Wenn es still wird in den Fluren deutscher Unternehmen, haben Cyberkriminelle Hochkonjunktur: Denn während der Feiertage sind die IT-Abteilungen meist noch dünner besetzt als ohnehin. 70 Prozent der Unternehmen fühlen sich durch Cyberattacken inzwischen in ihrer Existenz bedroht – und es könnten zwischen den Jahren noch mehr werden.

Die Expertin für Informationssicherheit Trine Øksnebjerg erklärt, wie sich Betriebe effektiv gegen Cyberattacken wappnen können und was eine wirksame digitale Informationssicherheit ausmacht – nicht nur während der Weihnachtszeit.

Anzeige

Die reale Bedrohung durch Cyberattacken hat in den letzten drei Jahren exponentiell zugenommen: „Allein in den letzten zwölf Monaten haben vier von fünf deutschen Unternehmen kriminelle Angriffe im digitalen Raum erlebt“, warnt Trine Øksnebjerg. Als Expertin für Informationssicherheit berät sie für emagine, einem führenden Anbieter von IT-Consulting- und -Engineering-Services, IT-Verantwortliche und Unternehmen in ganz Europa. Der deutsche Digitalverband Bitkom gibt ihr recht: Laut einer aktuellen Studie entstanden durch Cyberangriffe im zurückliegenden Jahr Schäden in Höhe von etwa 180 Milliarden Euro. Mehr als zwei Drittel der deutschen Unternehmen sehen sich dadurch in ihrer Existenz bedroht – sechsmal mehr als noch 2021.

Umsetzung regulatorischer Vorgaben reicht nicht aus

Längst hat auch die Politik auf die immer dramatischere Bedrohungslage reagiert: Mehrere Verordnungen der Europäischen Union sollen die Resilienz von Unternehmen gegen Cyberangriffe verbessern und eine angemessene Informationssicherheit gewährleisten. Dazu zählen unter anderem der Cyber Resilience Act (CRA), die Network and Information Services Directive 2 (NIS2) sowie der für am Finanzmarkt tätige Unternehmen geltende Digital Operational Resilience Act (DORA). Den Rechtsrahmen in Deutschland setzt das IT-Sicherheitsgesetz: Dort sind zu erfüllende Anforderungen an die IT-Sicherheit definiert, aber auch Meldepflichten nach einem erfolgten Cyberangriff.

„Staatliche beziehungsweise politische Regulierung kann im digitalen Raum aber nicht gegen sämtliche Gefahren schützen“, warnt Trine Øksnebjerg von emagine. „Denn digitale Bedrohungen werden immer komplexer und innovativer.“ Ein lückenloser Schutz gegen Cyberbedrohungen sei also selbst dann nicht möglich, wenn Unternehmen sämtliche rechtlichen Anforderungen erfüllten: „Regulierungen sind eher als eine Art Katalog von Mindestanforderungen zu verstehen“, erklärt Øksnebjerg. Auch wenn der Schutz vor kriminellen Straftaten im Allgemeinen als Leistung des Staates gesehen werde, müssten Vorstände, Manager und IT-Verantwortliche sich bewusst machen, dass im digitalen Raum andere Anforderungen gelten: „Der Schutz vor existenziellen Bedrohungen ist hier in der individuellen Verantwortung aller Akteure“, so Trine Øksnebjerg.

Cybersicherheit ist Chefsache

Dazu sei ein maßgeschneidertes, proaktives Risikomanagement notwendig, eingebettet in eine von allen Beteiligten verinnerlichte, strategische Sicherheitskultur, fordert die Expertin für Informationssicherheit: „Um ihre Wettbewerbsfähigkeit und letztlich ihre Existenz langfristig zu sichern, benötigen Unternehmen in ihren Prozessen ein höheres Maß an Cyber-Resilienz.“ Nach ihrer Erfahrung ist das in vielen Branchen der deutschen Wirtschaft noch nicht der Fall.