Jede zweite Firma hat keinen Notfallplan für IT-Sicherheitsvorfälle
Die meisten Unternehmen sorgen sich um ihre IT-Sicherheit. Angriffe auf ihre IT-Systeme sieht mehr als die Hälfte (57 Prozent) aller Unternehmen als reale Gefahr, quer durch alle Branchen und Unternehmensgrößen. 40 Prozent haben bereits konkrete Angriffe auf die IT oder vergleichbare Sicherheitsvorfälle erlebt, jedes zehnte Unternehmen sogar 10 Mal und häufiger. Doch fast jedes zweite Unternehmen (45 Prozent) hat nicht einmal einen Notfallplan für IT-Sicherheitsvorfälle. Das ist das Ergebnis einer Umfrage unter 800 Unternehmen im Auftrag des Hightech-Verbandes BITKOM. Die Befragung ist repräsentativ für die deutsche Wirtschaft. „Es ist erschreckend, wie viele Unternehmen sich auf IT-Angriffe und Notfälle nur unzureichend vorbereitet haben“, sagte BITKOM-Präsident Prof. Dieter Kempf auf der CeBIT in Hannover. Ein Notfallplan sei oberste Pflicht, um die Folgen eines IT-Sicherheitsvorfalls minimieren zu können. Er listet beispielsweise die wichtigsten Geschäftsprozesse des Unternehmens auf und beschreibt, was im Schadensfall zu tun und wer zu informieren ist.
Immerhin würde nur jedes vierte Unternehmen die Zusammenarbeit mit Polizei und Staatsanwaltschaft vermeiden, wenn es von einem Hackerangriff oder einem IT-Sicherheitsleck betroffen wäre. Bei knapp drei Viertel ist die Bereitschaft zur Zusammenarbeit mit den Behörden dagegen nach eigenen Angaben hoch oder sehr hoch. Doch nach Erfahrungen des BITKOM scheuen noch immer zu viele betroffene Unternehmen den Gang zur Polizei oder zu einer anderen Institution. Sie haben Angst vor dem Verlust von Image und Reputation, sollte bekannt werden, dass sie Opfer eines IT-Angriffs geworden sind. „Um alle Beteiligten schützen zu können, brauchen wir Informationen über konkrete, aktuelle IT-Angriffe“, sagte Kempf. Es sollte zur Selbstverständlichkeit werden, die Behörden oder andere Stellen über IT-Sicherheitsvorfälle zu informieren und Erfahrungen auszutauschen. Unternehmen müssen auf freiwilliger Basis – und falls notwendig auch anonym – solche Vorfälle melden können. Ein aktuelles Lagebild hilft Staat und Wirtschaft, im Krisenfall schneller und adäquater reagieren zu können.
Lange Zeit galt IT-Sicherheit vor allem als Herausforderung für einzelne Unternehmen. Wer Opfer von Cyber-Kriminalität wurde, erlitt einen Schaden; die Auswirkungen waren für den Betroffenen mitunter dramatisch, aber sie waren in aller Regel begrenzt auf eine einzelne Organisation. Die Dimensionen haben sich jedoch durch die Digitalisierung zentraler Bereiche der Wirtschaft und des öffentlichen Lebens verändert. „IT-Sicherheit hat heute eine makroökonomische, systemische Bedeutung gewonnen, sie ist zum Standortfaktor geworden“, sagte Kempf. Sie wird künftig bei Investitionsentscheidungen die gleiche Bedeutung haben wie innere und äußere Sicherheit, wie ordnungspolitische oder rechtliche Planungssicherheit. Daher komme auch das diesjährige CeBIT-Motto „Managing Trust – Vertrauen und Sicherheit in der digitalen Welt“ zur richtigen Zeit. Kempf: „Höhere IT-Sicherheit kostet Mühe und Geld. Doch liegt darin auch eine Chance: Sicherheit und Datenschutz können weltweit zum Markenzeichen von IT made in Germany werden.“
Immerhin würde nur jedes vierte Unternehmen die Zusammenarbeit mit Polizei und Staatsanwaltschaft vermeiden, wenn es von einem Hackerangriff oder einem IT-Sicherheitsleck betroffen wäre. Bei knapp drei Viertel ist die Bereitschaft zur Zusammenarbeit mit den Behörden dagegen nach eigenen Angaben hoch oder sehr hoch. Doch nach Erfahrungen des BITKOM scheuen noch immer zu viele betroffene Unternehmen den Gang zur Polizei oder zu einer anderen Institution. Sie haben Angst vor dem Verlust von Image und Reputation, sollte bekannt werden, dass sie Opfer eines IT-Angriffs geworden sind. „Um alle Beteiligten schützen zu können, brauchen wir Informationen über konkrete, aktuelle IT-Angriffe“, sagte Kempf. Es sollte zur Selbstverständlichkeit werden, die Behörden oder andere Stellen über IT-Sicherheitsvorfälle zu informieren und Erfahrungen auszutauschen. Unternehmen müssen auf freiwilliger Basis – und falls notwendig auch anonym – solche Vorfälle melden können. Ein aktuelles Lagebild hilft Staat und Wirtschaft, im Krisenfall schneller und adäquater reagieren zu können.
Lange Zeit galt IT-Sicherheit vor allem als Herausforderung für einzelne Unternehmen. Wer Opfer von Cyber-Kriminalität wurde, erlitt einen Schaden; die Auswirkungen waren für den Betroffenen mitunter dramatisch, aber sie waren in aller Regel begrenzt auf eine einzelne Organisation. Die Dimensionen haben sich jedoch durch die Digitalisierung zentraler Bereiche der Wirtschaft und des öffentlichen Lebens verändert. „IT-Sicherheit hat heute eine makroökonomische, systemische Bedeutung gewonnen, sie ist zum Standortfaktor geworden“, sagte Kempf. Sie wird künftig bei Investitionsentscheidungen die gleiche Bedeutung haben wie innere und äußere Sicherheit, wie ordnungspolitische oder rechtliche Planungssicherheit. Daher komme auch das diesjährige CeBIT-Motto „Managing Trust – Vertrauen und Sicherheit in der digitalen Welt“ zur richtigen Zeit. Kempf: „Höhere IT-Sicherheit kostet Mühe und Geld. Doch liegt darin auch eine Chance: Sicherheit und Datenschutz können weltweit zum Markenzeichen von IT made in Germany werden.“