Die Zahl der Cyberangriffe ist in den letzten Jahrzehnten kontinuierlich gestiegen. Dies belegen unter anderem Berichte des Branchenverbands Bitkom e.V. [1] sowie der Bundeslagebericht Cybercrime 2023 des Bundeskriminalamts [2]. Experten gehen davon aus, dass sowohl die Anzahl als auch die Qualität der Angriffe in Zukunft weiter zunehmen werden [2].
Angesichts dieser Entwicklung stellt sich die Frage, warum viele Organisationen nicht verstärkt in Sicherheitsmaßnahmen investieren oder warum bestehende Maßnahmen oft unzureichend bleiben oder scheitern. In diesem Artikel werden einige theoretische Konzepte vorgestellt, die mögliche Erklärungen für dieses Phänomen liefern.
Fehlendes Wissen als Sicherheitsrisiko
Ein effektiver Schutz vor Cyberangriffen setzt voraus, dass Organisationen über ein fundiertes Verständnis der Angriffsmethoden sowie der zugrunde liegenden Schwachstellen und Angriffsflächen verfügen. Da sich die Angriffstechniken stetig weiterentwickeln und eng mit aktuellen technologischen Trends verknüpft sind, stellt dies eine kontinuierliche Herausforderung dar.
Ein prägnantes Beispiel ist der massive Anstieg von Ransomware-Angriffen, der unter anderem durch die Verbreitung von Kryptowährungen begünstigt wurde. Während sich früher Lösegeldforderungen häufig auf schwer konvertierbare Zahlungsmittel wie Prepaid-Guthabenkarten oder Geschenkkarten stützten, ermöglichen Kryptowährungen eine weitgehend anonyme und effiziente Monetarisierung der Angriffe [3][4, S. 8].
Gleichzeitig wächst die Komplexität und Dynamik moderner IT-Infrastrukturen rasant. Ein System besteht aus immer mehr einzelnen Komponenten, und es gibt eine hohe Abhängigkeit von Third-Party-Quellcode und Frameworks, was insbesondere Supply-Chain-Angriffe sehr attraktiv macht. In der Praxis bedeutet dies, dass Administratoren und Entwickler nicht immer einen konsequenten Fokus auf IT-Sicherheit legen können. Hinzu kommen Faktoren wie Arbeitsüberlastung, Zeitmangel und eine fehlende Sensibilisierung für sicherheitsrelevante Themen.
Um dieser Wissenslücke entgegenzuwirken, gibt es zwei zentrale Ansätze:
- Gezielte Weiterbildung bestehender Mitarbeiter durch regelmäßige Security-Schulungen und Awareness-Programme.
- Einstellung spezialisierter Fachkräfte, die als Security-Experten bestehende Teams ergänzen.
Vor allem für kleinere Unternehmen und Organisationen ist es jedoch häufig unrealistisch, eine dedizierte CISO-Position (Chief Information Security Officer) zu schaffen. Daher ist es in vielen Fällen nachhaltiger, bestehende Mitarbeiter im Bereich IT-Sicherheit weiterzubilden, um langfristig ein höheres Sicherheitsniveau zu erzielen.
Bewertung von Kosten für Sicherheitsmaßnahmen
Die Kosten von Cyberangriffen lassen sich oft nur schwer beziffern, da ihre Auswirkungen äußerst vielfältig und unvorhersehbar sind. Neben den unmittelbaren Schäden entstehen auch indirekte Kosten, etwa für die Wiederherstellung der IT-Infrastruktur, potenzielle Strafzahlungen bei fahrlässigem Handeln oder Reputationsverluste durch negative Berichterstattung – Faktoren, die sich nicht immer direkt in Zahlen ausdrücken lassen.
Im Gegensatz dazu sind die Kosten für Sicherheitsmaßnahmen – etwa für Software, Hardware, Schulungen oder externe Dienstleister – offensichtlich und greifbar.
Dies führt dazu, dass Unternehmen den Nutzen von Sicherheitsmaßnahmen oft unterschätzen, da die Investitionen in IT-Sicherheit sofort sichtbar sind, während die potenziellen Schäden eines Cyberangriffs abstrakt oder theoretisch bleiben. Dieses Phänomen ist als Präventionsparadoxon bekannt: Die Kosten der Sicherheitsmaßnahmen sind unmittelbar, doch der Erfolg bleibt unsichtbar, weil ein Angriff erfolgreich verhindert wurde.
In manchen Fällen wird sogar bewusst ein Risikokalkül betrieben – in der Hoffnung, dass ein Angriff nicht eintritt und Investitionen somit eingespart werden können. Diese Denkweise entspricht dem Hyperbolic Discounting: Kurzfristige Einsparungen werden höher bewertet als langfristige Sicherheitsvorkehrungen, selbst wenn das Risiko eines erheblichen Schadens besteht. Diese Einstellung getreu nach dem Motto “Es ist noch immer gutgegangen” kann jedoch sehr fatal sein. Fehlende Angriffe bedeuten nicht automatisch, dass keine Bedrohung existiert. Möglicherweise gab es in der Vergangenheit bereits Angriffe, die nur nicht bemerkt worden sind. Vielleicht wurden Zugangsdaten abgegriffen und werden missbraucht, Teile der Infrastruktur versenden unbemerkt Spam oder agieren in einem Botnetzwerk.
Physologische Aspekete
Oft herrscht sowohl unter Mitarbeitern als auch unter Managern die Fehlannahme, dass man selbst kein Opfer eines Cyberangriffs werden kann. Dies liegt häufig an der Überzeugung, dass die eigenen Daten für Angreifer nicht von Interesse sind oder dass die Wahrscheinlichkeit eines Angriffs aufgrund der Vielzahl anderer potenzieller Ziele verschwindend gering sei. Diese Einstellung kann jedoch durch aktuelle Statistiken und die allgemeine Entwicklung der Cyberkriminalität klar widerlegt werden.
Wie breits erwähnt kann man nie ausschließen das ein Angriff unbemerkt erfolgreich war. Besonders Ransomware-Angriffe betreffen Organisationen unabhängig von ihrer Größe oder Branche, da sie nicht nur Daten verschlüsseln, sondern oft auch wichtige IT-Infrastrukturen lahmlegen und damit enorme betriebswirtschaftliche Schäden verursachen.
Diese irrationale Risikowahrnehmung kann durch die Prospect Theory von Daniel Kahneman und Amos Tversky [5] erklärt werden. Die Theorie besagt unter anderem, dass Risiken und Wahrscheinlichkeiten nicht objektiv und rational, sondern psychologisch verzerrt wahrgenommen werden. Zusätzlich überschätzen Menschen häufig ihre eigene Kontrolle über Risiken oder glauben, dass sie potenzielle Gefahren besser steuern können, als es tatsächlich der Fall ist – ein Phänomen, das unter Risk Perception (Risikowahrnehmung) bekannt ist.
Organisatorische Aspekte
Eine verzerrte Wahrnehmung von Risiken und deren falsche Einschätzung kann auch auf organisatorischer Ebene problematisch sein. Häufig wird erwartet, dass Informatiker und Entwickler eigenständig auf IT-Sicherheit achten und sichere Software sowie robuste Systeme implementieren. Allerdings sollten Führungskräfte ihre Mitarbeiter dabei aktiv unterstützen und das Bewusstsein für IT-Sicherheitsrisiken gezielt schärfen.
In manchen Fällen ist es jedoch genau umgekehrt: Mitarbeiter müssen ihre Vorgesetzten für das Thema IT-Sicherheit sensibilisieren. Idealerweise wird IT-Sicherheit jedoch als Top-Down-Prozess behandelt, da sie alle Mitarbeiter – unabhängig von ihrer Position – betrifft. Dies zeigt sich insbesondere bei Angriffsmethoden wie Phishing oder anderen Social-Engineering-Techniken, die gezielt menschliche Schwachstellen ausnutzen.
Die Organisation und das Management tragen dabei die Verantwortung, die notwendigen Rahmenbedingungen für eine sichere IT-Umgebung zu schaffen. Dazu gehört die Bereitstellung ausreichender Ressourcen – sei es in Form von Budget, Zeit oder qualifiziertem Personal – um effektive Sicherheitsmaßnahmen zu implementieren.
Zudem darf nicht vergessen werden, dass IT-Sicherheit ein fortlaufender Prozess ist, der kontinuierlich an die aktuelle Bedrohungslage angepasst und optimiert werden muss. Eine einmalige Umsetzung reicht nicht aus – Sicherheitsstrategien müssen regelmäßig überprüft und weiterentwickelt werden, um neuen Angriffsmethoden standzuhalten.
Quellen
[1] bitkom e.V (2024), Angriffe auf die deutsche Wirtschaft nehmen zum, https://www.bitkom.org/Presse/Presseinformation/Wirtschaftsschutz-2024
[2] Bundeskriminalamt (2023) Bundeslagebild Cybercrime 2023, https://www.bka.de/DE/AktuelleInformationen/StatistikenLagebilder/Lagebilder/Cybercrime/2023/CC_2023.html
[3] Oosthek, K., Cable, J. und Smaragdakis, G. (2023), A Tale of Two Markets: Investigating the Ransomware Payments Economy, https://cacm.acm.org/research/a-tale-of-two-markets-investigating-the-ransomware-payments-economy/
[4] Homand Security & Governmental Affairs (2022), Use of Cryptocurrency in Ransomware Attacks, Available Data, and National Security
Concerns, https://www.hsgac.senate.gov/wp-content/uploads/imo/media/doc/HSGAC%20Majority%20Cryptocurrency%20Ransomware%20Report.pdf
[5] Zehnder, M. (2021), Die Prospect Theory: Warum wir Menschen nicht immer die besten Entscheidungen treffen, https://hub.hslu.ch/business-psychology/prospect-theory/