Die digitale Revolution, die Unternehmen in den vergangenen Jahren mitgemacht haben, hat viel Fortschritt hervorgebracht. Doch Digitalität bedeutet leider immer auch, dass eine permanent vernetzte Technik aufgebaut wird. Für Unternehmen ist das überaus wertvoll, doch zugleich eröffnet es auch nie dagewesene Möglichkeiten für Angreifer, in die Systeme von Organisationen zu gelangen und Datendiebstahl, Ransomware und ähnliche Attacken durchzuführen.
Besonders besorgniserregend in diesem Zusammenhang ist die Tendenz, dass IT-Sicherheitsvorfälle nicht mehr offen kommuniziert werden. Zu groß ist der Image-Schaden, zu kostspielig die Strafen, die mit der Einführung der DSGVO auf Unternehmen warten. Doch was ist der Antrieb dahinter, solche Dinge zu verschweigen und zu versuchen, sie lieber unternehmensintern und im Geheimen zu lösen?
Genau das haben wir uns kürzlich ebenfalls gefragt, sind in Kontakt mit vertrauten Unternehmen getreten und haben Spannendes darüber erfahren. Unsere Erkenntnisse in dieser Sache möchten wir Ihnen nun ein wenig genauer schildern und somit aufzeigen, warum Unternehmen dazu neigen, IT-Sicherheitsvorfälle heutzutage lieber für sich zu behalten.
Besorgniserregende Tendenzen
Cyberkriminelle haben sich längst an die digitale Ära angepasst und sind bereit, Unternehmen sehr gezielt anzugreifen. Mit fortschrittlichen Techniken, wie auch durchdachtem Social Engineering, gelingt es Angreifern dabei immer wieder in Systeme vorzudringen, die allgemein als besonders sicher gelten. Doch »sicher« oder gar »Sicherheit« ist im Zuge der Digitalisierung ein sehr dehnbarer Begriff.
Aktuelle IT-Sicherheitsvorfälle belegen immer wieder, wie geschickt Hacker vorgehen und wie umfangreich ihr Wissen über interne Abläufe oft ausfällt. Immer noch werden solche Angriffe von Unternehmen stark unterschätzt, was es Angreifern wiederum erleichtert, selbst besonders durchdachte Systeme zu hacken und somit an vertrauliche Daten zu gelangen.
Eine Umfrage legt nahe, dass fast 75 Prozent der Unternehmen die Entscheidung treffen, die auftretenden Sicherheitslücken zu verschweigen. Meist ist es das Reputationsmanagement, was Bedenken äußerst, dass der Vorfall dem Image des Unternehmens einen zu großen Schaden zufügen könnte. Diese Tendenz, dass Organisationen IT-Sicherheitsvorfälle lieber verschweigen, als sie zu melden und öffentlich zu diskutieren, ist extrem besorgniserregend, wie wir finden.
Warum das Schweigen bei IT-Sicherheitsvorfällen problematisch ist
Die eben bereits erwähnten und sehr naheliegenden Gründe sind natürlich der Image-Schaden, den Unternehmen beim Bekanntwerden einer Sicherheitslücke zu befürchten haben. Aber auch die strengen Regularien, die eine Meldepflicht und Strafzahlungen beinhalten, sorgen mittlerweile dafür, dass Unternehmen sich, wo immer es geht, lieber erst einmal zurückhalten.
Am schlimmsten wiegt sicherlich aber auch der Vertrauensverlust, den Unternehmen in Bezug auf ihre Kunden zu befürchten haben. Oder wie würden Sie sich fühlen, wenn Ihre Bank gehackt wird? Hätten Sie nicht den Eindruck, dass dort zu wenig getan wurde, um Sie, Ihr Geld und Ihre Daten zu schützen? Selbst dann, wenn die Bank beteuert, dass sie alles Menschenmögliche unternommen hat und die Sicherheitsmaßnahmen extrem umfangreich ausfielen.
Ein weiterer Faktor ist, dass viele Unternehmen eine irrationale Angst davor haben, dass interne Abläufe bekannt werden. Würden sie nun IT-Sicherheitsvorfälle und Maßnahmen genauer erklären, besteht immer die Gefahr, dass damit auch Geschäftsgeheimnisse offengelegt werden könnten. Andere Unternehmen sind sich der weiteren Gefahren gar nicht so bewusst und ignorieren kleine Vorfälle, weil sie diese als nichtig abtun.
All das verhindert, dass IT-Sicherheitsvorfälle transparent kommuniziert und stattdessen lieber verschwiegen werden. Mal handelt es sich dabei um ein bewusstes Schweigen, mal jedoch auch nur um die Angst vor weiteren Nachteilen in Bezug auf die Offenlegung einer Schwachstelle. Und bisweilen möchten Unternehmen auch einfach die empfindlichen Strafen seitens der DSGVO umgehen.
Eine dringende Verantwortung
Als Sicherheitsexperten können wir nur darauf hinweisen, dass eine Vertuschung von IT-Sicherheitsvorfällen Ihnen nichts bringen wird. Meist führt solch ein Verhalten eher zu einer Art von Teufelskreis, bei dem Cyberkriminelle es immer wieder versuchen. Gleichzeitig besteht die Gefahr, dass Hacker selbst über ihren Hack sprechen und Ihr Unternehmen dann noch schlechter dasteht, weil es nicht eigenständig und offen kommuniziert hat, dass es einen Angriff gab. Auch die Bußgelder sind dann natürlich noch einmal empfindlich höher, wenn durch die Vertuschung nicht sogar ein Straftatbestand vorliegt.
Diese ganze Angst und Überlegung sind jedoch mehr als zweifelhaft. Unternehmen bekommen schließlich mehr als genug Hilfe an die Seite gestellt. Wir von der AWARE 7 haben etwa ständig mit Unternehmen zu tun, die gehackt oder angegriffen wurden. Unsere Fachleute kümmern sich dann auf Abruf um entsprechende Maßnahmen, leiten die Kommunikation ein und schließen potenzielle weitere Schwachstellen, indem die Systeme noch einmal ausgiebig getestet und geprüft werden.
Wer nicht in ständiger Angst vor einem Angriff leben möchte, der benötigt eine durchdachte Sicherheitsinfrastruktur, auf der eine ebenso clevere Sicherheitsstrategie aufgebaut wird. Bei einem Angriff oder Hack ist es dann auch nicht verwerflich, diesen offen zu kommunizieren, da etwaige Maßnahmen bereits eingeleitet wurden. Wer alles Mögliche unternimmt, um Hacks zu verhindern, der hat auch nichts zu befürchten, wenn es dann doch einmal dazu kommt.
Erkennen Sie zuverlässig Phishing E-Mails?
Jetzt das AWARE7 Phishing Quiz absolvieren
und das eigene Wissen überprüfen!
Transparenz und Zusammenarbeit bei IT-Sicherheitsvorfällen
In Zeiten von beständigen Cyberangriffen, KI-Systemen und automatischen Hacks ist es wichtig, dass Unternehmen einander unterstützen. Die Zeiten, in denen jeder nur etwas für sich getan hat, sind vorbei. Es gilt daher, offen zu kommunizieren und aus den Fehlern der anderen zu lernen. Fehler sind zudem gar nicht schlimm. Erst kürzlich erschien unser Artikel zur Notwendigkeit einer gesunden Fehlerkultur innerhalb einer Organisation, da nur durch Fehler und die Sicherheit, jederzeit Fehler begehen zu dürfen, Innovation und Fortschritt auf besonders hohem Niveau gefördert werden.
Bei den Sicherheitsmaßnahmen in Bezug auf Schwachstellen ist dies nichts anderes. Nur gemeinsam lässt sich dem stetig wachsenden Potenzial möglicher Angriffe etwas entgegensetzen. Nur durch kollektives Teilen der gewonnenen Erkenntnisse kann ein weiterer Angriff verhindert werden. Cyber-Resilienz erfordert Fachleute, die sich austauschen, informieren, eigenständig weiterbilden und auf diese Weise eine enorme Expertise in Ihr Unternehmen einbringen. Expertise, die es so nur gibt, wenn eine Branche gemeinsam an einem Strang zieht und ihr Wissen weilt.
Stellen Sie sich daher nicht als Außenseiter in die Ecke, sondern gehen Sie auf andere Unternehmen proaktiv zu. Arbeiten Sie mit Profis zusammen, die ihr Handwerk verstehen, statt alles immer selbst erledigen zu wollen. In Bezug auf die Cybersecurity ist dieser Ansatz der gänzlich falsche. Holen Sie sich stattdessen Expertise ins Haus.
Hat Ihnen der Beitrag gefallen? Gerne benachrichtigen wir Sie, wenn wir einen neuen Beitrag veröffentlicht haben. Tragen Sie jetzt Ihre E-Mail-Adresse ein. Für Sie entstehen keine Kosten.
