„Cybersicherheit ist nicht alles. Aber ohne Cybersicherheit ist alles nichts.“ Dieses Wortspiel stammt nicht von mir (leider weiß ich nicht, von wem es stammt), aber es trifft die Realität recht gut, zumindest aus meiner Sicht. Genau das dachte ich auch, als ich den Digitalen Kompass 2030 las, mit dem die EU-Kommission eine Zielvorstellung und Wege für den digitalen Wandel in Europa bis 2030 skizziert hat. Um es klar zu sagen: Es ist richtig, klare und messbare Ziele zu setzen, damit der Fortschritt kontinuierlich überprüft werden kann und dort neue Ansätze entwickelt werden können, wo es nicht wie geplant vorangeht. Die vier Kernpunkte des Digitalen Kompasses 2030 – (i) eine digital kompetente Bevölkerung und hochqualifizierte digitale Fachkräfte, (ii) eine sichere und nachhaltige digitale Infrastruktur, (iii) der digitale Wandel in Unternehmen und (iv) die Digitalisierung öffentlicher Dienste – sind zudem sehr gut geeignet, um die Ambition der EU für eine erfolgreiche Digitalisierung bis 2030 in gemeinsame Ziele zu übersetzen. Darüber scheint es sehr sinnvoll, den Digital Economy and Society Index (DESI) als Grundlage für die Erfolgsmessung zu nutzen, ihn aber für diesen Zweck auszubauen und anzupassen. Aber…
Als globales Cybersicherheits-Unternehmen mit starker europäischer Präsenz haben wir den Digitalen Kompass 2030 insbesondere im Hinblick auf die Themen Cybersicherheit und Cyber-Resilienz unter die Lupe genommen. Denn wir sind der Meinung, dass eine angemessene Cybersicherheit eine wesentliche Voraussetzung und ein Erfolgsfaktor für die Digitalisierung ist. Deshalb sollte Cybersicherheit im Digitalkompass 2030 den Stellenwert erhalten, den es verdient. Das macht alleine schon ein Blick auf die wirtschaftlichen Folgen von Cyberkriminalität deutlich: Laut dem Bericht „Cybersicherheit – Our Digital Anchor“ der Gemeinsamen Forschungsstelle (JRC) der Europäischen Kommission sind die weltweiten jährlichen Kosten von Cyberkriminalität deutlich gestiegen, von 2,7 Billionen Euro im Jahr 2015 auf 5,5 Billionen Euro bis Ende 2020.
Die Europäische Union und die Mitgliedstaaten scheinen auf einem guten Weg zu sein, die Cybersicherheit zu erhöhen und die Cyber-Resilienz zu fördern. Aber…
Genau das sollte auch in greifbare, zukunftsorientierte politische Ziele umgesetzt werden, die sicherstellen, dass europäische Bürgerinnen und Bürger sowie Unternehmen, die im europäischen digitalen Binnenmarkt tätig sind und dort investieren, die Vorteile der Digitalisierung nutzen können, ohne unter möglichen schädlichen Nebenwirkungen wie Datenschutzverletzungen, Identitätsdiebstahl, Ransomware-Angriffen usw. leiden zu müssen. Werfen wir deshalb einen Blick auf die vier grundlegenden Felder oder „Kompassnadeln“:
Digital qualifizierte Bevölkerung und hochqualifizierte digitale Fachkräfte
Laut der (ISC)² Cybersicherheit Workforce Studie blieben bereits im Dezember 2019 fast 300.000 Stellen für Cybersicherheit-Fachkräfte in Europa unbesetzt. 58 Prozent der Unternehmen mit unbesetzten Stellen berichteten, dass sich das negativ auf ihre Fähigkeit zur Abwehr von Cyberangriffen auswirket. Ein Bericht der Europäischen Agentur für Cybersicherheit (ENISA) kommt zu dem Ergebnis, dass dieses kein kurzfristiges Problem sein wird. So blieben 16 % der offenen Stellen im Bereich Cybersicherheit im Jahr 2020 unbesetzt. Der Fachkräftemangel macht sich insbesondere bei KMUs und in öffentlichen Einrichtungen überproportional bemerkbar, insbesondere weil der Mittelstand und die öffentliche Hand nicht über die notwendigen Budgets verfügen um im Wettbewerb am Arbeitsmarkt erfolgreich zu sein.
Daher empfehlen wir, ehrgeizige Ziele zu setzen. Angemessene Kenntnisse sowie Fähigkeiten und Fertigkeiten sollten als wesentliches Element digitalen Grundfertigkeiten definiert werden. Zudem sollte ein Ziel für die Anzahl der beschäftigten Cybersicherheits-Experten gesetzt werden. Durch die frühzeitige Aufnahme von speziellen IT- und Cybersicherheit-Kursen in den Lehrplan der Schulen lässt sich der Erfolg des Digitalisierungsprozesses in mehrfacher Hinsicht gesteigert. Wir empfehlen zudem, ambitionierte Ziele mit Blick auf die Anzahl der Studenten zu setzen, die pro Jahr in Deutschland und Europa in speziell auf Cybersicherheit ausgerichteten Studiengängen zugelassen werden. Zudem sollten in allen Studiengänge Kurse zur Cybersicherheit verpflichtend vorgesehen werden. Kaspersky und viele Akteure der Branche sind bereit, diese ehrgeizigen Ziele mit dem Aufbau von Cyberkapazitäten zu unterstützen.
Wie in der gemeinsamen Mitteilung zur Cybersicherheit 2020 festgestellt wurde, haben etwa 40 Prozent der Nutzer in der EU Cybersicherheits-Probleme. Mehr als 70 % haben das Gefühl, dass sie sich nicht ausreichend vor Cyberkriminalität schützen können. Dabei sind sich viele Bürgerinnen und Bürger nicht der Bedrohungen bewusst, denen sie ausgesetzt sind. Das gleiche gilt für Vorsichts- und Schutzmaßnahmen, die sie ergreifen sollten. Laut dem Eurobarometer Spezial 2020 haben beispielsweise nur 42 Prozent der Bürger eine Antiviren-Software installiert, nur 29 Prozent verwenden unterschiedliche Passwörter für verschiedene Websites und nur 21 Prozent ändern ihre Passwörter regelmäßig. Das sind alarmierende Zahlen, insbesondere, weil leistungsstarke Antivirensoftware oder Passwort-Manager kostengünstig oder sogar kostenfrei zur Verfügung sind einfach installiert werden können, und sehr benutzerfreundlich sind. Vor diesem Hintergrund müssen gemeinsame Maßnahmen von Politik, Wissenschaft, IT-Sicherheitsindustrie und Zivilgesellschaft ergriffen werden, um die Bürgerinnen und Bürger aufzuklären und zu sensibilisieren.
Sichere, zuverlässige und nachhaltige digitale Infrastrukturen
Digitale Infrastrukturen bilden das Rückgrat der Digitalisierung Europas. Die EU und die Bundesrepublik Deutschland hat in den letzten Jahren zu Recht die Bedeutung einer sicheren und widerstandsfähigen digitalen Infrastruktur betont und wichtige regulatorische Maßnahmen wie die NIS-Richtlinie oder das IT-Sicherheitsgesetzt ergriffen. Der vielleicht wichtigste Aspekt zur Steigerung der Resilienz der digitalen Infrastruktur in Deutschland und Europa besteht allerdings darin, sie von der Entwurfsphase an mit Blick auf die Cybersicherheit zu konzipieren und so sicherzustellen, dass nicht nur die einzelnen Teile, sondern auch die Gesamtsysteme und Netze sicher und zuverlässig sind. Der Ansatz „Security by Design“ muss also konsequent verfolgt und umgesetzt werden. Dies könnte zu einem neuen Konzept und einem Wechsel von Cybersicherheit zu „Cyberimmunity„ führen.
Wie die EU Cybersicherheit-Strategie feststellt: „Alle mit dem Internet verbundenen Dinge in der EU (…) müssen ’secure-by-design‘, widerstandsfähig gegen Cybervorfälle und schnell gepatcht sein, wenn Schwachstellen entdeckt werden. „(…) Cybersecurity by design (…) kann Risiken mindern, potenziell die Kosten für Unternehmen wie auch für die Gesellschaft insgesamt senken und dadurch die Widerstandsfähigkeit erhöhen.“ Der Kompass sollte deswegen stärker betonen, Cybersicherheit nicht als „Add on“ und Kostenfaktor zu betrachten, sondern sicherheitsrelevante Überlegungen bereits in der Entwurfsphase einzubeziehen. Natürlich kann keine „absolute“ Sicherheit garantiert werden. Aber es muss das Ziel sein, die Angriffsfläche zu verringern und die Kosten für die Durchführung von Angriffen für böswillige Akteure in die Höhe zu treiben erheblich. Damit würde ein erheblicher Beitrag zur Resilienz digitalen Infrastrukturen und Dienste geleistet.
Digitaler Wandel in Unternehmen
In dem Maße, wie sich Unternehmen an die Welt nach der Pandemie anpassen und viele ihrer Aktivitäten und Prozesse online verlagern, wird auch ihr Risiko, Opfer von Cyberangriffen zu werden, weiter steigen. Die Bedrohungslandschaft hat sich verändert. Ein Beispiel ist Ransomware: Am 23. April 2021 veröffentlichte Kaspersky eine globale Ransomware-Statistik. Sie zeigte einen deutlichen Rückgang der Zahl der Opfer von Ransomware-Angriffen. Aber …
Ransomware-Angriffe haben sich qualitativ verändert. Sie sind zielgerichteter, weiter entwickelt, komplexer. So ist das Ransomware-Ökosystem zu einer systemischen Bedrohung für Unternehmen und öffentliche Einrichtungen auf der ganzen Welt geworden.
Trotzdem ist die Cyber-Bereitschaft sowohl bei Unternehmen als auch bei Privatpersonen nach wie vor eher gering. Der NIS-Investitionsbericht der ENISA stellt etwa fest: „Wenn man Organisationen aus der EU mit Organisationen aus den Vereinigten Staaten von Amerika vergleicht, zeigen die Daten, dass EU-Organisationen im Durchschnitt 41 % weniger für Informationssicherheit ausgeben als amerikanische.“ Natürlich bedeuten mehr Investitionen nicht zwangsläufig mehr Sicherheit. Doch der Bericht zeigt auch das allgemein geringere Bewusstsein für Cybersicherheitsrisiken in Europa im Vergleich zu den Vereinigten Staaten. Die in Überarbeitung befindliche NIS-Richtlinie (NIS2) wird wahrscheinlich dazu beitragen, die Investitionen in und das Bewusstsein von Unternehmen für Cybersicherheit zu erhöhen.
Investitionen in Cybersicherheit sollten zielgerichtet gefördert werden, das gilt insbesondere für KMU. Sinnvoll wäre es deswegen, Ziele für den prozentualen Anteil des Cybersicherheitsbudgets am gesamten IT-Budget zu definieren und Cybersicherheitsschulungen zu fördern. Warum gerade KMU bzw der Mittelstand? In einer kürzlich durchgeführten Studie über die Bereitschaft von KMUs stellte die ENISA fest, dass mehr als 80 % der KMUs „kritische Informationen“ verarbeiten, die – wenn sie gestohlen werden oder verloren gehen – zu ernsthaften rechtlichen Auswirkungen oder irreversiblen Folgen führen würden. In der Tat gaben 57 % der von der Agentur befragten Unternehmen an, dass sie höchstwahrscheinlich in Konkurs gehen würden, wenn sie mit solch schwerwiegenden Cybersicherheitsproblemen konfrontiert würden.
Ein weiterer Punkt: Laut dem ENISA Threat Landscape Report 2020 basieren 84 % der Cyberangriffe zumindest teilweise auf Social Engineering. Da ein System nur so stark ist wie sein schwächstes Glied, müssen die Mitarbeiterinnen und Mitarbeiter von Unternehmen und Behörden darin geschult werden, potenzielle Cyber-Bedrohungen zu erkennen und auf sie zu reagieren. Dies ist umso wichtiger, als Unternehmen zunehmend digital vernetzt sind und wir eine starke Entwicklung von „Supply-Chain-Cyberattacken“ sehen, die auf Zulieferer abzielen, um andere Organisationen zu erreichen.
Digitalisierung von öffentlichen Dienstleistungen
Eine effiziente und bürgerorientierte öffentliche Verwaltung ist eine wichtige Voraussetzung für die wirtschaftliche, soziale und gesellschaftliche Entwicklung in Deutschland und Europa und für das Vertrauen der Bürger und Unternehmen in öffentliche Dienstleistungen. Wenn Infrastrukturen und Dienste des öffentlichen Sektors kompromittiert werden, wird das Vertrauen der Bürgerinnen und Bürger in diese Infrastruktur und die Fähigkeit des öffentlichen Sektors, zuverlässige und sichere Online-Dienste zu gewährleisten, geschwächt. Deshalb sind Vertrauen und Sicherheit bei der Digitalisierung des öffentlichen Sektors von besonderer Bedeutung.
Gleichzeitig ist der öffentliche Sektor ein attraktives Ziel für komplexe Cyberangriffe, darunter Advanced Persistent Threats (APTs) und gezielte Ransomware-Angriffe (siehe zum Beispiel das Kaspersky Security Bulletin – Story des Jahres 2019: Städte unter Ransomware-Beschuss). Doch knappe öffentliche Haushalte und der gravierende Mangel an qualifizierten IT-Fachkräften macht die Gewährleistung eines angemessenen Niveaus an Cybersicherheit zu keiner leichten Aufgabe.
Die EU sollte sich deswegen ehrgeizige Ziele zum Schutz der IT der öffentlichen Hand setzen. Hierzu zählen höhere Investitionen in Cybersicherheitslösungen und –dienstleistungen. Für neue IT-Projekte könnten Schwellenwerte für Cybersicherheits-Budgets festgelegt werden. Zudem sind innovative und auf den öffentlichen Sektor zugeschnittene Cybersicherheitstrainings zu entwickeln. Ein Beispiel: Im COMPACT-Projekt, gefördert von der Europäischen Kommission im Rahmen des Horizon 2020-Programms, hat Kaspersky in Zusammenarbeit mit Partnern spezielle Trainings für kommunale öffentliche Behörden entwickelt und erprobt. Zudem gilt es, Mindestanforderungen an das Informationssicherheitsmanagement verbindlich vorzuschreiben und zu prüfen, zum Beispiel basierend auf internationalen Standards wie ISO 27001 oder dem BSI Grundschutz.
„Cybersicherheit ist nicht alles. Aber ohne Cybersicherheit ist alles nichts.“ … Der Eingangssatz bringt es auf den Punkt. Es wäre daher wünschenswert, den Digitalen Kompass 2030 mit Blick auf den Digitalisierungs-Enabler Cybersicherheit zu schärfen. Das Feedback von Kaspersky zur Roadmap des Digital Compass Policy Programme finden Sie übrigens hier.