Mitarbeiter in einem Konferenzrau, es erscheinen Bildschirme mit Daten

Mitarbeiter sind beim Thema IT-Sicherheit auch ein Risikofaktor. (Bild: metamorworks - stock.adobe.com)

Plötzlich geht nichts mehr. Die Maschinen stehen still. Die Website ist nicht mehr abrufbar. Ein Hacker-Angriff legt das Unternehmen lahm. Ein Horror-Szenario von dem sich viele weit entfernt sehen, das aber leider immer öfter passiert. Zuletzt hat ein Cyberangriff die IT-Systeme des Industriedienstleisters Wisag massiv gestört. Ob und welche Daten von Servers der Wisag kopiert worden sind, wird derzeit noch untersucht.

In einer Umfrage von Western Digital, einem Anbieter für Dateninfrastrukturen, gaben mehr als die Hälfte der deutschen Datamanager an, dass die Sicherheitsbedrohungen und –vorfälle zugenommen haben. Weltweit ist es sogar eine Zunahme von 62 Prozent. Fünf Prozent aller Unternehmen in Deutschland haben laut einer Studie der Datenschutz-Beratung Hey Data schon einmal sensible Daten durch IT-Angriffe oder Pannen verloren.

Risikofaktor Mensch im Bereich IT-Sicherheit

Wie kann also die Cybersicherheit in den Unternehmen verbessert werden? Da wäre zunächst einmal der Risikofaktor Mensch. Denn laut der Studie von Western Digital sind die Beschäftigten eines der größten Risikofaktoren. Fast ein Viertel der Befragten gaben an, hochsensible Daten in Gefahr gebracht zu haben – wissentlich oder versehentlich. Kein Wunder, dass die Mehrheit der Datenmanager das Mitarbeiterverhalten als größere Gefahr als Hackerangriffe sieht. Sie schätzen, dass fast ein Drittel aller Datensicherheitsvorfälle ihren Ursprung in den eigenen Reihen haben.

Ruben Dennenwaldt, Senior Product Marketing Manager EMEA bei Western Digital, erklärt: „In der heutigen Geschäftswelt können es erhöhte Sicherheitsrisiken, die Arbeitsweise der Mitarbeitenden und die schiere Menge der produzierten Daten erschweren, den Überblick über die Speicheranforderungen zu behalten.“

Im Zuge des technologischen Fortschritts suchen Unternehmen nach Möglichkeiten, sensible Daten sicherer zu speichern und zu teilen. Für Dennenwaldt sind zwei Maßnahmen besonders wichtig: Die richtige Infrastruktur von Verschlüsselungsplattformen und die Schulung von Mitarbeitenden zum korrekten Umgang mit sensiblen Informationen.

„Cyber-Sicherheit ist Chefinnen- und Chefsache“

Das Schulen von Beschäftigten sieht auch Jonas Hielscher, Promovierender der Fakultät für Elektrotechnik und Informationstechnik an der Ruhr-Universität Bochum, als wichtigen Faktor. Auf dem diesjährigen IT-Sicherheitskongress des Bundesamts für Sicherheit in der Informationstechnik erklärte er, Mitarbeitende werden für produktive Tätigkeiten bezahlt. Sie haben deshalb nur ein gewisses „Compliance Budget“, um sekundäre Tätigkeiten wie IT-Sicherheit umzusetzen.

Deshalb sei Wissensvermittlung – und zwar zielgruppengerecht und in passender Sprache – extrem wichtig. Denn: „Mitarbeitende können keine Minime Security-Expert:innen werden“, so Hielscher. Sie könnten nicht täglich jede Mail zehn Minuten lang überprüfen, um zu schauen, ob es sich um Spam handelt oder nicht.

Unternehmen müssen sich deshalb fragen, was sie tun können, um diese Routinen besser zu machen. Hielscher nimmt dabei auch die Führungskräfte in die Pflicht, denn: „Cyber-Sicherheit ist Chefinnen- und Chefsache.“ Sie sollten als Vorbilder fungieren. Zudem sollte der Chief Information Security Officer nicht nur an den CEO berichten, sondern Teil des Vorstands sein.

Datensicherheit: So steht Deutschland im europäischen Vergleich da

Natürlich ist nicht nur Deutschland von Sicherheitsbedrohungen betroffen. Deshalb lohnt sich ein weltweiter und europäischer Vergleich.

  • Versicherung: Nur 20 Prozent der deutschen Unternehmen sind laut der Umfrage von Hey Data gegen Schäden durch Datenlecks versichert. Im europäischen Vergleich ist das ein niedriger Wert. In Dänemark zum Beispiel sind 56 Prozent der Unternehmen gegen Cyberangriffe versichert.
  • Datenschutzstrategie: Nur 27 Prozent der deutschen Unternehmen verfolgen eine Datenschutzstrategie, die nicht älter als zwölf Monate ist und dem aktuellen Stand der Technik entspricht. Hier liegt Deutschland genau im europäischen Durchschnitt.
  • Weiterbildungen: Nur 17 Prozent der deutschen Firmen führen verpflichtende Weiterbildungen zum Thema Datenschutz und IT-Sicherheit durch. Die höchste Weiterbildungsquote in Europa hat Estland mit 42 Prozent.

Cybersicherheit in der Fertigung

Produzierende Unternehmen haben noch einen weiteren Risikofaktor: die Sicherheit von Fertigungsstrecken. Oliver Hanka, Director im Bereich Cyber Security bei PwC Deutschland, erklärt im Gespräch mit unserer Redaktion, dass auch die Angriffe in Richtung Produktion immer mehr zunehmen. „Und in einer vernetzen Produktion haben die gezielten Angriffe auch immer mehr Auswirkungen.“ Deshalb sei das Thema jetzt bei den Unternehmen auch im Fokus.

Die Industrie 4.0 bringe viele Vorteile mit sich und durch die teilweise Verschiebung der Kontrollinstanzen in die Cloud gewinnen Firmen einiges an Flexibilität. Das bedeute aber auch, dass es die vormals schützende Mauer um die OT-Anlagen nicht mehr gibt.

Dabei gibt es aber mehrere Herausforderungen für die Unternehmen. Dazu zählt, dass die Firmen noch Nachholbedarf beim Thema Cybersicherheit im Produktionsbereich haben. „Die wenigsten Firmen haben das Know-how und die Kollegen an Board, die das Thema bearbeiten können. Das Problem ist, dass alle Firmen nach Mitarbeitenden suchen, aber kaum jemanden finden“, sagt Hanka.

Katz-und-Maus-Spiel bei IT-Sicherheit

Die IT-Gefahren in den Unternehmen sieht er als Katz-und-Maus-Spiel. Die Angreifer gehen am Ende auch wirtschaftlich vor. Das heißt: Nutzen und Aufwand müsse in Relation stehen, so Hanka. Wenn ein Angriff zu aufwändig ist, geben die Hacker auf. Die Konsequenz für Unternehmen: Wenn neue Schwachstellen in einem Sicherheitssystem entdeckt werden, müssen sie schnell neue Abwehrmaßnahmen entwickeln.

Mit Blick auf die deutschen Fertigungsunternehmen sagt Hanka, die wenigsten starten komplett bei null. Es brauche aber eine einheitliche Strategie. „Deshalb schauen wir uns immer zuerst an, was der aktuelle Stand ist, um dann auf ein einheitliches Niveau zu kommen“, schildert er die Vorgehensweise. „Was wir den Firmen immer mitgeben: Es reicht nicht, wenn sie uns als Security-Instanz haben. Es muss auch immer jemand in der Firma sein, der sich damit auskennt.“

Sie möchten gerne weiterlesen?