Durch die Verlagerung von Geschäftsmodellen ins Digitale steigt die Gefahr von Hackerangriffen auch hierzulande weiter. Wollen Chefs ihre Unternehmen schützen, müssen sie Cyberkriminalität mindestens so ernst nehmen wie andere Risiken, sagt Claus Herbolzheimer.
Deutschland hat seinen bislang schwersten Cyberangriff, eine massive Spähattacke auf das Datennetz des Deutschen Bundestages, erlebt. Nach Erkenntnissen des Bundesamtes für die Sicherheit in der Informationstechnik (BSI) handelt es sich bei der Schadsoftware um einen Trojaner. Ein neues IT-Sicherheitsgesetz soll besseren Schutz bieten.
Cyberangriffe auf die IT-Systeme des Deutschen Bundestags, die Rechner des französischen Senders TV5 Monde, Computer der US-Regierung. Die Fälle, in denen Unternehmen und Behörden zu Opfern von Cyberkriminalität werden, häufen sich.
Auch Österreich ist, obwohl überwiegend mittelständisch strukturiert, vor Hackerattacken nicht gefeit: Cyberkriminalität rangiert in der hiesigen Kriminalstatistik unter den Top Five der verzeichneten Straftaten.
Laut aktueller E-Crime-Studie der Beratungsfirma KPMG ist bereits fast jedes zweite österreichische Unternehmen von Cyber-Crime betroffen. Angreifer sind Konkurrenten, ehemalige Mitarbeiter, Hobbyhacker oder Berufsverbrecher.
Nicht der IT überlassen
Die Gefahr ist real - und kommt die Unternehmen teuer zu stehen: Finanzielle Verluste entstehen durch Produktionsstillstand, Diebstahl von Know-how und Kundendaten, durch Imageschaden. Das Center for Strategic and International Studies (CSIS) schätzt die weltweiten Wirtschaftseinbußen durch Cyberattacken auf mehr als 400 Milliarden Dollar pro Jahr. In Österreich beträgt der Schaden demnach 0,41 Prozent des BIP - 400.000 Euro Schaden entstehen laut Bundeskriminalamt bei einzelnen Attacken im Schnitt.
Mit der fortschreitenden Digitalisierung, warnen Experten einhellig, werden Frequenz und Ausmaß der Angriffe weiter ansteigen. Vor dieser Bedrohung seien Unternehmen momentan noch nicht ausreichend geschützt, lautet der Tenor. "Das Bewusstsein ist zwar da, an der Strategie fehlt es aber häufig noch", sagt Alexander Janda, Generalsekretär des Kuratoriums Sicheres Österreich.
Das Problem ist also bekannt und benannt - aber was können Unternehmen tun? Geht es nach Janda, muss "Cybersicherheit zur Chefsache erklärt werden".
Welche Daten schützen?
Auch Claus Herbolzheimer, Partner bei der Unternehmensberatung Oliver Wyman, rät, das Thema auf die Vorstandsagenda zu setzen. Er sagt: "Sich auf die technische Kompetenz der IT-Abteilung zu verlassen reicht bei weitem nicht aus". Erforderlich seien Sicherheitsmaßnahmen, die die gesamte Organisation einschließen. "Man muss wegkommen von der Attitüde: Das ist ein kompliziertes Hexenwerk. Den technischen Weg, wie ein Angriff stattfindet, muss ein Vorstand ja gar nicht verstehen, sondern nur: Welcher Schaden kann dadurch verursacht werden?"
Zunächst müssten sich Chefs klar darüber werden, welche Informationen, welche Daten, überhaupt sensibel und schützenswert sind. "Das sind je nach Branche andere." Ist der Fokus gesetzt und sind die Ressourcen entsprechend verteilt, müssten Mitarbeiter auf einschlägige Skills trainiert werden: "Es ist wichtig, dass sie verstehen, was im Web abgeht, Statistiken lesen können, in der Lage sind, Daten der Sicherheitsunternehmen auszuwerten", sagt Herbolzheimer. "Daran fehlt es meist noch."
In den USA beispielsweise würde sich Unternehmen bereits intensiv um die Ausbildung von Mitarbeitern zu "Cyber-Analysts" kümmern.
Facebook-Verbot für Chefs
Last, but not least sollte Cybersicherheit auch als wesentlicher Bestandteil in das Risikomanagement aufgenommen werden. Herbolzheimer: "Cyber-Risiken müssen genauso behandelt werden wie andere Risiken." Wichtig: "Internetkriminalität muss auch im Risikobericht aufscheinen."
Herbolzheimers spezieller Tipp an Chefs: "Auch sie müssen die verhängten Regeln ernst nehmen. Wenn Mitarbeiter keine Social Media nutzen dürfen, muss das auch für den Vorstand gelten. Sonst bringt das alles nichts." (Lisa Breit, 16.6.2015)