Die Zahl der Cyberangriffe nimmt stetig zu. Im Fokus der Angriffe stehen dabei Unternehmen und kritische Infrastrukturen ebenso wie Verwaltung, Forschungseinrichtungen und Bürger. Das geht aus dem aktuellen Bericht des Bundesamtes für Sicherheit in der Informationstechnik (BSI) hervor. Dennoch sind diese häufig nur unzureichend darauf vorbereitet.
Cyber-Attacken sind zum täglichen Risiko geworden. Jedes Unternehmen muss darauf eingerichtet sein, dass die Sicherheit der eigenen IT ständig von Kriminellen „getestet“ wird. Die Zahl der Angriffe hat dabei ebenso zugenommen wie die von diesen, technisch auf höchstem Niveau stehenden Angriffen ausgehende Gefahr. Während es früher häufig dabei blieb, dass Dritte, nicht immer in krimineller Absicht, in die IT-Landschaft von Unternehmen eingedrungen sind, um dort nach Informationen zu suchen, hat die von Cyber-Attacken ausgehende Gefahr mittlerweile ganz neue Formen angenommen: Angriffsziele sind mittlerweile nicht nur Daten, sondern auch technische, d. h. physische, Infrastrukturen (bspw. wurde durch einen Angriff aus einem Internet eine Hochofen in einem Stahlwerk zerstört) zu. Eine weitere noch recht „junge“ Angriffsform ist die Erpressung durch Sperre der gesamten IT (bspw. von Krankenhäusern), ein für jedes Unternehmen kaum verkraftbarer Eingriff in den Betriebsablauf.
Die Anzahl der Cyberangriffe auf Unternehmen wächst kontinuierlich. Langsam entsteht auch in Wirtschaft und Politik das Bewusstsein, dass derartige Angriffe für Unternehmen existenzbedrohend sein oder ganze Infrastrukturen lahm legen können. Doch Unternehmen sind dieser Form der Kriminalität nicht schutzlos ausgeliefert. Es obliegt dem Vorstand, für ein angemessenes Schutzniveau im Hinblick auf Cyberattacken Sorge zu tragen. Angesichts der gravierenden Folgen, die eine Cyberattacke für ein Unternehmen haben kann, muss sich daneben auch der Aufsichtsrat dieses Themas annehmen, will er seine Aufgaben ordnungsgemäß erfüllen und nicht zuletzt eine persönliche Haftung vermeiden. Aufsichtsräte müssen mit Kompetenz personell aufrüsten.
Der Online Storage Anbieter Dropbox hat es bestätigt: Im Jahr 2012 wurden durch einen Hackerangriff geschätzte 68 Millionen User-Passwörter gestohlen. Was passiert nun mit den betroffenen Benutzerkonten und welche Handlungsempfehlung wird den Kunden gegeben?
1. Einführung
Die Schaffung eines einheitlichen Datenschutzrechts für die Europäische Union war das Ziel, auf dessen Verwirklichung vier Jahre lang hingearbeitet wurde. Das Ergebnis ist die EU-Datenschutz-Grundverordnung (EU-DSGVO), welche am 04. Mai 2016 im Europäischen Amtsblatt veröffentlicht wurde. Sie wird am 25. Mai 2018 in den EU-Mitgliedsstaaten in Kraft treten. Da die EU-DSGVO als Verordnung ausgestaltet ist, bedarf sie keiner Umsetzung in nationales Recht und wird in Deutschland in weiten Teilen das heute anwendbare Bundesdatenschutzgesetz (BDSG) ersetzen. Aus der EU-DSGVO ergibt sich ein weitreichender Umsetzungsbedarf für die Unternehmen.
Das Endprodukt ist stets nur so gut wie seine Einzelteile – diesen oder einen ähnlichen Gedanken hatten die Experten des chinesischen Konzerns Huawei wohl, als sie ein neues Cybersicherheitskonzept für ihre globale Lieferkette entwickelten. Die Supply Chain besteht, gerade bei einem großen Telekommunikationsausrüster, aus vielen einzelnen Elementen, die über Netzwerke und spezielle Software digital verwaltet werden. Eine zeitgemäße Lösung, jedoch auch Nährboden für Cybercrime. Im firmeneigenen Cybersicherheits-Whitepaper 2016 spricht das Unternehmen Cyberrisiken in der Lieferkette an und bietet Lösungsansätze für damit verbundene Probleme.
