Schon die einfache Internetanbindung vor zwei oder drei Jahrzehnten hat für Unternehmen ein ungleich höheres Risikopotenzial geschaffen als im analogen Zeitalter. Nun mit fortschreitender Digitalisierung, wo zum Teil ganze Geschäftsmodelle vollkommen digitalisiert und damit internetbasiert ablaufen, ist das Risikopotenzial noch einmal exponentiell gewachsen. In gleichem Maß wie die digitale Transformation muss auch die Cyber Security mitgedacht werden, um diese Risiken zu minimieren und die Unternehmensexistenz zu schützen. Zur Risikominimierung gehört es jetzt auch, gewohnte Sicherheitsmechanismen abzuschaffen, weil sie für die neuen Digitalisierungsdimensionen nicht mehr genügen. In diesen Dimensionen darf es zunächst gar kein Vertrauen geben: Zero Trust.
Immer mehr Cyberbedrohungen in den letzten Jahren
In den Jahren 2020 und 2021 entstand deutschen Unternehmen laut einer Studie des Digitalverbands Bitkom jeweils ein Schaden von knapp über 200 Milliarden Euro – und damit rund doppelt so hohe Schäden wie in den Vorjahren 2018 und 2019. Es zeigt sich eine direkte Folge der sprunghaften Digitalisierung in den Unternehmen im Zuge der Coronapandemie. Hierzu wurden 1000 Unternehmen aus allen Branchen befragt. Der Deloitte Future of Cyber Security Report untermauert dieses Ergebnis auf einer breiteren internationalen Grundlage. Hier bestätigen rund 70 Prozent der Befragten vermehrte Cyberangriffe seit 2020. Rund ein Drittel sieht sie sogar als größte Bedrohung des operativen Geschäfts, das mit immer höherem Digitalisierungsgrad eine immer höhere Gefährdungslage entwickelt. Diese potenziert sich dann noch einmal, wenn zunehmend mehr Daten prozessnotwendig aus einem Unternehmen an Partner und andere Stellen herausfließen.
Klassische Cybersicherheit beispielsweise mit Berechtigungskonzepten oder Firewalls lässt hier viele Lücken und kann externe Dimensionen erst gar nicht erfassen. Es braucht einen neuen Sicherheitsansatz, der nicht mit pauschalen Maßnahmen arbeitet, sondern angepasst auf jedes individuelle Risiko reagiert. Diese Individualität führt dazu, dass es letztlich nur noch einen pauschalen Ansatz in der Cyber Security geben kann: Niemand und keine digitale Aktion genießt per se Vertrauen. Vertrauen wird in diesem Sicherheitskonzept immer individuell erteilt.
Transformative digitale Sicherheit
Niemals vertrauen, immer verifizieren: das ist der Grundsatz von Zero Trust. Alte Sicherheitsgrenzen oder -rahmen werden aufgehoben. Es erfolgt eine dynamische Prüfung jeder einzelnen Aktion in Echtzeit in Abhängigkeit von Faktoren wie Zugriffsort oder -zeit, Plausibilität und anderen Parametern. Dieser Ansatz macht die Cyber Security genauso agil und resilient wie es das Unternehmensgeschäft selbst zukünftig sein muss. Die technischen Voraussetzungen für diesen sehr aufwendigen Sicherheitsansatz sind längst gegeben: enorme Rechenleistungen und maschinelles Lernen oder künstliche Intelligenz zur Analyse unzähliger Transaktionen in Echtzeit.
Zugleich lassen sich dabei Transaktionen und die Entscheidung über eine Freigabe noch priorisieren, um alle Ressourcen zuerst auf die dringendsten Sicherheitsfreigaben zu lenken. Das stärkt die Abwehr, schafft Effizienz für die Cybersicherheit und optimiert deren Kosten, weil das Budget für Cyber Security nicht mehr pauschal ausgeschüttet, sondern zielgerichtet gelenkt wird. Die wichtigsten digitalen Assets und Prozesse erhalten maximalen primären Schutz, andere werden danach einsortiert. Das erfordert eine enge Zusammenarbeit zwischen ITlern und der Unternehmensführung, um diese oft fließende Priorisierung zu gewährleisten. Dabei muss keine ganz neue Beziehung zwischen IT-Sicherheit und Führung entstehen. Sie muss jedoch enger werden, damit sie besser und schneller auf Cyberbedrohungen reagieren und so die Unternehmenszukunft sichern kann.