Spionage, Sabotage, Datendiebstahl: Deutscher Wirtschaft entsteht jährlich ein Schaden von 55 Mrd. Euro

Digitale Wirtschaftsspionage, Sabotage oder Datendiebstahl kann jedes Unternehmen treffen – doch die wenigsten sind für diesen Fall vorbereitet, wie eine Studie des deutschen Digitalverbandes Bitkom unter deutschen Unternehmen aufzeigt.

Achim Berg, Präsident des deutschen Digitalverbandes Bitkom © BITKOM

Wenn die Sicherheitssysteme einen Hackerangriff melden oder die IT-Systeme von außen lahmgelegt werden, gibt es gerade einmal in 4 von 10 Unternehmen (43 Prozent) ein Notfallmanagement das festlegt, was zu tun ist. Dabei sind selbst die Betreiber sogenannter kritischer Infrastrukturen (KRITIS) wie etwa Energieversorger oder Finanzdienstleister kaum besser vorbereitet als die übrigen Branchen. So verfügen 53 Prozent der KRITIS-Unternehmen über einen Notfallplan, bei den Nicht-KRITIS-Unternehmen sind es 41 Prozent. Das ist das Ergebnis einer Studie des Digitalverbands Bitkom, für die 1.069 Geschäftsführer und Sicherheitsverantwortliche quer durch alle Branchen repräsentativ befragt wurden. Unter den großen Unternehmen mit mehr als 500 Mitarbeitern verfügen rund zwei Drittel (68 Prozent) über ein Notfallmanagement, bei Mittelständlern mit 100 bis 499 Mitarbeitern sind es 61 Prozent und bei den kleineren Unternehmen mit 10 bis 99 Mitarbeitern haben sich sogar nur 40 Prozent vorbereitet. "Die Verantwortlichen in den Unternehmen sollten erkennen, dass die Gefahr digitaler Angriffe real ist. Wer darauf verzichtet, einen entsprechenden Notfallplan zu erstellen und kein Notfallmanagement etabliert, der gefährdet die Sicherheit des eigenen Unternehmens, seiner Mitarbeiter, Partner und Kunden", sagt Bitkom-Präsident Achim Berg.

Ein betriebliches Notfallmanagement legt in schriftlicher Form Sofortmaßnahmen fest, die erfolgen müssen wenn etwa die Produktion aufgrund digitaler Angriffe lahmgelegt wird, wichtige Webseiten wie Online-Dienste oder Online-Shops nicht erreichbar sind oder aber sensible Unternehmensdaten abfließen. Ziel ist es, den jeweiligen Cyberangriff möglichst rasch zu unterbinden, die Integrität der Daten zu schützen und die Arbeitsfähigkeit des Unternehmens wieder herzustellen. Die Maßnahmen für die Erarbeitung eines Notfallmanagements können dabei vom Erstellen einer Kontaktliste mit den wichtigsten Ansprechpartnern bis hin zu mehrtägigen Übungen reichen, bei denen verschiedene Szenarien durchgespielt werden. Das Notfallmanagement sollte auch festlegen, in welchen Fällen externe Dienstleister hinzugezogen werden, wann staatliche Stellen eingeschaltet oder wie Mitarbeiter oder auch die Öffentlichkeit von dem Vorfall informiert werden können. Berg: "Unternehmen, die ein Notfallmanagement etablieren, können im Krisenfall schneller reagieren und machen weniger Fehler", sagt Berg.



Sicherheitstipps

Bitkom und der deutsche Bundesverfassungsschutz geben Unternehmen, die Ihre Sicherheit verbessern wollen, folgende Tipps:

1. Sicherheit zur Chefsache machen

Sensibilisierung der Geschäftsführung

Initiieren firmenspezifischer Schutzüberlegungen auf Leitungsebene

Einrichtung eines Wirtschaftsschutz-Beauftragten oder eines Informations-Sicherheitsbeauftragten

2. Technische IT-Sicherheit steigern

Basisschutz ergänzt um Verschlüsselung und spezielle Angriffserkennung

Security-Information-Event-Management: Überwachung vernetzter Geräte und Erkennung von Anomalien

Security by Design bei allen Schnittstellen und vernetzten Geräten

Regelungen zum Umgang mit privaten und geschäftlichen mobilen Endgeräten

3. Organisatorische Sicherheit erhöhen

Präventives und permanentes Risikomanagement etablieren: Externe Gefahren identifizieren, interne Schwachstellen aufdecken und rechtzeitig beheben

Praxisorientierung aller Sicherheitsregularien

Zugriffsrechte auf Daten sowie physische Zugangsrechte für sensible Bereiche

Besuchermanagement: Umgang mit Gästen und Delegationen

Notfallmanagement: Schnelle Reaktion im Krisenfall mit Notfallplan und Zuständigkeitsregelungen

Etablierung einer "clean-desk-policy": Welche Daten sind am Arbeitsplatz wirklich nötig?

4. Personelle Sicherheit verbessern

Etablierung einer Sicherheitskultur

Arbeitsplatzspezifische Schulungen/Sensibilisierungen

Informationssicherheit auf Geschäftsreisen im Ausland beachten

IT-Experten mit Produktions-Knowhow

5. Sicherheitszertifizierungen anstreben.