DE 
Cyberkriminalität ist seit Jahren eines der dominierenden Themen in den Medien. Erst im Mai 2024 stellte Bundesinnenministerin Nancy Faeser gemeinsam mit BSI und BKA das aktuelle „Bundeslagebild Cybercrime“ vor. Im Bericht für das Jahr 2023 kommen sie gemeinsam zu dem Fazit, dass die Bedrohung durch Cyberkriminalität so hoch wie nie zuvor ist. Dabei fokussieren sich Kriminelle aus reinem Kosten-Nutzen-Kalkül immer stärker auf kleine und mittelständische Unternehmen – der Grund: Kriminelle können von einer deutlich schlechteren IT-Abwehrkraft (auch Cyberresilienz genannt) ausgehen, d.h. sie kommen mit deutlich geringerem Aufwand viel schneller ans Ziel. Dabei kommt auch ihnen der technologische Fortschritt entgegen – fortschrittliche Sprachmodelle und Künstliche Intelligenz eröffnen nicht nur neue Möglichkeiten für Cyberangriffe, sondern optimieren auch altbewährte Angriffsmethoden: Betrügerische E-Mails (auch Phishing genannt) beispielsweise sind dank fehlerfreier Formulierungen und immer besseren Recherchemöglichkeiten als solche kaum noch zu erkennen. Eine Studie des Branchenverbandes bitkom e.V. bestätigt, dass sich mittlerweile 62 Prozent der Unternehmen in Deutschland durch Cyberangriffe bedroht fühlen.
Die immense Bedeutung der IT-Sicherheit in Unternehmen gründet sich allerdings auf eine Vielzahl von Faktoren: Neben dem Schutz vor Cyberkriminalität spielen die Einhaltung gesetzlicher Vorschriften, der Schutz vor Datenverlust, die Vermeidung wirtschaftlicher Schäden, die Sicherstellung des Fortbestehens des Geschäftsbetriebs sowie die Erhaltung von Vertrauenswürdigkeit und Reputation eine zentrale Rolle.
Verschiedene Gesetze und Vorschriften verpflichten Unternehmen bereits heute, angemessene Sicherheitsvorkehrungen zu treffen und definieren bestimmte Maßnahmen, welche es im Falle eines Sicherheitsvorfalls zu ergreifen gilt. Dazu gehören u.a. die Datenschutz-Grundverordnung (DSGVO), die NIS2-Richtlinie, der Cyber Resilience Act sowie diverse branchenspezifische Vorschriften, bei deren Verstößen empfindliche Strafen drohen. In puncto Datenverlust ist Cyberkriminalität lediglich eine der möglichen Ursachen. Hierbei gilt es auch Geschehnisse höherer Gewalt – wie Stromausfälle oder Naturkatastrophen – sowie unternehmensinterne Bedrohungen, zu denen beispielsweise die versehentliche Datenlöschung durch Mitarbeiter gehört, als Ursachen für Datenverlust zu berücksichtigen und mittels geeigneter Maßnahmen zu vermeiden.
Doch welcher Schaden droht Unternehmen eigentlich im Falle von Cyberangriffen, Datenverlust und Co.? Der wirtschaftliche Schaden durch auftretende IT-Sicherheitsvorfälle kann durchaus existenzbedrohend werden, da nicht nur die direkten Kosten für die Behebung des Vorfalls, sondern auch die Kosten durch entgangene Geschäfte und für die Wiederherstellung zu bewältigen sind. Darüber hinaus ist das Risiko für Kundenabwanderung aufgrund vertrauens- und rufschädigender Cybervorfälle nicht zu unterschätzen. Im schlimmsten Fall können Unternehmen den kurzfristigen finanziellen Schaden zwar stemmen, müssen den Geschäftsbetrieb aufgrund mittelfristig sinkender Kundennachfrage dann allerdings dennoch einstellen.
IT-Sicherheit ist also längst kein Nice-to-have mehr, sondern ein absolutes Must-have. Doch wie geht man das große Themenfeld IT-Sicherheit richtig an? Zunächst einmal die gute Nachricht: Jeder noch so kleine Schritt stärkt bereits die Abwehrkraft des eigenen Unternehmens und erhöht damit deren IT-Sicherheit. Für eine ganzheitliche IT-Sicherheitsstrategie lässt sich das Thema auf drei Handlungsfelder reduzieren: Technik, Organisation, Mensch – kurz TOM.
Aktiv die Abwehrkräfte verbessern
Eine sichere IT-Infrastruktur bildet die Basis für die IT-Sicherheit eines Unternehmens, da bestehende technische Schwachstellen und Sicherheitslücken Cyberkriminellen Tür und Tor öffnen. Mensch und Technik in Einklang bringen – das ist die Aufgabe der organisatorischen IT-Sicherheit, zu deren Maßnahmen vornehmlich das Definieren der IT-Sicherheitsstrategie sowie das Regulieren von Abläufen durch sicherheitsfördernde Richtlinien gehören. Zu guter Letzt der Mensch – einer IBM-Studie zufolge lassen sich stolze 90 Prozent aller Sicherheitsvorfälle auf menschliches Fehlverhalten zurückführen. Die Investition in Schulung und Sensibilisierung der Belegschaft für IT-Sicherheitsrisiken lässt sich somit gar als einer der größten Hebel zur Steigerung der IT-Sicherheit betrachten.
Ausführliche Informationen zum Thema und viele praxisorientierte Tipps zum Ableiten individuell geeigneter Cyberresilienz-Maßnahmen gibt es unter anderem im Whitepaper der IT-Experten der axilaris GmbH mit Sitz in Chemnitz.
