Oktober ist der Europäische Monat der Cybersicherheit (ESCM), und bei der jährlichen Kampagne der Europäischen Union geht es unter anderem um Sensibilisierung und um die Förderung der Cyberhygiene. Das Bedrohungspotenzial durch Cybergefahren in Unternehmen steigt seit Jahren, und während sich die Führungskräfte dessen durchaus bewusst sind, setzen sie diese Erkenntnis nicht überall mit gleicher Konsequenz und Priorität um. Dies zeigt eine von Threema beauftragte Umfrage zur Cybersicherheitsstrategie in Unternehmen in Deutschland.
So liegen für gut die Hälfte der befragten Unternehmen die Schwerpunkte ihrer Cybersicherheitsstrategie bei Netzwerksicherheit (52 Prozent), Schutz der Daten (54 Prozent) und Cloudsicherheit (57 Prozent). Lediglich ein Fünftel der befragten Unternehmen stuft mobile Sicherheit als Priorität ein; die Sicherheit der Kommunikationskanäle steht mit nur 16 Prozent sogar noch weiter hinten an.
Chat-Apps als Risikofaktor
Die Mehrheit der befragten Unternehmen gab an, dass die DSGVO für sie nach wie vor relevant ist. Entsprechend werden bei der Beschaffung von Kommunikations- oder Kollaborationstools die gesetzlichen Kriterien zwar berücksichtigt, aber die Nutzung der Tools im Arbeitsalltag wird nicht konsequent geregelt beziehungsweise eingeschränkt. Gemäß den befragten Unternehmen nutzt die Hälfte der Mitarbeiter private Chat-Apps zusätzlich zu den vom Unternehmen zur Verfügung gestellten Kommunikationsmitteln.
Zu den zentralen Erkenntnissen der Studie zählt, dass solche Chat-Apps als Risiko toleriert werden. Und dies, obwohl sie als unsicher angesehen werden, nicht DSGVO-konform sind und sich das Management der Tatsache bewusst ist, dass sie für den Austausch von sensiblen Unternehmensdaten nicht geeignet sind und die Privatsphäre der Mitarbeitenden ungenügend schützen. Trotz der offensichtlichen Sicherheitsrisiken tolerieren zwei Drittel der befragten Unternehmen die Nutzung privater Chats-Apps für die geschäftliche Kommunikation. Bei rund jedem sechsten Unternehmen ist die Verwendung sogar gänzlich ungeregelt. Weiter wird angenommen, dass auch sensible Informationen über Kunden, Partner und Lieferanten über nicht DSGVO-konforme Chat-Apps ausgetauscht werden.
NIS-2 und persönliche Haftbarkeit
Zusätzlich zur DSGVO beleuchtet die Studie auch andere EU-Gesetze, wie zum Beispiel die NIS-2-Richtlinie. Sie ist ein bahnbrechender Rechtsakt im Bereich der europäischen Cybersicherheit mit dem Ziel, die Sicherheit von Netz- und Informationssystemen von Betreibern Kritischer Infrastrukturen zu verbessern. Die Richtlinie wird ab dem 17. Oktober 2024 auf nationaler Ebene bindend und verpflichtet das Management, sich mit Cyberrisiken zu befassen, Maßnahmen zu deren Minimierung zu veranlassen und deren Umsetzung zu beaufsichtigen. Dazu gehört unter anderem das Prüfen der IT-Systeme oder die Schulung sämtlicher Mitarbeiter, Führungskräfte inklusive. Für Unternehmen heißt das: Cybersicherheit wird zur Chefsache, die Herausforderungen sind enorm, und der erwähnte Termin rückt näher.
Die Studie zeigt, dass rund drei Viertel der betroffenen Unternehmen (73 Prozent) gut auf NIS-2 vorbereitet sind; für die restlichen 27, die nur „leicht“ oder „nicht vorbereitet“ sind, könnte die Zeit allerdings knapp werden. Bei Verstößen muss mit Reputationsschäden und Bußgeldern gerechnet werden. Zudem haften Entscheidungsträger persönlich, und gegebenenfalls kann natürlichen Personen die Wahrnehmung von Führungsaufgaben in kritischen Organisationen gänzlich untersagt werden. Das Verantwortungsbewusstsein ist dementsprechend hoch: Aus der Studie geht hervor, dass sich über die Hälfte der befragten Entscheidungsträger (58 Prozent) Sorgen um ihre persönliche Haftbarkeit machen.
Cyberresilienz und Geschäftskontinuität
Cyberresiliente Unternehmen haben die Kompetenz, sich während einer Cyberattacke wehren zu können und operativ zu bleiben, ohne ganze Geschäftsbereiche lahmlegen zu müssen. Während einer Cyberattacke müssen Unternehmen damit rechnen, dass IT-Systeme und die üblichen Kommunikationskanäle (zum Beispiel E-Mail oder Kollaborationstools) nicht verfügbar sind. Diese Lücke füllt ein unabhängiger Kommunikationskanal, der abseits von kompromittierten IT-Infrastrukturen funktioniert (Stichwort „Out-of-Band-Kommunikationstool“) und ermöglicht, die Kommunikation zwischen Experten, Geschäftsführung und externen Akteuren aufrechtzuerhalten.
Der EU-Rechtsakt zur Cyberresilienz soll kritische Sektoren (wie das Gesundheitswesen oder die öffentliche Verwaltung) stärken, und unter NIS-2 wird das Vorhandensein eines Back-up-Kommunikationskanals de facto zur Pflicht. Die Studie zeigt hier, dass 82 Prozent der betroffenen Unternehmen bereits über solch eine Lösung verfügen, während die restlichen 18 dies zumindest „in Betracht ziehen“.
Vorhandenes Sicherheitsbewusstsein konsequent umsetzen
Im Zeitalter der Digitalisierung ist eine solide Cybersicherheitsstrategie für Unternehmen unerlässlich: Wird diese in allen Bereichen mit der gleichen Entschlossenheit umgesetzt, trägt sie zur Cyberresilienz und somit zum nachhaltigen Erfolg des Unternehmens bei. Aus der Studie geht hervor, dass Unternehmen sich ihrer Verantwortung vollauf bewusst sind. Allerdings wird Cybersicherheit nicht in allen Bereichen mit der gleichen Ellenlänge gemessen: Die widersprüchlichen Aussagen zur mobilen Sicherheit und der Sicherheit von Kommunikationskanälen suggerieren Bequemlichkeit und zeigen, wo Handlungsbedarf besteht. Laxe Sicherheitsvorkehrungen in Messaging-Diensten erhöhen das Risiko von Cyberattacken, Reputationsschäden und Geldstrafen. Welches Unternehmen möchte solche Gefahren in Kauf nehmen?