Cybersicherheit darf in Unternehmen nicht mehr vernachlässigt werden, fordert Gerrit Knichwitz (Perseus).PerseusSchaut man sich die aktuelle Cybersicherheitslage in Deutschland an, entsteht ein teilweise paradoxes Bild. Obwohl laut einer Umfrage aus dem Jahr 2022 des Bitkom mehr als 90 % der befragten Unternehmen angaben, Opfer eines Cyberangriffs geworden zu sein oder zumindest davon ausgingen, von einem solchen betroffen zu sein, werden Cyberrisiken - allen voran von kleinen und mittelständischen Unternehmen - nach wie vor sträflich unterschätzt. Weniger als 40 % sehen eine erhöhte Cyberbedrohung für das eigene Unternehmen (GDV, 2022). Dabei zählen Cyberbedrohungen nicht erst seit diesem Jahr weltweit zu den Top 3 Risiken für die Wirtschaft (lt. Allianz Risk Barometer).

Anzeige

Die Entwicklungen der letzten Jahre geben keinen Anlass zur Hoffnung, dass diese Bedrohung in naher Zukunft abnehmen wird. Eher das Gegenteil ist der Fall. Allein in Deutschland entsteht der Wirtschaft ein jährlicher Schaden von 203 Milliarden Euro als Folge von Datendiebstahl, Diebstahl von IT-Ausrüstung, Spionage oder Sabotage (Bitkom). Umso wichtiger ist es für Unternehmen, in Cybersicherheit und Cyberresilienz zu investieren.

Die Politik gibt die Route vor

Die Politik hat den Ernst der Lage erkannt und erarbeitete in den letzten Jahren Gesetze, Verordnungen und andere Vorschriften, die dazu beitragen sollen, dass Wirtschaft und Gesellschaft gegen Cyberbedrohungen gewappnet sind. Jüngst wurde eine Überarbeitung der Richtlinie zur Gewährleistung einer hohen Netzwerk- und Informationssicherheit - kurz NIS-2 - verabschiedet. Diese soll das Ziel einer einheitlichen starken Cyberesilizienz in der Europäischen Union weiter vorantreiben. Die NIS-2-Richtlinie setzt neue Mindestanforderungen im Bereich der IT-Sicherheit voraus und nennt dabei eine Vielzahl an Maßnahmen, die durch die einzelnen Mitgliedstaaten der EU in nationale Gesetze und anschließend von Unternehmen der betroffenen Sektoren umgesetzt werden müssen. NIS2 spricht dabei auch eine Vielzahl an mittleren Unternehmen an. Gehören Unternehmen mit mehr als 50 Mitarbeitenden und einer Jahresbilanz von größer 10 Millionen Euro einem “kritischen” (bspw. Gesundheitswesen oder Energieversorger) oder “wichtigen” (bspw. Abwasser und Lebensmittelhersteller) Sektor an, sind diese verpflichtet, die Vorgaben der NIS-2-Richtlinie zu erfüllen.

Anzeige

Umsetzung der NIS-2-Vorgaben verlangt höhere Investitionen

Die Umsetzung der NIS-2-Richtlinie erfordert von betroffenen Unternehmen, neben zusätzlichen personellen Aufwand, deutlich höhere IT-Sicherheitsinvestitionen. In einem Webinar sagt Dr. Marnix Dekker, der Leiter NIS bei der europäischen Agentur für Cybersicherheit ENISA, dass auf bisher nicht von der Richtlinie betroffenen Unternehmen, die geringe Investitionen in den Bereich IT-Sicherheit getätigt haben und nun die NIS-2-Vorgaben erfüllen müssen, hohe finanzielle Ausgaben zukommen werden. Er schätzt, dass das Gesamtbudget, das Unternehmen für die IT-Sicherheit aufbringen müssen, um 20 % ansteigen wird.

Abseits NIS: Cybersicherheit als Erfolgsfaktor

Auch der Zeitfaktor kann zum Problem werden. Bis Herbst 2024 muss Deutschland die gesetzlichen Regelungen zum Umgang mit der NIS-2-Richtlinie vorlegen. Die betroffenen Unternehmen haben dann bis zum Jahr 2027 Zeit, diesen nachzukommen. Es empfiehlt sich für betroffene Unternehmen, die Umsetzung nicht auf die lange Bank zu schieben, sondern sich zeitnah mit der Thematik auseinanderzusetzen. Bei Nichtbeachtung können nämlich horrende Strafen drohen: Laut einem ersten Entwurf sieht der Gesetzgeber beispielsweise Strafen von bis zu 10 Millionen Euro oder 2 % des Jahresumsatzes für Unternehmen des kritischen Sektors vor.

Abseits NIS: Cybersicherheit als Erfolgsfaktor

Doch auch für Unternehmen, die von der NIS-2-Richtlinie nicht betroffen sind, können Investitionen in die IT-Sicherheit unumgänglich werden. Laut dem amerikanischen Meinungsforschungsinstitut Gartner könnte ab 2025 das Cybersicherheitsrisiko eines Unternehmens ein ausschlaggebender Aspekt für die Aufnahme von Geschäftsbeziehungen und die Abwicklung von Transaktionen werden. Folglich müssen Unternehmen zukünftig ein bestimmtes Level an Cybersicherheit vorweisen, um Geschäftsbeziehungen aufnehmen zu können und damit wettbewerbsfähig zu bleiben. Verstärkt wird diese Entwicklung beispielsweise noch durch die Zunahme von Cyberangriffen auf Lieferketten oder die Ausnutzung von unsicheren Drittanbieter-Lösungen. Daher ist nicht nur die eigene Cybersicherheit entscheidend, sondern auch das IT-Sicherheitsniveau von direkten und indirekten Geschäftspartnern. Ist es heute noch nicht Bestandteil von Verträgen, ist kurz- oder mittelfristig damit zu rechnen, dass Unternehmen Nachweise oder Zertifizierungen als Cybersicherheit- Qualitätsmerkmal vorlegen müssen, um Geschäftsbeziehungen aufzunehmen oder weiterzuführen.

Anzeige

Besser heute, als morgen starten

Die gegenwärtige Situation zeigt, dass Cybersicherheit nicht mehr vernachlässigt werden darf. Vermeintliche Argumentationen, warum Cybersicherheit aktuell nicht priorisiert wird oder warum es nicht möglich ist, in die eigene IT-Sicherheit zu investieren, dürfen nicht mehr gelten. Unternehmen müssen jetzt handeln.

Besonders zu empfehlen ist eine umfassende Risikobewertung des eigenen Cybersicherheitsniveaus. Durch die Untersuchung grundlegender oder auch tiefergehender Einstellungen, Prozessen und Strukturen lässt sich ein aussagekräftiges Bild zeichnen, welches bestehende Lücken und konkrete Handlungsempfehlungen zur Schließung aufzeigt. Eine Risikobewertung stellt daher einen idealen Ausgangspunkt dar, mit der Etablierung einer Cybersicherheitskultur im Unternehmen zu beginnen.

Anzeige

Über Gerrit Knichwitz:
Gerrit Knichwitz ist Geschäftsführer des Cybersicherheits-/IT-Dienstleister Perseus Technologies GmbH mit mehr als 10 Jahren Erfahrung in der Finanz-/Versicherungsbranche insbesondere in der strategischen und finanziellen Steuerung von Unternehmen sowie in der Entwicklung von digitalen B2B-Geschäftsmodellen.

Seite 1/2/