IT-Security strategisch behandeln

Cyberrisiken müssen in der Chefetage gelöst werden

18.11.2019
Von 


Marc Wilczek ist Autor zahlreicher Beiträge rund um die Themen digitale Transformation, Cloud Computing, Big Data und Security. Aktuell ist er Geschäftsführer beim IT-Sicherheitsanbieter Link11. Neben Managementstationen im Deutsche Telekom Konzern und bei CompuGroup Medical, leitete er zuvor unter anderem als Managing Director das Asiengeschäft beim IT-Sicherheitsexperten Sophos.
Unternehmen verstehen zwar zunehmend das Ausmaß an Cyberrisiken, es mangelt jedoch an Gegenmaßnahmen, um diese in den Griff zu bekommen.

Laut dem Risk Value Report 2019 von NTT Security, in dem mehr als 2.200 Unternehmen in 22 Ländern befragt wurden, hat die Sorge vor Cyberbedrohung deutlich zugelegt. Demnach bergen Cyberangriffe (43 Prozent), Datenverlust oder -diebstahl (37 Prozent) und Angriffe auf kritische Infrastrukturen (35 Prozent) - insbesondere Telekommunikations- und Energienetze - die größten Gefahren. Für die kommenden zwölf Monate schätzen die Befragten diese Bedrohungen als größeres Risiko für ihr Unternehmen ein als Handelskonflikte, Klimaveränderungen, Terrorismus oder Regierungsversagen.

Vorstände sind sich zwar meist der Bedrohung durch Cyberattacken bewusst, es fehlt aber häufig an den nötigen Security-Budgets.
Vorstände sind sich zwar meist der Bedrohung durch Cyberattacken bewusst, es fehlt aber häufig an den nötigen Security-Budgets.
Foto: Rawpixel.com - shutterstock.com

Erfreulicherweise hat auch das Sicherheitsbewusstsein zugenommen. Insbesondere der Schutz der Datenintegrität (85 Prozent) und eine starke Informationssicherheit (84 Prozent) sind den Unternehmen wichtig. Des Weiteren wurde Geschäftsfortführung im Krisenfall (Business Continuity) von den Befragten höher bewertet als das Umsatzwachstum. Neun von zehn Befragten (88 Prozent) sind zudem der Meinung, dass eine starke Cybersicherheit für ihr Unternehmen von Vorteil wäre.

Zu wenige Cybersicherheitsrichtlinien und Krisenpläne

Viele Unternehmen tun sich noch immer mit den Grundlagen schwer. Lediglich 58 Prozent haben eine formelle Sicherheits-Policy - nur ein Prozent mehr gegenüber dem Vorjahr. Von diesen gaben nur 48 Prozent an, dass ihre Mitarbeiter sich der Richtlinie voll bewusst sind, so dass die Gesamtzahl der Unternehmen mit vollständig verstandenen Richtlinien lediglich 28 Prozent beträgt.

Ebenso stecken oft Maßnahmenpläne für den Krisenfall zur Widerherstellung und Kommunikation noch in den Kinderschuhen. Nur 52 Prozent der Unternehmen gaben an, dass sie einen solchen Plan haben. Aber nur 57 Prozent der Unternehmen, die einen Plan hatten, wussten genau dessen Inhalt und Abläufe.

Haben Unternehmen keinen solchen Krisenplan oder ist er unzureichend bekannt, laufen sie im Falle eines erfolgreichen Cyberangriffs Gefahr, unter enormen Reibungsverlusten und fehlender Koordination zu leiden. Die regulären Betriebsabläufe wieder herzustellen würde folglich deutlich mehr Zeit in Anspruch nehmen.

Sicherheitsbudgets steigen nicht an

Während die Cyberrisiken steigen, hinken Budgets hinterher. Aus den IT-Budgets der Unternehmen werden im Schnitt lediglich 15 Prozent auf IT-Sicherheit allokiert. Der Anteil der Sicherheitsausgaben am operativen Budget ist seit 2018 auf 16 Prozent gesunken. Dies ist bedenklich, da sich durch die verstärkte Nutzung des Internets der Dinge (IoT) und zunehmende Vernetzung von Betriebstechnologie die Angriffsfläche vergrößert.

Obwohl Datenschutz hierzulande eine übergeordnete Rolle spielt, wird diesem wirtschaftlich wenig Rechnung getragen. Im internationalen Vergleich geben Unternehmen in Deutschland und der Schweiz mit 14 Prozent beziehungsweise zwölf Prozent den geringsten Teil ihres IT-Budgets für Sicherheit aus. Aus Branchensicht geben Bau- und Fertigungsunternehmen mit 13 Prozent ihrer IT-Budgets am wenigsten für Sicherheit aus. Die zunehmende Vernetzung von Betriebstechnik, die im Fertigungssektor weit verbreitet ist, und die Verzahnung von Wertschöpfungsketten (Industrie 4.0) geben in diesem Zusammenhang Anlass zur Sorge.

Jedes dritte Unternehmen würde Lösegeld an Cyberkriminelle zahlen

Einer der bemerkenswertesten Aspekte der Studie ist die hohe Zahl von Unternehmen, die bereit sind, Löse- oder Schutzgeld zu bezahlen. Ein Drittel (33 Prozent) der Befragten sagte, sie würden lieber ein Lösegeld an einen Kriminellen zahlen, als in Cybersicherheit zu investieren, weil sie es für "billiger" hielten. Diese Denkweise ist sowohl gefährlich als auch naiv, da sie die Täter dazu verleitet, zurückzukehren - unter Umständen mit deutlich höheren Forderungen als beim ersten Mal. Ebenso sagten 36 Prozent der Befragten, dass sie lieber Lösegeld zahlen würden, als eine Geldbuße wegen Gesetzesverstößen zu provozieren.

Der schleppende Fortschritt seitens der Unternehmen ist besonders besorgniserregend, da Cyberkriminelle aufrüsten. Tatsächlich soll sich die Cyberkriminalität in einer Industrialisierungswelle befinden mit großen Syndikaten, die eine florierende Schattenwirtschaft bilden. Nach Schätzungen der deutschen Sicherheitsbehörden, dem Bundesamt für Verfassungsschutz (BfV) und dem Bundesamt für Sicherheit in der Informationstechnik (BSI), belaufen sich die Schäden der deutschen Wirtschaft jährlich auf einen zweistelligen Milliarden-Betrag - Tendenz steigend.

Darüber hinaus weiten verschiedene Nationalstaaten inzwischen ihre Aktivitäten auf den Cyberraum aus - sei es für Spionagezwecke, um kritische Infrastrukturen zu sabotieren oder ihrer lokalen Wirtschaft zu fördern. Infolgedessen werden Cyberangriffe immer effektiver, und sie verursachen immer mehr Schäden. Ob der Datendiebstahl von bis zu 383 Millionen Kundendaten bei Marriott Hotels (samt mehr als 5 Millionen Passdaten) oder die Offenlegung von 540 Millionen Facebook-Nutzern - Beispiele gibt es wie Sand am Meer.

Unternehmensführung missinterpretiert Cybersicherheit als IT-Aufgabe

Cybersicherheit fängt in der Chefetage an und gehört auch dort auf die Agenda. Die meisten Befragten (84 Prozent) sind der Meinung, dass Cybersicherheit ein Thema für den Vorstand sein sollte. Doch nur 72 Prozent bestätigen, dass es sich tatsächlich um ein Vorstandsthema handelt. Auf breiter Fläche ist Cybersicherheit bisher nicht in der Unternehmenskultur verankert.

Fast ein Viertel (23 Prozent) sagen, dass zwar jemand innerhalb des Unternehmens, beispielsweise ein CISO oder Sicherheitsbeauftragter, für die tagtäglichen Sicherheitsaufgaben benannt ist. Nur 13 Prozent gaben jedoch an, dass diese Rolle mit Verantwortung und Kompetenzen ausgestattet ist.

Besorgniserregend ist, dass fast die Hälfte aller Befragten (45 Prozent) sagen, Cybersicherheit sei das Problem der IT-Abteilung. Auf dem C-Level steigt dieser Wert auf 57 Prozent, was auf eine klaffende Lücke zwischen Cybersicherheit und der Chefetage hindeutet. Mitunter wird unterschätzt, dass eine einzelne Sicherheitspanne bereits schwerwiegende finanzielle und rechtliche Auswirkungen haben kann.

Fazit

Ob in der analogen oder der digitalen Welt, Geschäft basiert auf Vertrauen. In der analogen Welt funktioniert das durch direkte und persönliche Interaktion. In der digitalen Welt, die schneller, stärker automatisiert und transaktionsorientiert funktioniert, ist es wesentlich schwerer, verlorenes Vertrauen wieder herzustellen.

Cybersicherheitsbedrohungen stehen für Führungskräfte daher ganz oben auf der Agenda. Zu Recht, denn die Abhängigkeit von der Verfügbarkeit von IT-Diensten war noch nie so groß wie heute. Unternehmen müssen jedoch über das Bewusstsein und die Rhetorik hinaus handeln, um die Risikoposition ihres Unternehmens zu verringern und langfristigen Erfolg sicherzustellen. Bloße Absichtserklärungen reichen nicht.

Aufgrund der Verschärfung der regulatorischen Rahmenbedingungen und der Erhöhung von Bußgeldern im Falle von Verstößen ist es wichtig, das Bewusstsein für Cyberrisiken und Compliance in der gesamten Organisation zu schärfen. Auch etablierte Corporate-Governance-Modelle gehören auf den Prüfstand. Konnte im analogen Zeitalter Sicherheit vielleicht noch eher als Nebenkriegsschauplatz betrachtet und irgendwo beliebig in der Organisation geparkt werden, ist das heute nicht mehr zeitgemäß und trägt den unternehmerischen Risiken nicht hinreichend Rechnung. Dies gilt umso mehr, wenn Umsatz, Gewinn und Reputation zunehmend vom digitalen Geschäftserfolg abhängig sind. Daher ist es unerlässlich, Cybersicherheit regelmäßig auf die Vorstandsagenda zu setzen und unternehmerische Entscheidungen unter bewusster Abwägung von Cyberrisiken zu treffen.

Trotz aller Prävention ist es ebenso wichtig, Krisenreaktionspläne samt definierter Kommunikationswege zu etablieren und regelmäßig zu proben. Damit ist ein Unternehmen für den Ernstfall bestmöglich gewappnet und kann eine schnelle Wiederherstellung der Betriebsabläufe gewährleisten, sollte ein Cyberangriff stattfinden. (jd)