HACKER-ATTACKEN: WIESO UNTERNEHMEN IHRE IT-SICHERHEIT NICHT IN DEN GRIFF BEKOMMEN
Cyber-Angriffe auf Unternehmen sind ein wiederkehrendes Übel. Aber wieso eigentlich? Wie so oft in der IT, sitzt die Antwort vor dem Bildschirm.
Die Bedrohung für Unternehmen aus dem Cyberspace ist enorm. Der jüngste Lagebericht des Bundesamtes für Sicherheit in der Informationstechnik (BSI) spricht von durchschnittlich 250.000 neuen Schadprogrammen pro Monat. Doch die Abwehr der Bedrohung scheitert laut einer Studie oft schon auf dem Kommunikationsweg von der IT-Abteilung in die Vorstandsetage.
Die Unternehmensberatung FTI hat 787 Führungskräfte in neun Ländern befragt, ob sie verstehen, welche Aufgaben die IT-Sicherheit – genauer gesagt der Chief Information Security Officer (CISO) – in ihrem Unternehmen hat. Weniger als die Hälfte ist sich darüber im Klaren. Dabei können IT-Vorfälle für Unternehmen schnell existenzbedrohend werden, sagt Jörg Zimmermann, Experte für IT-Sicherheit bei TÜV Rheinland.
Mit dem mangelnden Verständnis geht laut Umfrage auch mangelndes Vertrauen einher. Demnach beurteilt jede dritte Führungskraft ihre Sicherheitsfachkräfte als zögerlich, wenn es darum geht, Risiken für das Unternehmen anzusprechen, rund 60 Prozent haben aus Sicht ihrer Vorgesetzten zudem Probleme, fachliche Inhalte so zu kommunizieren, dass die Vorstände sie verstehen.
Der rote Faden, der sich durch die Befragung zieht, ist klar erkennbar: Die Chefs zweifeln an den Fähigkeiten ihrer Sicherheitsfachkräfte, weil sie nicht verstehen, was diese ihnen sagen wollen. Für Zimmermann ist das „keine Überraschung“. Seiner Erfahrung nach „stellt sich häufig die Frage, ob und wie Sicherheitsverantwortliche in Unternehmen sich gegenüber dem Vorstand verständlich machen können. Das hört sich jetzt drastisch an, aber: Diese Menschen sprechen unterschiedliche Sprachen.“
Lesen Sie auch: Darum brauchen Unternehmen einen CISO
Das Problem sei aber nicht nur der Fachjargon, so der Experte, das lasse sich relativ schnell lösen. „Viel schwieriger ist es, oftmals sehr komplizierte technische Abläufe in geeigneter Weise zu vereinfachen“, sagt er. Diese Simplifizierung widerstrebe jedem IT-Fachmann.
Taktiererei und Betroffenheit
Zimmermann geht aber noch einen Schritt weiter: Die Art und Weise der Kommunikation sei nur eine Seite der Medaille. Gerade in großen Unternehmen stehe das Management den Zielen der IT-Sicherheit oft aus unternehmenspolitischen Gründen im Weg. Als Beispiel nennt er einen Bereichsleiter, der keine genaueren Informationen über IT-Risiken einfordere, weil er die Verantwortung auf eine andere Managementebene abschieben oder eigene Fehler vertuschen wolle. Das Gefühl nicht offen sprechen zu können, haben laut FTI auch die IT-Experten selbst. Demnach sind vier von fünf CISOs der Ansicht, die Sicherheitslage gegenüber dem Vorstand positiver darstellen zu müssen, als sie tatsächlich ist.
Auch innerhalb der IT gibt es laut Zimmermann gegensätzliche Ziele: Während die klassische IT möglichst reibungslose Abläufe im Unternehmen sicherstellen wolle, stehe bei der Informationssicherheit die Erhöhung der Prozesssicherheit im Vordergrund. Letzteres habe oft zur Folge, dass Prozesse länger dauern und mehr kosten.
Lesen Sie auch: Ermittler legen eine der gefährlichsten Hackergruppen lahm
Wenn Sicherheit aber augenscheinlich dem wirtschaftlichen Erfolg des Unternehmens entgegensteht, wird es problematisch. „Das ist das häufigste Dilemma auf das wir stoßen: Es werden Sicherheitsthemen erkannt, die IT wird damit konfrontiert und sieht ihre Felle davonschwimmen“, es stelle sich dann die Frage ob Prozesse sicherer oder wirtschaftlicher gestaltet werden sollen.
In diesem Fall entscheidend sei dann oft, wie risikoaffin ein Unternehmen, insbesondere seine Führungskräfte sind. Zimmermanns Erfahrung nach entscheiden sich inhabergeführte Unternehmen häufiger für die Investition in die IT-Sicherheit. Er erklärt sich das damit, dass Sie persönlich bei einem Fehlschlag mithaften, entweder finanziell oder in Form von übernommener Verantwortung.
Abseits der emotionalen Faktoren sei es aber durchaus anspruchsvoll zu entscheiden, welche Risiken ein Unternehmen im Bereich der IT-Sicherheit eingehen kann, ohne das eigene Überleben zu gefährden. „Sicherheit ist kein Wert an sich, der außerhalb eines Kontextes existiert“, sagt Zimmermann. „Es gibt Unternehmen – beispielsweise im militärischen Sektor – für die ist Vertraulichkeit das höchste Gut und es gibt solche, für die ist das zweitrangig.“
Regulierung als notwendiger Zwang
Eine gute Figur in Sachen IT-Sicherheit machen nach Ansicht des TÜV-Experten die Banken. Das liege vor allem an der strengen Regulierung, die die Institute zwinge, Risiken genau im Blick zu behalten und in ihren Bilanzen auszuweisen. Dahinter stehe das Interesse des Staates, eine Bankenpleite zu verhindern.
Dieser Zwang in Form von gesetzlichen Regeln sei notwendig: „Weil die Firmen auf nichts anderes hören“, sagt er. Auch die Fachleute, die in den Unternehmen für die IT-Sicherheit zuständig sind, sähen das in der Regel so. Für ihn ist die Regulierung auf europäischer Ebene ein Gradmesser dafür, wie es um das Bewusstsein für Informationssicherheit in den Unternehmen bestellt ist, hier sieht er ein „düsteres Bild der Sicherheitsmotivation“.
Laut BSI-Jahresbericht gab es im vergangenen Jahr 68 erfolgreiche Ransomware-Angriffe auf Unternehmen, also Angriffe mit Schadsoftware, davon 15 auf IT-Dienstleister mit einer unbekannten Zahl indirekt betroffener Kunden. Und das sind nur die bekannt gewordenen Fälle, die Dunkelziffer dürfte deutlich höher liegen.
Für Zimmermann ist die Zurückhaltung bei IT-Sicherheitsmaßnahmen vor diesem Hintergrund unverständlich, ein Blick in die konkreten Vorgaben zeige, „dort wird keine Raketenwissenschaft verlangt“. Angesichts der mangelnden Fortschritte und der immer wieder erfolgreichen Cyberangriffe auf Unternehmen – mit zum Teil weitreichenden Folgen – hat der Experte Verständnis dafür, dass der Staat hier die Wirtschaft in die Pflicht nimmt. Selbstregulierung führe fast nie zum Ziel.
Lesen Sie auch: „It´s not a bug, it´s a feature“ – warum Proof of Work für Bitcoin essentiell ist
Leserfavoriten: Wirtschaftswachstum : Deutschlands fette Jahre sind vorbei
Neuer Arbeitgeber : Was der Jobwechsel der Karriere wirklich bringt
Bundesrechnungshof : „Die Bundeswehr bezahlt für Batterien bis zu 15-mal mehr als nötig“
2024-04-20T11:33:41Z dg43tfdfdgfd