Wieso die IT-Security höchste Priorität haben muss
Cyber-Angriffe sind allgegenwärtig. Nicht nur politische Behörden sind verstärkt von Cyber-Bedrohungen betroffen, auch Unternehmen sind immer häufiger Opfer von Cyber-Kriminalität. So haben 9 von 10 deutschen Unternehmen in den Jahren 2020 und 2021 Spionage, Datenklau und Sabotage erlitten.
Die hierdurch verursachten Schäden liegen in Milliardenhöhe. Trotzdem gilt IT-Security in vielen Unternehmen noch als ein stiefmütterliches Thema, um das man sich beiläufig kümmert – am besten so, dass es die geschäftlichen Prozesse nicht stört. Erst langsam dämmert auch Topmanager:innen, was ihre Cyber-Security-Verantwortlichen längst wissen: Unternehmen sind durch mangelhafte Cyber-Sicherheit ernsthaft gefährdet.IT-Security: Status quo in Unternehmen
Obwohl 66% der deutschen Unternehmen angeben, dass ihr Unternehmenswert vom Schutz sensibler Daten abhängt, ist bei nur 33% dieser Firmen Cyber Security überhaupt Thema auf der Vorstands-Etage.
44% der Vorstände werden lediglich bei Vorfällen informiert oder hören nur gelegentlich von dem Thema. Erschreckend ist auch, dass nur knapp die Hälfte der Unternehmen einen CISO beschäftigt – und das bei stetig steigender Quantität und Qualität von Cyber-Angriffen. Die Gründe hierfür sind vielfältig. So ist häufig das Bewusstsein für Cyber-Gefahren nicht vorhanden, das Thema wird als zu abstrakt empfunden oder Firmenchefs werten Investitionen in die IT-Sicherheit als lästigen Mehraufwand und unnötigen Kostenfaktor. Daraus entwickelt sich schnell eine „Das funktioniert schon alles irgendwie“-Haltung.Die Gefahr ist hierbei, dass unerkannte oder nicht adäquat abgeschwächte IT-Risiken Unternehmen in erheblicher Weise negativ beeinflussen können. Cyber-Angriffe verursachen nicht nur enorme wirtschaftliche Schäden, sondern resultieren häufig auch in einem Reputationsverlust – vor allem wenn Kund:innendaten betroffen sind.
Empfehlungen: IT-Security in Unternehmen etablieren
Firmen dürfen nicht glauben, dass IT-Security ein Hype ist, der bald vorüber ist. Denn die negative Seite von Trends wie der Digitalisierung ist die stetige Zunahme von Cyber-Risiken. Folgende Ansätze und Maßnahmen können Unternehmen dabei helfen, Ihre Informationstechnik gegen interne und externe Gefahren stark zu machen:
- Cyber-Risiken müssen im betrieblichen Risikomanagement integriert werden, um sie frühzeitig und adäquat behandeln zu können.
- Die Geschäftsleitung muss sowohl fachliche Kompetenzen als auch finanzielle, zeitliche und personelle Ressourcen für Cyber Security aufbringen. Denn nur wenn dieser Bereich ausreichend unterstützt wird, kann er auch die notwendigen Leistungen erbringen.
- Unternehmen müssen ein professionalisiertes Team aus IT-Security-Experten aufbauen. Sicherheitsverantwortliche entwickeln Security-Strategien und implementieren Sicherheitsmaßnahmen, um IT-Schwachstellen zu identifizieren und abzuwenden. Innerhalb des Teams gilt es, eindeutige Verantwortlichkeiten zu bestimmen, sodass nichts im Unklaren bleibt und keine Themen untergehen.
- Die Geschäftsführung muss ein transparentes Reporting zum Umsetzungsstatus der Security-Maßnahmen aufsetzen, welches regelmäßig auf Vorstandsebene berichtet wird.
- Unternehmen müssen Mitarbeitende mithilfe von IT-Schulungen über Cyber-Risiken aufklären, um ihr Sicherheitsbewusstsein nachhaltig zu schärfen und dadurch sensible Einfallstore zu schließen.
CISO und CIO beschäftigen
Die beschriebenen Vorgänge kann nicht nur die Unternehmensführung durchführen. Vielmehr hat sie die Aufgaben an fachkundige IT-Sicherheitsbeauftragte zu übergeben und anschließend ausreichend zu überprüfen. Zu diesen Sicherheitsexperten zählen mitunter der CISO und der CIO. Ein Chief Information Officer (CIO) ist für den störungsfreien Betrieb der IT-Infrastruktur zuständig, während der Chief Information Security Officer (CISO) die Sicherheit und den Schutz von Daten verantwortet. Viele Unternehmen haben mit dem CISO jedoch immer noch keinen speziell für Cyber-Security-Themen zuständigen Posten geschaffen.
Studien wie die der KPMG verdeutlichen, dass die Zuständigkeit für Cyber Security in Unternehmen keineswegs einheitlich geregelt ist. Mal obliegt dem CISO die Zuständigkeit, in anderen Fällen liegt die Verantwortung z.B. bei der Rechtsabteilung. Hier gilt es, abteilungsübergreifend Verantwortlichkeiten festzulegen und ein Team aufzubauen, das sich explizit Security-Themen widmet. Doch nur 16% der Unternehmen planen eine Erweiterung des Personals im Bereich Cyber Security. Dies deutet darauf hin, dass Unternehmen sich der tatsächlichen Auswirkungen von Cyber-Angriffen nicht bewusst sind und deshalb bei der Personal-Aufstockung zögern. Es bedarf jedoch eine Führungskraft, die das IT-Security-Team führt und die alle Maßnahmen zum Schutz der Unternehmensdaten im Blick hat.
Sicherheit von Unternehmen ist nur so gut wie Sicherheit der Geräte
Fest steht: Firmen müssen IT-Security zu einer Priorität machen. Eine Sicherheitskultur im Unternehmen zu etablieren und zu fördern nimmt zwar Zeit und Ressourcen in Anspruch, doch auf lange Sicht rechnet es sich. Denn die IT eines Unternehmens ist mittlerweile das höchste Gut, das es zu schützen gilt. Eine angegriffene und zerstörte IT geht mit großen Schäden für ein Unternehmen einher. Nur adäquate Schutzmaßnahmen und -strategien, aufgeklärte Mitarbeitende sowie professionelle Sicherheitsbeauftragte können ein Unternehmen sicher in die Zukunft führen. Die Unternehmensleitung hat hierbei die Verantwortung, eine ausreichende Wehrhaftigkeit des Unternehmens gegen Cyber-Angriffe sicherzustellen. Dies umfasst die Aufgabe, ein funktionierendes IT-Risiko- und -Sicherheitsmanagement einzurichten, um Angriffsvektoren zu reduzieren und frühzeitig auf Cyber-Bedrohungen reagieren zu können.