Bundesinnenminister Thomas de Maizière präsentierte im August 2014 seinen Gesetzesentwurf zur Erhöhung der Sicherheit von IT-Systemen in Deutschland. Insbesondere die viel diskutierte Meldepflicht von Cyberangriffen ließ deutsche Unternehmen aufhorchen. Zusätzlich zu den unkalkulierbaren Schäden eines solchen Angriffs fürchten sie Imageschäden, wenn Cyberangriffe öffentlich werden und einen steigenden bürokratischen Aufwand.
Die Sorgen der Wirtschaft vor Überregulierung sind zwar verständlich. Allerdings ist Cyber-Security eine zentrale Herausforderung der Zukunft und nur mit umfassendem Risikomanagement zu bewältigen. Die von Unternehmen ergriffenen Präventionsmaßnahmen sind bisher vielfach nicht an die akute Bedrohungslage angepasst. Der Vorstoß der Politik, dem Bereich Cyber-Security die längst überfällige Aufmerksamkeit zukommen zu lassen, ist somit positiv zu bewerten. Unternehmen, die auf Cyberrisiken nicht adäquat vorbereitet sind, müssen verstehen: Es geht nicht darum, ob ein signifikantes Sicherheitsproblem auftritt, sondern nur darum, wann es passiert.
KMU gefährdeter denn je
Kleine und mittelständische Unternehmen (KMU) sind mehr denn je von Cyberkriminalität betroffen. Dies belegen auch die aktuellen Zahlen des Bundeskriminalamts und Bundeslageberichts für 2013. Es handelt sich dabei hauptsächlich um Hackerangriffe, Phishing oder Ausspähen und Abfangen von Daten.
Die zunächst banal klingenden Hackerangriffe bedrohen KMU nicht selten in ihrer Existenz. Beispielsweise hat eine sogenannte "Denial of Service"-Attacke auf die Homepage eines mittelständischen Online-Vertriebs weitreichende Konsequenzen. Da mehrere Tage lang keine Bestellungs- und Zahlungsvorgänge möglich sind, verzeichnet das Unternehmen zum einen spürbare Umsatzeinbrüche, zum anderen wandern frustrierte Kunden ab und der Online-Vertrieb muss sich mit einem deutlichen Imageverlust auseinandersetzen.
- Zutritt und Zugriff für Unberechtigte
- Verlust tragbarer Speichermedien
- Aufbewahrung von Logins und Passwörtern
- Ungesperrte Arbeitsplätze
- Private Nutzung geschäftlicher Kommunikationsmittel
- Weitergabe firmeneigener IT
- Preisgabe vertraulicher Firmeninformationen
- Unerlaubter Zugriff auf Teile des Netzes
- Installation nicht freigegebener Software
- Änderungen an den Sicherheitseinstellungen des Clients durch den Mitarbeiter
Um die alte Reputation wieder herzustellen und neue Kunden zu gewinnen, muss das Unternehmen zusätzliche Mittel aufwenden. Die Kosten für eine Webseitenblockade können sich letztendlich auf insgesamt 450.000 Euro belaufen und auch der Imageschaden kann bereits vor einer Pflichtmeldung an das Bundeskriminalamt eintreten.
Verstärkte Prävention ist der beste Schutz vor Cyberrisiken
De Maizières Gesetzentwurf knüpft hier an: Denn die Schäden durch Angriffe auf das Internet seien allemal höher als die Vorsorgekosten, so der Innenminister. Das IT-Sicherheitsgesetz kann folglich tatsächlich als eine Hilfe zum Selbstschutz verstanden werden. Denn ist ein kleines oder mittelständisches Unternehmen von vornherein vor Cyberrisiken abgesichert, muss es weder die Meldepflicht, noch die Schäden eines Hackerangriffs fürchten. Verstärkte Prävention ist schließlich der beste Schutz gegen Cyberangriffe und für das Unternehmensimage. (bw)