Thought Leadership
Wenn es still wird in den Fluren deutscher Unternehmen, haben Cyberkriminelle Hochkonjunktur: Denn während der Feiertage sind die IT-Abteilungen meist noch dünner besetzt als ohnehin.
70 Prozent der Unternehmen fühlen sich durch Cyberattacken inzwischen in ihrer Existenz bedroht – und es könnten zwischen den Jahren noch mehr werden: Die Expertin für Informationssicherheit Trine Øksnebjerg erklärt, wie sich Betriebe effektiv gegen Cyberattacken wappnen können und was eine wirksame digitale Informationssicherheit ausmacht – nicht nur während der Weihnachtszeit.
Die reale Bedrohung durch Cyberattacken hat in den letzten drei Jahren exponentiell zugenommen: „Allein in den letzten zwölf Monaten haben vier von fünf deutschen Unternehmen kriminelle Angriffe im digitalen Raum erlebt“, warnt Trine Øksnebjerg. Als Expertin für Informationssicherheit berät sie für emagine, einem führenden Anbieter von IT-Consulting- und -Engineering-Services, IT-Verantwortliche und Unternehmen in ganz Europa. Der deutsche Digitalverband Bitkom gibt ihr recht: Laut einer aktuellen Studie entstanden durch Cyberangriffe im zurückliegenden Jahr Schäden in Höhe von etwa 180 Milliarden Euro. Mehr als zwei Drittel der deutschen Unternehmen sehen sich dadurch in ihrer Existenz bedroht – sechsmal mehr als noch 2021.
Umsetzung regulatorischer Vorgaben reicht nicht aus
Längst hat auch die Politik auf die immer dramatischere Bedrohungslage reagiert: Mehrere Verordnungen der Europäischen Union sollen die Resilienz von Unternehmen gegen Cyberangriffe verbessern und eine angemessene Informationssicherheit gewährleisten. Dazu zählen unter anderem der Cyber Resilience Act (CRA), die Network and Information Services Directive 2 (NIS2) sowie der für am Finanzmarkt tätige Unternehmen geltende Digital Operational Resilience Act (DORA). Den Rechtsrahmen in Deutschland setzt das IT-Sicherheitsgesetz: Dort sind zu erfüllende Anforderungen an die IT-Sicherheit definiert, aber auch Meldepflichten nach einem erfolgten Cyberangriff.
„Staatliche beziehungsweise politische Regulierung kann im digitalen Raum aber nicht gegen sämtliche Gefahren schützen“, warnt Trine Øksnebjerg von emagine. „Denn digitale Bedrohungen werden immer komplexer und innovativer.“ Ein lückenloser Schutz gegen Cyberbedrohungen sei also selbst dann nicht möglich, wenn Unternehmen sämtliche rechtlichen Anforderungen erfüllten: „Regulierungen sind eher als eine Art Katalog von Mindestanforderungen zu verstehen“, erklärt Øksnebjerg. Auch wenn der Schutz vor kriminellen Straftaten im Allgemeinen als Leistung des Staates gesehen werde, müssten Vorstände, Manager und IT-Verantwortliche sich bewusst machen, dass im digitalen Raum andere Anforderungen gelten: „Der Schutz vor existenziellen Bedrohungen ist hier in der individuellen Verantwortung aller Akteure“, so Trine Øksnebjerg.
Cybersicherheit ist Chefsache
Dazu sei ein maßgeschneidertes, proaktives Risikomanagement notwendig, eingebettet in eine von allen Beteiligten verinnerlichte, strategische Sicherheitskultur, fordert die Expertin für Informationssicherheit: „Um ihre Wettbewerbsfähigkeit und letztlich ihre Existenz langfristig zu sichern, benötigen Unternehmen in ihren Prozessen ein höheres Maß an Cyber-Resilienz.“ Nach ihrer Erfahrung ist das in vielen Branchen der deutschen Wirtschaft noch nicht der Fall.
Dazu kommt: Egal, wie gut das vorhandene Sicherheitskonzept ist – es muss mit den ständig wachsenden Bedrohungen Schritt halten. Neue Arbeitsformen haben das mobile Arbeiten, die digitale Kollaboration und die Nutzung unterschiedlichster Endgeräte zum geltenden Standard gemacht; technologische Entwicklungen wie KI-Anwendungen entlasten die Mitarbeitenden und beschleunigen viele Prozesse. Trine Øksnebjerg von emagine erkennt darin aber auch neue Einfallstore für Cyberkriminelle – und damit noch weiter reichende Verantwortlichkeiten für deren Abwehr: Die IT-Abteilung kann zwar technische Schutzmaßnahmen implementieren und deren Funktionalität überwachen. Das strategische Risikomanagement liege jedoch per Definition in der Verantwortung der Geschäftsführung: „Sie wird immer unentbehrlicher, wenn es darum geht, geschäftskritische Risiken zu identifizieren und entsprechende Schutzmaßnahmen umzusetzen“, so Øksnebjerg: „In der Regel ist ausreichendes Wissen über prozessuale Strukturen, unternehmensübergreifende Technologien, Lieferketten und weitere Sicherheitsfaktoren nur auf dem C-Level vorhanden.“
Herausforderung Fachkräftemangel
Eine zusätzliche Herausforderung ist der gerade im IT-Bereich eklatante Fachkräftemangel. Im vergangenen Jahr blieben laut Bitkom 149.000 IT-Stellen unbesetzt, bis 2040 werden es geschätzte 663.000 sein. Besonders gravierend wirkt sich der Mangel an Experten im Bereich der IT-Sicherheit aus: In einer aktuellen Studie des International Information System Security Certification Consortium (ISC), einer gemeinnützigen IT-Security-Organisation, gaben 92 Prozent der befragten Unternehmen an, nicht über ausreichende Kompetenzen in den Spezialbereichen der IT-Sicherheit zu verfügen. Prognosen gehen davon aus, dass die Lücke zwischen Angebot und Nachfrage nach IT-Sicherheitsexperten jedes Jahr um weitere zwölf Prozent anwachsen wird.
„Besonders groß ist der Mangel an Spezialisten, die sowohl die technische als auch die unternehmerische Perspektive von Cybersicherheit verstehen und beide Dimensionen strategisch zusammenführen können“, weiß Trine Øksnebjerg von emagine. Auch dies ist wiederum eine dringende Managementaufgabe: Entscheidungsträger müssen das immer noch weit verbreitete Silodenken aufbrechen und sich für eine breitere Aus- und Weiterbildung junger Talente einsetzen, die nicht nur technische, sondern auch prozessuale und betriebswirtschaftliche Zusammenhänge berücksichtigt. Øksnebjerg ist überzeugt, dass Unternehmen langfristig von einem umfassenden Ansatz in der IT-Sicherheit profitieren werden: „Eine gesunde, proaktive Sicherheitskultur ist nicht
nur ein Hygienefaktor, sondern auch ein entscheidender Wettbewerbsparameter.“
Autorin: Trine Øksnebjerg, Beraterin und Leiterin der Gruppenpraxis im Bereich Regulierung, Risiko und Sicherheit bei emagine
