Digitale Sorglosigkeit? IT-Sicherheit ist Chefsache!

IT-Sicherheit ist Chefsache

Unternehmen in Deutschland ist in den vergangenen zwei Jahren ein Schaden von 100 Milliarden Euro durch Cybercrime-Attacken entstanden. Das besagt eine Studie des Digitalverbandes Bitkom.  Und in einer Cybercrime-Broschüre aus dem Jahr 2016 beklagt das Bundeskriminalamt: „Obgleich die Unternehmen stärker in vorbereitende Sensibilisierungs- und Schulungsmaßnahmen investierten, wird weiterhin von einer Vielzahl der befragten Unternehmen eine starke Unachtsamkeit (88 Prozent) und ein mangelndes Risikoverständnis (77 Prozent) der Mitarbeiter festgestellt.“

Es gibt allerdings auch eine gute Nachricht: Vor allem in den Chefetagen deutscher Unternehmen ist ein Umdenken zu erkennen – zumindest aus Sicht der Sicherheitsfachleute der IT-Abteilungen. Für die „Potenzialanalyse Digital Security“ haben wir im April 2017 insgesamt 205 IT-Entscheider aus Unternehmen ab 500 Mitarbeitern befragt: 38 Prozent sehen auch 2017 eine Verharmlosung der Gefahr von Cyberangriffen durch Vorstände und Geschäftsführer. Dennoch ist das ein Fortschritt: Vor zwei Jahren bemängelte noch jeder zweite IT-Verantwortliche, dass die Risiken unterschätzt werden.

Die digitale Sorglosigkeit ist also in deutschen Unternehmen auf dem Rückzug. Trotzdem bleibt es eine zentrale Aufgabe, dass IT-Sicherheit sowie Prävention und Bekämpfung von Cybercrime in den Köpfen des Managements einen größeren Stellenwert bekommen. Immerhin noch jeder vierte IT-Entscheider wünscht sich weniger Risikobereitschaft bei seiner Geschäftsleitung. Ebenso viele fordern ein stärkeres Bewusstsein dafür, dass nicht nur große Organisationen und bestimmte Branchen wie Banken, sondern praktisch jedes Unternehmen das Ziel von Cyberkriminellen werden kann.

Verletzlichkeit wächst

Diese Wünsche und Forderungen sind berechtigt: Mit der Digitalisierung und der zunehmenden Vernetzung von Unternehmen über das Internet und die Cloud wächst die Verletzlichkeit von Unternehmen: Datendiebstahl, Spionage, Sabotage und Erpressung bedrohen alle Branchen, öffentliche Einrichtungen und als kritisch eingestufte Infrastrukturen wie Kraftwerke, Telekommunikationsnetze oder Krankenhäuser.

Zu Digitalisierung und Vernetzung gibt es keine Alternative: Sie helfen Unternehmen dabei, auch in Zukunft wettbewerbsfähig sein zu können. Doch viele Organisationen treiben die Digitalisierung ihrer Geschäfts- und Produktionsprozesse voran, ohne dabei dem Thema Security ausreichende Aufmerksamkeit zu widmen. Wichtig sind dafür nicht nur technische Lösungen der IT-Abteilungen, sondern vor allem das Wissen um und das Bewusstsein für die Risiken in den Chefetagen der Unternehmen.

IT-Sicherheit ist eine strategische Unternehmensaufgabe

Cybersecurity muss also Chefsache sein (oder werden). Angriffe von innen und außen wird es immer geben, also sind Reaktionsbereitschaft und -fähigkeit das oberste Gebot. Die Kontinuität des Geschäftsbetriebes muss auch bei schwerwiegenden Sicherheitsvorfällen gewährleistet bleiben. Führungskräfte sollten sich fragen, wie es um das Risikomanagement, um Notfallpläne und die Verantwortlichkeiten bestellt ist, und sich regelmäßig einen Überblick über den aktuellen Stand verschaffen. Das Thema IT-Sicherheit gehört zudem auf jede Vorstandsagenda, wenn in neue Technologien investiert werden soll.

Um Fehlinvestitionen zu vermeiden und zielführend auf die (Neu-)Gestaltung der unternehmensweiten Sicherheitsrichtlinien einzuwirken, gilt es, die Aussagen interner Mitarbeiter zur Sicherheitslage realistisch einschätzen zu können. Selbstüberschätzung in Sachen IT-Sicherheit ist eine der größten Gefahren für die Betriebs- und Datensicherheit und noch immer weitverbreitet.

Schein und Sein gehen auseinander

Etliche Studien belegen, dass gerade Geschäftsführer ihr Unternehmen häufig deutlich besser gegen interne Sicherheitsverstöße und externe Angriffe gerüstet sehen, als es tatsächlich ist. In vielen Unternehmen klafft eine breite Lücke zwischen der realen Widerstandsfähigkeit und einer Bedrohungslage, die immer ernster wird — sowohl mit Blick auf die Schwere der Angriffe als auch mit Blick auf die Art der Angreifer.

Abhilfe schaffen von der Unternehmensführung getriebene Maßnahmen: Dazu zählen gezielte Investitionen in intelligente Bedrohungserkennung, prädiktive Datenanalysen und Incident-Response-Lösungen. 100-prozentige Sicherheit bieten zwar auch diese Ansätze nicht, aber sie tragen ganz wesentlich zu einer signifikanten Verringerung des Schadensrisikos und der Folgen gravierender Sicherheitsvorfälle bei.

Digitalisierung wirft nicht nur Fragen auf, sondern ist zugleich Teil der Antwort

Die Digitalisierung sorgt nicht nur für neue Bedrohungsszenarien, auf die Unternehmen eine strategische Antwort finden müssen. Die Digitalisierung ist zugleich wichtiger Teil dieser Antwort. Sie kann zum Beispiel über Mustererkennung in großen Datenmengen (ein wichtiges Asset von künstlicher Intelligenz) untypische Abweichungen und damit potenzielle Angriffe von außen erkennen und zunehmend automatisch abwehren.

Digitalisierung ist auch Mittel der Wahl, um flexibel auf wechselnde und neue Angriffsszenarien reagieren zu können. Ziel der Unternehmen muss ein maximal digitalisiertes und dynamisches IT-Sicherheitsmanagement sein, das einer Institution jederzeit eine angemessene Cybersecurity garantiert, indem es Vorgaben selbst ermittelt, umsetzt und kontrolliert. Das ist auch eine technische Aufgabe der Unternehmens-IT, wird aber ohne die Leadership des Managements nicht funktionieren.

Foto: Getty Images / gerenme


Urs M. Krämer

Urs M. Krämer ist seit Anfang 2013 bei Sopra Steria Consulting und übernahm im April 2014 die Rolle des Chief Executive Officers. Der Stratege und Managementberater legt sein Hauptaugenmerk auf Performance und Change Management.

Hinterlassen Sie eine Antwort

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *

Sie können folgende HTML-Tags benutzen: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>