Riesige Abteilungen und ganze Firmen ziehen um ins Homeoffice. Unter ihnen auch Regierungsmitarbeiter*innen, die sensible Daten verwalten. Noch mehr Daten werden angreifbar, große Sicherheitsrisiken entstehen und das Potenzial für Cyberangriffe steigt enorm - auch die IT-Security muss in Zeiten von Corona einen Gang höher schalten. Denken wir etwa an das Thema Cloud-Sicherheit: Teilweise oder komplett in die Cloud ausgelagerte Daten und Funktionen erleichtern Remote-Work, aber sie erhöhen gleichzeitig das Risiko für die Cyber-Sicherheit von Unternehmen. Also braucht es ITler*innen zur Einbindung entsprechender Richtlinien oder zur Kontrolle des Datenverkehrs. Außerdem muss jemand zuständig sein für den Einsatz von Technologien zum Schutz von Cloud-basierten Systemen . Und gerade weil Remote-Work auch nach Corona − falls es ‹nach› Corona jemals geben wird − fester Bestandteil einer neuen Arbeitskultur bleiben wird, muss IT-Sicherheit dauerhaft in allen internen und externen Prozessen, die ein Unternehmen widerspiegelt, gegeben sein. Logische Konsequenz: Die Zahl an Expert*innen für IT- und Datensicherheit wird weiter steigen.
IT-Security ist natürlich auch in staatlichen Belangen ein Riesenthema. Ganz egal ob in Behörden, beim Staat oder im öffentlichen Dienst − wer sind diese unsichtbaren Beschützer*innen unserer Daten? Und wie ist derzeit die Lage bei uns? Fakt ist: Die IT-Sicherheit war noch nie so elementar wie heute. Im Jahr 2017 lagen laut Statista die deutschlandweiten Aufwände für die IT-Security bei 3,7 Milliarden Euro − für 2021 prognostizierte die Statistik-Plattform schon Ausgaben in Höhe von 5,7 Milliarden Euro. Ein erheblicher Anstieg innerhalb von nur vier Jahren. War sie früher noch laut dem Bundesnachrichtendienst (BND) ein »Anhängsel, was den Betrieb von IT-Systemen langsam und kompliziert machte, ohne dass man einen nennenswerten Benefit davon hatte,« ist die IT-Security heute ein Bereich, der nicht mehr wegzudenken ist.
Angriffsrisiken verringern
Um IT-Maßnahmen erfolgreich umsetzen zu können, braucht es immer und von Anfang an ein IT-Sicherheitskonzept. Aber was beinhalten diese IT-Security-Konzepte und welchen Nutzen haben sie ? Offensichtlich ist, dass Angriffsrisiken verringert werden sollen indem man sich bereits vor der Umsetzung eines Projekts Gedanken darum macht, wie eine Gefährdung aussehen könnte. Daher muss ein solches Konzept laut BND von Beginn einer Maßnahme an alle Risiken und Angriffsmöglichkeiten beschreiben und so verhindern, dass Unbefugte den Zugriff auf sensible Daten bekommen. Um diese Pläne aufstellen zu können, braucht es eines ganz besonders: Eine umfangreiche Expertise rund um alle verschiedenen Angriffs- und Gefährdungspotenziale in der Informationstechnik − Fachkräfte müssen also her!
Voraussetzung für den Job als IT-Sicherheitsexpert*in ist natürlich die richtige Ausbildung – und für die gibt es verschiedene Wege. Ganz klassisch ist das Informatikstudium oder eine Ausbildung, die ähnliche Grundlagen vermittelt. Seit noch nicht allzu langer Zeit gibt es allerdings auch Bachelor oder duale Studiengänge, die sich auf die IT-Security spezialisieren und fachspezifisch ausbilden mit Modulen wie Computerforensik oder Netzwerk-Sicherheit. Laut dem BND sind Einsteiger*innen mit einem erfolgreichen Abschluss in einem IT-Studiengang immer gern gesehen – schließlich herrscht auch in diesem Business ein Mangel an Fachkräften – auf IT-Security spezialisierte Absolvent*innen sind aber noch begehrter.
»Die Politik ist gefordert, Rahmenbedingungen für eine hohe Satensicherheit zu entwickeln. Unternehmen stehen in der Pflicht, diese Vorgaben bestmöglich umzusetzen.« Achim Berg, Präsident Bitkom
Aus Filmen oder vielleicht aus persönlichen Erfahrungen glauben viele das Risiko, das von Hackern, von Trojanern und Viren ausgeht, zu kennen. Jedoch wird angesichts der, wie auch der BND bestätigt, zunehmenden Angriffe auf IT-Infrastrukturen klar, dass es sich um ein umfangreicheres Feld handeln muss. Es gibt viele verschiedene Bereiche, die letztlich alle dafür arbeiten, externen Angreifern keinen Handlungsspielraum zu geben und sie abzuwehren. Der BND beispielsweise beheimatet Endpoint Protection, die sich mit dem Schutz von Endgeräten innerhalb eines Netzwerks beschäftigt, aber auch IT-Forensik, die versucht, Auslöser von Vorfällen zu identifizieren und Beweise zu sichern. Als einziger Auslandsnachrichtendienst Deutschlands ist diese umfangreiche Abdeckung aller IT-Sicherheitsfaktoren wichtig, »um auf jede noch so kleine Anomalie« reagieren zu können. In Deutschland gibt es bundes- als auch länderweit zahlreiche verschiedene Stellen, die der Cyber-Security dienen. Eine besonders wichtige Stellung hat das seit 1991 bestehende Bundesamt für Sicherheit in der Informationstechnik (BSI) inne, das sich selbst als »Gestalter einer sicheren Digitalisierung in Deutschland« beschreibt. Das BSI schützt beispielsweise Regierungsnetze und deren Schnittstellen vor Attacken und dient als wesentliche Meldebehörde für alle Angelegenheiten der IT-Sicherheit. Ein weiterer Akteur ist seit 2017 die Zentrale Stelle für Informationstechnik im Sicherheitsbereich (ZITiS). Sie hat zwar keine Befugnisse selbst zu handeln und ins Geschehen einzugreifen, dient aber als Forschungsstelle und zur Entwicklung von Methoden in verschiedenen Aufgabenbereichen der IT-Security. Das Nationale Cyber-Abwehrzentrum (NCAZ) sorgt dem BSI zufolge durch einen kontinuierlichen Austausch von Informationen zwischen allen verschiedenen »sicherheitsverantwortlichen Bundesbehörden« vor allem »für eine effektive Gefahrenabwehr und wirksame Prävention« und fällt seit der Gründung 2011 in den Zuständigkeitsbereich des BSI.
Die Zahl steigt
Wie ist Deutschland also in Sachen Cybersecurity aufgestellt? Laut dem Bundeskriminalamt steigt die Zahl der Cyberangriffe Jahr für Jahr an: Allein von 2018 auf 2019 wurde ein Zunahme der Taten in Höhe von 15 Prozent auf über 100.500 verzeichnet. Zu dieser Statistik zählen allerdings alle aufgezeichneten Vorfälle dieses Jahres, also auch solche auf Unternehmen. Die Corona-Krise scheint für die Täter*innen einen positiven Effekt zu haben, machten sie sich über Informations-Websites die Angst vieler Personen zunutze, um deren Systeme mit Schadsoftwares zu infizieren. Eine genaue Einordnung der Lage scheint schwierig. Laut BND könne man in diesem Feld nie gut genug aufgestellt sein: »Daher sind der Erfahrungsaustausch und die Zusammenarbeit auch über Ländergrenzen hinweg ein zwingendes Muss! Nur so können die weltweit agierenden kriminellen Netzwerke aufgedeckt und gestoppt werden.«
Beunruhigender Rekord
Mit 223 Milliarden Euro Schaden an der deutschen Wirtschaft innerhalb eines Jahres haben Cyberattacken eine neue Dimension erreicht. Besonders stark sind laut Bitkom Erpressungsvorfälle in Form von Ransomware-Angriffen gestiegen, die zum Ausfall von Systemen führen. Im Vergleich zu 2018/19 haben sich die Schäden durch diese Art von Cyberattacken mehr als vervierfacht.
Folgen für die Wirtschaft
»Die Wucht, mit der Ransomware-Angriffe unsere Wirtschaft erschüttern, ist besorgniserregend und trifft Unternehmen aller Branchen und Größen. Der Diebstahl von geistigem Eigentum kann für die innovationsgetriebene deutsche Wirtschaft schwerwiegende Konsequenzen haben.« Achim Berg, Präsident von Bitkom zur aktuellen Studie des Branchenverbands.
Wachsende Besorgnis
Viele Unternehmen sehen in der steigenden Zahl an Cyberattacken eine Bedrohung. 83 Prozent der von Bitkom befragten Unternehmen rechnen mit einer weiteren Zunahme der Angriffe bis Ende des Jahres. Dabei fühlen sich besonders mittlere Unternehmen mit unter 500 Mitarbeiter*innen und Betreiber*innen kritischer Infrastrukturen gefährdet.
Und Privatpersonen?
Hier zeigt eine repräsentative Bitkom-Studie unter 1.016 Internetnutzer*innen in Deutschland, dass sich das Vertrauen in die Datensicherheit im Internet mit jedem Jahr mehr und mehr erholt. Drei von zehn Internetnutzer*innen (29 Prozent) finden, dass ihre persönlichen Daten im Internet sicher sind. Im Jahr 2019 gaben dies 27 Prozent an, 2014 lag der Wert bei gerade einmal 14 Prozent. Zwei Drittel der Onliner finden aber weiterhin, dass ihre persönlichen Daten im Internet nicht sicher sind.