Die Milliarden-Bedrohung: Warum IT-Sicherheit ohne Führung nicht funktioniert.
Cyberangriffe verursachen nachweislich enorme finanzielle Schäden – ohne eine starke Führungsstrategie sind Unternehmen dem Risiko schutzlos ausgeliefert.
Die alarmierenden Zahlen des IBM Cost of a Data Breach Report1
Der IBM Cost of a Data Breach Report zeigt mit seiner neuesten Veröffentlichung im Jahr 2024 bereits zum 19ten Mal alarmierende Kosten-Trends: In Deutschland stiegen die Kosten pro Datenleck auf durchschnittlich 4,9 Millionen Euro, ein Anstieg von 14 %. Besonders betroffen sind Industrieunternehmen mit 9,34 Millionen Euro pro Vorfall. Die aussagekräftige Studie umfasst weltweit rund 600 befragte Unternehmen und 3500 befragte Personen.
„Das ist längst keine rein technische Angelegenheit mehr. Es geht um strategische Entscheidungen auf Führungsebene, die über das Überleben eines Unternehmens entscheiden können.“ so Cybersecurity Experte Prof. Thomas R. Köhler. Diese Sicherheitsvorfälle können unter Umständen auch mit einer Cyberversicherung nicht angemessen abgesichert werden. Die tatsächlichen Kosten eines Ransomware-Angriffs gehen weit über die Lösegeldzahlung hinaus – sie können sich auf das Siebenfache der Lösegeldforderung belaufen2 – eine Summe, die von vielen Unternehmen, besonders im mittelständischen Bereich, unterschätzt wird. Ebenfalls sind massive Imageschäden zu erwarten. „Durch die zunehmende Gefahr von Cyberrisiken hat sich die Cyberversicherung über die letzten Jahre zu einem Kernelement des Risikomanagements entwickelt. Durch ein einziges Schadenereignis können viele verschiedene Bereiche einer Cyberversicherung betroffen sein (z.B. Betriebsunterbrechungskosten, Kosten für Anwälte und Forensiker, Wiederherstellungskosten etc.). Wichtig ist in diesem Zusammenhang, dass es im Rahmen der Absicherung der Cybergefahren keinen „One-fits-all“ Ansatz geben kann. Vielmehr kommt es hier auf die individuelle Risikoquantifizierung der einzelnen Unternehmen an, um für den Ernstfall entsprechend abgesichert zu sein.“ (Corinna Sedlmeier, Munich Re)
Der Wert der Daten: zu oft unterschätzt.
„Daten gelten als das neue Öl des Internets und die neue Währung der digitalen Welt“, so die ehemalige EU-Kommissarin für Verbraucherschutz, Meglena Kunewa. Damit hat und behält sie recht, denn ein Blick auf die Zahlen neuester Cyberangriffe auf die Wirtschaft zeigt, dass allein im Jahr 2024 zahlreiche deutsche Unternehmen, darunter Sybit, Melchers, Deutsche Telekom und Thyssenkrupp3 Opfer von Cyberangriffen wurden – unabhängig von ihrer Branche. Oftmals handelte es sich um Phishing-Angriffe oder Identitätsdiebstähle, die aufgrund nicht ausreichend geschulter Mitarbeiter/innen die größten Faktoren für Datenlecks sind. Zudem ist zu verzeichnen, dass es längst nicht mehr nur die großen Unternehmen sind, die im Visier der Cyberkriminellen stehen. Immer mehr kleine und mittelständische Unternehmen werden aufgrund ihrer mangelnden Sicherheitsstrategien zu Opfern von Cyberangriffen – denn jedes Unternehmen besitzt wertvolle Daten.
„Diese Angriffe verdeutlichen, dass Unternehmen keiner Branche und Größe sicher vor Cyberangriffen sind. Die Verantwortung für den Umgang mit Sicherheitsrisiken im eigenen Unternehmen tragen somit die Entscheider/innen. Doch diese fühlen sich zu oft nicht betroffen, bis es zu spät ist. Besonders die Zahl der unentdeckten Cyberangriffe ist eine besorgniserregende Grauziffer in allen Statistiken. Zu oft werden Unternehmen über Jahre ausspioniert, ohne es zu wissen.“ So Birgitte Baardseth der International School of IT Security AG.
Betroffene Unternehmen denken oft erst nach einem Angriff um.
Ist der Ernstfall einmal eingetroffen, stellt dies Unternehmen vor gleich zwei existentielle Probleme: Kann sich mein Unternehmen diesen Schadensvorfall überhaupt leisten? Wie kann mein Unternehmen, mein Team und meine Kundschaft effizient gegen derartige Angriffe geschützt werden? Passgenaue Sicherheitsstrategien betreffen inzwischen längst das ganze Unternehmen: Die sicherheitsrelevante Infrastruktur, die Mitarbeitenden und ein gesetzeskonformer Umgang mit Daten, bedürfen einer strategischen und transparenten Etablierung im Bewusstsein aller Angestellten in einem Unternehmen. „Informationssicherheit stellt Führungskräfte vor kommunikative Herausforderungen. Neben der Vermittlung sinnhafter und sinnstiftender Regeln müssen sie diese selbst täglich aktiv vorleben.“ Dr. Carsten Gottert
Wie kann sich die Geschäftsführung effektiv gegen Cyberangriffe schützen?
Nach einem Cyberangriff stehen Unternehmen vor der großen Herausforderung, nicht nur den entstandenen Schaden zu bewältigen, sondern auch präventive Maßnahmen für die Zukunft zu ergreifen. „Eine der wichtigsten Aufgaben der Geschäftsführung besteht darin, eine nachhaltige IT-Sicherheitsstrategie zu veranlassen und zu implementieren. Dies umfasst nicht nur die technische Aufrüstung der IT-Infrastruktur, sondern auch die kontinuierliche Schulung der Mitarbeitenden und der eigenen Führungsetage, um Bewusstsein und Kompetenz in Bezug auf Cyberrisiken zu steigern.“4 Führungskräfte müssen lernen, dass Sicherheitsstrategien nicht erst nach einem Angriff, sondern im Idealfall bereits im Vorfeld etabliert werden müssen, um proaktiv gegen potenzielle Bedrohungen vorzugehen.
Ein wesentlicher Schritt in Richtung einer stärkeren Verteidigungsstrategie ist der Austausch mit Expert/innen durch fortlaufende Weiterbildungen, Konferenzen und die Anwendung unterstützender Softwarelösungen. Der Besuch spezialisierter und fachlich hochaktueller Veranstaltungen, wie dem Cybics Executive IT Security Summit 2024, am 04. – 05. Dezember, in Bochum, ermöglicht die Kernthemen bereits in kurzer Zeit zu erfassen, sich darüber auszutauschen und auf das eigene Unternehmen anzuwenden. Hier erhalten Entscheider/innen wertvolle Einblicke in Best Practices, technologische Innovationen sowie gesetzliche Konformität und können aus den Erfahrungen anderer Unternehmen lernen.