Im Ranking von Geschäftsrisiken stehen Cybervorfälle erstmals an der Spitze als das wichtigste Geschäftsrisiko für Unternehmen weltweit. Im zweiten Teil unseres Interviews [lesen Sie hier Teil 1] erläutert Wolf-Werner Alebrand, Spezialist für Compliance- und Datenschutz-Management, welche Maßnahmen Firmen zum Schutz vor Cyberattacken treffen müssen und wie detailliert Informationssicherheitskonzepte sein sollten.
Herr Alebrand, mit der Umstellung auf Remote Work während der Corona-Pandemie trat auch das Thema Datenschutz wieder stärker in den Fokus. Wie detailliert sollte denn ein Informationssicherheitskonzept sein?
Wolf-Werner Alebrand: Versucht man, alles abzudecken, von den strategischen Zielen bis zur Frage, wie viele Ziffern ein Passwort enthalten sollte, dann kommt man schnell auf Konzeptumfänge, die dann niemand mehr lesen mag. Bewährt hat sich das sogenannte Zwiebelschalenmodell mit vier Vertraulichkeitsstufen, die es festzulegen und auszuarbeiten gilt. Die Sicherheitsanforderungen steigern sich von der äußeren Schale, dem öffentlich zugänglichen Bereich wie der Website, bis zu dem Hochsicherheitsbereich, beispielsweise geheimen Dokumenten. Es gilt immer, Zugänglichkeit gegen den definierten Schutzbedarf abzuwägen und dabei die Akzeptanz der Benutzer und die Usability im Blick zu behalten.
Die Schäden durch Cyberattacken nehmen immer größere Ausmaße an. Von welchen Schadensfällen und -höhen geht man aus?
Wolf-Werner Alebrand: Rund 100 Milliarden Euro soll der Schaden für deutsche Unternehmen durch Cyber-Angriffe betragen – und zwar pro Jahr. Diese Zahl ermittelte der IT-Branchenverband Bitkom Ende 2019. Im Ranking von Geschäftsrisiken stehen Cybervorfälle erstmals an der Spitze als das wichtigste Geschäftsrisiko für Unternehmen weltweit. Laut Allianz Risk Barometer 2020 verdrängen IT-Gefahren das Risiko einer Betriebsunterbrechung auf den zweiten Platz. Betriebsunterbrechung hatte seit 2013 den Spitzenplatz im Ranking inne, damals lag Cyber noch mit sechs Prozent der Antworten auf Platz 15. Beispielsweise richten sich Ransomware-Angriffe zunehmend nicht nur gegen große, sondern auch mittelständische und sogar kleine Unternehmen und die Forderungen bei Erpressungen steigen.
Welche Maßnahmen sollten Firmen zum Schutz vor Cyberattacken treffen?
Wolf-Werner Alebrand: Das ungeübte Verhalten der Mitarbeiter ist hier immer noch ein großes Risiko, denn sie sitzen hinter der Firewall des Unternehmensnetzwerkes. Deshalb gilt es, die Mitarbeiter zu informieren und zu stärken. Studien gehen davon aus, dass rund ein Viertel aller Datenverletzungen auf menschliches Versagen zurückgehen. Es genügt nicht, wenn die IT-Abteilung die Rahmenbedingungen schafft, den Rest aber den Mitarbeitern überlässt. Andersherum nützt selbst der beste Job der IT-Abteilung wenig, wenn die Mitarbeiter die Richtlinien nicht einhalten oder unvorsichtig sind. Letztlich ist die Cyber-Sicherheit in einem Unternehmen immer das Ergebnis der Leistung des gesamten Teams. Anders ausgedrückt heißt das: Jeder einzelne Mitarbeiter muss seinen Anteil zur Datensicherheit beitragen.
10 Tipps zur Cyber-Sicherheit
|
Über Wolf-Werner Alebrand
Wolf-Werner Alebrand ist Spezialist für Compliance- und Datenschutz-Management und berät und unterstützt Unternehmen zu Themen des betrieblichen Risikomanagements und als Interimsmanager.
Wolf-Werner Alebrand auf LinkedIn und Xing.