Planwirtschaft statt Marktwirtschaft? : Cybersecurity: Bitte macht uns Vorschriften!

Selbst der TÜV-Verband war überrascht: Die Cybersecurity-Studie, die Anfang November in Berlin vorgestellt wurde, brachte ein klares Votum für eine stärkere gesetzliche Regulierung der IT-Sicherheit in der Wirtschaft. Demnach forderten 47 Prozent der befragten Unternehmen, der Gesetzgeber möge ihnen höhere Anforderungen an die Cybersecurity vorschreiben.

Das ist wohl eine Premiere: Dass aus der Wirtschaft freiwillig der Ruf nach mehr Vorschriften und strengeren Regeln kommt, an die sie sich zu halten haben, ist noch kaum jemals vorgekommen. Planwirtschaft und Bevormundung statt Marktwirtschaft und unternehmerischer Entscheidungsfreiheit? Nicht wirklich: Das Ergebnis hat meines Erachtens zwei ganz konkrete, praktische Gründe.

Erstens: Ein Großteil der Befragten waren Sicherheitsbeauftragte und IT-Verantwortliche in den Unternehmen. Das sind die Kassandra-Rufer innerhalb einer Organisation, deren Apelle nach mehr Aufmerksamkeit, höhere Budgets und bessere Mitarbeiterschulung in Sachen Security gerne im Sand verlaufen. Das Argument "Wir müssen, der Gesetzgeber schreibt es vor" ist da freilich stärker als ein noch so gut begründetes "Wir sollten, weil es ist sinnvoll". Und die Befragten wissen, wovon sie reden, sagte TÜV-Präsident Michael Fübi: "Sehr viele Unternehmen nehmen Cyberangriffe nicht mehr als abstrakte Gefahr wahr, sondern sind direkt betroffen." Laut TÜV hatte jedes achte Unternehmen in den letzten 12 Monaten einen relevanten Sicherheitsvorfall, sei es Phishing, Ransomware oder Social Engineering (die Manipulation von Mitarbeitern, die unter Vorspiegelung falscher Tatsachen dazu gebracht werden sollen, Zugang zum System des Unternehmens zu gewähren).

Zweitens: Die Angriffe nehmen sowohl quantitativ als auch qualitativ in einem Ausmaß zu, dass die Unternehmen sich ihre Überforderung eingestehen müssen. "Wir wissen, dass selbst die besten Schutzmaßnahmen nicht ausreichen, um Cyberangriffe zu verhindern", so Fübi. Da macht es kaum mehr Sinn, dass jeder das Sicherheitsrad ständig selber neu erfindet - gemeinsame Schutzmaßnahmen müssen her. Schon jetzt lassen sich 71 Prozent von externen Sicherheitsspezialisten beraten, 32 Prozent haben das Budget für Security in den vergangenen zwei Jahren erhöht, gleich 64 Prozent haben in dieser Zeit neue Software angeschafft - selbst KI-Anwendungen sind da mittlerweile schon fast die Norm. Mehr geht auf individueller Ebene kaum. Daher sollen jetzt Vorschriften von jenen kommen, die den großen Überblick haben: Den Sicherheitsorganisationen der öffentlichen Hand und den Gesetzgebern. Zu breit ist die Front der Angriffe, als dass der einzelne sich noch ausreichend währen könnte.

Das, was dem Automatisierungsspezialisten Pilz passiert ist, nennen die Security-Leute mittlerweile "Großwildjagd". Spezielle Gruppen nehmen gezielt mittelgroße Organisationen ins Visier, wo sie Lösegeld in beträchtlicher Höhe vermuten. Kolportiert werden Forderungen von bis zu einer Mio. Euro - Summen, die in der Regel aber nie bestätigt werden. Bei Pilz soll es konkret um eine Ransomware namens Bitpaymer gehen, die seit Sommer 2017 auf der ganzen Welt Spitäler, Kommunen, Industriebetrieb und eine Fernsehstation lahmgelegt hat. Speziell seit April 2019 hat die Zahl der Angriffe der Bitpaymer-Gruppe deutlich zugenommen, schreibt die Business-Technology-Newssite ZDnet.

Wie können sich nun große Tiere gegen so gut ausgerüstete Jäger wehren? Der einzelne Elefant, um in diesem Bild zu bleiben, hat kaum eine Chance, einem Angriff auszuweichen. Da helfen nur gemeinsame Strategien. Daher der Ruf aus der Wirtschaft nach einer stärkeren gesetzlichen Unterstützung - inklusive strengeren Vorschriften. Andreas Fübi sieht neben den nationalen Gesetzen auch die europäische Dimension gefordert: "Mit dem Cybersecurity Act in der EU stehen grundsätzlich Instrumente zur Verfügung, mit denen die Politik den Schutz vor Cyberangriffen in der Wirtschaft wirksam verbessern kann."