In den letzten zwölf Monaten wurden 43 % aller französischen Organisationen Opfer einer Cyberattacke, berichtet die Beratungsfirma Asterès. Wie gehen Unternehmen heutzutage mit dem Cyberrisiko um? Eine Analyse von David Ofer, Vorsitzender des Französischen Cybersicherheits-Verbands Fédération française de la cybersécurité.
Wie hoch ist aktuell das Risiko von Cyberattacken?
Zahlreiche Studien beschreiben ein Phänomen, das sich auf dem Vormarsch befindet. 2023 wurden der Französischen Agentur für die Sicherheit von Informationssystemen (ANSSI) 30 % mehr Cyberangriffe als 2022 gemeldet. Diese Zunahme wird auch von der Pariser Fachstaatsanwaltschaft zur Bekämpfung von Cyberkriminalität beobachtet.
„Das Verbrechen ist staatlichen Stellen und Wirtschaft einen Schritt voraus.”
Aber unabhängig von den gemeldeten Zahlen liegt es auf der Hand, dass in einer vernetzten Welt auf Schritt und Tritt Cyberrisiken lauern. Die massive Digitalisierung unseres privaten wie beruflichen Alltags hat einer neuen Generation von Kriminellen eine riesige Spielwiese eröffnet. Sie sind ständig auf der Jagd nach Schwachstellen im System, um Organisationen zu hacken, Identitäten zu stehlen und nach dem neuen Gral unserer modernen Gesellschaft zu suchen: Daten. Privatpersonen, Unternehmen, Vereine, Institutionen, Gebietskörperschaften – heutzutage ist niemand mehr vor diesen Wegelagerern des digitalen Zeitalters sicher.
Kann künstliche Intelligenz bei diesem neuartigen Krieg einen Unterschied machen?
Im Kampf gegen und zum Schutz vor Cyberattacken werden Algorithmen eingesetzt, um die Ausgangspunkte solcher Angriffe und mögliche Schwachstellen zu finden. Sie sind ein wertvolles Hilfsmittel beim Datenschutz und der Erkennung von Angriffsversuchen. KI wird von zahlreichen sensiblen Diensten wie Armee und Polizei eingesetzt, um bestimmte Daten besser analysieren zu können. Aber auch das kriminelle Lager setzt sie für immer raffiniertere Attacken ein, etwa die berüchtigten und aus den Medien bekannten Deep Fakes.
Hat das Verbrechen gegenüber den Schutz- und Gegenmaßnahmen nicht stets eine Nasenlänge Vorsprung?
Es ist ein Wettlauf gegen die Zeit. Die Bedrohungen werden immer professioneller, die Verteidigung bringt sich in Stellung. Aber es ist ein ungleicher Kampf. Die Kriminellen „investieren“ im wahrsten Sinne des Wortes in die Digitalisierung. Staatliche Stellen und die Wirtschaft hingegen haben Cybersicherheit lange nur als Kostenfaktor gesehen und gerieten so ins Hintertreffen. Der Mythos des Hackers im Kapuzenpulli, der seine Angriffe aus einer Garage heraus durchführt, entspricht nicht mehr der Realität! Cyberattacken werden heutzutage weltweit von kriminellen Vereinigungen orchestriert. Sie werden immer raffinierter, mit klar definierten Zielen und schwerwiegenden Konsequenzen für Sicherheit und Wirtschaft.
Welche Branchen sind am stärksten bedroht?
In der letzten Zeit wurde verstärkt das Gesundheitswesen angegriffen. Das hat seinen Grund: Es ist für die Bevölkerung überlebenswichtig und verfügt über sehr genaue, personenbezogene Daten, die von den Kriminellen gut zu Geld gemacht werden können. Auch andere Branchen, deren Lähmung schwerwiegende Folgen für unsere Gesellschaft hätte, sind im Visier: Verwaltung, Energie, Telekommunikation und Verkehr, um nur einige zu nennen. Neuerdings sind insbesondere die Lieferketten gefährdet. Globalisierung und verstärkter Rückgriff auf Subleistungen machen die Supply Chains zum lohnenden Angriffsziel. In den USA wurden sie bereits mehrfach attackiert. Aber auch in Frankreich werden immer mehr Angriffe auf die Lieferketten festgestellt.
Welche Funktion und welche Rolle hat der Französische Cybersicherheitsverband?
Das Thema Cybersicherheit wird in Frankreich von verschiedenen Beteiligten bearbeitet. Die Französische Agentur für die Sicherheit von Informationssystemen (ANSSI) ist spezifisch auf die Betreiber:innen lebenswichtiger Infrastruktur, Großkonzerne und große Gebietskörperschaften ausgerichtet. Cybermalveillance.gouv soll Meldungen aus Öffentlichkeit und Wirtschaft weitergeben und verarbeiten, verfügt aber lediglich über begrenzte Mittel. Das Nachsehen haben kleine und mittelständische Unternehmen sowie kleinere Kommunen. Trotz ihrer großen Zahl werden ihre Geschäftsführungen und Verwaltungen nur lückenhaft informiert, verfügen nicht über das erforderliche Fachwissen und sind hinsichtlich der notwendigen Maßnahmen oft auf sich allein gestellt. Es gibt eine Vielzahl von Fragen im Zusammenhang mit der Cybersicherheit, über die mehr kommuniziert werden muss: Regionale Vernetzung für KMU, Fortbildung für junge Menschen, branchenübergreifende Verknüpfungen, Zugang zu einem sicheren Cyberspace usw. Genau hier setzen wir vom Französischen Cybersicherheitsverband an. Er wurde vor vier Jahren von Lokalpolitiker:innen, IT-Sicherheitsfachleuten, Unternehmen, Gebietskörperschaften und Handelskammern gegründet. Wir sind ein unabhängiger, gemeinnütziger Verein ohne Gewinnziel und wollen Informations-, Präventions- und Schutzmaßnahmen für das Gewerbe anbieten. Anders als bei vielen anderen Clubs und Vereinen in diesem Bereich vertreten wir keinerlei Privatinteressen, verkaufen keine Produkte oder Dienstleistungen und handeln ausschließlich im allgemeinen Interesse und zum Nutzen aller.
Wo steht die Wirtschaft in Sachen Prävention?
Einmal mehr gibt es hier einen tiefen Graben zwischen Großkonzernen, denen deutlich mehr Mittel und Ressourcen zur Verfügung stehen, und den vielen kleinen und mittelständischen Unternehmen, denen es an Ansprechpartner:innen und Fachwissen mangelt.
„Über 60 % der KMU haben keine:n Datensicherheitsbeauftragte:n.”
Der Verband führte 2023 eine Umfrage durch, laut der über 60 % der KMU keine:n eigene:n Cybersicherheits-Beauftragte:n haben. Nur 25 % sind versichert. Was die Wirtschaft braucht, ist eine klare, verständliche Sprache, keine technikverliebten Fachvorträge. Letztendlich kommt es im Kampf gegen Cyberkriminalität hauptsächlich darauf an, dass genug Geld vorhanden ist. Die Investitionen in die Cybersicherheit halten mit der immer schnelleren Digitalisierung aber nicht Schritt. Gleichzeitig sind KMU nicht bereit, ausreichend in Schutzmaßnahmen in einem Bereich investieren, mit dem sie sich nicht auskennen.
Regelmäßig wird auf die Diskrepanz zwischen dem Fachkräftebedarf der Wirtschaft und dem Fachkräftemangel am Markt hingewiesen…
Ganz ehrlich: Die Sache ist viel komplexer, und die Frage der Ressourcen kann nicht alleine auf die Verzerrung von Angebot und Nachfrage reduziert werden. Cybersicherheits-Schulungen haben sich in den letzten Jahren ziemlich stark entwickelt. Aber die Situation ist paradox. Einerseits gibt es Schulungen, bei denen nicht alle Plätze besetzt werden können. Andererseits bietet die Wirtschaft nicht genug Arbeitsplätze im Bereich IT-Sicherheit an, und außerdem sucht sie zunehmend hochqualifizierte Akademiker:innen, obwohl das gar nicht wirklich ihrem Bedarf entspricht. Noch einmal, das Thema Cybersicherheit darf nicht allein auf die Technik reduziert werden. Um das Profilspektrum zu erweitern und die Unternehmen zu unterstützen, hat der Französische Cybersicherheitsverband kürzlich den Beruf der Cyberassistentin bzw. des Cyberassistenten ins Leben gerufen.
Was ist das für ein Beruf?
Cyberassistent:innen stehen im Kontakt mit den Anwender:innen im Unternehmen, informieren über IT-Grundregeln und überprüfen, ob die Sicherheitsrichtlinien verstanden und eingehalten werden. Damit sollen die Angriffsfläche reduziert, das Risiko gesenkt und kritische Punkte an die zuständigen Abteilungen weitergeleitet werden. Parallel dazu haben wir das Berufsbild „Cyberassistent:in“ festgelegt. Die Ausbildung umfasst 400 oder 600 Stunden und steht Abiturient:innen und Umschüler:innen offen.
Reicht das derzeitige Gesetzesarsenal zur Risikoprävention und -regulierung aus?
Ja, großteils liefert es einen geeigneten Rahmen, was die Sicherheit betrifft (siehe Kasten). Angesichts der Größenordnung der Probleme, über die wir hier reden, ist der gesetzliche Rahmen jedoch nicht der vordringlichste Aspekt. Es müssen die systemrelevanten, schutzbedürftigen Dienste festgelegt, das Präventions- und Schutz-Ökosystem konsolidiert, die Zuständigkeiten über die gesamte Cyber-Wertschöpfungskette hinweg festgelegt und Versicherungskonzepte entwickelt werden. Vor allem aber braucht es Sensibilisierungs- und Schulungsmaßnahmen auf allen Ebenen. Eine riesige Baustelle also. Noch eine letzte Anmerkung. Die DSGVO enthält ein Kapitel über Cybersicherheit. Würde es umgesetzt, könnte es der Wirtschaft viel Ärger ersparen.
Robuster Rechtsrahmen
Das Godfrain-Gesetz von 1988 sanktioniert das unbefugte Eindringen oder das versuchte unbefugte Eindringen in EDV-Systeme. In den letzten Jahren kamen zahlreiche neue Regelungen hinzu, um alle Situationen abzudecken. Der Digital Operational Resilience ACT (DORA) der Europäischen Union verstärkt die Cybersicherheit im Bereich Finanzdienstleistungen. Die Network and Information Security-Richtlinie (NIS 2), die 2024 in französisches Recht umgesetzt wurde, ermöglicht der ANSSI die Verstärkung des Cybersicherheitsniveaus tausender Strukturen in einer Reihe von Tätigkeitsbereichen, die unter den Anwendungsbereich des Textes fallen.
10/07/2024
