Die Verantwortung für die Cyber-Sicherheit von Unternehmen ist häufig beim IT-Management ansiedelt, selten im Vorstand oder bei der Geschäftsführung. Diesen Eindruck vermittelt zumindest der aktuelle "Cyber Security Report DACH" des Sicherheitsunternehmens Horizon3.ai. Dennis Weyel, International Technical Director mit Zuständigkeit für Europa bei der auf Cyber-Security spezialisierten Firma, stellt fest: "Den meisten Vorständen oder Geschäftsführern scheint gar nicht klar zu sein, dass sie ohne Wenn und Aber persönlich in der Haftung stehen, wenn es durch einen ernsthaften Cyber-Angriff etwa zu einer Betriebsunterbrechung kommt, personenbezogene Daten entwendet werden oder schlimmstenfalls sogar Insolvenz angemeldet werden muss."
Angesichts von täglich mehr als 4.000 Attacken allein auf deutsche Unternehmen, wie aus dem letzten Lagebericht des Bundesamtes für Informationssicherheit (BSI) hervorgeht, stuft Dennis Weyel diese "Blindheit gegenüber der Verantwortung" als "grob fahrlässig" ein. Er empfiehlt der obersten Leitungsebene über alle Branchen hinweg Weisung zu geben, mindestens einmal im Monat oder sogar wöchentlich durch sogenannte Penetrationstests ("Pentest") – im Finanzsektor von der EZB als "Stresstest" bezeichnet – die Cyber-Resilienz ihrer Firmen überprüfen zu lassen.
Laut "Cyber Security Report DACH" liegt die Verantwortung für die IT-Sicherheit in den Unternehmen beim (in dieser Reihenfolge) Chief Technology Officer (CTO, 24% der Firmen), Chief Information Officer (CIO, 18%) bzw. IT-Einkaufsleiter (18%), Leiter der Abteilung Digitales (15%), Chief Information Security Officer (CISO, 13%) oder Manager für Risiko und Compliance (7%). Ein knappes Zehntel (9%) hat den Verantwortungsbereich IT-Sicherheit an eine externe Beratungsfirma gegeben. "In Wahrheit liegt die Verantwortung im Fall der Fälle aber bei allen Vorständen oder allen Geschäftsführern", gibt Dennis Weyel zu bedenken.
Über 200 Milliarden Euro Schaden
In der Umfrage erklärte beinahe die Hälfte (48%), dass sie sich der persönlichen Haftung auf Top Management-Ebene bewusst seien. Ein Drittel gab sich von dieser Rechtsposition überrascht, 12% behaupteten, von dieser Haftung "noch nie gehört" zu haben. Den mit Cyber-Kriminalität verbundenen Schaden schätzte ein gutes Drittel (34%) auf 100 bis 200 Milliarden Euro allein in Deutschland. 28% gingen von 200 bis 300 Milliarden Euro Schadenshöhe aus, 22% von 50 bis 100 Milliarden Euro, und 15% von weniger als 50 Milliarden Euro. Damit liegt knapp zwei Drittel der Befragten in der Grössenordnung richtig: Der IT-Branchenverband geht von etwas über 200 Milliarden Euro Schadenssumme im letzten Jahr aus.
"Obgleich dem Gros der Führungskräfte das Gefahrenpotenzial und ihre persönliche Haftung bewusst sind, gehen sie vergleichsweise lax damit um", sagt Sicherheitsexperte Dennis Weyel. Er spekuliert: "Möglicherweise gehen viele Top-Manager davon aus, dass ihre D&O-Versicherung [Directors-and-Officers-Versicherung, auch Organ- oder Manager-Haftpflichtversicherung] zusammen mit einer Cybercrime-Versicherung schon für alle eventuellen Schäden aufkommen werden. Doch wenngleich beide Versicherungen sinnvoll sind, ist eine Schadensregulierung im Fall der Fälle mitnichten per se gegeben. Eine ausreichende Absicherung vor Hackerangriffen und der Nachweis, dass Cyberattacken tatsächlich ins Leere laufen, stellen in der Regel eine wesentliche Grundlage für derartige Versicherungen dar." / ots
