Sicherheit im Digitalzeitalter: Die entscheidende Rolle der Geschäftsführung bei der Absicherung von Informationstechnologien
Inhalt
In einer Zeit, in der die Digitalisierung in allen Lebensbereichen voranschreitet, hat sich die IT-Sicherheit zu einem zentralen Thema für Unternehmen entwickelt. Interessanterweise übertrifft der finanzielle Ertrag aus Cyberkriminalität mittlerweile den des globalen Drogenhandels, was die Ernsthaftigkeit und die Notwendigkeit für effektive Sicherheitsmaßnahmen unterstreicht. Trotz dieser Brisanz neigen Geschäftsführer dazu, das Thema IT-Sicherheit zu meiden oder es als sekundäre Aufgabe zu betrachten, die hauptsächlich in den Händen der internen IT-Abteilung liegt. Doch oft fehlt es dieser Abteilung an den notwendigen Ressourcen und spezialisierten Kenntnissen, um einen umfassenden Schutz zu gewährleisten. Viele IT-Leiter fühlen sich mit ihren begrenzten Mitteln überfordert und erkennen, dass die erforderlichen Investitionen und Personalressourcen nicht ausreichen, um einen angemessenen Schutz zu bieten. Aus der Perspektive der Geschäftsführung wird IT-Sicherheit oft nur als zusätzliche finanzielle und operative Belastung wahrgenommen.
Die Auslagerung von IT-Dienstleistungen bringt eigene Risiken mit sich, wie jüngste Vorfälle und Warnungen von Finanzaufsichtsbehörden wie der BAFIN zeigen. Vor allem in kritischen Situationen, wie dem Vorfall bei einem IT-Dienstleister in Westfalen, der Hunderte von Verwaltungen und Unternehmen betraf, wird deutlich, dass auch externe Lösungen ihre Grenzen haben.
Handlungsoptionen für Geschäftsführer
Um Risiken effektiv zu managen, ist es unabdingbar, sie zu verstehen. Dies gilt insbesondere für Geschäftsführer. Security-Assessments und Zertifizierungen bieten eine Möglichkeit, sowohl die organisatorische als auch die technische Widerstandsfähigkeit eines Unternehmens zu bewerten. Ein Umdenken ist insbesondere für kleinere und mittelständische Unternehmen notwendig, die oft irrtümlich annehmen, dass Cyberangriffe nur große Konzerne betreffen. Dieses Missverständnis wird oft durch die Tatsache verstärkt, dass betroffene Unternehmen selten öffentlich über Angriffe sprechen, sodass hauptsächlich große, bekannte Fälle in den Medien erscheinen.
IT-Sicherheit: Mehr als nur Technologie
Für viele Unternehmer erscheint IT-Sicherheit lediglich als ein Kostenfaktor. Das fehlende Verständnis für die Anforderungen und Bedürfnisse der IT-Abteilungen führt oft zu einer Kluft zwischen Management und technischen Teams. Erfolgreiche IT-Sicherheit erfordert jedoch eine Zusammenarbeit über diese Grenzen hinweg. Sie umfasst mehr als nur die Implementierung von Virenscannern und Firewalls. Wichtige Aspekte sind hierbei auch die Etablierung angemessener Prozesse und die regelmäßige Schulung der Mitarbeiter über potenzielle Gefahren. Eine hilfreiche Übung für Geschäftsführer kann es sein, sich die Folgen eines kompletten Ausfalls der IT-Systeme für zwei Wochen vorzustellen. Wie würde man in einem solchen Fall Mitarbeiter und Kunden informieren und woher die notwendige Unterstützung erhalten? Viele Unternehmen, selbst solche mit guten Vorbereitungen, brauchen Wochen, um nach einem solchen Vorfall wieder voll funktionsfähig zu sein, und manche überleben einen solchen Vorfall nicht.
Die Rolle der Regulierung
Der Gesetzgeber hat ebenfalls die Notwendigkeit für mehr IT-Sicherheit in Unternehmen erkannt. Neue Regulierungen wie NIS2, DORA und CRA werden in Kürze in nationales Recht umgesetzt und verpflichten Unternehmen zu verstärkten Sicherheitsmaßnahmen. Diese Regulierungen werden ab Oktober 2024 bzw. 2025 rechtsverbindlich. Unternehmen müssen sich daher kurzfristig mit diesen neuen Anforderungen auseinandersetzen. In einigen Branchen, wie beispielsweise im Automobilsektor, werden bereits jetzt von größeren Unternehmen entsprechende Sicherheitsmaßnahmen oder Zertifizierungen wie Tisax von ihren Zulieferern verlangt, unabhängig davon, ob sie direkt unter die Regulierungen fallen.
Zusammenfassung
Unternehmen und insbesondere deren Geschäftsführungen müssen das Thema IT-Sicherheit ernst nehmen und ihre Einstellung dazu ändern. IT-Sicherheit umfasst die drei Säulen Mitarbeiter, Prozesse und Technik, die alle gleichermaßen Beachtung finden müssen. Der Startpunkt kann ein umfassendes Assessment sein, das alle Bereiche betrachtet und als Chance zur Verbesserung genutzt wird. Durch verbesserte IT-Sicherheit können Unternehmen nicht nur ihre Prozesse optimieren, sondern auch bei Versicherungen Geld sparen, da diese ein reduziertes Risiko begrüßen. Es geht darum, die Sicherheit umfassend zu betrachten und die verfügbaren Mittel effektiv einzusetzen.
Wir als TheUnified helfen Ihren mit Security-Assessments dabei ihre aktuelle Situation zu erkennen und die richtigen Prioritäten für mehr Cyber-Resilienz zu setzen. Sprechen Sie uns an.