Die Münchner Sicherheitskonferenz hat sich zum Mekka für Cybersecurity-Spezialisten entwickelt. Das ist auch ein Verdienst von Wolfgang Ischinger. Der ehemalige Botschafter und jetzige Leiter der Konferenz hat früher als andere Außenpolitiker erkannt, wie gefährlich die zunehmende Digitalisierung in einem völlig unregulierten Cyberraum für die internationalen Beziehungen sein kann. Wegen der angespannten Weltlage und der vielen Krisenherde erobern die brisanten Cyber-Themen aber viel zu selten die Hauptbühne im Bayerischen Hof mit den Spitzenpolitikern und Wirtschaftsführern aus Ost und West. Die meisten Veranstaltungen finden deshalb eher auf Nebenschauplätzen im Vorprogramm statt – wie zum Beispiel die Münchener Cyber Security Conference, die auch in diesem Jahr wieder IT-Spezialisten aus allen Kontinenten anlockte.
So schön diese Veranstaltungen sind, sie haben einen entscheidenden Nachteil: Die Experten bleiben weitgehend unter sich. Sie nutzen die Gelegenheit, sich über die neuesten Angriffs- und Abwehrmethoden auszutauschen und hoffen darauf, dass zumindest ein kleiner Teil ihrer vielen Anregungen und Verbesserungsvorschläge für eine sichere und widerstandsfähige digitale Gesellschaft auch bei den Spitzenpolitikern und Vorstandsvorsitzenden auf der großen Bühne Gehör finden.
Mit der Nebenrolle wollen sich einige Experten nicht länger abfinden. Einer der Aufmüpfigen ist Shinichi Yokohama – aus leidvoller Erfahrung, wie er auf der Konferenz zugibt. Voller Elan trat er vor zwei Jahren den Posten als Chief Information Security Officer (CISO) beim japanischen Telekom-Riesen NTT an. Seine wichtigste Aufgabe: NTT ist als „Gold Sponsor“ der Olympischen Sommerspiele in Tokio auch für die IT-Sicherheit verantwortlich. Bis zur Eröffnung am 24. Juli 2020 hat Yokohama Zeit, sämtliche IT-Systeme inklusive der vielen Live-Demonstrationen der neuen 5G-Mobilfunknetze so sicher zu machen, dass Cyberkriminelle und ausländische Geheimdienste keine Lücken für Angriffe finden.
Die Arbeiten laufen auf Hochtouren, aber viel Vorbereitungszeit ist ihm verloren gegangen. Denn der Start verlief äußerst schleppend. Yokohama hatte die Illusion, dass ihn Vorstand und Aufsichtsrat bei einem derart wichtigen Vorzeigeprojekt tatkräftig unterstützen würden. Doch die Realität holte ihn schnell ein. Immer wieder habe er bei Vorständen und Aufsichtsräten um einen Termin gebeten. Doch die waren so stark mit dem Tagesgeschäft beschäftigt, dass Yokohama mit seinen Plänen viel zu spät bis in die oberste Führungsriege vordrang. Fünf Monate dauerte es, bis der Vorstand das Thema Cybersecurity auf die Tagesordnung setzte. „Alle sagen, wie wichtig Cybersecurity ist. Aber dann im Detail die richtigen Prioritäten mit den entsprechenden Abwehrmaßnahmen zu beschließen, ist sehr mühsam“, fasst Yokohama seine ernüchternden Erfahrungen zusammen.
In deutschen Unternehmen ist das nicht anders. Vor allem in mittelständischen Unternehmen haben IT-Sicherheitschefs, wenn es denn überhaupt so einen Posten gibt, einen schweren Stand. Viele ihrer Warnungen werden nicht ernstgenommen. Trotz vieler Aufklärungskampagnen sehen Firmenchefs höhere Investitionen in die Cybersicherheit eher als lästiges Übel und unnötigen Kostenfaktor, der sowieso keine zusätzliche Sicherheit bringt. „In weiten Teilen des deutschen Mittelstandes regiert das Prinzip Hoffnung“, fasst der Gesamtverband der Deutschen Versicherungswirtschaft (GDV) das Ergebnis einer Umfrage des Marktforschungsinstituts Forsa zusammen. Zwar schätzen weit über zwei Drittel der Mittelständler die Risiken durch Cyberangriffe als hoch ein, blenden aber die Gefahr für das eigene Unternehmen aus. Viele reden sich ein, dass ihre Unternehmen zu klein und damit auch ihre Daten zu uninteressant seien.
Dabei häufen sich die Fälle, dass Unternehmen nach einem Cyberangriff in schweres Fahrwasser geraten. Wie jüngst eine große Rechtsanwaltskanzlei, die nach einer Erpresserattacke mit Ransomware tagelang keine Mandanten betreuen konnte. Oder der Autozulieferer Gedia im sauerländischen Attendorn, der nach einem besonders „schweren Cyberangriff“ alle IT-Systeme abschalten, den Betrieb vorübergehend einstellen und einen Teil der Belegschaft nach Hause schicken musste. Wenn nur die Unternehmenschefs ihre Naivität ablegen, die schon Opfer eines schweren Cyberangriffs wurden, wird Deutschland noch Jahrzehnte brauchen, bis diese hochprofitable Spielwiese ausgetrocknet ist und sich professionelle Cyberspione und -saboteure von Deutschland abwenden.
