Neben unabhängigen Cyberkriminellen gibt es auch Akteure/ìnnen, die staatlich gesteuert sind oder durch staatliche Strukturen gefördert oder zumindest unbehelligt geduldet werden.
Attacken gegen Industrieanlagen, wie zum Beispiel vor einigen Jahren durch den Stuxnet-Wurm gegen Siemens-Anlagen sind ebenso verbreitet wie Attacken gegen zentrale Clouddienstleister. Der Cyberangriff auf die atruvia AG im Jahr 2021 führte beispielsweise zu einer flächendeckenden Störung des Onlinebanking bei den angeschlossenen Instituten.
Die COVID 19-Pandemie und die dadurch vermehrte Arbeit aus dem Homeoffice mit externen Unternehmenszugängen, der Angriffskrieg Russlands gegen die Ukraine mit wechselseitigen Cyberattacken: All dies sind Beispiele, wie schnell Cyberkriminelle in der Lage sind, neue Situationen für ihre kriminellen Machenschaften zu nutzen.
Also ist Cyberkriminalität ein neues und lohnendes Geschäftsmodell?
Stimmt. Cyberkriminalität hat sich zu einem innovativen und profitablen Geschäftsmodell entwickelt. Cybercrime-as-a-Service ist ohne größerem Aufwand im Darknet buchbar und hat meist das Ziel, hohe Summen Lösegeld zu erpressen. Über bestehende, weltweite Vernetzungen ergeben sich hier Domino-Effekte, die eine Vielzahl von Unternehmen, Behörden oder auch Privatpersonen schädigen.
Aber auch andere Ursachen sind durchaus denkbar. So sollen in den Jahren 2019 und 2020 Jugendliche die Computernetze von Banken und Telekommunikationsanbietern in Schleswig-Holstein, Niedersachsen, Berlin und anderen Bundesländern aus Langeweile attackiert haben.
Selbst im privatem Umfeld sind die Risiken aus der zunehmenden Vernetzung von Endgeräten untereinander nicht zu unterschätzen.
Die Schnittstelle zwischen Mensch und Maschine bleibt generell Einfallstor Nummer 1 für Cyberangriffe: Mehr als 85 Prozent aller Attacken starten beim Faktor Mensch, wie der Human Risk
Review 2022 von sosafe bestätigt. Hieran wird sich kurzfristig auch nichts ändern. auch wenn zunehmend professionalisierte Angriffe durch Künstliche Intelligenz zu einer neuen Qualität der Bedrohungen führen.
Wie betroffen sind unsere Genossenschaften?
Genossenschaften sind wie alle Marktteilnehmer wachsenden Cyberrisiken ausgesetzt. Mir ist keine Genossenschaft bekannt, die ohne Internetzugänge oder IT-Systeme in der Lage wäre, ihr Geschäftsmodell zu betreiben. Die zunehmende Zentralisierung von Geschäftsprozessen unter Nutzung von Cloudanbietern oder auch der individuelle Einsatz von heterogenen IT-Systemen stellen unsere Genossenschaften vor neue Herausforderungen.
Auch wenn ich nicht von gezielten Cyberattacken auf unsere Genossenschaften ausgehe, können sie schnell davon betroffen sein. Denn Angriffe, zum Beispiel Ransomware für Erpressungen oder Computersabotagen, finden oft flächendeckend statt. Die Täter/innen schauen dann, was sich Lohnendes ergibt.
Sind sich die Genossenschaften dieser Gefahr bewusst? Was müssen sie tun?
Das Thema erhält bei unseren Genossenschaften immer mehr Aufmerksamkeit, das zeigen auch die steigenden Security Budgets.
Im regulierten Finanzsektor werden darüber hinaus die Anforderungen an Cybersecurity durch die Bankenaufsicht unmittelbar in die Institute transportiert und dort umgesetzt.
Aber auch in nicht-regulierten Branchen steigt auf der Führungsebene das Bewusstsein für technische und organisatorische Sicherheitsmaßnahmen. Diese dürfen nicht an den eigenen Unternehmensgrenzen, zum Beispiel der IT-Abteilung, haltmachen. Alle Mitarbeiter/innen müssen für dieses Thema sensibilisiert werden. Außerdem ist eine angemessene organisatorische und personelle Basis nötig, um ein akzeptables Sicherheitsniveau zu erreichen.
Wie unterstützt die AWADO Genossenschaften dabei, Daten und Unternehmensnetze zu sichern?
Die AWADO hat als Teil der genossenschaftlichen Verbandsfamilie hohe personelle und fachliche Kompetenzen bei Themen der Cybersicherheit. Wir unterstützen unsere Kunden/innen hier mit reinen IT-Prüfungen, aber auch mit präventiven oder begleitenden Maßnahmen zur Erhöhung der IT-Sicherheit. Als zentrale Leistungen bieten wir auch die skalierbare Übernahme von Tätigkeiten im Rahmen der Internen (IT)-Revision in mittelständischen Unternehmen oder auch in Kreditinstituten an. Darüber hinaus unterstützen und beraten wir (genossenschaftliche) Unternehmen dabei, Sicherheitslösungen im Sinne eines Informationssicherheitsmanagements und deren Implementierung auszuwählen – ausgerichtet an anerkannten Standards wie der ISO 27001 oder dem BSI-Grundschutz. Zukünftig werden wir auch eine entsprechende Zertifizierung nach diesen Standards anbieten.
