Cyber-Angriffe sind zu einer häufigen Gefahr für Einzelpersonen und Unternehmen geworden und bleiben eine der allgegenwärtigsten Bedrohungen, die Gesellschaften und das globale Wirtschaftswachstum gefährden. Geopolitische und geoökonomische Unsicherheit - einschließlich der Möglichkeit von Auseinandersetzungen im Cyberspace - drohen zu verhindern, das volle Potenzial der Technologien der nächsten Generation ausschöpfen zu können.

Laut dem Global Risks Report 2020 des Weltwirtschaftsforums (WEF) spielen Cyberangriffe in den kommenden zehn Jahren eine nicht unwesentliche Rolle, bei der Frage nach Risiken (Abbildung 1). Umsätze, Gewinne und Markenwerte der Unternehmen hängen zunehmend von ihrem digitalen Geschäftserfolg ab. Zeitgleich agieren staatliche Akteure im Cyber-Raum, wodurch vor allem kritische Infrastrukturen (KRITIS) ins Rampenlicht rücken und besonderen Risiken ausgesetzt sind.

WEF: Die tägliche Nutzer-Million

Laut dem WEF-Bericht sind heute mehr als 50 Prozent der Weltbevölkerung online, und täglich kommen eine Million zusätzliche Benutzer hinzu. Zwei Drittel der Menschheit besitzen ein mobiles Endgerät. Um allen Anwendern das erwartete Ergebnis zu bieten, werden Daten zu dem Öl, das die digitale Wirtschaft antreibt. Laut Ciscos VNI-Forecast 2017-2022 wird der Datenverkehr bis 2021 jährlich 3,3 Zettabyte erreichen, das entspricht pro Minute dem Gigabyte-Äquivalent aller Filme, die jemals gedreht wurden. All dies mündet in einer Null-Toleranz für Ausfälle oder Unterbrechungen. Die Verfügbarkeit der Datenautobahn und der nachgelagerten IT-Systeme wird so kritisch werden, wie heutzutage die Verfügbarkeit von Elektrizität.
5G-Netze, Quantencomputer, Künstliche Intelligenz und die zunehmende Abhängigkeit von der Verfügbarkeit von Netzdiensten und Cloud Computing schaffen jedoch nicht nur Chancen, sondern auch neue eigene systemische Risiken.

World Economic Forum: Die Cyber-Angriffswelle rollt

Gefragt nach dem "kurzfristigen Risikoausblick" für die nächsten zwölf Monate, erwarten 76,1 Prozent der Befragten WEF-Umfrage eine Zunahme von Cyber-Angriffen. Cyberangriffe schafften es damit - noch vor der Gefahr durch Terrorismus - in die Liste der Top-5-Bedrohungen (sh. Abbildung 2).

Die Cyberkriminalität ist heute eine profitable Schattenwirtschaft. Das "Darknet" bietet dabei die Plattform für Transaktionen, den Ort, an dem Nachfrage und Angebot aufeinander treffen. Cybercrime-as-a-Service wird dabei zunehmend als Dienstleistung angeboten. Das Angebot umfasst unter anderem Denial-of-Service-Angriffe zur Sabotage oder Ablenkung, Malware oder gestohlene Datensätze. Organisierte Cyberkriminalität schließt sich zusammen, und die Wahrscheinlichkeit, dass Akteure entdeckt und verfolgt werden, wird beispielsweise in den Vereinigten Staaten auf 0,05% geschätzt, so das Fazit des WEF. Cyber-Kriminalität als Dienstleistung ist auch ein wachsendes Geschäftsmodell, da die zunehmende Verfeinerung der Tools im Darknet bösartige Dienste für jeden erschwinglicher und leicht zugänglich macht.

Lesetipp: Cybercrime as a Service - So günstig ist kein Hack im Darknet

WEF 2020: Industrie 4.0 und IoT als Hacker-Einfallstor

Die Vernetzung von Technologien der Industrie 4.0 macht Unternehmen von Natur aus anfällig für Cyber-Angriffe. Betriebstechnologien (OT) sind einem erhöhten Risiko ausgesetzt, da Cyber-Angriffe potenziell auf Betriebsabläufe durchschlagen. Die Anwendung von "Security-by-Design"-Prinzipien zur Integration von Sicherheitsfunktionen in neue Produkte ist jedoch immer noch zweitrangig gegenüber der schnellen Markteinführung von Produkten.

Lesetipp: IT-Sicherheit ab Werk - Security by design umsetzen

Das Internet of Things vergrößert ebenfalls die potenzielle Oberfläche für Cyber-Angriffe. Es wird geschätzt, dass es bereits über 21 Milliarden IoT-Geräte weltweit gibt, und ihre Zahl soll sich bis 2025 abermals verdoppeln. Die Angriffe auf IoT-Geräte haben in der ersten Hälfte des Jahres 2019 um mehr als 300% zugenommen, wie der WEF-Bericht betont. Im September 2019 hatte ein Daten-Tsunami unter Zuhilfenahme von IoT-Geräten, Wikipedia durch einen Distributed-Denial-of-Service (DDoS)-Angriff ausgeschaltet. Experten gehen davon aus, dass das Risiko von Angriffen dieser Art weiter zunehmen wird. Dem WEF-Bericht zu Folge, könnte der weltweite Schaden durch Cyber-Kriminalität bis zum Jahr 2021 6 Billionen US-Dollar erreichen - was dem Bruttoinlandsprodukt (BIP) der drittgrößten Volkswirtschaft der Welt entsprechen würde.

WEF: Kritische Infrastrukturen im Fadenkreuz

Cyber-Angriffe auf kritische Infrastrukturen gelten als fünftgrößtes Risiko des WEF im Jahr 2020 und als sechstgrößten Risiko bis zum Jahr 2030. In Sektoren wie Energie, Gesundheitswesen und Transport sind sie zur neuen Normalität geworden.

Lesetipp: Patientendaten im Netz! Was nun?

Die digitale Abhängigkeit verändert das Wesen der internationalen und nationalen Sicherheit und wirft drei dringende Fragen auf: Wie können kritische Infrastrukturen geschützt, gesellschaftliche Werte aufrechterhalten und die Eskalation von Staat-zu-Staat-Konflikten verhindert werden? Digitale Technologien werden zunehmend in der asymmetrischen Kriegsführung eingesetzt und ermöglichen Angriffe kleinerer Länder und nichtstaatlicher Akteure auf größere Staaten. Der Cyberspace ist zu einer Erweiterung des militärischen Aktionsraums geworden und hat ein neues technologische Wettrüsten ausgelöst, heißt es im WEF-Bericht.

Davos 2020 setzt Zeichen

Trotz steigender Risiken ist es ein enormer Fortschritt, dass es das Thema Cyber-Sicherheit auf die politische Weltbühne und damit auf die Tagesordnung der führenden Politiker und Wirtschaftslenker geschafft hat. Dies ist ein Anfang. Organisationen können sich gegen die oben beschriebenen Schwachstellen wehren. Doch die Zeiten, in denen Cyber-Sicherheit als reine IT-Aufgabe abgetan wurde, sind längst vorbei. Sie ist zu einem strategischen Risiko geworden, das ein Engagement von der Spitze der Organisation erfordert.

Die führenden Politiker der Welt und Unternehmenslenker müssen sich weiterhin dafür einsetzen, über Davos hinaus, am Ball zu bleiben. Corporate Governance-Modelle gehören beispielsweise überdacht, im Hinblick darauf, wo Security im Unternehmen aufgehangen ist. Der CISO-Funktion sollte in diesem Zusammenhang mehr Aufmerksamkeit geschenkt werden. Nahezu jede geschäftliche Entscheidung im digitalen Zeitalter wird in der einen oder anderen Form eine Cyber-Implikation haben. Infolge dessen gehört der CISO in die Entscheidungsfindung einbezogen.

Ebenso bedarf es einem stärker kooperativen Ansatz zur Bekämpfung von Cyber-Bedrohungen - sei es eine koordinierte Anstrengung innerhalb einer bestimmten Branche oder in öffentlich-privaten Partnerschaften, die den Informationsaustausch zwischen Strafverfolgungsbehörden, der Legislative und dem privaten Sektor fördern. Im Alleingang wird der Epedemie jedenfalls kein Einhalt zu bieten sein. (bw)