„Wir sehen maximale Abhängigkeit von der IT“

Die meisten Unternehmen sind schlecht in der IT-Security aufgestellt, betonen Experten. Dabei müssen sie sich auf mehr und mehr sicherheitsrelevante Cyber- Vorfälle einstellen.

Die Cyber-Security ist in Deutschland ein schnell wachsender Bereich, der hohen Beratungsbedarf bei Unternehmen durch ganz unterschiedliche Experten mit sich bringt. Kein Wunder, schaut man auf die Zahlen: Allein Cyber- Kriminalität löst Schäden von rund 55 Milliarden Euro jährlich aus, dazu kommen vielfältige andere Bedrohungen für die Unternehmenssicherheit.

„Der Gesetzgeber ist gefragt, die bestehenden rechtlichen Rahmenbedingungen auszuweiten, um IT-Systeme von Staat, Bürgern und Wirtschaft besser zu schützen. Dafür wurde jetzt der Referentenentwurf des IT-Sicherheitsgesetzes 2.0 vorgelegt. Dieser bringt maßgebliche Konkretisierungen des mittlerweile vier Jahre alten, ersten IT-Sicherheitsgesetzes mit sich, was gut für den Wirtschaftsschutz ist“, sagt Klaus Brisch, Partner und Global Head of Technology der internationalen Wirtschaftskanzlei DWF.

Für Klaus Brisch kann das IT-Sicherheitsgesetz 2.0 nur ein Schritt auf der Weiterentwicklungsleiter sein, damit die rechtlichen Regelungen mit den technischen Herausforderungen durch Cyber-Angriffe und den Entwicklungen in der Cyber-Security Schritt halten können; für ihn ist die Version 3.0 nur eine Frage der Zeit. „Aber zunächst müssen sich die Unternehmen, die zukünftig vom Anwendungsbereich des Gesetzes erfasst und in den Kreis der sogenannten ‚Kritischen Infrastrukturen‘ aufgenommen werden, auf die neuen Vorgaben einstellen. Dazu gehören verschärfte Reporting-Pflichten bei sicherheitsrelevanten Cyber-Vorfällen. Das führt dazu, dass diese Unternehmen ihre internen Strukturen anpassen müssen“, sagt Brisch.

Aus der Praxis weiß Wolfgang Straßer, Geschäftsführer des IT-Risikomanagement-Spezialisten @-yet aus Leichlingen, dass die meisten Unternehmen nicht ausreichend in der IT-Security aufgestellt sind. „Im Rahmen von Digitalisierung und Industrie 4.0 laufen mehr und mehr Produktions- und Geschäftsprozesse übers Internet, Tendenz stark zunehmend. Es ist daher unternehmenskritisch, im IT-Risikomanagement professionelle Strukturen zu errichten. Wir erleben regelmäßig, dass Unternehmen nach einem Cyber- Vorfall vollständig stillstehen. Das kann wirtschaftlich existenzgefährdend sein.“

Straßer rät dazu, das IT-Risikomanagement als oberstes Managementthema anzusehen. Die IT-Security beeinflusst die Business Continuity, also die Stabilität des Unternehmens. Unternehmer sollten sich fragen, wie lange sie sich einen Ausfall leisten könnten – und dann die richtigen Schritte ergreifen, dass es gar nicht dazu kommen kann. „Wir sehen heute eine maximale Abhängigkeit von der IT. Es gilt also, alle IT-Risiken so gut es geht auszuschließen und technische und strategische Maßnahmen zu ergreifen, dass es nicht zu sicherheitsrelevanten Vorfällen kommen kann. Dazu gehört zum Beispiel ein Notfallplan für ein konkretes Krisenszenario. Das ist die Basis für einen zukunftsfähigen Wirtschaftsschutz.“