Der Klimawandel ist ein Generationenrisiko mit tiefgreifenden Auswirkungen, das nicht nur unsere physische Welt, sondern auch die digitale Welt betrifft. Die zunehmende Häufigkeit und Schwere der Klimaereignisse wie extreme Wetterphänomene sowie die generelle Bedeutung des Klimawandels wird traditionell nicht mit einem Cybersecurity-Risiko in Verbindung gebracht. Für Unternehmen lohnt es sich jedoch, dies nicht außer Acht zu lassen. Gleichzeitig sehen sie sich mit dem Mangel an IT-Fachkräften und folglich schwachen Ressourcen für die Unternehmens-IT konfrontiert. Der Klimawandel ist einer der vielen Gründe, warum jede Organisation ein resilientes Sicherheitsprogramm einführen sollte. Ein Business-Continuity-and-Disaster-Recovery-Plan (BC/DR) – Geschäftskontinuitäts- und Notfallwiederherstellungsplan – der auch klima- und wetterbedingte Extremereignisse berücksichtigt, kann als ein dokumentierter Maßnahmenkatalog dazu beitragen, die Folgen eines katastrophalen Geschäftsereignisses in Grenzen zu halten.
Wirtschaftliche und sozioökonomische Herausforderungen
In den letzten drei Jahrzehnten haben Wirbelstürme, Waldbrände, Erdbeben und andere extreme Wetterereignisse gezeigt, wie zerbrechlich ganze Gemeinden sind. Jüngst hat das Hochwasser in Ahrweiler dies traurigerweise auch in Deutschland bewiesen. Stromausfälle, die Unternehmen, Behörden und Einzelpersonen für Tage im Dunkeln lassen, sind weiterhin Realität. In Deutschland waren Unternehmen und Privathaushalte 2019 laut der Bundesnetzagentur wegen Versorgungsunterbrechungen im Schnitt 12,2 Minuten ohne Strom.
Angesichts der zunehmenden Abhängigkeit von digitaler Technologie und der damit verbundenen Anfälligkeit von Rechenzentren im Falle eines Stromausfalls sollte solch ein jährlich wiederkehrender Vorfall unbedingt mitbedacht werden. Neben den Sicherheitsbedrohungen sollten auch die indirekten sozialen und finanziellen Kosten des Klimawandels in die Entscheidungsfindung von IT- und Cybersicherheitsverantwortlichen einfließen. Die Internationale Organisation für Migration schätzt, dass es bis 2050 mehr als 200 Millionen Klimaflüchtlinge geben könnte.
Die Zahl der Cyberangriffe auf Krankenhäuser, Schulen, Kommunalverwaltungen und Unternehmen steigt stetig. Laut einer aktuellen Studie des Digitalverbands Bitkom verursachen kriminelle Cyberattacken allein in Deutschland 220 Milliarden Euro Schaden pro Jahr. Der Studie zufolge sind die Haupttreiber dafür Erpressungsvorfälle, verbunden mit dem Ausfall von Informations- und Produktionssystemen sowie der Störung von Betriebsabläufen. Es gibt sogar bereits erste Phishing-Versuche, die darauf abzielen, die Angst der Menschen vor den Auswirkungen des Klimawandels auszunutzen. Und da der Wettbewerb um Ressourcen zwischen den Nationen zunimmt, ist Cyber-Kriegsführung eine globale Bedrohung, die nicht vor Ländergrenzen Halt macht. Häufig haben sowohl gezielte Cyberangriffe wie auch die Folgen von Klimakatastrophen die selbe Auswirkung auf die Sicherheit von Unternehmen: Die Infrastruktur bricht zusammen. Sicherheitsexperten sollten für diesen Fall vorbereitet sein, da ein solcher Vorfall geschäftskritisch sein kann.
2019 wurde das US-Stromnetz über eine bekannte Firewall-Schwachstelle angegriffen. In diesem Jahr erfolgte ein Angriff auf Softwarehersteller, indem Kriminelle die Schwachstellen in ihren Entwicklungsprozessen ausnutzten. Diese Angriffe über die Lieferkette ermöglichten es den Cyberkriminellen sich zu immer wertvolleren Zielen vorzuarbeiten – darunter Bundesbehörden oder Versorger, die ausspioniert und lahmgelegt werden. Die Cybersicherheit spielt nicht nur eine entscheidende Rolle bei der Bereitstellung digitaler Schutzmaßnahmen nach einem Klimaereignis, sondern ist auch von zentraler Bedeutung für den Schutz der Dienste, Ressourcen und Systeme, die die Gesellschaft am Laufen halten.
Anpassung von BC/DR-Plänen an die jüngsten Bedrohungen
Auch Mobilfunknetze und eine intakte Internetverbindung sind maßgeblich für die heutige Kommunikation. Ausfälle machen immer wieder deutlich, wie wichtig alternative Kommunikationswege und die Dokumentation von Soft-Touch-Prozessen sind – zwei Schlüsselbereiche, die entscheidend für den BC/DR-Plan im Unternehmen sind.
Für kleinere Betriebe und Start-ups kann die Erstellung eines BC/DR-Plans zu Beginn eine Herausforderung darstellen, da er darauf abzielt, kritische Verfahren zu beschreiben, zu dokumentieren und zu überprüfen. In Unternehmen dieser Größe entwickeln sich viele Prozesse organisch, insbesondere in Bezug auf Kommunikation und Verantwortlichkeiten. Aus diesem Grund kann es schwierig sein, die Abläufe in ein größeres, ausführbares Format zu übertragen. Mit zunehmender Reife der Organisationen wird es jedoch immer wichtiger, die klaren Schritte und Maßnahmen zu dokumentieren, die zur Gewährleistung der Geschäftskontinuität ergriffen werden müssen.
Klima- und witterungsbedingte Ausfälle betreffen immer mehr Unternehmen und kosteten die Weltwirtschaft im letzten Jahr rund 210 Milliarden Dollar. Die Anpassung von BC/DR-Plänen an diese neue Realität bedeutet, dass die unzähligen sozialen, wirtschaftlichen und technologischen Herausforderungen berücksichtigt werden müssen, mit denen Unternehmen aufgrund des Klimawandels konfrontiert sein werden. Diese BC/DR-Pläne sollten nicht nur Rollen, Prozesse und Abläufe dokumentieren, sondern auch berücksichtigen, was beispielsweise im Falle eines Stromausfalls im Unternehmen zu tun ist. Selbiges gilt für den Ausfall lokaler oder in der Cloud gehosteter Rechenzentren: Die physischen Data Center können sowohl vor Ort als auch durch einen Cyberangriff beschädigt werden. Unternehmen sollten Vorbereitungen treffen und festlegen, wie zu reagieren ist, wenn sie einem Cyberangriff ausgesetzt sind.
Maßnahmen und Fazit
Die Auswirkungen des Klimawandels sind bereits spürbar. Doch wir wissen noch nicht, welche Ausmaße er wirklich haben wird. Daher ist es die Aufgabe von IT- und Cybersicherheitsverantwortlichen, für das schlimmste anzunehmende Szenario zu planen und sich an die neuen Risiken anzupassen. Ein vielschichtiger Ansatz, der bewährte Praktiken der Cybersicherheit umfasst, ist ein guter Anfang. Dazu gehört beispielsweise die generelle Einführung von Multi- und Zwei-Faktor-Authentifizierung sowie verstärkte Sicherheitsschulungen für Mitarbeiter:innen mit besonderem Schwerpunkt auf Social-Engineering-Angriffen wie Phishing-Betrug. Auch die Implementierung von Sicherheitstools und Automatisierung zur Verbesserung der Kontrollen sind wichtige Faktoren. Darauf aufbauend gehört ein lebendiger Notfallplan zu den Maßnahmen für die Unternehmenssicherheit, der sowohl klimabedingte Risiken als auch geschäftsgefährdende Ransomware-Angriffe berücksichtigt. In jedem Fall ist der Klimawandel ein weiterer Treiber für das steigende Cyberrisiko und damit eine Gefährdung für Unternehmen. In einer immer weiter globalisierten, digitalisierten Welt sollten Unternehmen auf alle Bedrohungen gefasst sein.
Autor: André Schindler, General Manager EMEA, NinjaRMM
Fachartikel
Studien
Cloud-Transformation & GRC: Die Wolkendecke wird zur Superzelle
Threat Report: Anstieg der Ransomware-Vorfälle durch ERP-Kompromittierung um 400 %
Studie zu PKI und Post-Quanten-Kryptographie verdeutlicht wachsenden Bedarf an digitalem Vertrauen bei DACH-Organisationen
Zunahme von „Evasive Malware“ verstärkt Bedrohungswelle
Neuer Report bestätigt: Die Zukunft KI-gestützter Content Creation ist längst Gegenwart
Whitepaper
Unter4Ohren
Datenklassifizierung: Sicherheit, Konformität und Kontrolle
Die Rolle der KI in der IT-Sicherheit
CrowdStrike Global Threat Report 2024 – Einblicke in die aktuelle Bedrohungslandschaft
WatchGuard Managed Detection & Response – Erkennung und Reaktion rund um die Uhr ohne Mehraufwand
