Warum Geschäftsführer in die Sicherheit ihrer Informationstechnologie investieren sollten
Der stetige technologische Fortschritt in unserer digitalen Welt hat leider auch seine Schattenseiten. In der Vergangenheit nahm die Cyberkriminalität ständig zu. Die aktuelle Studie zur „Cybersecurity in Österreich“ (KPMG) errechnete eine Zunahme der Cyberangriffe von 201 % im Vergleich zum Vorjahr. 33 % der Unternehmen gaben an, dass sie mit einem Ransomware-Angriff konfrontiert waren. Mehr als die Hälfte der Unternehmen hatten mit Social-Engineering-Attacken zu tun.
Die Risiken, denen Unternehmen durch Hackerangriffe ausgesetzt sind, sind also erheblich. Dieser Problematik wird in vielen kleinen und mittelständischen Unternehmen zu wenig Beachtung geschenkt. Die Faktenlage zeigt jedoch, dass Unternehmen jeglicher Größe und Branche Opfer von Cyberkriminellen wurden.
Für mich als IT Sicherheitsexperte ist klar, dass sich die Geschäftsführer aktiver mit dieser Bedrohung auseinandersetzen müssen und mehr Ressourcen für die IT-Sicherheit ihrer Unternehmen bereitzustellen haben. Moderne Cyberkriminalität ist zunehmend professioneller. Sie wurde zu einem lukrativen Geschäft, das mehr Geld einbringt als der weltweite Drogenhandel. Schwachstellen und Lücken in den IT-Systemen der Unternehmen sind den Tätern bekannt und werden zielgerichtet ausgenutzt.
Darum ist IT-Sicherheit auch Angelegenheit des Geschäftsführers
Obwohl die oben genannten Fakten bekannt sind, beschäftigen sich Geschäftsführer erfahrungsgemäß nur ungern mit der IT-Sicherheit in ihrem Unternehmen. Interne IT-Abteilungen besitzen oft nicht genügend personelle und finanzielle Ressourcen, um ihre Organisation ausreichend gegen Angriffe zu schützen. Dabei übersteigen die Schäden, die bei einem erfolgreichen Cyberangriff entstehen, die Kosten für ein funktionierendes Sicherheitskonzept um ein Vielfaches.
Was passiert, wenn im Unternehmen die IT-Systeme für zwei oder vier Wochen nicht laufen? Wenn eine Nutzung und Abfrage von Daten einfach nicht möglich ist? Die Praxis zeigt, dass manche Unternehmen bis zu 12 Monate brauchen, bis sämtliche Prozesse wieder völlig rund laufen. Die Vorstellung an einen derartigen Stillstand, an ein Worst-Case-Szenario, muss jeden Geschäftsführer aus der Reserve locken.
Wo der Geschäftsführer ansetzen muss
Ein wesentlicher Aspekt ist der grundsätzliche Kommittent eines Geschäftsführers zu einer intakten IT-Sicherheit in seiner Organisation. Auch KMUs können jederzeit von einem Cyberangriff betroffen sein, der das Unternehmen mehrere Wochen lahmlegt und finanziellen Schaden anrichtet. Selbst wenn die Medien hauptsächlich über Angriffe auf große Unternehmen berichten, finden jene auf kleinere trotzdem tagtäglich statt.
Ein erster Schritt der Risikominimierung ist, etwaige Risiken zu identifizieren. Hier macht es Sinn, Security-Assessments oder Zertifizierungen einzusetzen. IT-Sicherheit muss als Prozess verstanden werden, der im Unternehmen auf allen Ebenen gelebt wird. Sie geht daher über den Einsatz eines Virenscanners und der Firewall hinaus. Aufklärungsarbeit und regelmäßige Schulungen für Mitarbeiter sind ein Muss.
Gesetzgebung und Regulatorik
Die Gefahren, die Cyberkriminalität für Unternehmen der kritischen Infrastruktur birgt, wurden auch vom Gesetzgeber erkannt. Daher werden in regelmäßigen Abständen Bestimmungen erlassen (aktuell NIS2, DORA, CRA), die Unternehmen bestimmter Branchen oder Größe zu adäquater IT-Sicherheit verpflichten. Schon alleine deshalb haben sich Geschäftsführer mit der Thematik intensiv zu befassen.
Volatile Branchen, wie beispielsweise die Automobilindustrie, verpflichtet jene Zulieferer, die nicht in die Bestimmungen der NIS2 fallen, zu IT-Sicherheitsmaßnahmen, um sich entsprechend abzusichern.
Fazit
Unternehmen, große wie kleine, stehen vor der schwierigen Herausforderung, sich adäquat vor Cyberkriminalität zu schützen. Die Geschäftsführer übernehmen dabei eine Schlüsselrolle. Ein funktionierendes IT-Sicherheitssystem kann nur von ganz oben implementiert werden. Entscheidend ist, die drei Komponenten Mitarbeiter, Prozesse und Technik zu beleuchten und Schwachstellen z. B. mittels Assessment zu identifizieren. Es gibt Lösungen auf dem Markt, die Schäden an den IT-Systemen verhindern oder abschwächen. Unternehmen und ihre Geschäftsführer müssen nur erkennen, dass es an der Zeit ist, Ressourcen dafür bereitzustellen.