So wird IT-Sicherheit zur Chefsache

Wie wappnen sich Führungskräfte für die Aufgabe, den Bedrohungen im Cyberraum zu begegnen? Sieben Fragen, die auch Nichtexperten helfen, den Überblick zu behalten.

Cybersecurity – so wichtig das Thema auch ist: Führungskräfte in mittelständischen Unternehmen verfügen meist nur über ein begrenztes Wissen über Cyberrisiken. Dabei ist Cyberkriminalität ein permanentes Risiko, dem man sich nicht entziehen kann. Allein der deutschen Wirtschaft entsteht laut einer Auswertung von Bitcom im Jahr 2021 durch Diebstahl, Spionage oder Sabotage jährlich ein Gesamtschaden von 223 Milliarden Euro. In diesem Zusammenhang ist es entscheidend, dass alle Beteiligten – auch die außerhalb der IT – fortwährend in IT-Sicherheitskategorien denken.

Mit den folgenden Fragen verschaffen sich Geschäftsführer, Unternehmenslenker und Kontrollgremien einen Überblick über den Status des eigenen Sicherheitskonzepts. Führen wir regelmäßig Cyberrisikoanalysen durch, die unser Unternehmen aktuell und in Zukunft betreffen? Niemand ist per se unangreifbar. Für die weltweit agierenden Cyberkriminellen gibt es keine unattraktiven Ziele. Die Konsequenzen sind weitreichend. Sicherheit ist eine gesamtunternehmerische Aufgabe. Zweitens sollte man sich fragen, über welche Konzepte das Unternehmen verfügt, um sich vor dem Verlust oder der Verschlüsselung von Daten wirksam zu schützen. Security ist eine Aufgabe der ganzen Organisation. „Was wäre wenn …?“-Fragen gehören zu den dringendsten Pflichten der Unternehmensleitung.

Antworten darauf müssen gleichermaßen strategisch und operativ sein. Zudem sollte es ein ganzheitliches Notfallmanagementkonzept geben. Technische Sicherheit und organisatorische Maßnahmen gehören zwingend zusammen. Sind alle erforderlichen Maßnahmen, Prozesse und die Zuständigkeiten im Zusammenspiel interner und externer Akteure klar geregelt? Die Verantwortung für die operative Absicherung gegen Cyberrisiken darf nicht in eine Fachabteilung verlagert werden. Eine weitere Frage ist: Wie viel Zeit benötigen wir, um nach dem Verlust bzw. der Verschlüsselung von Daten den Geschäftsbetrieb wieder aufzunehmen? Security gehört ebenso zur „Daily Routine“ wie die Analyse der Geschäftszahlen.

Cybersicherheit als tägliche Routine

Was, wenn der Zugang zu Daten verwehrt ist? Wenn nicht einmal der eigene Laptop gestartet werden kann? Wie ist der Zugriff auf Unternehmensdaten möglich, wenn physische und technologische Infrastruktur nicht mehr zugänglich oder vorhanden ist. Wie schnell ist das Unternehmen in der Lage, verlorene beziehungsweise verschlüsselte Daten durch eine Datensicherung wiederherzustellen und die Geschäftstätigkeit wieder aufzunehmen? Was, wenn die Unternehmensräume zum Beispiel durch Naturkatastrophen verwüstet sind?

Eine weitere Frage, die sich Unternehmen stellen sollten, ist: Wie regelmäßig und umfassend trainieren wir unsere Sicherheitskonzepte? Neben der Planung ist die Probe aufs Exempel von entscheidender Bedeutung. Die fortlaufende Übung festigt die zielgerichtete, schnelle Aktion. Stellen Sie die Aufmerksamkeit Ihrer Organisation auf die Probe. Prüfen Sie Meldeketten, Notfallpläne, und beseitigen Sie unverzüglich erkannte Schwachstellen. Zuletzt sollte man sich fragen, ob Cybersicherheitskonzepte regelmäßig überprüft und an neue Regularien angepasst werden. Regelmäßige Anpassungen sind notwendig, auch um rechtliche Risiken zu reduzieren. Der Gesetzgeber hat mit Blick auf den Datenschutz einen verbindlichen Rahmen definiert, den es unbedingt einzuhalten gilt. Also müssen Pläne nicht nur operativ und technisch an die Herausforderungen angepasst werden.

Autor

Weitere Inhalte zum Thema