IT-Sicherheit, Mittelstandsbotschafter, vernetzt

1/3 der deutschen Chefs machen sich keine Sorgen um Cyber-Sicherheit – Warum das ein Fehler ist

Nahezu täglich finden heute erfolgreiche Cyberangriffe auf Regierungen, Institutionen und Unternehmen statt, die öffentlich werden. Das Bundesamt für Informationssicherheit (BSI) warnt in regelmäßigen Abständen vor einer weiteren Zuspitzung der Bedrohungslage. Ein Drittel der deutschen Firmenchefs fühlt sich jedoch anscheinend sicher: Ihnen machen Cyber-Gefahren keine Sorgen. Das hat eine aktuelle Befragung von PwC unter 1.378 CEOs weltweit ergeben. Sie machen damit einen schweren Fehler.

Verwandeln wir dies zunächst in eine gute Nachricht: Immerhin jeder zweite Firmenchef setzt sich intensiv mit den Cyber-Bedrohungen und damit auch möglichen Abwehrszenarien auseinander. Auch sie wissen: hundert prozentigen Schutz gibt es nicht. Aber um die Wahrscheinlichkeit eines erfolgreichen Angriffs zu minimieren, müssen Abwehr- und Reaktionssysteme ständig angepasst und erweitert werden. Sie sind auf dem richtigen Weg.

Aus meiner Sicht muss dies heute Chefsache sein. Die Realität zeigt aber auch hier, dass dies nur allzu selten der Fall ist. In einer PwC-Untersuchung haben wir uns angeschaut, wie viele der 80 größten deutschen an der Börse gelisteten Konzerne (DAX/MDAX) das Thema Sicherheit in einem Vorstandsressort verankert haben. Das erschreckende Ergebnis: Neun von 80 der im DAX und MDAX gelisteten Unternehmen haben öffentlich ein Vorstandsmitglied für das Thema Sicherheit benannt. In zwei Fällen liegt die Verantwortung direkt beim Vorstandschef, in einem bei seinem Stellvertreter. Ergo: Cyber-Sicherheit wird viel zu häufig nachgeordnet eingestuft, immer wieder angehängt in der IT oder der Unternehmenssicherheit, die selten direkt an das oberste Führungsgremium angeschlossen ist und eher technisch verwaltet als aktiv gemanagt wird. Das sehen wir auch immer wieder bei mittelständischen, auch sehr großen mittelständischen Unternehmen: Manchmal hat es das Thema Digitalisierung in die Geschäftsführung geschafft. Sicherheit, die andere Seite der Medaille, ist einige Stockwerke tiefer aufgehängt.

Angelsachsen schätzen Gefahrenlage ganz anders ein, nur Südeuropäer weniger besorgt als Deutsche

Interessant ist zu sehen, wie der Rest der Welt auf Cyber-Sicherheit schaut. Dazu gibt die oben erwähnte CEO-Befragung gute Anhaltspunkte. In Kürze: Alle angelsächsischen Länder räumen dem Thema Top-Priorität ein. Die Länder, die immer wieder im Verdacht der Orchestrierung von Angriffen stehen, sehen die eigene Abwehrnotwendigkeit eher gelassen. Und hinter Deutschland bewegen sich im europäischen Raum nur noch Italien, Griechenland und Spanien, die sorgloser mit dem Thema umgehen.

In Zahlen: In den USA sind 85 Prozent der CEOs in Alarmbereitschaft hinsichtlich der Gefahren aus dem Cyberspace. Noch relevanter als die USA schätzen die Cyber-Bedrohung CEOs aus Neuseeland ein: 88 Prozent der Befragten haben angegeben, ‚besorgt‘ oder sogar ‚sehr besorgt‘ zu sein. Ähnlich sieht es in Dänemark (85 Prozent), Kanada (84 Prozent) und Australien (81 Prozent) aus. Ebenfalls auf über 80 Prozent kommen die Ukraine (82 Prozent) und Sri Lanka (81 Prozent). In Großbritannien und Irland sind 79 Prozent der CEOs besorgt – und erzielen damit die höchsten Werte in Westeuropa. Deutlich weniger Furcht davor, Opfer von Cyber-Attacken zu werden haben chinesische (57 Prozent) und russische (39 Prozent) Unternehmenschefs. Weniger Sorgen vor Cyber-Angriffen als in Deutschland haben in Westeuropa nur die CEOs aus Italien (42 Prozent), Griechenland (59 Prozent), Spanien (64 Prozent) und den Niederlanden (67 Prozent).

Eigeneinschätzung der Sicherheit weicht häufig von gesehener Realität ab

Ein Grund dafür, dass sich ein Drittel der deutschen CEOs kaum Sorgen machen, mag auch daran liegen, dass 76 Prozent der Befragten in Deutschland sagen, ihr Unternehmen könne Attacken widerstehen und sich im Ernstfall schnell wieder erholen. 94 Prozent haben angegeben, ihr Unternehmen würde pro-aktiv Sicherheitsmaßnahmen bei der Einführung neuer Technologien und von Software einsetzen. Diese selbstbewussten Aussagen decken sich aber leider nicht mit unseren Beobachtungen. Selbst die Unternehmen, die schon eine sehr weit entwickelte Sicherheitsarchitektur entwickelt haben, sind im Falle eines gezielten Angriffs häufig hilflos. Den Unterschied machen diejenigen, die einen erfolgreichen Angriff schnell erkennen, das Loch stopfen und damit weiteren Schaden abwenden. Sie minimieren die Zeit zwischen Angriff und Reaktion. Da kennen wir bisher allerdings zu wenig Unternehmen, die das bereits wirklich erfolgreich in ihre Strukturen und Prozesse implementiert haben.

Mein Rat an den deutschen Mittelstand: Machen Sie das Thema zur Chefsache, auch wenn es technisch ist. Bringen Sie Ihre Techniker dazu, Cybersicherheit aus Management-Perspektive zu denken. Und bleiben Sie genauso am Puls der Zeit beim Sicherheits- wie beim Digitalisierungsthema. Auch wenn ich nachvollziehen kann, dass die Entwicklung von Innovation und damit Wachstum immer mehr Freude bereitet als sich darüber den Kopf zu zerbrechen, welchen Gefahren man ausgesetzt ist. Grundsätzlich aber gilt: Jedes neue Produkt, jede neue Dienstleistung, jede unternehmerische Fortentwicklung – vor allem im digitalen Raum – bringt neue Gefahren mit sich. Diese Seite der Medaille ist genauso wichtig wie die andere. Nur so wird es gelingen, das Vertrauen der Menschen für diese neuen Produkte zu gewinnen und langfristig zu erhalten.


Wir freuen uns über Diskussionen und Ihre Kommentare.
Wie in jeder Gemeinschaft ist es notwendig, dass sich alle Teilnehmer an die Netiquette halten. Durch Ihre Kommentare sollen interessante, gewinnbringende Debatten entstehen, an denen sich andere Nutzer gerne beteiligen. Beleidigungen und Schmähreden sind deshalb ebenso tabu wie Diskriminierungen und die unerlaubte Veröffentlichung persönlicher Daten. Bitte verstecken Sie sich auch nicht hinter Pseudonymen, sondern benutzen Sie Klarnamen.

Kommentar absenden

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *

CAPTCHA-Bild

*

Du kannst folgende HTML-Tags benutzen: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>

Lesen Sie weiter