KMU unterschätzen häufig das Thema Cyber Security.
Foto: Deloitte

IT-Sicherheit

Bewusstsein für Cyberangriffe schärfen

Wie es um die IT-Sicherheit von Unternehmen und hier besonders der KMUs bestellt ist, wollte PROTECTOR von Peter Wirnsperger, Partner und Leiter Cyber Risk bei Deloitte, wissen.

Deloitte hat vor Kurzem seinen Cyber Security Report vorgestellt – mit zum Teil ernüchternden Aussagen. Ein Ergebnis ist, kurz zusammengefasst: Das Risikobewusstsein in den Führungsetagen sinkt. Wie das?

Peter Wirnsperger: Wie der aktuelle Deloitte Cyber Security Report zeigt, ist das Risikobewusstsein in den Führungsetagen von Unternehmen gegenüber 2017 gesunken. 60 Prozent der Befragten gaben in der aktuellen Untersuchung an, dass Hackerangriffe bei ihnen keine besonders großen Schäden anrichten würden. 2017 waren es noch 54 Prozent, 2016 46 Prozent. Die Führungsetage verlässt sich oftmals zu sehr auf die Kompetenz und die Planung der IT.

Hier sollte unbedingt der Schulterschluss im Unternehmen erfolgen, so dass Business und IT zusammen die Bedrohungen bewerten und die Vorbereitungen darauf ausrichten.

Die Zahl der Cyberangriffe steigt aber doch. Wird die Gefahr so sehr unterschätzt

Wenn man die erfolgreichen Angriffe der letzten Zeit als Indikator heranzieht, dann ist noch einiges zu tun. Gut ist, dass Security inzwischen weit oben auf der Agenda des Deutschen Mittelstands ist. Trotzdem, es ist noch viel zu tun, um gegen die hohe Qualität der Angriffe gewappnet zu sein. Dazu gehören neben einer optimierten Risikokultur und strategischen Einbindung der IT-Sicherheit auch Kooperationen mit allen Akteuren der Supply Chain.

Fürchten denn die Unternehmen nicht auch um ihre Reputation, wenn es mal zu einer Attacke mit Informationsabfluss kommen sollte?

Geht es um eine allgemeine Einschätzung der Gefahren, ist der Know-how-Diebstahl für viele Führungskräfte aus der Wirtschaft (67 Prozent) die größte Bedrohung. Zwei Drittel der Befragten nannten diesen als größten Risikofaktor. Steht jedoch das eigene Unternehmen im Fokus, sind für 43 Prozent die Kosten für eine Schadensbehebung der schwerwiegendste Faktor.

Die Angst vor Image und Reputationsschäden hingegen ist noch verhältnismäßig gering. 25 Prozent sehen hier ein großes Risiko – allerdings mit deutlich steigender Tendenz. Grundsätzlich lässt sich aber festhalten, dass den meisten Managern nicht bewusst ist, welche Auswirkungen Cyberangriffe haben – nicht nur auf die Reputation, sondern auch auf das Kerngeschäft.

Können Sie Unterschiede zwischen Großunternehmen und KMUs hinsichtlich ihrer Awareness feststellen?

Grundsätzlich zeigt sich, dass die Einschätzung des Schadensrisikos mit der Unternehmensgröße und mit der Zahl der Angriffe steigt. Während in Unternehmen mit weniger als 250 Mitarbeitern 29 Prozent der Führungskräfte davon ausgehen, dass ein Hackerangriff zu einer gravierenden Schädigung führen kann, sind es bei Unternehmen mit mehr als 250 bis 1.000 Mitarbeitern 38 Prozent. Und bei Unternehmen mit mehr als 1.000 Mitarbeitern gaben dies sogar 56 Prozent an.

Generell gilt also: Je größer das Unternehmen, desto größer das Bewusstsein für Cyber Crime. Das heißt im Gegenzug, dass sich KMUs besonders mit der Thematik einer Unterschätzung auseinandersetzen setzen sollten.

Welche Maßnahmen hielten Sie denn für geeignet, um das Bewusstsein bei Mittelständlern zu erhöhen? Über die berühmten „Kronjuwelen“ wurde doch schon so oft geschrieben …

Hilfreich wäre es, wenn die Branchenverbände den intensiven Austausch über aktuelle Vorfälle befördern würden. Aus diesen Erfahrungen können alle lernen und erhalten ein besseres Gefühl über die aktuelle Bedrohung für das eigene Geschäft.

Wenn man Cybersicherheit nicht als Kostenfaktor, sondern vielmehr als „Business-Enabler“ sehen möchte: Was müssen dann besonders mittelständische Unternehmen tun, damit die Digitalisierung gelingen kann?

Zum Schutz ihrer IT-Infrastruktur ergreifen viele Unternehmen zwar eine Reihe von Maßnahmen, aber nur ein kleiner Teil schöpft die Möglichkeiten aus, die eigene Sicherheit im IT-Bereich zu optimieren.

So überwachen fast alle Unternehmen ihre IT-Netzwerke laufend, 87 Prozent überprüfen die Zugriffsrechte ihrer Mitarbeiter regelmäßig, das heißt mindestens einmal im Jahr, 81 Prozent führen regelmäßig Schwachstellenanalysen ihrer Netzwerke und wichtigsten Geschäftsanwendungen durch. 74 Prozent setzen auf Beratung durch externe Spezialisten, 70 Prozent auf Mitarbeiterschulungen und 69 Prozent auf die Identifizierung der wichtigsten Information-Assets. 65 Prozent nutzen externe Dienstleister und 61 Prozent eine regelmäßige Überprüfung und Anpassung der Maßnahmen. Hier ist also noch viel Luft nach oben.

Grundsätzlich gilt, dass das Thema Security stärker in Business-Konzept einfließen sollte – unabhängig von der Größe des Projekts. Denn ein Digitalisierungsprojekt ohne Security ist wie ein Auto ohne Bremsen. Wichtig ist, dass Security als Lösungselement gesehen wird und nicht als Compliance-Funktion. Dann kann das gelingen.

Welches „Sicherheitspaket“ würden Sie denn KMUs empfehlen? Wäre nicht die Simulation von Cyberangriffen empfehlenswert, wenn das auch die wenigsten durchführen?

Unabhängig von der Größe steht fest, dass sich ein Unternehmen technisch nicht perfekt absichern kann. Deswegen gehören Maßnahmen zur Erhöhung der organisatorischen Resilienz wie „War Gaming“ und „Red Teaming“ zum Üben des Ernstfalls dazu. Sie geben die Möglichkeit, die Wirksamkeit von Schutzmaßnahmen, Prozessen und Handlungsweisen zu überprüfen. Wichtig ist hier, dass sich Unternehmen der eigenen Risiken bewusst sind und regelmäßig hinterfragen, ob die Maßnahmen auch passen. Allerdings führen laut Umfrage gerade einmal 14 Prozent der Unternehmen diese Planspiele durch.

Ist es dabei sinnvoller, auf eigene Mitarbeiter oder eher auf externe Berater zu setzen? Was kann man gerade beim Fachkräftemangel auch im IT-Bereich tun?

Der Mix macht’s – eigene Inhouse-Kompetenzen sind eine wichtige Basis. In Ergänzung zu Beratern sollten KMUs überlegen, gewissen Security-Aufgaben auch auszulagern. Ein Beispiel wäre die laufende Überwachung der Netzwerk- und Anwendungssicherheit. Darüber wäre eine 24/7-Abdeckung möglich, was durch eigene Ressourcen kaum abbildbar ist.

Welche Rolle spielt die staatliche Unterstützung bei der Abwehr von Cyberangriffen? Greifen die Maßnahmen, die das BSI ergriffen hat, Stichwort IT-Sicherheitsgesetz und regionale Verbindungsbüros?

Den Rahmen, den das BSI und die Regulatoren in Deutschland setzen, ist eine sehr gute Grundlage für deutsche Unternehmen. Die neuen Verbindungsbüros sind ebenfalls ein guter Weg, die Diskussion um Sicherheit vor Ort zu führen. Damit wird Security für jedes Unternehmen besser zugänglich.

Auch die Hilfestellungen des BSI, der Allianz für Cybersicherheit und anderer Verbände schaffen ein besseres gemeinsames Verständnis und fördern den dringend notwendigen Austausch.