Von Volker Heck
Seit 20 Jahren nehmen Cyber-Attacken weltweit zu. Allein im letzten Jahr stiegen die auf Lösegeldforderungen gerichteten Ransomware-Attacken um 13 %. Betroffen sind alle Sektoren, sei es in der Wirtschaft, dem öffentlichen Dienst oder im gesellschaftlichen Leben. Gleichwohl zeigt eine aktuelle repräsentative Umfrage von Civey im Auftrag von H/Advisors Deekeling Arndt, dass gerade in den Unternehmen bei weitem nicht genug getan wird, potenzielle Schäden zu verhindern.
Cyber-Angriffe sind ein fester Bestandteil der „Zeitenwende“ geworden und Teil einer wachsenden hybriden Kriegsführung. Nach der Entscheidung der Bundesregierung in 2022, schwere Kampfpanzer in die Ukraine zu liefern, nahmen noch am selben Tag die Cyber-Angriffe auf öffentliche Einrichtungen, Flughäfen und Unternehmen in Deutschland massiv zu. NRW-Innenminister Reul sieht hierbei laut FAZ einen deutlichen Bezug zum russischen Geheimdienst.
Auch durch die Zunahme von Homeoffice steigt die Verletzlichkeit von Unternehmen massiv an. Cyber Security ist also ein Thema, das Unternehmen in voller Breite angeht und nicht nur eines für IT-Spezialist:innen. Ein wirksamer Cyber-Schutz muss integraler Bestandteil der DNA eines Unternehmens sein und ist damit auch Gegenstand unternehmensinterner Transformationsprozesse im Rahmen der voranschreitenden Digitalisierung.
Soweit die Theorie. In der Praxis, und das untermauert eine im März 2023 im Auftrag von DAA durchgeführte repräsentative Civey-Befragung bei je 1.000 Geschäftsführer:innen und Angestellten, zeigt sich das exakte Gegenteil. Hier sehen 46,4 % der Mitarbeitenden die IT-Sicherheitsbeauftragten in der Verantwortung, die Geschäftsführung sieht sich selbst zu 29 % in der Pflicht. Insgesamt sagen jedoch auch 37,4 % der befragten Mitarbeiter: innen und sogar 58,3 % der Geschäftsführung, dass das Thema Cyber-Sicherheit bei ihnen im Unternehmen von niemandem vorangetrieben wird oder sie es zumindest nicht wissen. Gerade auf Geschäftsführungsebene sind diese Zahlen besorgniserregend.
Angesichts der Tatsache, dass laut aktuellen Umfragen 79 % der von Fachverbänden befragten Vorstände sagen, dass das Thema Cyber-Risiken in den letzten Jahren auf Führungsebene massiv an Bedeutung gewonnen hat, sind diese Ergebnisse, gelinde gesagt, sehr überraschend. Die Ergebnisse der Civey-Umfrage lassen zudem den eindeutigen Schluss zu, dass Leitungsebene und Mitarbeitende bei einem so wichtigen Thema wie der Cyber Security nicht am selben Strang ziehen.
Was ist zu tun? Erstens müssen Unternehmen viel mehr als bislang in die Prävention investieren. 80 % dieser Arbeit kann im Vorfeld erfolgen. „If you fail to plan, you are planning to fail“: Getreu diesem Grundsatz von Benjamin Franklin muss eine ausreichende Auseinandersetzung mit den möglichen Schadensereignissen und -wirkungen rechtzeitig stattfinden. Hierzu gehört, für alle im Unternehmen klare Verantwortlichkeiten und Regelprozesse aufzusetzen.
Der zweite Teil betrifft massiv die Unternehmenskultur. Die Civey-Ergebnisse zeigen in einem erschreckenden Maße eine Unkenntnis darüber, wer sich in einem Unternehmen für das wichtige Thema Cyber Security verantwortlich fühlt bzw. die Verantwortung tatsächlich innehat. Cyber Security ist aber kein Nischenthema, das ein IT-Verantwortlicher betreut. Es ist ein immanenter Teil des Kerngeschäfts. Grundlage ist ein gemeinsames Sicherheitsverständnis, das bottom-up aufgebaut und von der Geschäftsleitung auch gelebt werden muss. Unternehmen müssen für eine Sicherheitskultur werben und ihre Mitarbeiter:innen hierbei mitnehmen. Unterschiedliche Sichtweisen sind in Einklang zu bringen. Dazu gehören Schulungen, aber auch der regelmäßige Austausch und die gemeinsame Analyse von Schwachstellen.
Foto: iStock.com/gorodenkoff