continuity Managements prüfen bzw. zum sofortigen Einsatz vorbereiten. Mit vergleichsweise günstigen Methoden, die zugleich der Geschäftsoptimierung dienen können, bleiben Unternehmen durch professionelles Business Continuity Management bei Cyberangriffen und vielen anderen Krisenszenarien in der Handlungs- und Geschäftsfähigkeit.