Das Weltwirtschaftsforum (WEF) hat kürzlich einen Report zu relevanten Fragestellungen innerhalb der Corona-Krise veröffentlicht. Klar wird darin: Cybersecurity ist inzwischen ein Thema von höchster Relevanz. Wir haben den Report genauer unter die Lupe genommen — und schauen, vor welche konkreten Herausforderungen uns die Krise gestellt hat.
Neue Ansprüche an Cybersecurity
Die vollständige Studie steht im WEF-Forum zum Download bereit. Vorausgegangen war ein «Outlook», der sich mit den Risiken befasste, vor die uns die Corona-Krise stellt. Zu den am meisten gefürchteten Folgen zählen:
- globale Rezession
- Konkurs-Gefahr
- Unterbrechung von Lieferketten
- Konsolidierung innerhalb ganzer Branchen
350 Spezialisten haben weitreichende Analysen und direkte Umfragen durchgeführt. Der WEF-Projektleiter im Bereich Cybersecurity hält fest: COVID-19 hat nicht nur die allgemeine Unsicherheit erhöht — sondern leider auch die Kriminalität. Seit Beginn der Krise kam es zu einem Drittel mehr Betrugsfällen im Internet.
Ein starker Informationsfluss bringt also immer auch Risiken mit sich. In früheren Beiträgen haben wir dich bereits über die Gefahren von Phishing, Malware und Erpressungstrojanern informiert.
Der eigentliche Hauptgrund für die veränderten Ansprüche an Cybersecurity ist das veränderte Arbeitsmuster. Digitale Sicherheitsstrukturen schützen intern oft noch gut — für die Arbeit im Homeoffice gelten diese Massnahmen aber häufig nicht. Die Studie zeigt ausserdem: Auch die Mitarbeiterzufriedenheit spielt eine Rolle, wenn es darum geht, ob betriebsinterne Daten an Unbefugte weitergegeben werden.
Komplexes Arbeitsumfeld
Oft gibt es im Homeoffice kaum mehr als ein paar grundlegende Vorgaben zur Arbeitsplatzgestaltung — erweiterte Sicherheitsbestimmungen fehlen. Viele Unternehmen verlassen sich darauf, dass Mitarbeitende die betrieblichen Regelungen auch zu Hause einhalten. Die WEF-Studie zeigt drei Trends, die automatisch neue Massstäbe an die Cybersecurity stellen.
- E-Commerce: Wegen örtlicher Geschäftsschliessungen boomte der Online-Handel. Viele Firmen planen entsprechende Schritte bereits fest in ihre Marketing-Strategien ein.
- Digitalisierung: Betriebe wechseln von starren Desktop-Anwendungen auf mobile Lösungen — Dienstleistungen und Angebote landen so auch auf Smartphones.
- Cloud: Wer viel elektronisch verarbeitet, braucht mehr Speicherplatz. Deshalb wechseln viele Unternehmen von interner Datenspeicherung zu Cloud-Diensten.
Cybersecurity „Leadership Principles“
Mit den «Lessons learnt» will das WEF dabei helfen, zur Normalität zurückzufinden. Fünf Schritte sollen neue Ansprüche an die eigene Cybersecurity definieren — und sie effizient in die Praxis bringen.
1. Cyber-Resilience
Das WEF empfiehlt, eine Kultur der Cyber-Widerstandsfähigkeit aufzubauen und zu fördern. Cybersecurity soll fester Bestandteil von Unternehmen und ihrer Geschäftspraxis werden — inklusive Risiko-Monitoring und einem eigenen Budget-Posten.
«Employees make decisions that can have as much impact on security…» — so steht es im WEF-Report. Mitarbeitende treffen also auch im Bereich Cybersecurity relevante und potenziell folgeschwere Entscheidungen. Das bedeutet nicht, ihnen Rechte zu entziehen. Im Gegenteil: Alle sollen aktiv in Sicherheitsprozesse eingebunden werden. Das unterstreicht einmal mehr die Bedeutung von Sensibilisierung.
2. Focus on protecting
Hier geht es darum, kritische Strukturen, Dienste und Kapazitäten fachgerecht zu schützen: Schwachstellen in der IT aufdecken, gezielt beheben. Auch der Zugriff muss geregelt sein — Remote-Verbindungen etwa durch entsprechende Nutzer-Authentifizierung absichern.
Ebenfalls ein Thema: Automatisierung. Das WEF empfiehlt, KI und maschinelles Lernen (ML) genau dort einzusetzen, wo menschliches Versagen besonders folgenreich wäre — um Ressourcen und Budget gezielt zu nutzen.
3. Balance der Cybersecurity
Für die Versorgungskette empfiehlt das WEF das Zero-Trust-Modell. Open Source und hohe Anforderungen an Cloud-Plattformen erschweren das. Jede Entscheidung sollte daran gemessen werden, ob die erforderlichen Ansprüche vollständig erfüllt werden — möglichst ohne Abstriche.
Diese «decisions during the crisis and beyond» sollen sicherstellen, dass Unternehmen sowohl während als auch nach der Krise in Sachen Cybersecurity sicher aufgestellt sind.
4. Update and practice
Aktualisierung und Übung stehen für Kontinuitätsmanagement — im Englischen «BCM» (Business Continuity Management). Das Ziel: Kernprozesse auch in Krisen- und Notfallsituationen am Laufen halten und sich im Ernstfall möglichst schnell erholen.
Am besten funktioniert gutes BCM durch praktische Übungen im Vorfeld — etwa über Testfälle oder reale Testläufe mit Homeoffice-Arbeit.
5. Zusammenarbeit
Öffentlicher und privater Sektor sollen laut WEF ihre Zusammenarbeit stärker ausbauen. Das gilt auch für Cybersecurity: Sensibilisierung funktioniert nur, wenn sie das gesamte Kollektiv erreicht — nicht bloss einzelne Personen.
Nicht die Unterschrift zählt, sondern die aktive Beteiligung. Durch die tägliche Arbeit sind wir ohnehin schon weitreichend vernetzt. In der Corona-Krise sind bereits einige grosse Unternehmens-Zusammenschlüsse entstanden, die sich mit Cybersecurity befassen und ihre Erkenntnisse öffentlich teilen.