Die Antwort ist wahrscheinlich: beides. Unternehmen heute sind mit komplexen Sicherheitsanforderungen konfrontiert, die nicht mehr auf das eigene Firmengelände eingrenzbar sind.

Ob nun der nächste Weltkrieg mit Trojanern und Ransomware gewonnen wird, oder Unternehmen mit Hackern zu tun haben, die professionell in arbeitsteiligen Organisationen inklusive Sozialpläne für die Mitarbeitenden aufgestellt sind: Umfassende Cybersicherheit ist zu einem Fundament unserer Gesellschaft und Wirtschaft gleichermaßen geworden. Was aber bedeuten die Bedrohungen aus der Datenleitung für augenscheinlich durchschnittliche Unternehmen, die eben gar nichts mit dem Betrieb von kritischen Infrastrukturen zu tun haben? Nun, es gibt zwei recht simple Antworten darauf. Zum einen agieren Organisationen mittlerweile derart vernetzt mit Zulieferern, Partnern und ihren Zielgruppen, dass ein Ausfall eines Teiles einer Wertschöpfungskette Auswirkungen auf den gesamten Strang hat. In der Cybersicherheit wird vor dem schwächsten Glied gewarnt, das im Schadensfall alle anderen, eigentlich gut abgesicherten Glieder, mitreißt.

Ein gutes Beispiel für die Netzwerke, denen sich auch vornehmlich lokal agierende Unternehmen kaum entziehen können, sind die aktuellen Auswirkungen auf die Lieferketten durch das erste Pandemiejahr 2020. Viele Bauprojekte in Europa werden immer noch von den im Vorjahr über Monate reduzierten Produktionsvolumen in Asien verzögert, da sich aufgrund der schnelleren Erholung der US-Marktes nun auch die globalen Logistikströme tendenziell an Europa vorbei bewegen (Gespräch mit Lewis Black vom Wolframproduzenten Almonty („Es wird nicht über Nacht passieren, sondern ein Jahrzehnt dauern").

Die zweite einfache Antwort: Der Begriff der kritischen Infrastruktur ist relativ zu sehen. Für einen kleineren, lokalen Fensterhersteller sind es die eigenen Produktionsmaschinen, die Lagerverwaltung und die Handvoll Logistikpartner für den Transport der Produkte zu den Kund*innen, die kritisch sind. Eine erfolgreiche Cyberattacke mit dem vielleicht wochenlangen Stillstand des Betriebs und Neuaufsetzens der Unternehmens-IT mag zu Verzögerungen und einer Gefährdung des eigenen Geschäfts führen, aber unsere Gesellschaft insgesamt ist nicht gefährdet. Für das Unternehmen selbst ist der Vorfall dennoch hochkritisch, mit unterschiedlichsten Risiken bis zur Insolvenz.

Schafft es eine Organisation nicht verlässlich und glaubwürdig, ebenso mit personenbezogenen Daten umzugehen, nimmt sie – mittlerweile nicht nur in Europa, auch in US-Staaten wie etwa Kalifornien – ein besonderes Risiko hinsichtlich ihrer Geschäftsfähigkeit auf sich. Im besten Fall kosten Verfehlungen Geld, im schlechteren Fall Reputation (und damit noch mehr Geld), im schlimmsten Fall muss eine Neugründung überlegt werden – dann aber mit eher einer Geschäftsführung, die ihre Verantwortung für Privacy-Themen ernst nimmt.

Letztlich können die beschriebenen wirtschaftlichen Auswirkungen durch Covid direkt auf das Thema Cybersicherheit umgelegt werden. Die Gemeinsamkeit ist das Virus, das durch ein exponentielles Wachstum in der Ausbreitung definiert ist, ebenso durch seine Angriffsvektoren auf unvorbereitete Organismen und die teils fatalen Folgen für die Angegriffenen. Ob das nun die Gesundheit eines Menschen oder die Resilienz einer Gruppe von Menschen betrifft – Unternehmen sind nichts anderes als die Summe ihrer Mitarbeitenden – es gilt, Risiken abzuschätzen, Gefahren zu erkennen, Vorsorge zu treffen und im Ernstfall lebensrettende Maßnahmen zu setzen. Doch beschäftigt man sich erst im Katastrophenfall damit, werden die Folgen tendenziell schwerwiegender sein.

Was darf nun Sicherheit kosten? Oder was sollte sie kosten? Es kommt darauf an, meinen Expert*innen wie Christopher Ehmsen von T-Systems („Es ist ein Geschäft, das auf Vertrauen basiert") oder die Wissenschaftlerin Maria Leitner von der Universität Wien und des AIT („Wir sitzen alle im selben Boot"). Sie sagen: Unternehmen können nicht endlos in IT-Security investieren, sollten aber Hilfe von außen annehmen und Verhalten im Ernstfall auch regelmäßig trainieren – im Großen, auf Ebene von Organisationen und Netzwerken, ebenso wie im Kleinen, auf dem Arbeitsplatz der Mitarbeitenden.

Diesen Bogen spannen auch die Organisator*innen der Fachkonferenz „PriSec 2021" am 5. und 6. Oktober in Rust – mit den Schwerpunktthemen Cybersicherheit und Datenschutz, und welche Herausforderungen und Lösungswege entstehen respektive empfohlen werden.

Bild: iStock