Digitalisierung verantwortungsvoll gestalten

Die fortschreitende Digitalisierung und Vernetzung bringt nicht nur viele Chancen mit sich, sondern erhöht auch die Risiken von Cyberangriffen und Datenlecks. Eine sichere und belastbare IT-Infrastruktur ist daher essentiell für den Unternehmenserfolg, egal in welcher Branche. Nicht zuletzt durch die „Zwangsdigitalisierung“ aufgrund der Covid-19 Pandemie wurde vielen Unternehmen die Wichtigkeit von Datenhoheit und digitaler Souveränität deutlich vor Augen geführt. Durch Outsourcing hat man sich beispielsweise oft zu sehr abhängig von US-amerikanischen Cloud-Anbietern gemacht und muss nun nach Alternativen suchen, nachdem das EU-US Privacy Shield vom Europäischen Gerichtshof (EuGH) für ungültig erklärt wurde.

Erschwerend für Deutschland und Japan kommt hinzu, dass die aktuelle Generation von Entscheidern und Managern nicht unbedingt zu den „Digital Natives“ gehört, und daher die Gefahr besteht, dass Risiken nicht richtig bewertet, unzureichende Maßnahmen und falsche Investitionsentscheidungen getroffen werden. Einer aktuellen OECD-Studie zufolge hat Japan unter den entwickelten Ländern die geringste IT-Kompetenz ("IT-Literacy") vorzuweisen. Das macht japanische Unternehmen besonders anfällig für Social Engineering, Ransomware-Angriffe per e-mail oder betrügerische Telefonanrufe (Scam Calls). Die Lage in Deutschland ist teilweise leider auch nicht unbedingt besser.

Diese Problematik haben mittlerweile sowohl die japanische als auch die deutsche Regierung erkannt und zahlreiche Awareness- und Schulungsmaßnahmen auf den Weg gebracht. Insbesondere das japanische Ministry of Economy, Trade and Industry (METI), das 2014 geschaffene National center of Incident readiness and Strategy for Cybersecurity (NISC), das Bundesamt für Sicherheit in der Informationstechnik (BSI) sowie die Datenschutz-Aufsichtsbehörden der Bundesländer bieten zahlreiche Handreichungen und Schulungen, nicht nur für Verantwortliche in Wirtschaft und Politik oder Betreiber kritischer Infrastrukturen, sondern verstärkt auch für den Mittelstand an.

Aktuelle Gefährdungslage

Die organisierte Kriminalität hat in den letzten Jahren ein globales Ökosystem zur Koordination und Durchführung von Cyberangriffen mit zahlreichen lukrativen, aber illegalen Geschäftsmodellen aufgebaut. So gibt es im Internet-Untergrund Marktplätze, wo einfach zu bedienende Hacking-Toolkits oder Zero-Day-Exploits angeboten werden, gestohlene Zugangsdaten ge- und verkauft, Serverkapazitäten für DDos-Angriffe gemietet oder ganze Social Engineering Teams samt Marketing- und Grafikdesign-Abteilungen angeheuert werden können. Durch geschickte internationale Aufgabenteilung können Kriminelle daher nicht nur effektiver zusammenarbeiten, sondern sich auch besser der Strafverfolgung entziehen.

Folglich ist es sehr bedenklich, feststellen zu müssen, dass die „Verteidigerseite“ weit hinterherhinkt. Daher ist es umso wichtiger, die internationale Vernetzung von Unternehmen und Strafverfolgungsbehörden voranzutreiben, um den Informationsaustausch zu verbessern, schneller auf Gefahren zu reagieren und präventive Strategien entwickeln zu können. Gerade eine zeitnahe Meldung von Datenpannen kann die Ausbreitung von Schadsoftware verhindern und bei der Aufklärung von Straftaten helfen.

Ein großer Fortschritt war hier die europäische Datenschutz-Grundverordnung (DSGVO), die allen Unternehmen in der EU vorschreibt, Vorfälle spätestens innerhalb von 72 Stunden bei der zuständigen Aufsichtsbehörde zu melden.  Auch in Japan arbeitet die „Personal Information Protection Commission“ (PPC) an einer Novellierung der japanischen Datenschutzgesetze, wobei man sich stark an der DSGVO orientiert.

Mit dem Angemessenheitsbeschluss von 23. Januar 2019 bescheinigen sich die EU und Japan gegenseitig ein angemessenes Datenschutzniveau, wodurch ein rechtlicher Rahmen für einen besseren grenzüberschreitenden Datenaustausch geschaffen wurde. Dieser Erfolg ist ein wichtiger Schritt, um das Economic Partnership Agreement (EPA) mit Leben zu füllen.

Eine Schlüsselrolle bei der Umsetzung und Einhaltung des Datenschutzes spielt dabei der (interne oder externe) betriebliche Datenschutzbeauftragte. Er steht der Unternehmensleitung nicht nur bei allen technischen und rechtlichen Fragen rund um das Bundesdatenschutzgesetz (BDSG) und die DSGVO zur Seite, sondern berät auch organisatorisch und geschäftsstrategisch und fungiert als Schnittstelle zu Betroffenen sowie den zuständigen Aufsichtsbehörden. Dieses Modell hat sich in Deutschland seit über 40 Jahren bewährt und man denkt nun auch in Japan darüber nach, die Position eines unabhängigen Datenschutzbeauftragten nach deutschem Vorbild zu schaffen.

Abwehr von Cyberangriffen

Derzeit handelt es sich bei dem Großteil der aktuellen Gefährdungen um automatisierte Cyberangriffe, die meist systematisch mitigiert und damit Risiken minimiert werden können. Es hat sich gezeigt, dass etwa 70% der Angreifer nach 40 Stunden aufgeben, wenn sie auf eine starke IT-Infrastruktur treffen. Daher ist es ein Wettbewerbsvorteil für Unternehmen, eine bessere Cybersecurity an den Tag zu legen als ihre Marktbegleiter, die dann ggf. Opfer der Angreifer werden.

Ansätze und Best Practices zur Verbesserung der Cybersecurity in Unternehmen:

• IT-Kenntnisse der Mitarbeitern fördern und Awareness für Risiken schaffen
• Kompatibilität zu Schadsoftware minimieren
• Backup-, Fallback- und Recovery-Systeme einsetzen
• Ende-zu-Ende-Verschlüsselung für Datenübertragung via Internet implementieren (z.B. Verschlüsselung von E-Mails mittels PGP)
• Einsatz von Mehr-Faktor-Authentisierung (MFA)
• Kompartimentierung, Abschottung und strategische Virtualisierung von Systemen und Netzwerken
• Konstante Überwachung (Monitoring) und vorausschauende Instandhaltung
• Pflege einer umfassenden Dokumentation in einem Managementsystem

Zielsetzung und Ausblick

Qualitätsbewusstsein, Zuverlässigkeit und Vertrauen sind gemeinsame Werte, die Japan und Deutschland verbinden und sie im Industriezeitalter zu außerordentlich erfolgreichen Wirtschaftsmächten gemacht haben. Nun stehen beide Nationen vor der Herausforderung, diese Werte ins Informationszeitalter zu transponieren, Qualitätsmaßstäbe von Soft- und Hardware zu definieren, Zuverlässigkeit von IT-Systemen unter Beweis zu stellen und Vertrauen durch sichere Kommunikationsmethoden zu schaffen. IT-Sicherheit und Datenschutz sollten als Wettbewerbsvorteil gesehen werden, um bessere und sicherere Zusammenarbeit mit Geschäftspartnern zu ermöglichen und Vertrauen beim Kunden zu schaffen.

Immer mehr Firmen arbeiten zudem sowieso nur noch solchen Unternehmen zusammenarbeiten, die Cybersecurity und Datenschutz ausreichend umgesetzt haben, weil die Haftungsrisiken im Falle von Datenverlust oder Datenschutzverstößen sonst zu hoch wären. Der stetig steigenden Gefahr von Cyberangriffen und Datenlecks kann nur entgegnet werden, wenn Mitarbeiter regelmäßig geschult und eine solide IT-Infrastruktur mit effektiven Managemensystemen implementiert und gepflegt wird. Cybersecurity und Datenschutz sind daher als Investments in die Zukunft sehen, nicht nur, um Lösegeldzahlungen und Bußgelder zu vermeiden, sondern vor allem, um hochwertige Produkte und Dienstleistungen anbieten zu können und um die Datenhoheit im Unternehmen zu wahren.

Daten sind nicht – wie in den Medien oft unreflektiert wiedergegeben - das neue Öl, denn sie müssen weder zwangsläufig wertvolle Informationen enthalten noch unterliegen sie einer Knappheit wie physische Rohstoffe. 

Wenn es eine Währung in der global vernetzten Welt gibt, dann heißt diese - damals wie heute - Vertrauen. Jedoch muss im digitalen Raum dieses Vertrauen erst verdient und erarbeitet werden.

Sowohl “Made in Germany” als auch “Made in Japan” stehen für höchste Qualität und Zuverlässigkeit. Damit dies auch in Zukunft für die Produkte und Dienstleistungen in der digitalen und vernetzten Welt gelten kann, ist unser aller Einsatz gefragt. Der DJW kann hier als Vermittler und Sprachrohr einen wichtigen Beitrag leisten.

Kontakt

Deutsch-Japanischer Wirtschaftskreis (DJW)

Cybersecurity & Data Protection
E-Mail: it@djw.de