Digitale Compliance als Erfolgsfaktor gegen Cyberkriminalität

Cybersecurity

Die rasant fortschreitende Digitalisierung hat unsere Gesellschaft und insbesondere die Unternehmenswelt grundlegend verändert. Doch mit der Einführung neuer Technologien und der zunehmenden Vernetzung von Systemen sind neue Risiken für die Cybersicherheit entstanden, die Unternehmen vor erhebliche Herausforderungen stellen.  

Seit Beginn der Coronapandemie hat sich die Bedrohungslage weiter verschärft. Die beschleunigte Digitalisierung schuf Angriffsflächen für Cyberkriminelle. Cyberangriffe, insbesondere mit Ransomware und Malware, haben stark zugenommen. Sie verursachen nicht nur unmittelbare Schäden durch Betriebsunterbrechungen, sondern wirken sich auch langfristig auf Reputation und Compliance der Unternehmen aus. 

Eine kürzlich durchgeführte Studie zur Digitalisierung und Compliance, die Compliance-Studie 20211, unterstreicht diese Problematik: Etwa die Hälfte der befragten Unternehmen berichtete von realisierten digitalen Risiken wie Hacking-Attacken, Ransomware-Angriffen und Datenschutzverletzungen. Viele Unternehmen unterschätzen jedoch die Risiken neuerer Technologien wie Blockchain, künstliche Intelligenz und Big-Data-Analysen. Nur wenige erkennen hohe Compliance-Risiken in diesen Bereichen, obwohl bei Nichteinhaltung gesetzlicher Vorgaben strenge Sanktionen bis hin zu erheblichen Bußgeldern drohen. 

Ausgangslage 

Die aktuelle Sicherheitslage im Bereich der Informationstechnologie (IT) wird durch das Bundesamt für Sicherheit in der Informationstechnologie als „angespannt bis kritisch“ bewertet. Demnach nehmen Cyberangriffe in Anzahl und Intensität zu und gefährden Organisationen und ihre Systeme kontinuierlich. Dennoch schätzen viele Unternehmen die rechtlichen Risiken im Umgang mit IT-Technologien als gering bis mäßig ein, wie eine Analyse ihrer Selbstwahrnehmung zeigt. Diese Diskrepanz zur objektiven Sicherheitslage wirft Fragen zur Sensibilisierung der Unternehmensleitungen auf. 

Besonders bei komplexen und vernetzten Technologien wie künstliche Intelligenz (KI), Blockchain-Anwendungen und Big-Data-Analysen unterschätzen Unternehmen oft die Risiken. Gerade hier bestehen jedoch erhebliche Compliance-Risiken, die durch Komplexität und schnelle Weiterentwicklung verstärkt werden. Bei mobilen Endgeräten erkennen Unternehmen hingegen ein vergleichsweise höheres Compliance-Risiko – möglicherweise aufgrund direkterer Erfahrungen mit Sicherheitsvorfällen in diesem Bereich. 

Crypto-Ransomware hat als Bereich der Cyberkriminalität in den letzten Jahren stark zugenommen. Seit der weiten Verbreitung von „Locky“ 2016 tritt diese Erpressungsform immer häufiger auf. Die Angreifer verschlüsseln dabei IT-Systeme, schränken deren Verfügbarkeit ein und zwingen Unternehmen so zur Lösegeldzahlung. Solche Cyberattacken nutzen typischerweise Schwachstellen wie Fehlbedienungen, Fehlkonfigurationen, veraltete Software oder mangelhafte Datensicherungen aus. Die geforderte Zahlung erfolgt oft in Kryptowährungen, was den Prozess für die Angreifer einfacher, schneller und weniger riskant macht als traditionelle Methoden des Online-Banking-Betrugs. 

Um nach der vollständigen Übernahme eines Netzwerks durch Cyberkriminelle die Integrität und das Vertrauen wiederherzustellen, ist häufig ein paralleler Neuaufbau der IT-Umgebung nötig. Dies erfordert nicht nur erhebliche finanzielle Investitionen, sondern auch viel Zeit und Ressourcen. 

Angriffselemente  

Die Verwendung von Ransomware hat sich in Komplexität und Effektivität der Angriffsmethoden deutlich weiterentwickelt, was zu einer signifikanten Steigerung der qualitativen Bedrohungslage führt. Unternehmen und Organisationen jeder Größe und Branche weltweit sind bereits zu Opfern geworden. In Deutschland waren neben Konzernen auch zahlreiche kleine und mittelständische Unternehmen, Krankenhäuser, Universitäten, kommunale Verwaltungen und Privatanwender betroffen. 

Die COVID-19-Pandemie, die Anfang 2020 einsetzte, verschärft die Situation zusätzlich. Sie löste für viele Organisationen einen operativen und finanziellen Notstand aus, der die Erholung von einem solchen Angriff unter normalen Umständen erheblich erschwert oder sogar unmöglich macht. 

In dieser angespannten Atmosphäre haben die Täter ihre Methoden verfeinert und setzen nun Techniken ein, die zuvor ausschließlich in hochspezialisierten Spionagekampagnen zu finden waren. Ein typischer Angriff läuft wie folgt ab:  

  1. Automatisierte und manuelle Aufklärung von Netzwerken: Die Angriffsphase beginnt häufig mit einer automatisierten Ausbreitung von Schadsoftware, wie zum Beispiel Trickbot, die das Netzwerk des Opfers auskundschaftet und detaillierte Informationen über Systeme, Benutzer und installierte Software sammelt. Diese Informationen werden an die Angreifer übermittelt, die entscheiden, ob das Ziel für eine intensivere manuelle Bearbeitung interessant genug ist. Falls ja, erfolgt nach zwei bis drei Wochen Latenzzeit eine manuelle Erkundung des Netzwerks durch die Täter. Dieser Prozess schließt das weitere Auslesen interner Informationen ein und kann das Netzwerk vollständig kompromittieren. Die umfassende Kompromittierung macht oft eine vollständige forensische Untersuchung und einen parallelen Neuaufbau des Netzwerks notwendig, um die Sicherheit und Vertrauenswürdigkeit wiederherzustellen. 
  2. Verschlüsselung von Systemen: Erachten die Täter das Ziel als finanziell potent und somit zahlungskräftig, wird eine flächendeckende Verschlüsselung durch Ransomware wie Ryuk initiiert. Diese Ransomware wird simultan auf allen Systemen, insbesondere auf Servern, ausgerollt. Oftmals werden durch weitreichende Zugriffsrechte des Angreifers oder unzureichend gesicherte Back-up-Konzepte auch alle vorhandenen Datensicherungen verschlüsselt, es sei denn, sie sind offline gespeichert. Die resultierenden Lösegeldforderungen können in den sechs- bis achtstelligen Eurobereich gehen. Sind aktuelle, intakte Back-ups verfügbar, können diese nach einer Bereinigung des Netzwerks zur Datenwiederherstellung genutzt werden. Andernfalls erfordert die Situation die mühsame Rekonstruktion aus älteren, unvollständigen Sicherungen und erhebliche manuelle Nacharbeit. 
  3. Abfluss und Veröffentlichung von Daten: Vor der Verschlüsselung extrahieren einige Tätergruppen aktiv Daten aus den Netzwerken der Opfer und drohen mit deren Veröffentlichung, sollte kein Lösegeld gezahlt werden. Dies erhöht den Druck auf die Opfer erheblich, da eine solche Veröffentlichung zu Reputationsverlusten und weiteren finanziellen Schäden führen kann. Selbst wenn die Wiederherstellung von Daten durch Back-ups gewährleistet ist, bleibt der Handlungsdruck bestehen. Es ist belegt, dass deutsche Opfer bereits mehrfach Ziel solcher Veröffentlichungen waren. Die Bedrohung durch zukünftige Datenabflüsse und die Möglichkeit ihrer Veröffentlichung wird zunehmen, was zusätzlichen Druck auf die betroffenen Organisationen ausübt. 

Maßnahmen gegen einen Ransomware Angriff 

Um sich wirksam vor Ransomware-Angriffen zu schützen, ist ein umfassender, mehrschichtiger Sicherheitsansatz erforderlich. Dieser sollte präventive, detektive und reaktive Maßnahmen umfassen, um nicht nur die Wahrscheinlichkeit eines erfolgreichen Angriffs zu verringern, sondern auch die Auswirkungen eines solchen zu minimieren. 

 Zu den wichtigsten Schritten gehört die kontinuierliche Aktualisierung und Patch-Verwaltung aller Systeme, um bekannte Sicherheitslücken zu schließen, bevor sie ausgenutzt werden können. Zudem sollten Unternehmen den Zugriff auf Netzwerke und Systeme streng kontrollieren, insbesondere durch VPNs und Zwei-Faktor-Authentifizierung für Remote-Zugänge. Die Schulung der Mitarbeiter spielt eine entscheidende Rolle, da ein Großteil der Ransomware-Infektionen durch Phishing-E-Mails und unsicheres Onlineverhalten verursacht wird. 

Darüber hinaus sollte ein effektives Back-up- und Wiederherstellungssystem etabliert werden, das regelmäßige und sichere Back-ups umfasst, die getrennt von der Hauptinfrastruktur aufbewahrt werden. Dies gewährleistet, dass im Falle einer Infektion Daten schnell wiederhergestellt werden können, ohne auf Lösegeldforderungen eingehen zu müssen. 

Schließlich ist die Entwicklung und das regelmäßige Testen eines Notfallplans zur Reaktion auf Sicherheitsvorfälle unerlässlich. Dieser Plan sollte klare Anweisungen zur Eindämmung der Infektion, zur Kommunikation während des Vorfalls und zur Wiederherstellung der Systeme enthalten. Durch die Umsetzung dieser Maßnahmen können Unternehmen ihre Resilienz gegenüber Ransomware-Angriffen erhöhen und sicherstellen, dass sie auf potenzielle Bedrohungen vorbereitet sind. 

Rechtliche Herausforderungen 

Unternehmen sehen sich nicht nur mit einer dramatisch ansteigenden Bedrohung durch Cyberkriminalität konfrontiert, sondern müssen auch mit einer wachsenden Zahl rechtlicher Anforderungen umgehen. Diese Herausforderungen ergeben sich aus einer kontinuierlichen Ausweitung der regulatorischen Rahmenbedingungen, die speziell auf Informationstechnologien abzielen und die vermutlich auch in Zukunft weiter zunehmen werden.  

Insbesondere in regulierten Branchen wie dem Finanz-, Versicherungs- und Gesundheitswesen sind die regulatorischen Anforderungen besonders strikt. Im Kontext dieser zunehmenden Regulierung lassen sich drei Hauptthemenbereiche identifizieren, die für Unternehmen von besonderer Relevanz sind: das IT-Sicherheitsrecht, das Datenschutz- und Geheimnisschutzrecht sowie künstliche Intelligenz (KI). 

IT-Sicherheitsrecht 

Das IT-Sicherheitsrecht umfasst ein breites Spektrum an formellen und materiellen rechtlichen Regelungen, für die bisher keine umfassende gesetzliche Kodifizierung vorliegt. Ein wesentliches Gesetz in diesem Zusammenhang ist das „Gesetz über das Bundesamt für Sicherheit in der Informationstechnik“ (BSIG), welches spezifische Vorgaben zur Organisation und Überwachung der IT-Systeme für bestimmte Unternehmensgruppen festlegt.  

Von besonderer Bedeutung ist dies für Betreiber von Kritischen Infrastrukturen – also Unternehmen in Schlüsselsektoren wie Energie, Gesundheit, Wasser oder Ernährung. Sie sind verpflichtet, geeignete organisatorische und technische Maßnahmen zu ergreifen, um schwerwiegende IT-Störungen zu vermeiden (§ 8a I BSIG). Zudem müssen sie unverzüglich jegliche kritischen Zwischenfälle dem BSI melden (§ 8b IV BSIG), bestimmte IT-Produkte anmelden (§ 9b I BSIG) und fortschrittliche Systeme zur Erkennung von Angriffen einsetzen (§ 8a Ia BSIG). 

Seit dem 28. Mai 2021 unterliegen auch „Unternehmen im besonderen öffentlichen Interesse“, die eine wichtige volkswirtschaftliche Rolle für Deutschland spielen oder als wesentliche Zulieferer agieren, ähnlichen Anforderungen (§ 2 XIV 1 Nr. 2 BSIG). Diese Firmen sind angehalten, dem BSI ausführliche Berichte über durchgeführte Sicherheitszertifizierungen und Audits der letzten zwei Jahre zu übermitteln sowie Störungen ihrer IT-Systeme unverzüglich zu melden (§ 8f I, VII, VIII BSIG). 

Der Anwendungsbereich des BSIG ist jedoch nicht nur auf Kritische Infrastrukturen und Unternehmen von besonderem öffentlichen Interesse beschränkt. Das Gesetz ermöglicht es auch, Zulieferer großer Unternehmen unter diese Kategorie zu fassen. Zudem müssen die Betreiber Kritischer Infrastrukturen sicherstellen, dass ihre Dienstleister ebenfalls die hohen IT-rechtlichen Anforderungen erfüllen. Bei Nichteinhaltung drohen Bußgelder bis zu 20 Millionen Euro, was die Notwendigkeit unterstreicht, dass alle betroffenen Unternehmen die regulatorischen Vorgaben ernst nehmen und umsetzen. 

Datenschutz- und Geheimnisschutzrecht 

Ein weiterer Bereich, der rechtliche Herausforderungen für Unternehmen darstellt, ist das Datenschutz- und Geheimnisschutzrecht. Besonders relevant wird dies, wenn Unternehmen ihre Datenverarbeitung ins Ausland verlagern oder die Datensicherheit vernachlässigen. Immer mehr Firmen verlassen sich auf Cloud-Lösungen und nutzen Dienste wie Infrastructure as a Service (IaaS), Platform as a Service (PaaS) oder Software as a Service (SaaS). Trotz der zunehmenden Nutzung dieser Technologien schätzen 79 Prozent der Unternehmen die Risiken, die mit der Cloud verbunden sind, nur als mittel bis gering ein, obwohl diese Technologien eine hohe datenschutzrechtliche Bedeutung haben.  

Die rechtlichen Anforderungen an die Verarbeitung personenbezogener Daten in der Cloud haben sich jedoch nicht vereinfacht. Nach der Aufhebung des „EU-US Privacy Shield“ durch den Europäischen Gerichtshof im Juli 2020, als Reaktion auf die Safe-Harbour-Entscheidung, stehen Unternehmen vor der Herausforderung, die Datenschutzkonformität von vorwiegend US-basierten Cloud-Lösungen sicherzustellen. Der Europäische Datenschutzausschuss empfiehlt, die Rechtslage und behördlichen Vorgaben im Zielland genau zu überprüfen und gegebenenfalls zusätzliche Maßnahmen wie Datenverschlüsselung zu ergreifen. 

Datenschutzrechtliche Risiken ergeben sich zudem aus externen Angriffen. Ein Beispiel hierfür ist der Angriff der Hackergruppe „Hafnium“, die über eine Sicherheitslücke in Microsoft-Exchange-Servern Zugriff auf zahlreiche E-Mail-Konten erlangte. Unternehmen sind verpflichtet, solche Sicherheitslücken umgehend zu schließen und bei einem Datenverlust die zuständigen Datenschutzbehörden sowie die betroffenen Personen zu informieren. Nichtbeachtung kann zu Bußgeldern von bis zu 20 Millionen Euro oder vier Prozent des weltweiten Jahresumsatzes führen. 

Auch im Bereich des Schutzes von Geschäftsgeheimnissen ist die adäquate IT-Sicherheitsausstattung entscheidend. Das Gesetz zum Schutz von Geschäftsgeheimnissen schreibt vor, dass Unternehmen angemessene Maßnahmen zur Geheimhaltung ergreifen müssen, um rechtlichen Schutz zu genießen. 

Künstliche Intelligenz 

Auch KI öffnet neue Wege für Cyberkriminelle, was komplexe Herausforderungen für die Sicherheitstechnologie mit sich bringt. Unternehmen nutzen KI vielfältig, etwa um häufige Kundenfragen mit Chatbots zu klären, Marketingvideos automatisiert zu produzieren oder zahlreiche Bewerbungen effizient zu analysieren. Diese Technologie wird jedoch nicht nur von Firmen eingesetzt, sondern zieht auch Cyberkriminelle an.  

Diese nutzen KI, um schwer erkennbare Angriffe durchzuführen, die sowohl für Menschen als auch für herkömmliche Sicherheitssysteme eine Herausforderung darstellen. In Deutschland gelten KI-gestützte Cyberangriffe als eine der größten Bedrohungen für 2024.  

Trotz der Risiken ist KI auch entscheidend für die Cyberabwehr, da sie hilft, feindselige Aktionen schneller zu identifizieren, zu analysieren und darauf zu reagieren, und somit ein essenzielles Werkzeug im Kampf gegen bestehende und zukünftige Cyberbedrohungen darstellt. 

Implementierung eines Digital Compliance Hub 

Um die wachsenden Herausforderungen in der Cybersecurity zu bewältigen und sicherzustellen, dass alle digitalen Operationen den regulatorischen Anforderungen entsprechen, sollten Unternehmen die Implementierung eines Digital Compliance Hubs in Betracht ziehen. Ein Digital Compliance Hub ist eine organisatorische Einheit innerhalb eines Unternehmens, die speziell darauf ausgerichtet ist, die Einhaltung digitaler Compliance-Anforderungen zu überwachen und zu steuern. Das sind einige Kernaspekte eines Digital Compliance Hubs: 

  1. Zentralisierung von Expertise: Der Hub dient als zentraler Punkt, an dem Fachwissen zu verschiedenen Compliance-Themen, wie Datenschutz, IT-Sicherheit, und regulatorische Anforderungen gebündelt wird. Dies ermöglicht es dem Unternehmen, konsistente und informierte Entscheidungen über alle Abteilungen hinweg zu treffen. 
  2. Technologieeinsatz: Der Hub nutzt fortschrittliche technologische Tools und Systeme, um Compliance-bezogene Daten zu verwalten, Risiken zu überwachen und Compliance-Prozesse zu automatisieren. Dazu gehören unter anderem Tools zur Datenanalyse, Überwachungssoftware und Managementplattformen für Compliance-Dokumentation. 
  3. Risikomanagement: Ein wesentlicher Bestandteil der Arbeit eines Digital Compliance Hubs ist die Identifikation, Bewertung und Mitigation von Risiken, die mit digitalen Operationen und Technologien verbunden sind. Das umfasst sowohl interne Risiken, wie zum Beispiel die Nichteinhaltung von Datenschutzrichtlinien durch Mitarbeiter, als auch externe Risiken, wie zum Beispiel Veränderungen in der gesetzlichen Regulierung. 
  4. Schulung und Sensibilisierung: Der Hub ist auch dafür verantwortlich, sicherzustellen, dass alle Mitarbeiter über die notwendigen Kenntnisse und Fähigkeiten verfügen, um die Compliance-Anforderungen zu verstehen und einzuhalten. Das schließt regelmäßige Schulungen und Updates zu relevanten Gesetzen und Best Practices ein. 
  5. Interdisziplinäre Zusammenarbeit: Da digitale Compliance viele Bereiche eines Unternehmens betrifft, arbeitet der Hub eng mit anderen Abteilungen wie IT, Recht, Personal und den Fachabteilungen zusammen, um eine durchgängige Compliance zu gewährleisten. 
  6. Reporting und Dokumentation: Ein Digital Compliance Hub stellt sicher, dass alle Compliance-relevanten Aktivitäten dokumentiert und Berichte an die Geschäftsleitung sowie externe Aufsichtsbehörden zeitgerecht geliefert werden. 

Zusammenfassend lässt sich anführen, dass eine Implementierung eines Digital Compliance Hubs ein wichtiger Schritt für Unternehmen sein kann, um sich effektiv aufzustellen und digitale Compliance-Risiken adäquat zu managen. Ein solcher Hub dient als Kompetenzzentrum, in dem Fachwissen aus verschiedenen Bereichen wie Technik und Recht gebündelt wird. Das ermöglicht es Unternehmen, sowohl den technischen als auch den rechtlichen Anforderungen gerecht zu werden. Die Einbindung externer Experten kann dabei für Unternehmen aller Größen von Vorteil sein, um spezialisiertes Wissen zu integrieren und die Compliance-Strategie zu stärken. 

Fazit 

Die fortschreitende Digitalisierung der Compliance-Organisation bietet trotz bestehender Risiken enorme Vorteile und entfaltet weiterhin großes Potenzial durch den Einsatz digitaler Tools. Vor diesem Hintergrund sind Unternehmen gut beraten, den Übergang von einer traditionellen zu einer digitalen Compliance-Struktur aktiv zu gestalten.  

Die Geschäftsleitung spielt dabei eine zentrale Rolle: Sie muss nicht nur präventive Maßnahmen zur Risikominderung ergreifen, sondern auch sicherstellen, dass sie selbst und ihre Organisation das erforderliche digitale Know-how besitzen, um die Chancen und Risiken der Digitalisierung adäquat einschätzen und steuern zu können. 

Abschließend lässt sich feststellen, dass die dynamische und informierte Anpassung an die Herausforderungen der IT-Sicherheit, des Datenschutzes und der Nutzung künstlicher Intelligenz entscheidend für die Wettbewerbsfähigkeit und Rechtskonformität in der digitalen Ära ist. Unternehmen, die in eine robuste Compliance-Struktur und fortschrittliche Cyberabwehr investieren, sind nicht nur besser gegen Bedrohungen geschützt, sondern nutzen auch die Vorteile der digitalen Transformation effektiver. 

Die Einrichtung eines Digital Compliance Hubs kann hierbei als wichtiger Baustein dienen, um die komplexen Anforderungen moderner IT-Sicherheits- und Datenschutzgesetze zu meistern und gleichzeitig das Potenzial digitaler Innovationen voll auszuschöpfen. 

Dieser Beitrag erschien zuerst in der gedruckten Ausgabe Cybersecurity. Das Heft können Sie hier bestellen.

Weitere Artikel