Cybersicherheit im Zeitalter der Hyper­digitalisierung

Die voranschreitende Hyperdigitalisierung¹ fungiert als wesentlicher Faktor für das Wachstum von Unternehmen und ermöglicht die Optimierung von Effizienz, Kostenreduktion sowie den Aufbau eines Wettbewerbsvorteils. Diese Entwicklung wird durch die Kundenanforderungen nach digitalen und personalisierten Erlebnissen vorangetrieben und ermöglicht die Entwicklung innovativer Produkte sowie ein agiles und flexibles Handeln, das durch mobile Arbeitsmodelle und skalierbare IT-Strukturen unterstützt wird.

Mit zunehmender Verbreitung von Digitaltechnologien wächst jedoch auch die Relevanz von Cybersicherheit. Neben Verstößen gegen Gesetze und Regulatorik können Vertrauensbrüche zwischen Kunden und Unternehmen aufgrund von Sicherheitslücken, insbesondere bei der Weitergabe sensibler Daten, ebenso entstehen wie erhebliche finanzielle Verluste, bspw. durch Ausfall der Produktion. Die Relevanz von Cybersicherheit wird in vielen Publikationen sowie Risikoberichten, wie beispielsweise dem Allianz Risiko Barometer, welches Cybervorfälle weiterhin als das größte Risiko für Unternehmen identifiziert², hervorgehoben. Darüber hinaus ist auch zu konstatieren, dass die Anzahl der Cyberangriffe seit Jahren kontinuierlich zunimmt. So wurde von 2022 bis 2023 ein Anstieg von 26 Prozent verzeichnet, wobei nur etwa 30 Prozent dieser Fälle aufgeklärt werden konnten.3 Der durch Cyberkriminalität verursachte Gesamtschaden beläuft sich nach einer Befragung von Bitkom auf geschätzte 178,6 Milliarden Euro in Deutschland.4 Ransomware und Phishing stellen dabei die am häufigsten auftretenden Angriffsformen dar.

Unternehmen sind diesem Risiko permanent ausgesetzt. Eine sorgfältig konzipierte Strategie trägt zur Risikominimierung bei, indem sie Angriffsflächen risikobasiert minimiert und im Falle eines Cybervorfalls eine rasche Wiederherstellungsfähigkeit gewährleistet. Unternehmen, die als sicher und vertrauenswürdig wahrgenommen werden, können einen entscheidenden Vorteil bei Kunden und Geschäftspartnern erlangen. Die Gewährleistung eines angemessenen Cybersicherheitsniveaus sowie die Minimierung von Risiken durch Cyberbedrohungen sollten daher das Ziel jeder Organisation sein.

Cyberbedrohungen und die Folgen für Unternehmen

Unternehmen stehen einer Reihe konkreter Cyberbedrohungen gegenüber, die ihre Anwendungen, Infrastrukturen, Produkte etc. beeinträchtigen können. Diese Bedrohungen können von einer Vielzahl von Quellen ausgehen, darunter staatliche Akteure, kriminelle Netzwerke, Hacktivismus und sogar interne Mitarbeitende. Jede dieser Gruppen hat unterschiedliche Beweggründe und verwendet verschiedene Methoden zur Durchführung ihrer Angriffe. Unternehmen müssen sich der Vielfalt der Akteure und ihrer Motive bewusst sein, um sich effektiv zu schützen.

Während die Angriffstechniken ähnlich sein können, unterscheiden sich die verfügbaren Mittel und Absichten je Angreifer:

• Staatliche Akteure verfolgen aufgrund geopolitischer Interessen strategische Ziele. Sie nutzen Spionage, Sabotage oder Informationsmanipulation und verfügen über umfangreiche Ressourcen für langfristige Cyberoperationen.
• Kriminelle Netzwerke sind primär auf finanziellen Gewinn ausgerichtet. Sie nutzen Methoden wie Ransomware und Phishing und operieren mit variablen, aber oft schnellen Ressourcen.
• Hacktivisten verfolgen politische oder soziale Überzeugungen und setzen auf kurzfristige Aktionen zur Verbreitung ihrer Botschaften.
• Interne Mitarbeiter handeln aus persönlichen Motiven oder aufgrund von Unachtsamkeit und nutzen ihren bestehenden Zugang.

Moderne Cyberangriffe zeigen sich dabei nicht in isolierten Aktionen, sondern vielmehr in einer orchestrierten Abfolge von Schritten, die sich in einer zeitlichen Reihenfolge beschreiben lassen. So beginnt ein Angriff häufig mit Phishing oder Social Engineering, um initialen Zugang zu erlangen, wobei gezielt menschliche Schwächen ausgenutzt werden. Darauffolgend kann Ransomware zum Einsatz kommen, um Daten zu verschlüsseln und somit die Kontrolle über kritische Systeme zu übernehmen – ein Vorgehen, das finanzielle Erpressung ermöglicht. Parallel dazu können Denial-of-Service-Attacken eingesetzt werden, um die Verfügbarkeit von Diensten zu untergraben, insbesondere im Kontext politischer oder staatlich motivierter Angriffe. Die Ausnutzung von Software- und Netzwerksicherheitslücken dient als weiterer Schritt, indem sie die laterale Bewegung innerhalb des Netzwerks und die Erweiterung der Zugriffsrechte ermöglicht. Angriffe auf die Lieferkette runden das Spektrum ab, indem sie eine langfristige Präsenz im Zielnetzwerk etablieren und dabei die Vertrauensstellungen innerhalb der Lieferkette ausnutzen. Diese Verkettung von Angriffsvektoren verdeutlicht, dass erfolgreiche Cyberangriffe selten das Ergebnis einer einzelnen Methode sind, sondern vielmehr das Resultat einer strategischen Kombination verschiedener Techniken, die darauf abzielen, die Verteidigungsmechanismen des Ziels systematisch zu überwinden.

Die Bedrohungen durch Cyberangriffe sind allgegenwärtig und vielschichtig. Für Unternehmen kann ein erfolgreicher Angriff gravierende Folgen haben, darunter finanzielle und reputative Schäden, Betriebsunterbrechungen, rechtliche Konsequenzen und Ausfallzeiten. Diese Auswirkungen können nachhaltig die Stabilität und Wettbewerbsfähigkeit des Unternehmens beeinflussen.

Cybersicherheit als unternehmerische Aufgabe

Es gibt mehrere internationale Standards und Rahmenwerke wie das NIST-Framework, ISO/IEC 27001, BSI-Grundschutz, SANS und ENISA-Richtlinien, die Unternehmen helfen, ihre Cybersicherheit zu optimieren. Sie variieren in Struktur und Fokus.

Das NIST Cyber Security Framework 2.0 ist eins der bekanntesten dieser Frameworks. Es nutzt bestehende Standards und bietet eine klare und verständliche Struktur. Somit kann es dabei unterstützen, Risiken systematisch zu identifizieren und Schutzmaßnahmen zu implementieren, um die Widerstandsfähigkeit gegenüber Cyberbedrohungen zu stärken. Dabei betont das Framework die Integration von Cybersicherheit in die gesamte Unternehmensstrategie, anstatt sie als isolierten Aspekt zu betrachten. So können unternehmenskritische Prozesse selbst in Krisenzeiten aufrechterhalten werden.

Eine konsequente Strategieimplementierung hat finanzielle Implikationen und erfordert kontinuierliche Investitionen. Dies kann die direkten Kosten für die Implementierung von Sicherheitstechnologien und -prozessen sowie die indirekten Kosten für Mitarbeiterausbildung, Anpassung von Geschäftsprozessen und Durchführung regelmäßiger Sicherheitsüberprüfungen umfassen.

Risikomanagement ist ein unerlässlicher Aspekt in dieser Hinsicht. Es hilft dabei, diese Kosten effektiv zu verwalten, Risiken zu identifizieren und zu bewerten sowie Schutzmaßnahmen zu priorisieren. Trotz der Investitionen ist zu beachten, dass die Kosten für eine angemessene Cybersicherheitsstrategie im Allgemeinen geringer sind als die potenziellen Verluste durch Cyberangriffe, was finanzielle Einbußen, Schäden an der Reputation und Betriebsunterbrechungen einschließt.

Eine Analyse der Ausgangslage und eine Festlegung der Risikobereitschaft sollten als Grundlage für einen strategischen Cyberfahrplan dienen. Dieser definiert klare Prioritäten und den zeitlichen Rahmen für die Umsetzung. Zur Priorisierung von Maßnahmen ist es empfehlenswert, risikobasiert vorzugehen und mit der Sicherung der kritischen Unternehmenswerte anzufangen.

Die Rolle des Aufsichtsrates bzw. des Prüfungsausschusses

Obwohl spezialisierte Cybersicherheitsexperten für die Durchführung der Maßnahmen zuständig sind, liegt die Verantwortung für den Schutz vor Cyberbedrohungen und die Erfüllung gesetzlicher Vorschriften bei der Geschäftsleitung. Zwar sind die Expert:innen verantwortlich für die Umsetzung technischer und organisatorischer Sicherheitsmaßnahmen, die Geschäftsleitung ist dennoch verpflichtet sicherzustellen, dass alle Aspekte der Cybersicherheit berücksichtigt werden. Dies beinhaltet auch die regelmäßige Kommunikation und Berichterstattung an den Aufsichtsrat.

Der Aufsichtsrat trägt dabei die Verantwortung zur Überwachung der Cybersicherheit, indem dieser sicherstellt, dass die von der Geschäftsleitung festgelegten Maßnahmen zur Abwehr von Cyberbedrohungen angemessen, wirksam und zukunftsorientiert sind. Dazu gehören die Bewertung der Risikomanagementstrategie, die Überwachung der Wirksamkeit von kritischen Sicherheitsmaßnahmen, die Kontrolle der Einhaltung gesetzlicher und regulatorischer Anforderungen wie beispielsweise der NIS2-Richtlinie und des Cyber Resilience Act (CRA) sowie die Überwachung des Krisenmanagements. Um diese Aufgaben effektiv wahrnehmen zu können, benötigt der Aufsichtsrat ein fundiertes Verständnis zur Cybersicherheit, das er sich durch interne Informationsquellen und externe Quellen wie Veröffentlichungen des BSI und Fachpublikationen aneignen kann. Auch die genannten Cybersicherheitsstandards geben verlässliche Hilfestellungen bei der Kontrolle und Überwachung der Cybersicherheitsfähigkeiten. Es ist unerlässlich, dass der Aufsichtsrat sich kontinuierlich über die neuesten Entwicklungen informiert, um seine Überwachungsfunktion effektiv auszuüben.

Der Aufsichtsrat sollte mindestens vierteljährlich, idealerweise monatlich, über den aktuellen Stand der Cybersicherheit informiert werden. Bei signifikanten Vorfällen oder Veränderungen in der Bedrohungslage ist eine sofortige Berichterstattung erforderlich. Hierzu können regelmäßig relevante KPIs zur Überwachung der Cybersicherheitsfähigkeiten abgefragt werden. Diese KPIs spiegeln die Wirksamkeit der Sicherheitsmaßnahmen wider, beispielsweise die Anzahl erfolgreicher und abgewehrter Angriffe oder die Reaktionszeit bei Vorfällen. Der Aufsichtsrat muss sicherstellen, dass die Geschäftsleitung regelmäßige Sensibilisierungsmaßnahmen durchführt, einen Notfallplan entwickelt, eine Cyberversicherung in Erwägung zieht und angemessene Maßnahmen ergreift, um das Unternehmen sowie dessen Mitarbeitende, Kunden und Partner effektiv vor Cyberangriffen zu schützen. Dabei sind die aktuellen Gesetze sowie die Regulatorik wie beispielsweise NIS2 und CRA stets mit einzubeziehen.

Durch die Betrachtung und Beantwortung kritischer Fragen erhält der Prüfungsausschuss ein breites Verständnis der aktuellen Cybersicherheitslage eines Unternehmens. Im Folgenden sind zehn essenzielle Fragen aufgelistet, die sich ein Prüfungsausschuss stellen sollte, um ein umfassendes Bild der Cybersicherheitssituation zu erhalten.

Fragen für die Praxis zu Cybersicherheit

• Welche spezifischen Cyberrisiken hat das Unternehmen identifiziert und wie wurden diese priorisiert?
• Wie sieht die Strategie des Unternehmens zur Minderung von Cyberrisiken aus und wie wird deren Effektivität regelmäßig überprüft und bewertet?
• Welche Prozesse verwendet das Management, um die wertvollsten digitalen und physischen Vermögenswerte zu identifizieren, die durch einen Angriff gefährdet werden könnten?
• Wann wurde die letzte umfassende Cyberrisikobewertung durchgeführt und welche wesentlichen Änderungen wurden seitdem implementiert?
• Inwieweit umfasst die Risikobewertung auch Risiken im Zusammenhang mit der Betriebstechnologie (OT) und der Produktsicherheit?
• Welche Kontrollen hat das Unternehmen implementiert, um Cyberrisiken im Zusammenhang mit Drittanbietern, Dienstleistern und Partnern zu minimieren?
• Was ist der detaillierte Ansatz des Unternehmens für die Reaktion auf einen Ransomware-Angriff und welche spezifischen Schritte sind im Incident-Response-Plan enthalten?
• Wie lang ist die geplante Wiederherstellungszeit für die wichtigsten Geschäftsabläufe im Falle eines Cyberangriffs und welche Maßnahmen sind implementiert, um diese Zeit zu minimieren?
• Wie oft wird der Cyberreaktionsplan in der gesamten Organisation bis hin zur Vorstandsebene geübt und welche spezifischen Szenarien werden dabei abgedeckt?
• Wie werden Sicherheitsaspekte in die Entwicklung neuer Verfahren und Systeme integriert, insbesondere in die Anwendungsentwicklung, und welche Sicherheitsstandards und -prüfungen sind Teil des Entwicklungsprozesses?

¹ Der Begriff der Hyperdigitalisierung beschreibt eine intensivierte Form der Digitalisierung, die sämtliche Lebensbereiche durchdringt. Im Gegensatz dazu beschränkt sich die herkömmliche Digitalisierung häufig auf einzelne Prozesse.

² Vgl. Allianz (2025): Allianz Risk Barometer 2025, abgerufen am 09.04.2025.

³ Vgl. BSI (2023): Bundeslagebild Cybercrime 2023.

⁴ Vgl. Bitkom (2024): Wirtschaftsschutz 2024, abgerufen am 09.04.2025.