Cybersecurity gehört aktuell zu den dringlichsten Sorgen der obersten Führungsetage (vgl. Schweizer Ausgabe: «24th Annual CEO Survey», PwC, 2021).  Noch nie wurde in den Medien so häufig über Cyberangriffe und deren finanzielle Konsequenzen berichtet wie im COVID-Jahr 2020. Die Brisanz des Themas hat unterschiedliche Gründe, die sich mit der Pandemie intensiviert und gegenseitig verstärkt haben. Der erhöhte Fokus auf Cyber-Risikobetrachtung und der Wille zum Investment in Cybersecurity werden in PwC-Studien jeweils stark betont.

Was bisher geschah

COVID-19 hat die Unternehmen gezwungen, Home-Office, Remote Work und neue Formen der Zusammenarbeit zu etablieren. In der Folge mussten sie eilig ihre IT-Landschaft aufrüsten und anpassen. Viele Unternehmen sind dabei häufig auf Cloudservices umgestiegen – gerade im Rahmen der Digitalisierung. Das bedeutet zusätzliche und neue Schnittstellen zu bestehenden Plattformen, Applikationen und Datenbanken. Die neuen Möglichkeiten fördern den Appetit, mehr Daten zu sammeln, zu aggregieren und zu verarbeiten. Zugunsten des Faktors Zeit wurden dabei nicht selten übliche Qualitätssicherungs- und Kontrollprozesse übersprungen. 

Im Zug dieser digitalen Erschliessung sind auch Schwachstellen und Sicherheitslücken entstanden – eine willkommene Gelegenheit für Cyberkriminelle und Bedrohungsakteure. Diese haben sich über die letzten Monate ohnehin zunehmend professionalisiert. Sie machen sich nicht nur neue Technologien, sondern vermehrt auch die aktuelle dezentrale Arbeitssituation, ungewohnte Umgebungen und die Unaufmerksamkeit oder Schwächen von Mitarbeitenden zunutze.

Chancenreiche Veränderungen

Der von COVID-19 angestossene und digital getaktete Wandel hat den Unternehmen neue Opportunitäten eröffnet und sie gleichzeitig vor neue Herausforderungen gestellt. Die Pandemie hat für viele Unternehmen grundlegend verändert, wie und mit wem sie Business machen. Der Onlinehandel boomt, wer bis anhin an den stationären Handel und an Verteiler geliefert hat, ist neu im Consumer Business tätig; analoge Angebote wurden um digitale erweitert und «Home Delivery» gehört zum Standard. Die meisten haben ihren Umgang mit Kunden an deren Kommunikations- und Konsumgewohnheiten angepasst. Innovationen konzentrieren sich derzeit vorwiegend auf digitale Lösungen. Die neu gewonnenen Geschäftsfelder und Technologien werden langfristig bleiben und für starke zusätzliche Umsätze sorgen. Und mit diesen wiederum tritt die Thematik Datensicherheit und -schutz auf den Plan.

Trends mit Langzeitwirkung

Um die Besonderheit der Post-COVID-Ära zu antizipieren, lohnt sich ein Blick auf drei zeitgemässe Hauptentwicklungen. Diese haben die Unternehmenswelt und damit das Cyberumfeld nachhaltig verändert und werden den neuen Kontext bestimmen.

a) Macht der Daten

Derzeit läuft ein gnadenloser Wettkampf um den Besitz der richtigen Daten und die Nutzung deren Mehrwerts. Cloudservices, Infrastructure/Platform/Software/Function as a Service, Fernzugriff auf Geräte – um nur einige der technologischen Ausprägungen dieses Trends zu nennen. Seit den Lockdowns und wiederholten Lockerungen der COVID-19-Beschränkungen – kombiniert mit den neuen technologischen Möglichkeiten – sammeln die Unternehmen so viele Kundendaten wie nie zuvor. Mit dem Wechsel von B2B zu B2C stehen sie plötzlich vor einer Vielzahl von neuen Kommunikationskanälen und mobilen Geräten, über die Daten ausgetauscht werden. Entsprechende Technologien wie Machine Learning, Data Analytics oder Deep Learning legen den Mehrwert dieser Big Data frei; zum Beispiel für personalisierte Werbung oder Angebote, die dem Datenprofil der potenziellen Kunden perfekt entsprechen.

Mit der Macht der Daten geht zum einen ein erhöhtes Risiko des Missbrauchs einher, zum anderen steigt die Attraktivität für Cyberkriminelle. Neue Applikationen wie beispielsweise Mobile-Apps sind für Hacker erlesene Leckerbissen. Dabei wird nicht die App direkt angegriffen, sondern die sogenannte «Middleware», über die die Apps auf Informationen des Unternehmens zugreifen. Aktuelle Vorfälle machen deutlich, wie schlecht derart eilig erstellte Schnittstellen implementiert wurden und Kriminellen den Datenklau erleichtern. Für den Anbieter geht es um «die vorgesehene Funktion», für den Angreifer darum, was er damit «sonst noch alles anstellen» kann. Nicht sachgerechte Einrichtungen, Schutzkonzepte oder fehlende Prüfungen führen zu Zweckentfremdung: Cyberkriminelle setzen genau dort an, um Daten abzugreifen oder Dienste zu missbrauchen.

b) Kultur im Umbruch

Die pandemiebedingten Entwicklungen verändern die Art der Marktleistungsgestaltung und damit die gesamte Firmenkultur. Services aus der Cloud zu beziehen, Standardapplikationen zu kaufen statt im Eigenbau zu programmieren, neue Plattformen für neue Dienstleistungen zu präsentieren – das alles bedingt auch ein kulturelles Umdenken. Denn dazu sind entsprechende Fähigkeiten und Fachkompetenzen nötig, die das Unternehmen entweder teuer einkaufen oder mit Weiterbildungsprogrammen im eigenen Haus aufbauen muss.

Gleichzeitig wandelt sich der Umgang mit dem Kunden. Dieser ist nicht mehr unbedingt ein Geschäftskunde, sondern häufig ein Privatkunde mit emotionalen Bedürfnissen und einer eigenen Art der Kommunikation. Das vergrössert nicht nur den Pool an potenziellen Käufern, sondern verändert auch die Erwartungshaltung: Applikationen müssen einfach, schnell, «sexy» und benutzerfreundlich sein. Sicherheit wiederum ist typischerweise «unsexy». Der moderne Kaufentscheid erfolgt heute beim Klick und immer seltener am Point of Sales (POS).

c) Regulation vs. Transformation

Technische Entwicklungen wie Internet, E-Mail, Mobiltelefonie, Videokonferenzen oder elektronische Zahlungsmethoden haben schon vor dem COVID-bedingten Digitalisierungsschub neue Möglichkeiten zur Datenerfassung geschaffen. So hat der Gesetzgeber die Datenschutzbestimmungen über die letzten Jahre verschärft, man denke an die Europäische Datenschutzgrundverordnung (EU-DSGVO) oder an das angepasste Schweizer Datenschutzgesetz (DSG).

Solche regulatorischen Vorgaben können im Widerspruch zur raschen Transformation der Geschäftstätigkeit mit sich dauernd ändernden digitalen Methoden und Technologien stehen. Gerade bei Verwendung von Cloudservices oder bei Miete von digitalen Anwendungen (z. B. Outsourcing, Software as a Service) müssen die Unternehmen die Einhaltung des Datenschutzrechts über alle an der Wertschöpfung beteiligten Ebenen hinweg sicherstellen – immerhin tragen sie die Verantwortung für die Daten ihrer Kunden.

Zurück in die Zukunft

Viele (digitale) Veränderungen, die COVID-19 angestossen hat, werden bleiben – vor allem die Erfolg versprechenden. Damit wieder normaler Alltag einkehren kann, haben die Unternehmen noch einiges zu tun.

• Im Hinblick auf die digitale Öffnung sollten die Entscheidungsträger den Schutz und die Sicherheit ihrer Daten in den Mittelpunkt rücken. Wo bearbeite ich als Unternehmen welche Daten und wie schütze ich diese entlang meines Geschäftsprozesses? Das erfordert eine datenzentrierte Sichtweise auf das Zusammenspiel von Businesstransformation, Sicherheit und Know-how in der Cyberwelt. Heisst: Wer sein Geschäft transformiert, muss Geschäftstätigkeit, Technologie und Verständnis von Datenschutz und -sicherheit auf einen gemeinsamen Nenner bringen. Der punktuelle Beizug von externen Experten kann sich für diese Aufgabe lohnen.
• Der Druck der Regulatoren, mit Daten vorsichtig und regelkonform umzugehen, wächst – seit der Pandemie erst recht. Was in der ersten Lockdownphase an Defiziten verziehen wurde, ist heute nicht mehr akzeptabel und wird von gerissenen Cyberkriminellen bereits ausgenutzt. Deshalb kommen die Unternehmen nicht umhin, ihre Sicherheitsorganisation enger an ihre Geschäftstätigkeit zu knüpfen und Cybersecurity zur Governance- und Compliance-Grundlage für Management und Abteilungen wie Rechtsdienst, Human Resources oder Risikomanagement zu erklären. Zum Schutz der Daten (Data Protection) muss der Datenschutz (Compliance) berücksichtigt werden.
• Angesichts der Komplexität und Geschwindigkeit des Themas erstaunt es nicht, dass viele Unternehmen unsicher sind, was sie wie mit Daten machen dürfen und was sie dazu brauchen. Hier empfehlen wir durchdachte Upskilling-Programme, um die Mitarbeitenden zur Handhabung von digitalen Tools und Sicherheitsthemen zu befähigen. Ausserdem sollten die Unternehmen ihre Führungs- und Teamarbeit neu definieren. Damit schöpfen sie das Potenzial ihrer Kollaborationstools aus und steigern sowohl die Motivation als auch den individuellen Sicherheitsbeitrag der Beteiligten.
• Cybersecurity ist weder ein IT-Thema noch Selbstzweck, sondern Teil eines zukunftsfesten unternehmensweiten Weitblicks. Mit einer nachhaltig aufgebauten Cyberresilienz wappnen sich die Unternehmen gegen Cyberangriffe. Diese Resilienz entsteht aus einem Kreislauf aus Gefahrenerkennung (identifizieren), geeigneten Schutzmassnahmen (schützen), überwachenden Kontrollen (erkennen) sowie der Fähigkeit, einen Vorfall zu handhaben (reagieren), um schliesslich gestärkt daraus hervorzugehen (wiederherstellen). Gerade bei der Überwachung sind Schweizer Unternehmen oft schwach. Die Entwicklung hin zur hybriden Serviceerbringung und Datenhaltung (im eigenen Datacenter und in der Cloud) erschwert die Überwachung, grösstenteils die Korrelation. Um erfolgreich zu sein, müssen die Verantwortlichen ihr Sicherheitsdispositiv auf cyberspezifische Schadensfälle ausrichten und sowohl Partner als auch Provider einbeziehen.