Während sich viele die „besinnliche und ruhige Zeit“ herbeisehnen, sind Unternehmen besonders in diesen Tagen nicht selten um ihre Existenz besorgt. Denn wenn es draußen still wird, herrscht bei Cyberkriminellen Hochkonjunktur. Die dünn besetzten IT-Abteilungen über die Feiertage sind ideal für sie. Die Expertin für Informationssicherheit Trine Øksnebjerg erklärt, wie sich Betriebe effektiv gegen Cyberangriffe wappnen können und was eine wirksame digitale Informationssicherheit ausmacht – nicht nur während der Weihnachtszeit.
Tatsächlich fühlen sich inzwischen 70 Prozent der Unternehmen durch Cyberattacken in ihrer Existenz bedroht. Dass es vor allem zwischen Weihnachten und Neujahr noch mehr werden könnten, hinterlässt bei Unternehmern Sorgenfalten auf der Stirn. Denn innerhalb der letzten drei Jahre stieg die reale Bedrohung durch Cyberangriffe deutlich an.
„Allein in den letzten zwölf Monaten haben vier von fünf deutschen Unternehmen kriminelle Angriffe im digitalen Raum erlebt“, warnt Trine Øksnebjerg. Als Expertin für Informationssicherheit berät sie für emagine, einem Anbieter von IT-Consulting- und -Engineering-Services, IT-Verantwortliche und Unternehmen in ganz Europa.
Eine aktuelle Bitkom-Studie unterstreicht ihre Aussage. Laut dieser entstanden durch Cyberattacken im vergangenen Jahr Schäden von 180 Milliarden Euro. Dadurch sehen sich mehr als zwei Drittel der deutschen Betriebe in ihrer Existenz bedroht. Das sind sechs Mal mehr als noch vor drei Jahren.
Umsetzung regulatorischer Vorgaben reicht nicht aus
Auch die Politik sieht sich zum Handeln gezwungen. So sollen mehrere Verordnungen der EU die Resilienz von Unternehmen gegen Cyberangriffe verbessern sowie eine entsprechende Informationssicherheit garantieren. Unter anderem zählen dazu der Cyber Resilience Act (CRA), die Network and Information Services Directive 2 (NIS2) und der für am Finanzmarkt tätige Unternehmen geltende Digital Operational Resilience Act (DORA). Die zu erfüllenden Anforderungen an die IT-Sicherheit, ebenso wie Meldepflichten nach einer erfolgten Cyberattacke, sind in Deutschland im IT-Sicherheitsgesetz festgelegt.
„Staatliche beziehungsweise politische Regulierung kann im digitalen Raum aber nicht gegen sämtliche Gefahren schützen“, warnt Øksnebjerg. „Denn digitale Bedrohungen werden immer komplexer und innovativer.“
Selbst wenn Unternehmen alle rechtlichen Anforderungen erfüllten, ist ein lückenloser Schutz gegen Cyberbedrohungen nicht möglich. Natürlich kann im Allgemeinen der Schutz vor kriminellen Straftaten als Staatsleistung gesehen werden. Allerdings müssen sich Vorstände, Manager sowie IT-Verantwortliche bewusst machen, dass im digitalen Raum andere Anforderungen Gültigkeit haben. Folglich liegt hier der Schutz vor existenziellen Bedrohungen im individuellen Verantwortungsbereich aller Akteure.
Cybersicherheit ist Chefsache
Es ist ein angepasstes, proaktives Risikomanagement, in einer von allen Beteiligten verinnerlichten, strategischen Sicherheitskultur, notwendig.
„Um ihre Wettbewerbsfähigkeit und letztlich ihre Existenz langfristig zu sichern, benötigen Unternehmen in ihren Prozessen ein höheres Maß an Cyber-Resilienz.“
In der deutschen Wirtschaft haben dahingehend viele Branchen noch Aufholungsbedarf. Außerdem ist zu beachten: Mit dem einmaligen Aufbau eines Sicherheitskonzeptes ist es nicht getan. Die Weiterentwicklung und Aktualisierung gegenüber neueste Bedrohungen muss gewährleistet werden. Durch neue Arbeitsformen sind unterschiedliche Endgeräte zum Standard geworden. Auch die technologischen Fortschritte wie KI-Anwendungen, welche Mitarbeitende entlasten und Prozesse zugleich beschleunigen, bieten weitere Einfallstore für Cyberkriminelle. Damit sind die Verantwortlichkeiten für deren Abwehr noch weiter reichend. Der IT-Abteilung ist es möglich technische Schutzmaßnahmen zu implementieren und deren Funktionalität überwachen. Das strategische Risikomanagement liegt aber per Definition in der Verantwortung der Geschäftsführung, denn „in der Regel ist ausreichendes Wissen über prozessuale Strukturen, unternehmensübergreifende Technologien, Lieferketten und weitere Sicherheitsfaktoren nur auf dem C-Level vorhanden.“
Herausforderung Fachkräftemangel
Auch der Fachkräftemangel zeigt sich gerade im IT-Bereich als große Herausforderung. Laut Bitkom blieben im letzten Jahr 149.000 IT-Stellen unbesetzt – bis 2040 werden es geschätzt 663.000 sein. Besorgniserregend ist dabei, dass es sich vorrangig um einen Mangel an IT-Sicherheitsexperten handelt. In einer aktuellen Studie des International Information System Security Certification Consortium (ISC), gaben 92 Prozent der befragten Unternehmen an, nicht über ausreichende Kompetenzen in den Spezialbereichen der IT-Sicherheit zu verfügen. Prognosen gehen davon aus, dass die Lücke zwischen Angebot und Nachfrage nach IT-Sicherheitsexperten jedes Jahr um weitere zwölf Prozent anwachsen wird.
„Besonders groß ist der Mangel an Spezialisten, die sowohl die technische als auch die unternehmerische Perspektive von Cybersicherheit verstehen und beide Dimensionen strategisch zusammenführen können“.
Auch dies ist eine Aufgabe des Managements, die nicht weiter aufgeschoben werden sollte. Entscheidungsträger müssen sich für eine breitere Aus- und Weiterbildung junger Talente einsetzen. Die vor allem nicht nur den technischen Bereich berücksichtigt, sondern ebenso prozessuale und betriebswirtschaftliche Zusammenhänge. Øksnebjerg ist überzeugt, dass Unternehmen langfristig von einem umfassenden Ansatz in der IT-Sicherheit profitieren werden: „Eine gesunde, proaktive Sicherheitskultur ist nicht nur ein Hygienefaktor, sondern auch ein entscheidender Wettbewerbsparameter.“