Die Bedrohungslage von Cyberangriffen auf Unternehmen nimmt immer weiter zu. Neben vielen technischen Möglichkeiten zum Schutz der eigenen Infrastrukturen, gilt es vor allem, die eigenen Mitarbeiterinnen und Mitarbeiter für das Thema zu sensibilisieren und zu schulen.Von Christoph Berger
Die Zahlen sind alarmierend: Gut jedes zehnte Unternehmen in Deutschland war laut einer von Ipsos im Auftrag des TÜV-Verbands durchgeführten Umfrage im vergangenen Jahr von einem IT-Sicherheitsvorfall betroffen. Dabei handelte es sich um erfolgreiche Cyberangriffe oder andere sicherheitsrelevante Vorfälle wie Sabotageakte oder Hardware-Diebstahl. Das im August 2023 vom Bundeskriminalamt veröffentlichte „Cyberlagebild 2022“ stuft Cybercrime zu den Phänomenbereichen mit dem höchsten Schadenspotenzial in Deutschland ein. Die durch den Digitalverband Bitkom errechneten Cybercrime-Schäden in Deutschland beliefen sich laut dem Wirtschaftsschutzbericht 2022 auf 203 Milliarden Euro und sind damit rund doppelt so hoch wie noch im Jahr 2019.
Was also tun? Die Mehrzahl der von Ipsos für die TÜV-Umfrage Befragten, 64 Prozent, sprechen sich angesichts der Bedrohungslage für zusätzliche gesetzliche Vorgaben aus – jedes Unternehmen sollte dazu verpflichtet sein, angemessene Maßnahmen für seine Cybersecurity zu ergreifen. Und das tun die Unternehmen auch. So brachte die Umfrage ebenfalls als Ergebnis hervor, dass gut jedes zweite Unternehmen seine Ausgaben für Cybersecurity in den vergangenen zwei Jahren leicht oder sogar deutlich erhöhte (52 Prozent). Die Investitionen gehen an erster Stelle in moderne Hardund Software: 78 Prozent haben veraltete Geräte außer Betrieb genommen, 71 Prozent sichere Hardware angeschafft und 55 Prozent neue Cybersecurity-Software eingeführt. 63 Prozent haben die IT-Sicherheit vernetzter Maschinen und Anlagen verbessert.
Die Menschen sind weiterhin eines der wichtigsten Einfallstore für Angreifer, zugleich aber auch die erste und vielleicht beste Abwehr bei Angriffen.
Darüber hinaus investieren die Unternehmen in ihr eigenes Know-how: Sie lassen sich von externen Expert*innen beraten und schulen ihre Mitarbeitenden. Auch Penetrationstests und Notfallübungen werden genutzt, um Schwachstellen zu identifizieren und besser auf den Ernstfall vorbereitet zu sein.
Der Branchenverband nennt drei Dinge, die nun ganz oben auf der Agenda stehen sollten, um Unternehmen für Angriffe zu wappnen. Zum einen müsse die IT-Sicherheit mit den notwendigen Ressourcen ausgestattet werden. Zweitens brauche jedes Unternehmen einen Notfallplan. Und last but not least müssten alle Mitarbeiter*innen zum Thema IT-Sicherheit geschult werden: Die Menschen seien weiterhin eines der wichtigsten Einfallstore für Angreifer, würden zugleich aber auch die erste und vielleicht beste Abwehr bei Angriffen bilden, heißt es. Solche Schulungen dürften allerdings nicht nur pflichtschuldig einmal durchgeführt werden, sie müssten regelmäßig stattfinden. Denn auch die Methoden und Technologien der Angreifer würden sich weiterentwickeln.
