Der Automobilzulieferer Continental, die Universität Duisburg, der Telekommunikationsanbieter O2, die österreichische Nachrichtenagentur APA – alle wurden die vergangenen Tage Opfer von Cyberangriffen. Die Attacken zeigen, dass Cyberangriffe längst Teil der hybriden Kriegsführung sind. Gleichwohl tut sich beim Thema Prävention und Cybersicherheit immer noch viel zu wenig. Ein Kommentar von Miriam Marx, Rechtsanwältin, Cyber-Expertin und Head of Financial Lines bei MRH Trowe.

„Der Automobilzulieferer Continental, die Uni Duisburg, der Telekommunikationsanbieter O2, die österreichische Nachrichtenagentur APA – alle wurden die vergangenen Tage Opfer von Cyberangriffen. Diese Woche sind es diese Organisationen, nächste Woche andere. Wie die vier Beispiele zeigen, trifft es gleichermaßen die Wirtschaft, Bildungs- und Forschungseinrichtungen und die Medien. Es macht keinen Sinn, die Augen davor zu verschließen, dass Cyberangriffe heute fester Teil des Alltags sind. Umso wichtiger ist die Vorsorge – dort, wo es möglich ist.

Leider ist der Cyberschutz eine komplexe Angelegenheit, nicht nur in Bezug auf präventive Maßnahmen etwa im Versicherungsschutz, sondern insbesondere, was das Ziel der zu schützenden Maßnahmen anbelangt. Denn Angriffe über das Netz werden gleichsam als Waffe und als strategisches Ziel eingesetzt. Der Ukrainekrieg zeigt dies deutlich. Als militärische Waffe eingesetzt, stören oder manipulieren Cyberangriffe kritische Infrastrukturen. Sie sind Teil einer hybriden Kriegsführung. Die Manipulation digitaler Strukturen führt im günstigsten Fall zu kurzfristigen Irritationen. Im schlimmsten Fall zum Blackout – also einer längerfristigen Unterbrechung der Versorgung mit Energie oder des Datenstroms. Das strategische Ziel ist in jedem Fall die Störung oder Zerstörung gesellschaftlich wichtiger Funktionen mit schwerwiegenden Auswirkungen auf die Gesundheit, Sicherheit oder das wirtschaftliche und soziale Wohl.

Im Ukrainekrieg wird darüber hinaus deutlich, wie stark die Abhängigkeit der Systeme und einzelnen Sektoren untereinander ist. Für die Wasserversorgung wird Strom benötigt. Für die sichere Streckenführung im Bahnverkehr werden über den Strom hinaus auch Daten vernetzt. Die Prozess-Digitalisierung und die immer stärkere, gegenseitige Vernetzung zu umfangreichen digitalen Ökosystemen erhöhen dramatisch die Cybergefahr. Als politisches Machtinstrument eingesetzt, hat die Cybergefahr großen Einfluss auf die Wirtschaft. Ganz konkret auf die Produktions- und Prozesssicherheit.

Die aktuellen geopolitischen Entwicklungen zeigen einmal mehr, wie wichtig und sensible das Thema IT-Sicherheit und eine ständige Beobachtung und Analyse der Systeme auf möglich Auffälligkeiten ist. Das gilt für kritische Infrastrukturen wie für die freie Wirtschaft. Erstmals seit 2004 haben wir heute nämlich mehr Autokratien als Demokratien auf der Welt. Die Digitalisierung und Vernetzung von Systemen ist ein Instrument, das in demokratischen Systeme großartige, soziale Nutzwerte mit sich bringt – allen voran Transparenz, Effizienz und eine Endbürokratisierung. In autokratischen Systemen ist es hingegen ein Mittel zur Überwachung und Fremdsteuerung von Gesellschaften und Organisationen. Für international agierende Unternehmen bedeutet dies, dass sich aus Krisen und Konflikt in und mit autokratischen Staaten nicht nur politische, sondern auch sachliche Konsequenzen ergeben, die unmittelbar Haftungsrisiken der international operierenden oder auch nur einkaufenden Unternehmen nach sich ziehen.

Noch im Jahr 2021 ist der Handel zwischen Russland und Deutschland laut Statistischem Bundesamt im Vergleich zum Vorjahr um 34 Prozent auf 60 Milliarden Euro gestiegen. 33 Milliarden entfielen auf Export-, 27 Milliarden auf Importgeschäfte. Damit war Russland unter den 15 wichtigsten Handelspartnern Deutschlands. Während Russland vor allem Energieträger und Metalle exportiert, sind es auf deutscher Seite insbesondere Maschinen und Autoteile. Das ist noch nicht alles, was die Vernetzung der beiden Staaten so brisant macht. 2 Prozent des Umsatzes auslandskontrollierter Unternehmen in Deutschland entfallen auf Töchter russischer Unternehmen. Umgekehrt werden knapp 500 Unternehmen in Russland von deutschen Investoren kontrolliert. Sie erwirtschaften einen Jahresumsatz von 38 Milliarden Euro.

Obwohl sich die deutschen Wirtschaftsvertreter über das Risiko eines Cyberangriffs bewusst sind – mehr als 85 Prozent sind laut Cyber Risk Index von Trend Micro davon überzeugt, dass es sie im kommenden Jahr treffen wird – werden präventive Maßnahmen weiterhin zu wenig eingesetzt. Eine ganzheitliche Risikoevaluation, gefolgt von der Risikoaufbereitung und Verbesserung der möglichen Maßnahmen findet immer noch zu wenig statt. Dabei ist sie von existenzieller Bedeutung. Es reicht nicht, die IT-Sicherheitslandschaft im Risk Management des Unternehmens zu betrachten ohne eine ebenso gründliche Absicherung hinsichtlich Eigenschäden, Haftpflichtschäden, Bußgeldern, Public Relations und vielem mehr. Deutschland muss präventiv tätig werden, um seine Sicherheit aufrecht zu erhalten und zu verteidigen. Das ist längst nicht allein ein militärisches Problem, sondern betrifft alle Bereiche unserer Wirtschaft und Gesellschaft.“