Datensicherheit: "Die Bedrohungslage ist ernst!"
Die Datensicherheit ist multiplen Bedrohungen ausgesetzt. Hausinterne IT-Irrwege spielen dabei ebenso eine Rolle wie globale Aspekte. KI rückt dem Problem auf den Leib, lässt aber neue Gefahren entstehen. In weiser Voraussicht investieren Unternehmen in Sicherheitslandschaften, die sich letztlich als fragmentiert herausstellen. Reports zeichnen eine Welt, in der Datensicherheit einen hohen Stellenwert genießt, und empfehlen entsprechende Maßnahmen.
Was waren das für Zeiten, in denen sensibles Datenmaterial auf CDs und USB-Sticks unverschlüsselt gespeichert wurde, um danach in einem „Giftschrank“ versperrt zu werden? Oder als Mitarbeiter:innen die Sicherungs-Dateien auf Magnetbändern mit nach Hause nahmen? Anno dazumal galten diese Verfahren als elegante Backup-Optionen. Und tatsächlich, die heute archaisch anmutenden Prozeduren gehorchten dem ureigensten Prinzip der Datensicherheit: Schutz vor Verlust, Manipulation und zerstörerischen Kräften. In Zeiten von KI, Big Data, Predictive Analytics und dem ultraschnellen Online-Zugriff hat das Thema Datensicherheit deutlich an Brisanz gewonnen. Sie versteht sich zusehends als dauerhaft stabiler Zustand, der unter Zuhilfenahme geplanter technischer und organisatorischer Abläufe aufrechterhalten wird. Der nicht unerhebliche Aufwand lohnt sich angesichts stetig zunehmender Drohszenarien aus dem Netz.
Im Zuge des rasanten Fortschritts bei der Datenauswertung hat schon mal das eine oder andere Unternehmen dem Faktor „Datensicherheit“ zu wenig Bedeutung beigemessen. Die einschlägigen internationalen Jahresberichte über die Angreifbarkeit der IT von außen sprechen eine eindeutige Sprache. Der große Sprung in Richtung KI hat den Fokus noch mehr auf Schutz und Sicherheit verlagert.
Erhöhtes Risiko durch KI & Co.
Die Stärke der Künstlichen Intelligenz, in falsche Hände gelegt, richtet sich bisweilen gegen seriöse Anwender:innen selbst. Höchst klug designte Prompts lassen sich nämlich zu komplexen Angriffen formen. Die Rechenpower der KI-Systeme wird genutzt, um Sicherheitslücken ausfindig zu machen und in Data-Storage einzudringen. Derlei Angriffe sind schwer zu erkennen und abzuwehren. Datendiebstahl ist die Folge. KI ist mitunter verantwortlich für das Schwinden der Privatsphäre, da aus der Datenflut individuelle Informationen abgeleitet werden können.
Ethische Fragen
KI-Tools werden weithin als „Black Boxes“ betrachtet, da Output ohne Nachvollziehbarkeit und dokumentierte Historie produziert wird. Wer trägt die Verantwortung bei Fehlinterpretationen und fatalen Entscheidungen? Der Einsatz von KI ruft außerdem die Ethiker:innen auf den Plan. Sie verweisen auf die Verstärkung von Stereotypen und diskriminierenden Urteilen durch Verzerrungen bei den angewendeten Algorithmen. Das philosophische Fachpersonal fordert daher zurecht eine nachhaltige Auseinandersetzung mit mathematisch-logischem Background.
Anonymisierung und Dezentralisierung
Wer sich für einen VPN-Zugang entscheidet, erkauft sich neben der Anonymisierung der IP-Adresse und der Verschlüsselung von Daten auch Nachteile. So kann etwa die Netzwerkgeschwindigkeit in den Keller gehen. VPN erfordert ferner eine sorgfältige Verwaltung durch die innerbetriebliche IT. Cloud-Services unterstützen bei Skalierung, Speicherung und Verarbeitung umfangreicher Datenbestände. Mit bedacht werden muss die Anfälligkeit für Cyber-Attacken und nicht-autorisierte Zugriffe. Die vielgepriesene Blockchain-Technik erweist sich dank ihrer dezentralen Struktur als äußerst resistent gegenüber Manipulationen und unerwünschten Zugriffen. Ihre Schwächen zeigen sich in der Skalierbarkeit und den heterogenen gesetzlichen Rahmenbedingungen. Das „Internet der Dinge“ produziert bisweilen die größten Kopfschmerzen in den IT-Abteilungen. Die überbordende Anzahl IP-vernetzter Kleingeräte – vom Fitness-Armband, über Temperaturregler und Sicherheitskameras bis hin zum extensiven Smart-Home – sorgt für hohe Effizienz und bequeme Automatisierung. Die kleinen digitalen Helferlein lassen sich allerdings durch Attacken kompromittieren. Auf dem Spiel steht wieder einmal die Privatsphäre der Anwender:innen. Bereits im Anmarsch ist die „Post-Quanten-Kryptografie“ – der Next Step bei Cyber-Sicherheit. Das asymmetrische Kryptografie- und Signier-Verfahren RSA könnte künftig obsolet werden, da Quantencomputer bereits in ein paar Jahren die ausgefeilten rechnerischen Operationen knacken werden. Die Implementierung der Post-Quanten-Kryptografie erfordert allerdings enormen Einsatz an physischen und immateriellen Mitteln.
Nutzen der KI überwiegt
Die Big-Player machen vor, wie Künstliche Intelligenz die Datensicherheit erhöhen kann. IBM kann mit KI-Netzwerkaktivitäten überwachen und analysieren. Anomalien werden in Echtzeit entdeckt. Microsoft blockiert Phishing-Aktionen mit KI. Inhalte und Muster von E-Mails werden auf verdächtige Strukturen hin identifiziert. Google lässt die KI entscheiden, welcher Datenverschlüsselungs-Mechanismus den optimalen Sicherheitsstatus gewährleistet. Die gewonnenen positiven Erfahrungen werden im Algorithmus verewigt. Die britische Firma Darktrace, setzt eine ausgesprochen anpassungsfähige KI ein, um Netzwerke zu checken und darin verborgene Bedrohungen frühzeitig ausfindig zu machen. Der Inspektionsaufwand durch den Menschen wird deutlich reduziert. Das US-Unternehmen CrowdStrike widmet sich ebenfalls der Informationssicherheit und blickt dabei im Speziellen auf Endgeräte. Künstliche Intelligenz entdeckt Unregelmäßigkeiten an den Netzwerk-Endpunkten und angriffsverdächtige Muster.
Der „Data Breach Kostenreport“ zeigt auf, dass eine Datenschutzverletzung durchschnittlich 4,88 Mio. US-Dollar kostet. Die Summe ergibt sich aus entgangenen Geschäften, Systemausfällen, Rufschädigung und den nötigen Gegenmaßnahmen. KI-Tools können personenbezogene Daten finden und entsprechende Kontrollen aufsetzen. Werden große Datenmengen urplötzlich an einen neuen Speicherort verschoben, helfen smarte Algorithmen zur Überwachung der Netzwerkaktivitäten. KI unterstützt auch bei der Zugriffssteuerung anhand von vergebenen Rollen. Schließlich finden Tools zur Betrugserkennung frühzeitig verdächtige Transaktionen.
Eigene Versäumnisse kosten Millionen
Online-Erpresser feiern fröhliche Urstände. Die Zahlen sind haarsträubend und rufen allerorts die Sicherheits-Profis auf den Plan. Kriminelle setzen dabei gezielt „Ransomware“ ein. Sie beeinträchtigt und zerstört kritische Systeme. Zugriff zu den eigenen Daten wird erst dann wieder möglich, wenn ein „Lösegeld“ – oft in Form von Kryptowährungen – bezahlt wird. Die offiziell bekannten Vorfälle richteten 2024 weltweit einen Schaden von 265 Milliarden US-Dollar an. Die durchschnittliche Summe, die den Kriminellen überwiesen wurde, belief sich auf 1,4 Millionen US-Dollar. Der höchste jemals erpresste Betrag in der Wirtschaftsgeschichte erreichte einen Wert von 75 Millionen US-Dollar und wurde der „Dark Angels Gruppe“ überlassen. Laut „2024 State of Ransomware Report“ uferten Ransomware-Angriffe weltweit zu einem besorgniserregenden Rekord aus. 48 neue Varianten der Betrugs-Software tauchten im letzten Jahr auf, ein Anstieg gegenüber 2023 um 65 Prozent! Angegriffen wurden häufig Gesundheitseinrichtungen, Regierungsstellen und der Bildungssektor. Ein ähnliches Schreckensbild zeichnet der Bereich „Datenverletzungen“. Dazu zählen u.a. Phishing-Angriffe, Social Engineering, Spear-Phishing und Whaling. Der „ENISA Threat Landscape 2024“ zählt Datenverletzungen und Leaks zu den gewichtigsten Bedrohungen. Zum pekuniären Schaden der Unternehmen gesellt sich nämlich auch ein allgemeiner Vertrauensverlust in digitale Infrastruktur. Das deutsche Bundesamt für Sicherheit in der Informationstechnik (BSI) konnte bei 350 öffentlich gewordenen Datenlecks aufzeigen, dass in fast 90% der Vorfälle Namen, Benutzerkennung, E-Mail-Adressen und weitere persönliche Daten kopiert wurden.
Alle Berichte kommen zum gleichen Schluss. Viele der kriminellen Online-Angriffe werden durch firmeneigene Versäumnisse und Unachtsamkeiten befeuert. Als Gegenmaßnahmen werden naturgemäß die Verstärkung des Schutzes, die Intensivierung der Kooperation zwischen Behörden und Wirtschaft, der Einsatz von Zero-Trust-Modellen und der kontinuierliche Gesamt-System-Check genannt. Geänderte Umgebungsvariablen fordern kontinuierliche Adaptierung und Optimierung.
Sicherheits-Landschaften und Human Power
Erfreulicherweise agieren und reagieren Unternehmen in punkto Datensicherheit umsichtig und zukunftsorientiert. Ständig wechselnde Herausforderungen führen zum Einsatz zahlreicher Sicherheitslösungen, die in „fragmentierten Landschaften“ enden. Dieser als „Tool Proliferation“ bekannte Vorgang beschreibt die sinnlosen Überschneidungen, wenn Teams für gleiche Aufgaben verschiedene Werkzeuge einsetzen. In der Folge werden Ressourcen vergeudet.
Besonderes Augenmerk sollte auf die Compliance gelegt werden. Hier geht es darum, erfolgreiche Prozeduren und getestete Verfahren zu hinterfragen und anzupassen. Angesagt sind Anstrengungen bei den Cyber-Skills. Unternehmen, die in die Ausbildung ihrer Mitarbeiter:innen investieren, sind besser vor dem Fachkräftemangel geschützt.
In Österreich zeigt sich aktuell laut „Infrastrukturreport 2024“ eine „prekäre“ Lage. So fehlen heute schon etwa 30.000 IT-Fachleute, der negative Trend wird sich bis 2029 zuspitzen. Die Industriellenvereinigung befürchtet sogar, dass bis zu 58.000 einschlägige Stellen unbesetzt bleiben. Die resultierenden Effekte sind weitreichend. Fehlendes Personal zeigt sich als Hürde bei den Digitalisierungs-Aufgaben, die Transformation wird gebremst. Errechnet wird von den Forscher:innen ein jährlicher Wertschöpfungsverlust von fast fünf Milliarden Euro. Der hoffnungsvolle Kontrapunkt hierzulande heißt „Digitale Bildung über alle Niveaus hinweg“. Gesenkt werden soll die Drop-Out-Rate, gesteigert der Frauenanteil.
Das sagen globale Reports
Einblick in den internationalen und europäischen Umgang mit Datensicherheit gewähren
- der „Data Security Index Bericht 2024“ von Microsoft
- der „Global Data Protection Index Bericht 2024 von Dell Technologies“
- der „Global Cybersecurity Outlook 2024“ des Weltwirtschaftsforums
- die deutsche Studie „Wirtschaftsschutz“.
Die Berichte zeichnen in den relevanten Themen ein einheitliches Bild.
KI stärkt Datensicherheit
Schon jetzt nutzt eine erhebliche Anzahl von Betrieben die KI zur Stärkung der Datensicherheit. Im Durchschnitt kommen 12 Lösungen zum Einsatz. Daraus folgende fragmentierte Strukturen erschweren ein einheitliches Bild der Lage. Trotzdem überwiegt der Optimismus bei den Entscheidungsträgern beim Einsatz von KI. Die meisten Entscheidungsträger sind davon überzeugt, dass KI-Tools hohe Sicherheitsstandards produzieren und Anomalien in Netzen erkennen.
Befürchtungen halten sich
Der Einsatz der entsprechenden Anwendungen hat sich von 2023 auf 2024 fast verdoppelt. 75% der befragten Entscheidungsträger zeigen sich besorgt darüber, dass interne Vorkehrungen gegen Ransomware und Malware nicht ausreichen könnten. 74% fürchten, dass Backup-Daten durch Angriffe beschädigt werden oder verloren gehen. 74% glauben allerdings, dass Daten über alle Clouds hinweg geschützt sind. 81% stimmen zu, dass Homeoffice ein höheres Risko von Datenverlust birgt. Die meisten Befragten geben an, dass KI und Internet der Dinge (IoT) ein Weiterdenken bei Sicherheitsstrategien erfordern.
Gemeinsam betroffen
2024 verzeichneten Unternehmen mit elf oder mehr Datensicherheitstools durchschnittlich 202 Vorfälle. Unternehmen mit KI-Sicherheitstools registrieren im Schnitt 47 Warnungen pro Tag. 65% der europäischen Unternehmen berichten über Angriffe im Jahr 2023. Kriege und wirtschaftliche Probleme erhöhen die Anzahl der Netzattacken. 81% waren im Jahr 2024 von Diebstahl, Sabotage oder Industriespionage betroffen, 10% vermuten eine Aktivität dieser Art. In den letzten 12 Monaten verzeichneten die befragten Betriebe eine gemittelte Systemausfallzeit von 26 Stunden und einen Datenverlust von 2,45 TB. Den größten Anstieg verzeichnen Schäden durch Ransomware (2023: 26%, 2024: 31%)
Zu wenig Personal
Ein Großteil der befragten amerikanischen und europäischen Betriebe gibt an, dass die Datensicherheit aufgrund des fehlenden Fachpersonals auf dem Spiel steht. 75% gaben an, das Budget in diesem sensiblen Bereich deutlich erhöhen zu wollen. Gebremst werden die technischen Vorhaben durch spärlich besetzte IT-Abteilungen.
Jetzt handeln!
Alle vier Untersuchungen legen einen (erstaunlich einhelligen) Maßnahmenkatalog vor. Er schlägt die Einführung integrierter Plattformen vor, die Verbesserung von Datensicherheitsstrategien durch KI, eine smarte Nutzungskontrolle und die Intensivierung von Schulungen. Erwähnt wird auch die lückenlose Implementierung von Zero-Trust-Modellen, die Intensivierung des Austauschs zwischen Wirtschaft und Behörden sowie die regelmäßige Überprüfung der internen Standards.
Links
https://www.bitkom.org/Bitkom/Publikationen/Studie-Wirtschaftsschutz
https://www.ibm.com/de-de/think/topics/ai-data-management
https://dsgvo-vorlagen.de/kuenstliche-intelligenz-ki-dsgvo-datenschutz
https://datenschutz-generator.de/ki-datenschutz/
https://wirtschaft-magazin.de/ki-datenschutz/
https://www.infopoint-security.de/2025-sicherheitstrends-und-neue-gefahren-in-der-cyberwelt/a39394/
https://das-wissen.de/kuenstliche-intelligenz-und-datenschutz-aktuelle-forschungsergebnisse/
https://www.weforum.org/publications/global-cybersecurity-outlook-2024/
https://it-sicherheit.de/it-sicherheitsstudien/enisa-threat-landscape-2024/
https://www.kiteworks.com/de/cybersecurity-risikomanagement/2024-cybersecurity-landschaft-50-entscheidende-statistiken/
https://www.manpowergroup.de/de/insights/studien-und-research/studien/2024/01/08/14/07/mpg-studie-fachkraeftemangel-2024