Ständig wachsam bleiben und sich mit den Cyberbedrohungen auseinandersetzen: Das ist notwendig, wenn wir digital zusammenarbeiten. Der Cyber Resilience Act der Europäischen Union hat hierzu neue Anforderungen geschaffen.
Es wird mich schon nicht treffen, denkt der eine. Der andere sagt: Wir passen doch gut auf und wissen, worauf wir achten müssen. Aber wie Forscher der TU Darmstadt jetzt herausgefunden haben, ist Sicherheitsbewusstsein tagesformabhängig: morgens im Büro noch voller Tatendrang, nachmittags nach einem arbeitsreichen Tag müde und erschöpft. So mancher lässt sich dann eher von verdächtigen E-Mails täuschen oder dazu verleiten, Links anzuklicken, die Cyberangriffe erst ermöglichen. Laut der Studie nimmt die Neigung, Sicherheitsregeln zu missachten, zum Ende des Arbeitstages zu und verstärkt sich, je weiter die Woche voranschreitet. Ein wichtiges Anzeichen dafür, dass wir uns für dieses Thema immer wieder neu sensibilisieren müssen. Denn Straftaten im Bereich Cybercrime liegen in Deutschland weiter auf einem sehr hohen Niveau. Nach Angaben des Bundeskriminalamts nahm zudem die Zahl jener Taten zu, die aus dem Ausland heraus begangen werden. Ein aktuelles Beispiel dafür liefert ein durchaus ungewöhnlicher Ort für eine Cyberattacke: Nicht ein ausspioniertes Industrieunternehmen oder eine offizielle Behörde, sondern das Berliner Luxuskaufhaus KaDeWe war zuletzt Opfer eines Cyberangriffs. Einem KaDeWe-Sprecher zufolge handelte es sich bei den Angreifern um „professionelle Cyberkriminelle aus Russland“. Im Darknet wurde nach der Attacke eine Datensammlung von 2,5 Terabyte veröffentlicht – darunter unter anderem Kunden- und Mitarbeiterdaten sowie interne Informationen, etwa aus der Finanzabteilung.
„Ihr Computer ist gesperrt“
Ein Horrorszenario, das leider immer wieder Realität wird und zu immensen Schäden führt. Vor allem Ransomware-Angriffe können die Existenz von Unternehmen bedrohen, so das Bundeskriminalamt. Daten werden auf den Festplatten verschlüsselt, die Täter transferieren womöglich sogar noch Kopien. Laut einer Bitkom-Befragung wurde die Hälfte aller Unternehmen binnen eines Jahres mit Ransomware angegriffen. Bei vielen wurde der Geschäftsbetrieb beeinträchtigt, Daten gingen verloren, zum Teil wurde Lösegeld bezahlt. Erschreckend aber ist, dass nur wenige Unternehmen – genauso wie Privatleute – sich an die Polizei wenden. Dies alles zeigt, wie dringlich es ist, sich mit Cybersecurity auseinanderzusetzen. Als Software- und Cloud-Anbieter und Verarbeiter von Millionen Daten im Auftrag der Kundinnen und Kunden ist es unsere oberste Verpflichtung, diese Daten zu schützen. Daher befassen wir uns selbstverständlich auch mit den Auswirkungen des Cyber Resilience Act der Europäischen Union. Diese neuen Vorschriften der EU zielen darauf ab, die Sicherheitsstandards für digitale Produkte und Dienstleistungen zu verbessern, um sowohl Verbraucher als auch Unternehmen besser vor Cyberbedrohungen zu schützen. Denn digitale Komponenten sind inzwischen ein großer Bestandteil unseres Alltags; dabei reden wir nicht nur über solch offensichtliche Punkte wie Software, sondern auch über andere Alltagsbegleiter wie Smartwatches oder Babymonitore. Das potenzielle Sicherheitsrisiko, das solche Produkte darstellen können, ist dagegen nicht immer gegenwärtig.
Weniger Schwachstellen im digitalen Alltag
Das Ziel des Cyber Resilience Act ist es, dass Produkte mit digitalen Bestandteilen, die auf den EU-Markt gebracht werden, künftig weniger Schwachstellen aufweisen. Aus diesem Grund sind Hersteller während des gesamten Lebenszyklus des Produkts für dessen Cybersecurity verantwortlich. Zudem soll mehr Transparenz über die Sicherheit von Hard- und Software-Produkten geschaffen werden. Um das zu erreichen, ist für jedes Produkt eine Beurteilung der Cybersicherheitsrisiken obligatorisch. Bereits in der Konzeptions-, Design- und Entwicklungsphase müssen Cybersicherheitsrisiken angemessen berücksichtigt werden. Für uns ist es eine Selbstverständlichkeit, uns dieser Verantwortung bewusst zu sein und uns danach auszurichten. Auf diese Weise tragen wir einen Teil dazu bei, die digitale Welt ein wenig sicherer zu machen.
Ransomware und Datenlecks
Denn die aktuellen Bedrohungen durch Cyberangriffe sind vielfältig und können nicht nur Auswirkungen auf Unternehmen, sondern auf die gesamte Gesellschaft haben. Ransomware-Angriffe auf kritische Infrastrukturen können zu Störungen in der Versorgung – etwa bei Energie und Gesundheit – führen und damit weitreichende Folgen für das öffentliche Leben nach sich ziehen. Datenlecks in großen Unternehmen wiederum führen durch das Offenlegen sensibler persönlicher Daten nicht nur zu finanziellen Verlusten, sondern untergraben auch das Vertrauen der Verbraucher. Phishing-Kampagnen und Social Engineering – also psychologische Mechanismen, die Eigenschaften wie Respekt oder Vertrauen ausnutzen – betreffen zwar individuelle Nutzer, können aber durch Betrug und Identitätsdiebstahl die Sicherheit von Unternehmensnetzwerken gefährden.
Deshalb ist es entscheidend, dass Unternehmen ihre Rolle in der Cybersecurity aktiv wahrnehmen. Das bedeutet: sensible Daten und Informationen zu schützen, die Wahrscheinlichkeit von Betriebsausfällen zu reduzieren und damit Kontinuität zu gewährleisten.
Schulung und Sensibilisierung
Unternehmen sind gefordert, mit diesen Entwicklungen Schritt zu halten. Denn Cyberbedrohungen entwickeln sich ständig weiter, die Angreifer nutzen fortgeschrittene Techniken, um Sicherheitsmaßnahmen zu umgehen. Unternehmen müssen ihre Cybersecurity-Strategien daher kontinuierlich anpassen und darüber hinaus eine Sicherheitskultur fördern. Das bedeutet nicht nur regelmäßige Schulungen, sondern auch eine stete Sensibilisierung für die Thematik zu gewährleisten.
Der Cyber Resilience Act ist hier ein wichtiger Schritt in die richtige Richtung. Allerdings sollte uns allen eines klar sein: Es ist entscheidend, nicht erst auf gesetzliche Vorgaben zu warten und dann zu handeln. Wir müssen aktiv voranschreiten und in Cybersecurity investieren. Nur so können wir in einer zunehmend vernetzten Welt weiterhin im wahrsten Sinne des Wortes vertrauensvoll miteinander arbeiten.
