Die jüngsten Ransomware-Angriffe auf europäische Unternehmen zeigen, dass Cyber-Bedrohungen unvermeidlich sind; Unternehmen müssen sich proaktiv vorbereiten, anstatt erst nach einem Vorfall zu reagieren.

Am 11. Januar 2025 musste ein niederländisches Technologieunternehmen, das auf nachhaltige Abfallverarbeitung spezialisiert ist, aufgrund eines Ransomware-Angriffs der BlackBasta-Gruppe, bei dem mehr als 500 GB wichtiger Daten verschlüsselt wurden, den Betrieb einstellen. Am selben Tag wurde ein belgisches Produktionsunternehmen Opfer eines ähnlichen Angriffs, bei dem 600 GB an sensiblen Daten verloren gingen. Diese Vorfälle hatten zwar keine direkten Auswirkungen auf die persönlichen Daten einzelner Nutzer, unterbrachen jedoch die Lieferketten und verursachten erhebliche finanzielle und rufschädigende Schäden. Cyberkriminelle haben es nicht nur auf namhafte Unternehmen abgesehen, sondern auch auf kritische Branchen. Es geht nicht mehr darum, ob ein Unternehmen angegriffen wird, sondern wann, und ob es darauf vorbereitet ist.

Viele Unternehmen bleiben ungeschützt, weil die Sicherheit nicht vollständig in ihre Geschäftsprozesse integriert ist, so dass eine proaktive, umfassende Strategie für eine langfristige Widerstandsfähigkeit unerlässlich ist.

Cybersicherheit ist eine Voraussetzung für die Kontinuität des Geschäftsbetriebs und sollte in der Chefetage oberste Priorität haben. Dennoch bleiben viele Unternehmen anfällig, weil die Sicherheit nicht in ihre Organisationsstruktur und Geschäftsprozesse integriert ist. Oft werden Maßnahmen erst nach Vorfällen oder aufgrund von behördlichem Druck ergriffen. Im Gegensatz dazu haben Unternehmen, die einen proaktiven, ganzheitlichen Ansatz verfolgen, weniger Sicherheitsausfälle. Dieser Artikel befasst sich mit der Bedeutung einer integrierten Cybersicherheitsstrategie, mit häufigen Mängeln und mit der Frage, wie Unternehmen eine langfristige Widerstandsfähigkeit aufbauen können. In einer Reihe von Folgeartikeln werden wir klare Strategien für die Umsetzung und praktische Maßnahmen für den Aufbau eines Fundaments von Widerstandsfähigkeit und Informationssicherheit in Unternehmen definieren.

Beispiel für eine verpasste Gelegenheit: Datenschutzverletzung aufgrund einer fehlenden integrierten Vision Die Sicherheitslücke bei Equifax im Jahr 2017 zeigt, dass isolierte technische Korrekturen - ohne integriertes Patch-Management, Risikoanalyse und klare Zuständigkeiten - zu massiven finanziellen und reputationsbezogenen Schäden führen können.

Ein bemerkenswertes Beispiel für die Risiken der Ad-hoc-Sicherheit ist die Datenpanne bei Equifax im Jahr 2017. Diese amerikanische Kreditauskunftei gab die persönlichen Daten von Millionen von Kunden preis, weil eine bekannte Software-Schwachstelle nicht rechtzeitig gepatcht wurde. Obwohl technische Schutzmaßnahmen wie Firewalls und Intrusion Detection Systeme vorhanden waren, ergab eine Untersuchung, dass das Patch-Management und die Risikoanalyse nicht richtig in die Geschäftsprozesse integriert waren. Das Unternehmen hatte keinen Überblick darüber, wo anfällige Systeme betrieben wurden, und die Zuständigkeiten waren unklar.

Der Vorfall hat gezeigt, dass die Anwendung einiger separater technischer Lösungen keine Garantien bietet, wenn es keine integrierte Strategie gibt. Die fehlende Eigenverantwortung, die schlechte Kommunikation zwischen den Abteilungen und die unzureichende Sichtbarkeit kritischer Daten trugen alle zu den Auswirkungen dieser Datenpanne bei. Die Kosten für Equifax gingen in die Hunderte von Millionen Dollar, und der Imageschaden war enorm.

Ganzheitliches Sicherheitsdenken: mehr als Technik

Wirksame Cybersicherheit geht über die Technologie hinaus und erfordert ein ständiges menschliches Bewusstsein, prozessbasierte Sicherheit und eine solide Unternehmensführung, um die Sicherheit in allen Bereichen des Unternehmens zu verankern.

Eine wichtige Erkenntnis aus solchen Vorfällen ist, dass Cybersicherheit mehr erfordert als nur technische Hilfsmittel wie Antivirensoftware, Firewalls oder einen einmaligen Penetrationstest. Diese Technologien sind zwar wertvoll, aber sie müssen in ein System eingebettet sein, in dem Menschen, Prozesse und Richtlinien nahtlos aufeinander abgestimmt sind.

  • Der Faktor Mensch. Viele Sicherheitsvorfälle sind auf menschliches Versagen zurückzuführen - ein unaufmerksamer Klick auf einen Phishing-Link, eine falsche Cloud-Konfiguration oder ein unbefugter Zugriff auf Konten. Sensibilisierung und kontinuierliche Schulung sind daher unerlässlich. Dies geht über ein einmaliges Sensibilisierungsprogramm hinaus; es erfordert eine Kultur, in der sich Mitarbeiter trauen, Vorfälle und Beinahe-Vorfälle zu melden, ohne Sanktionen befürchten zu müssen.
  • Prozessbasierte Sicherheit. Sicherheit sollte ein immer wiederkehrender Tagesordnungspunkt sein: von der Produktentwicklung und Lieferantenauswahl bis hin zur täglichen Nutzung der Systeme. Integrieren Sie z. B. das Risikomanagement in Änderungsprozesse, damit es nicht erst “hinterher” erledigt werden muss.
  • Governance und Eigenverantwortung. Ohne klare Verantwortlichkeiten und eine eindeutige Aufgabenteilung bleibt die Cybersicherheit oft in guten Vorsätzen stecken. Ernennen Sie daher einen CISO oder Sicherheitsmanager mit einem klaren Mandat und einer klaren Berichtsstruktur. So wird sichergestellt, dass Risiken und Vorfälle auf Vorstandsebene behandelt werden.

Durch die Integration dieser Elemente in einen einheitlichen Rahmen wird sichergestellt, dass die Sicherheit kein nachträglicher Gedanke, sondern eine Kernkomponente von Strategie und Betrieb ist.

Die Rolle von Gesetzen und Vorschriften Sich entwickelnde Rahmenwerke wie der EU Cyber Security Act, der Cyber Resilience Act und die NIS2 legen strengere Verpflichtungen und Richtlinien fest und betonen, dass Organisationen über die bloße Einhaltung von Vorschriften hinausgehen und höhere Sicherheitserwartungen erfüllen müssen.

In Europa wächst die rechtliche Aufmerksamkeit für die digitale Sicherheit erheblich. Einige wichtige Entwicklungen:

  • EU-Cybersicherheitsgesetz. Mit dieser Verordnung wurde ein europäischer Rahmen für die Zertifizierung von IKT-Produkten und -Dienstleistungen eingeführt. Unternehmen können ihre Lösungen auf Sicherheit prüfen lassen und so einen transparenteren Markt schaffen.
  • Gesetz über die Widerstandsfähigkeit im Internet. Dieses Gesetz verankert den Grundsatz “Sicherheit durch Technik” über den gesamten Lebenszyklus von Hard- und Software. Hersteller und Lieferanten bleiben verpflichtet, Schwachstellen zu beheben und die Nutzer darüber zu informieren.
  • NIS2 (Richtlinie über Netz- und Informationssicherheit). Die verschärfte NIS-Richtlinie dehnt den Anwendungsbereich auf weitere Sektoren aus (einschließlich des Energiesektors, des Gesundheitswesens, des Verkehrswesens und kritischer digitaler Dienste) und stellt u. a. höhere Anforderungen an die Meldung von Vorfällen und die administrative Verantwortung.
  • EU-KI-Gesetz. Mit dem EU-KI-Gesetz wird ein umfassender Rahmen für die Regulierung künstlicher Intelligenz geschaffen, indem Standards für Transparenz, Rechenschaftspflicht und Risikomanagement festgelegt werden. Er stellt sicher, dass KI-Systeme auf risikobasierte, sichere, ethische und zuverlässige Weise entwickelt und eingesetzt werden, und dient als entscheidende Brücke zwischen traditionellen Cybersicherheitsmaßnahmen und neuen KI-spezifischen Herausforderungen mit einem zusätzlichen Schwerpunkt auf Datenverwaltung und Datenintegrität.

Diese Vorschriften erlegen den Unternehmen zusätzliche Verpflichtungen auf, bieten aber auch klarere Leitlinien. Unternehmen, die sich auf die Einhaltung von Checklisten beschränken, werden jedoch feststellen, dass die Anforderungen an die Sicherheit immer höher werden.

KI und Daten: die nächste Welle von Risiken

KI bringt neue Herausforderungen mit sich - von feindlichen Angriffen und Modellvergiftung bis hin zu Datenschutzverletzungen und Voreingenommenheit -, die durch integrierte Sicherheitsmaßnahmen bewältigt werden müssen, die mit den allgemeinen Unternehmensstrategien in Einklang stehen.

Künstliche Intelligenz (KI) revolutioniert die Industrie, aber sie bringt auch neue Herausforderungen für die Cybersicherheit mit sich, die Unternehmen nicht ignorieren können. KI-gestützte Systeme verarbeiten große Mengen sensibler Daten, treffen wichtige Entscheidungen und automatisieren komplexe Prozesse - und sind damit attraktive Ziele für Cyberkriminelle. Ohne starke Governance- und Sicherheitsmaßnahmen kann KI sowohl ein Ziel als auch eine Waffe in der Cyberkriegsführung werden.

Voreingenommenheit in der KI: Ein Problem der Sicherheit und der Governance

Die Voreingenommenheit von KI wird zwar häufig in ethischen und sozialen Kontexten diskutiert, stellt aber auch ein Sicherheits- und Governance-Risiko dar. Fehlerhafte KI-Entscheidungen können zu versteckten Schwachstellen führen, darunter:

  • Fehler bei der Betrugserkennung - Wenn KI-Modelle, die zur Betrugsprävention eingesetzt werden, bestimmte Muster bevorzugen und andere übersehen, können Cyberkriminelle Verzerrungen ausnutzen, um die Erkennung zu umgehen.
  • Falsche Klassifizierung von Sicherheitsbedrohungen - KI-gestützte Tools zur Erkennung von Bedrohungen, die auf voreingenommenen Datensätzen trainiert wurden, können neuartige Cyberbedrohungen nicht erkennen und sind daher bei sich entwickelnden Angriffen unwirksam.
  • Regulierungs- und Compliance-Risiken - Die Einführung des EU-KI-Gesetzes und anderer globaler Vorschriften bedeutet, dass Unternehmen, die KI einsetzen, für Transparenz, Rechenschaftspflicht und Sicherheits-Compliance sorgen müssen. Unternehmen, die ihre KI-Modelle nicht ordnungsgemäß steuern und prüfen, müssen mit Geldstrafen, Rufschädigung oder rechtlicher Haftung rechnen.

KI als Sicherheitsrisiko

Modelle der künstlichen Intelligenz (KI) sind nur so zuverlässig wie die Daten, auf denen sie trainiert werden. Wenn Gesichtserkennungsdatensätze hauptsächlich aus Bildern bestimmter Bevölkerungsgruppen bestehen, kann dies zu einem Modell führen, das andere Gruppen kaum gut erkennt. Dies ist nicht nur schädlich für die davon betroffenen Personen, sondern kann auch zu Rufschädigung und rechtlichen Konsequenzen für die Organisation führen, die KI einsetzt.

  • Deepfakes. Fortgeschrittene KI-Modelle können realistische Videos, Audios und Bilder erzeugen, die den Anschein erwecken, dass Menschen Dinge sagen oder tun, die nie passiert sind. Dieses Phänomen kann für Betrug, Erpressung oder politisch motivierte Desinformation genutzt werden. Unternehmen sollten in Erkennungstools und Sensibilisierungsschulungen für Mitarbeiter investieren, um Deepfake-Inhalte frühzeitig zu erkennen.
  • Adversarische Angriffe. Angreifer speisen KI-Modelle mit manipulierten Eingaben, um sie zu täuschen. So können beispielsweise kleine Störungen in einem Bild dazu führen, dass ein KI-gestütztes Überwachungssystem Bedrohungen falsch identifiziert. Diese Arten von Angriffen erfordern zusätzliche Überprüfungen der Eingabedaten und eine regelmäßige Validierung des Modells.
  • Modell-Vergiftung. Cyberkriminelle injizieren bösartige Daten in KI-Trainingssätze, die Algorithmen verfälschen und zu unzuverlässigen oder gefährlichen Ergebnissen führen.
  • Datenschutz und Datenschutzverletzungen. Viele KI-Modelle stützen sich auf große Mengen sensibler persönlicher und geschäftlicher Daten. Werden diese unzureichend anonymisiert oder falsch gespeichert, kann ein Hack oder eine Fehlkonfiguration zu schwerwiegenden Datenschutzverletzungen führen. Der Schwerpunkt liegt daher auf Datenklassifizierung, strenger Zugangskontrolle und Verschlüsselung.
  • KI-gestützte Cyberangriffe. Hacker nutzen zunehmend KI, um Angriffe zu automatisieren, Schwachstellen schneller zu erkennen und herkömmliche Sicherheitsmaßnahmen zu umgehen. KI-gesteuerte Phishing-Kampagnen, Deepfake-basierter Betrug und automatisierte Penetrationstest-Tools werden bereits in freier Wildbahn eingesetzt.

Integration von KI-Sicherheit in ganzheitliche Cybersecurity-Strategien Um KI-gesteuerte Systeme abzusichern, sollten Unternehmen die KI-Sicherheit in ihren umfassenderen Rahmen für Cybersicherheit und Governance integrieren:

  • Risikobasierte KI-Governance. KI-Modelle sollten kontinuierlich auf Verzerrungen, Sicherheitsmängel und Schwachstellen durch Angreifer überwacht werden.
  • Datenschutz und Zugangskontrollen. KI-Systeme sollten mit starker Verschlüsselung, Datenanonymisierung und strengen rollenbasierten Zugangskontrollen ausgestattet sein.
  • KI-spezifische Cybersecurity-Tests. Führen Sie Angriffssimulationen, Red Teaming und regelmäßige Audits durch, um sicherzustellen, dass die KI-Sicherheitsmechanismen widerstandsfähig sind.
  • Funktionsübergreifende KI-Sicherheitsteams. Die KI-Sicherheit sollte nicht allein der IT-Abteilung überlassen werden. Rechts-, Compliance-, Sicherheits- und Technik-Teams müssen zusammenarbeiten, um KI-Modelle zu steuern und bewährte Sicherheitsverfahren durchzusetzen.

Eine solide Data-Governance-Struktur ist daher unverzichtbar: Legen Sie fest, welche Daten Sie sammeln, wo sie gespeichert werden, wer Zugang zu ihnen hat und welche Sicherheitsmaßnahmen erforderlich sind. Unternehmen, die KI einführen, ohne ihren Sicherheitsrahmen anzupassen, riskieren, neuen Angriffsvektoren ausgesetzt zu werden. Rechtsvorschriften wie das (kommende) KI-Gesetz verlangen außerdem Transparenz, Erklärbarkeit und Dokumentation von KI-Systemen. Ein ganzheitlicher Blick auf die Sicherheit ist kein Luxus, sondern eine bittere Notwendigkeit.

Von stark regulierten Branchen lernen Branchen wie die Luftfahrt und die Pharmazie zeigen, wie strenge, kontinuierlich überwachte Prozesse und umfassende Checklisten zu überlegener Sicherheit und Zuverlässigkeit führen und als wertvolle Vorbilder für andere Branchen dienen.

In Branchen, in denen die Sicherheit buchstäblich lebenswichtig ist - wie in der Luftfahrt und der pharmazeutischen Industrie - ist ein integrierter Ansatz seit Jahrzehnten von zentraler Bedeutung.

  • Luftfahrt. Von den Checklisten vor dem Flug bis zur Meldung von Zwischenfällen wird jeder Schritt verfahrensmäßig erfasst. Checklisten sind hier nicht nur formale Checklisten, sondern Instrumente, die entscheidende Schritte sichtbar und überprüfbar machen. Fehler werden schnell erkannt und können systematisch behoben werden.
  • Pharmazie. Im pharmazeutischen Sektor gibt es strenge Validierungsanforderungen für Geräte und Verfahren (‘Quality by Design’). Jedes Glied der Kette (von der Forschung bis zur Produktion) wird dokumentiert und überwacht. So entsteht eine Kultur, in der kontinuierliche Verbesserung und gründliche Risikoanalyse selbstverständlich sind.

Diese Branchen zeigen, dass streng geregelte Vorschriften und Checklisten nicht per se hinderlich sind. Im Gegenteil: Richtig eingesetzt, helfen sie, Risiken zu minimieren und Fehler frühzeitig zu erkennen. Entscheidend ist, dass man in der Praxis wirklich damit arbeitet und daraus lernt, statt sich nur “offiziell” an die Regeln zu halten. Dieses Prinzip - die Verankerung der Sicherheit in allen Ebenen der Organisation - lässt sich auch auf die IT- und Informationssicherheit übertragen.

Von der Konformität zur Eigensicherheit Der Übergang von der Einhaltung grundlegender Vorschriften zu einer eigenen Sicherheitskultur erfordert ein starkes Engagement des Managements, risikobasierte Ansätze, eine effektive Nutzung von Checklisten, die Beseitigung von Silos und kontinuierliche Verbesserungen.

Wie schafft man den Schritt von der “minimalen Einhaltung” zu einer Kultur der inneren Sicherheit? Einige Punkte sind zu beachten:

  1. Engagement des Managements. Wenn das Management die Sicherheit hauptsächlich als Kostenfaktor oder Vorbedingung betrachtet, werden die Mitarbeiter dies auch so empfinden. Nur wenn das Management deutlich macht, dass Sicherheit eine strategische Priorität ist, und Ressourcen (Budget, Personal, Zeit) dafür freisetzt, hat die Organisation die Chance, echte Schritte zu unternehmen.
  2. Risikobasiertes Arbeiten. Beginnen Sie mit der Frage: “Wo sind unsere wahren Kronjuwelen?” Konzentrieren Sie die Sicherheit auf die Daten, Prozesse und Systeme, die bei Verlust oder Missbrauch den größten Schaden anrichten. Dies verhindert, dass Sie wahllos in “zufällige” Lösungen investieren.
  3. Verwenden Sie Checklisten richtig. Normen wie ISO 27001, die Reihe ETSI TR 103 305 und Rahmenwerke wie NIST CSF bieten eine solide Struktur und helfen dabei, nichts Wichtiges zu übersehen. Der springende Punkt ist, dass Sie verstehen, warum Sie bestimmte Punkte abhaken und wie dies Ihre Organisation sicherer macht. Betrachten Sie Checklisten als ein Werkzeug, nicht als Selbstzweck.
  4. Silos beseitigen. Die Cybersicherheit geht über die IT hinaus und erfordert einen funktionsübergreifenden Ansatz. Rechtliche Aspekte (Verträge, Einhaltung von Vorschriften), Personal (Einstellungsverfahren, Schulungen), Einrichtungen (physische Sicherheit) und Beschaffung (Lieferantenmanagement) spielen alle eine Rolle. Richten Sie eine multidisziplinäre Arbeits- oder Lenkungsgruppe ein, die weitgehend für den integrierten Ansatz verantwortlich ist.
  5. Kontinuierliche Verbesserung. Cybersicherheit ist nie “fertig”. Schaffen Sie einen festen Zyklus aus Überwachung, Bewertung, Berichterstattung und Anpassung. Führen Sie Vorfall- und Trendanalysen durch, um Muster zu erkennen. Ein strukturierter Plan-Do-Check-Act (PDCA)-Zyklus steht im Einklang mit Qualitätssicherungsmethoden und hilft Unternehmen, neuen Bedrohungen und regulatorischen Änderungen immer einen Schritt voraus zu sein.

Schlussfolgerung: Der Weg nach vorn Eine ganzheitliche Cybersicherheitsstrategie, die als kontinuierlicher Verbesserungsprozess behandelt wird, ist von entscheidender Bedeutung für die Verringerung der Risiken und die Gewährleistung der Widerstandsfähigkeit der Organisation, wodurch die Sicherheit letztendlich zu einem echten Erfolgsfaktor wird.

Viele Unternehmen haben die Absicht, ihre Sicherheit zu verbessern, tun sich aber schwer damit, dies in die tägliche Praxis umzusetzen. Bei Vorfällen - wie dem Datenschutzverstoß von Equifax und den im ersten Absatz erwähnten Beispielen aus den Niederlanden und Belgien oder anderen zahlreichen Ransomware-, Phishing-, Denial-of-Service- und anderen Angriffen - stellen wir immer wieder fest, dass ein oder mehrere entscheidende Aspekte fehlten: Eigenverantwortung, Einblick in die wertvollen Daten, Prozessdisziplin oder Bewusstsein bei den Mitarbeitern.

Gleichzeitig wächst der Druck durch Gesetze und Vorschriften, aber auch durch Kunden und Kooperationspartner, die die Gewährleistung von Vertraulichkeit und Kontinuität fordern. Es gibt aber auch eine positive Seite: Wer sich für einen integrierten Ansatz entscheidet und in Menschen, Prozesse und Technologie investiert, wird feststellen, dass die Compliance-Anforderungen leichter zu erfüllen sind. Darüber hinaus profitiert man von einer höheren Zuverlässigkeit und einem besseren Image.

“Ganzheitliche Cybersicherheit” kann als ein kontinuierlicher Verbesserungsprozess gesehen werden, bei dem man ständig aus Fehlern, neuen Bedrohungen und branchenweiten Erkenntnissen lernt. Indem man sich mit den Lektionen befasst, die man beispielsweise in der Luftfahrt und der Pharmazie gelernt hat, oder mit den zusätzlichen Risiken, die durch KI entstehen, kann man das Rückgrat der eigenen Organisation stärken. So verhindern Sie, dass Sicherheit etwas ist, das Sie nur “im Nachhinein” oder “auf dem Papier” regeln, und machen sie zu einem echten Erfolgsfaktor.