IT-Sicherheit: Schluss mit der digitalen Naivität

Conceptual image of Data Security and protection System on internet

Die Erpressungstrojaner „WannaCry“ und „Petya“ sind in diesem Jahr zu Synonymen für die Verwundbarkeit einer digitalisierten Gesellschaft geworden. Die Zahl der Einfallstore für Hacker und Industriespione wird durch das Internet of Things exponentiell steigen. Spätestens jetzt gehört das Thema IT-Sicherheit nach ganz oben auf jede Management-Agenda.

Autor: Urs M. Krämer

Unachtsamkeit, fehlendes Bewusstsein, dass es auch das eigene Unternehmen treffen kann, sowie Unwissenheit über das mögliche Schadenausmaß machen es Internetkriminellen immer noch zu leicht. Eine Studie des Digitalverbandes Bitkom spricht von einem Schaden von 100 Milliarden Euro, der Unternehmen in Deutschland in den vergangenen zwei Jahren entstanden ist. Ein Fünftel davon sind für Ermittlungen und Ersatzmaßnahmen gezahlt worden, so die Studie.

Eine zu hektische Digitalisierung in vielen Unternehmen hat ihren Anteil daran, dass IT-Sicherheit zu kurz kommt. Häufig werden Projekte aus reinem Aktionismus durchgepeitscht, ohne den Quercheck zu machen, ob die neue App oder das vernetzte Gerät auch sicher vor Hackern ist. Beispiele wie die WLAN-Spielzeugpuppe, die Gespräche aufzeichnet, und eine hackbare Waschmaschine haben hinreichend für Aufsehen und damit zumindest für Reputationsschäden bei den Herstellern gesorgt. Das sind keine Einzelfälle, wie unsere im April 2017 durchgeführte Potenzialanalyse Digital Security zeigt: 32 Prozent der IT-Entscheider berichten, dass im eigenen Unternehmen neue Technologien in Einzelfällen auch dann eingeführt werden, wenn vorab noch nicht alle möglichen Sicherheitsrisiken bekannt und bewertet sind.

Die Konsequenz sollte nicht lauten, die Digitalisierung aus Sicherheitsgründen abzublasen. Eine Doktrin á la „IT-Sicherheit zuerst“ für alle Digitalisierungsvorhaben ist keine Lösung. Ein Chief Information Security Officer weiß, dass er nicht jede Innovation pauschal aufhalten darf. Das widerspräche ganz klar dem heute nötigen Anspruch des Marktes an Agilität. Was allerdings dringend nötig ist, sind Strategien für eine Balance aus Sicherheit und Innovation. Beides sollte in den oberen Führungsebenen gleichermaßen ernst genommen werden.

Die Kunden tun dies übrigens: Es würden mehr Bundesbürger wegen einer Sicherheitslücke bei ihrer Hausbank zum Wettbewerber wechseln als bei zu geringer Rendite des Aktienfonds, zeigt eine Befragung der HSBC-Bank. Verbraucher wünschen sich von ihrer Bank zwar Zinsen für ihr Geld und unkompliziertes Banking. Dieser Wunsch steht allerdings auf einer Stufe mit der Sicherheit ihrer Transaktionen und Daten vor Cyberattacken. Cybersecurity kann deshalb von Banken und Finanzdienstleistern nicht hoch genug eingeschätzt werden.

Sorglosigkeit auf dem Rückzug

Die gute Nachricht: Es tut sich etwas in den Chefetagen deutscher Unternehmen. Es ist ein Umdenken zu erkennen – zumindest aus Sicht der für die Studie befragten 200 Sicherheitsfachleute der IT-Abteilungen. Rund jeder Dritte (38 Prozent) sieht eine Verharmlosung der Gefahr von Cyberangriffen durch Vorstände und Geschäftsführer. Ein Fortschritt: Vor zwei Jahren bemängelte noch jeder zweite IT-Verantwortliche, dass die Risiken unterschätzt werden.

Trotz des Rückzugs digitaler Sorglosigkeit: Prävention und Bekämpfung von Cybercrime müssen in den Köpfen des Managements einen größeren Stellenwert bekommen. Immerhin noch jeder vierte IT-Entscheider wünscht sich weniger Risikobereitschaft bei seiner Geschäftsleitung. Ebenso viele fordern ein stärkeres Bewusstsein dafür, dass nicht nur große Organisationen und bestimmte Branchen wie Banken, sondern praktisch jedes Unternehmen das Ziel von Cyberkriminellen werden kann.

Informationssicherheit gehört auf die Vorstandsagenda

Cybersecurity muss also Chefsache sein oder werden. An vorderer Stelle sollten Manager die Reaktionsbereitschaft und -fähigkeit auf IT-Attacken verbessern. Der Geschäftsbetrieb muss auch bei schwerwiegenden Sicherheitsvorfällen gewährleistet bleiben.

Das Tempo für das Erkennen und Schließen realer und potenzieller Einfallstore für Cyberattacken muss sich dem der Digitalisierung stärker anpassen. Es braucht so etwas wie eine agile IT-Risikoaufklärung, die laufend mit Daten gefüttert, selbstständig IT-Sicherheitskonzepte und -maßnahmen für neue Technologien erstellt. Gefragt ist hier an erster Stelle die Unternehmensleitung, denn sie gibt in der Regel die Budgets für die Maßnahmen frei.

Das Thema IT-Sicherheit gehört darüber hinaus auf jede Vorstandsagenda, wenn in neue Technologien investiert werden soll. Um Fehlinvestitionen zu vermeiden und zielführend auf die (Neu-)Gestaltung der unternehmensweiten Sicherheitsrichtlinien einzuwirken, gilt es, die Aussagen interner Mitarbeiter zur Sicherheitslage realistisch einschätzen zu können. Selbstüberschätzung in Sachen IT- und Cybersecurity ist eine der größten Gefahren für die Betriebs- und Datensicherheit und noch immer weitverbreitet.

Risiken der Digitalisierung mit digitalen Mitteln bekämpfen

Eine positive Botschaft: Die Digitalisierung sorgt nicht nur für neue Bedrohungsszenarien, auf die Unternehmen eine strategische Antwort finden müssen. Die Digitalisierung ist zugleich wichtiger Teil dieser Antwort. Per Mustererkennung in großen Datenmengen lassen sich untypische Abweichungen und damit potenzielle Angriffe von außen erkennen und zunehmend automatisch abwehren. Ein digitalisiertes und dynamisches IT-Sicherheitsmanagement muss in der Lage sein, Vorgaben selber zu ermitteln, umzusetzen und zu kontrollieren. Das ist auch eine technische Aufgabe der Unternehmens-IT, wird aber ohne das Management als zentralen Treiber nicht funktionieren.

Autor

Urs Krämer, Steria Mummert Consulting AG

Urs M. Krämer ist Chief Executive Officers von Sopra Steria Consulting. Im Blog Digitale Exzellenz ist er regelmäßig als Autor zu Themen rund um die digitale Transformation vertreten.


Twitter: @UMKraemer
XING: https://www.xing.com/profile/UrsM_Kraemer
LinkedIn: https://www.linkedin.com/in/ursmkraemer/