Die Angst vor Cyberangriffen, Informationslecks und Datenverlusten bremst in vielen Unternehmen die notwendige Digitalisierung und damit das Wachstum. Dabei können Firmen sich schützen. Voraussetzung ist, dass die Geschäftsführung sich das Thema zu eigen macht und konsequent vorantreibt.
Die rasant fortschreitende Digitalisierung der Wirtschaft ist für viele Unternehmen und ganze Branchen zu einem wichtigen Wachstumstreiber geworden. Händler nutzen das Internet als Vertriebsweg, Produzenten vernetzen Maschinen und Standorte, Vermarkter erhalten immer mehr und immer bessere Kundendaten, alle Beteiligten wickeln ihren Schriftverkehr über das Internet ab.
Doch auch die Digitalisierung kennt ihr Schattenseiten: Cyber-Diebe bewegen sich unerkannt durchs Internet, stehlen Blaupausen wichtiger Produkte und räumen Konten ab. Hacker-Attacken gehören für viele Firmen mit sensiblen Daten schon fast zum Tagesgeschäft. Gut die Hälfte (54 Prozent) aller Unternehmen hatte in den vergangenen 24 Monaten einen konkreten IT-Sicherheitsvorfall.
Die – berechtigte – Sorge um die Sicherheit ihrer Daten droht vor diesem Hintergrund gerade für kleine und mittlere Unternehmen zur Wachstumsbremse zu werden.
Diese Beobachtung aus dem Geschäftsalltag stützt eine aktuelle Studie der Bundesdruckerei unter 556 repräsentativ ausgewählten Unternehmen. IT-Sicherheitsbedenken verlangsamen demnach die digitale Transformation bei jedem zweiten Unternehmen in Deutschland. Jedes Fünfte fürchtet sogar Umsatzverluste, da es aus Angst vor Angriffen und Pannen die Digitalisierung nicht konsequent genug vorantreibt.
Dabei sind die Risiken der Digitalisierung auch für kleine und mittlere Unternehmen beherrschbar. Werden sie rechtzeitig erkannt, können sie auch abgewehrt werden. Auch Firmen, die sich – anders als Großkonzerne – eine eigene IT-Sicherheitsabteilung nicht zu leisten vermögen, können sich wirksam schützen.
Dazu gilt es allerdings einige wichtige Punkte zu beachten. Der wichtigste: Sind Sie Eigentümer oder Geschäftsführer einer Firma, dann machen Sie die Sicherheit Ihrer Informationen und Daten zur Chefsache! Dabei sollten Sie sich vergegenwärtigen, dass Informationssicherheit nicht gleich IT-Sicherheit ist. Das Schützen von Informationen, dem meist höchstem Gut eines Unternehmens, basiert nicht auf Technik allein. Informationssicherheit muss in den Köpfen der Unternehmensleitung und von dieser gewollt sein.
Erst wenn der Wille und die Unterstützung der Unternehmensführung klar sind, kann Informationssicherheit auch wirklich erfolgreich sein.
Die wenigsten Unternehmenslenker – und das ist das alarmierende Ergebnis einer anderen Befragung im Auftrag von VM Ware – haben allerdings bislang schon das Thema Cyber-Security auf der Agenda. Und auch viele IT-Verantwortliche haben offenbar Angst, ihren Chefs unangenehme Nachrichten mitzuteilen: Fast ein Viertel (22 Prozent) der IT-Verantwortlichen verschweigt dem Vorgesetzten akute Attacken und Sicherheitslücken.
Die Awareness beginnt also beim Chef und sollte sich von oben nach unten durch das gesamte Unternehmen ziehen.
Denn neben Angriffen von außerhalb der Firmenwände lauern Gefahren auch innerhalb des Betriebs. Der sorglose Umgang von Mitarbeitern mit Passwörtern und Kundendaten kann zu erheblichen Risiken führen. Es ist da gut, dass 55 Prozent der Unternehmen durch regelmäßige Schulung an der Awareness arbeiten – aber es bleiben eben auch 45 Prozent, die ihre Augen vor diesem Thema verschließen.
Ein wichtiger Punkt, den kleine und mittlere Unternehmen oft vernachlässigen, ist die Trennung von der IT und Ihren Kontrolleuren. Nicht ohne Grund sind die IT-Sicherheit und die IT in großen Unternehmen getrennte Abteilungen – andernfalls liefe der Vorstand auch Gefahr, den Bock zum Gärtner zu machen.
Ist ihre Firma zu klein für eine eigene IT-Sicherheitsabteilung, sollten Sie fremden Sachverstand hinzuziehen.
Externe Berater optimieren deren Prozesse und zertifizieren auf Wunsch die informationstechnischen Systeme, Eine Zertifizierung beispielsweise nach ISO 27001 gewährleistet schon einen zuverlässigen Grundschutz. IT-Sicherheitsberater schulen Ihr Personal und können mithilfe von Penetrationstests herausfinden, wie angreifbar Ihre IT-Systeme sind und wie Sie die erkannten Sicherheitslücken schließen können.
Allerdings: Ein Restrisiko bleibt immer bestehen, und Kosten und Nutzen ihrer IT-Sicherheitsmaßnahmen sollten in einem vernünftigen Verhältnis stehen. Daher sollte sich die Geschäftsführung darüber klar werden, welche Risiken noch tolerabel sind. In der Bankenwelt spricht man vom „Risikoappetit“, der je nach Art und Größe eines Unternehmens unterschiedlich ausgeprägt ist.
Wichtig ist, dass die Sorge um die Informationssicherheit nicht zur Lähmung des Betriebs und Stagnation führt. Externe Berater können auch an dieser Stelle helfen, diffuse Ängste durch objektive Aufklärung aufzulösen.
Selbstmord aus Angst vor dem Tod ist auch für Unternehmen keine gute Lösung!
Carl W.A. Dietzel ist Gründer und Geschäftsführer des auf Informationssicherheit spezialisierten Beratungsunternehmens Dietzel & Company, das bereits als „Focus Wachstumschampions 2016“ ausgezeichnet wurde.
Generell möchte ich dem Beitrag zustimmen. Doch noch einige Anmerkungen:
1. IT-Sicherheit ist Chefsache. Ist, denke ich, unstrittig und ist natürlich eine Frage der Unternehmenskultur. Allerdings: Was ist inzwischen nicht alles Chefsache? Und aus zahlreichen Studien wissen wir, dass auch im unternehmerischen Bereich Entscheidungen nur bedingt kognitiv getroffen werden. Bei der Ansprache von Geschäftsleitungen ist da aus meiner Sicht etwas mehr Kreativität gefragt. Derallgemein gültige kognitive Appell „Rauchen gefährdet Ihre Gesundheit“ verfängt ja auch nicht.
2. ISO 27001 ist sicherlich hilfreich. Für kleinere Unternehmen aber immer noch zu kompliziert und aufwändig. Da gibt es inzwischen ja schon niedrigschwellige Angebote (z.B. VdS)
3. Die Wahl eines kompetenten IT-Dienstleisters gestaltet sich für viele Unternehmen wie die Suche im Heuhaufen. Häufig fehlen die Bewertungskriterien. (http://wiwi-app.uni-regensburg.de/news20/upload/upload__23e429c9d2e5cd3e52a03060851436b6.pdf)