Cyber Security: Umfrage bestätigt geringes Risikobewusstsein bei deutschen Unternehmen
In seiner jüngst veröffentlichten Studie „Datenklau 2015“ hat sich das Wirtschaftsprüfungsunternehmen Ernst & Young mit den Gefahren durch Cyber-Attacken und der Wahrnehmung dieser Gefahren bei deutschen Unternehmen befasst. Grundlage der Studie war eine Befragung von Geschäftsführern sowie Führungskräften aus IT-Sicherheit und Datenschutz von insgesamt 450 deutschen Unternehmen.
Geringes Risikobewusstsein
Die Ergebnisse erstaunen. Obwohl die deutschen Unternehmen in immer stärkerem Maße von IT-Infrastruktur abhängig werden und dies naturgemäß zu einer höheren Anfälligkeit für und einem höheren Risiko aus Cyber-Angriffen führt, sehen rund zwei Drittel der befragten Unternehmen weder ein „hohes“, noch auch nur ein „eher hohes“ Risiko Opfer eines Cyber-Angriffs zu werden. Dies vermag umso mehr zu erstaunen, da bereits jedes fünfte Unternehmen mit einem Umsatz von mehr als einer Milliarde Euro mindestens einen Angriff auf seine Daten bemerkt hat. Es dürfte davon auszugehen sein, dass die tatsächliche Dunkelziffer noch weit höher liegt. Auch die vielen öffentlichkeitswirksamen Hacker-Angriffe in den letzten Monaten und Jahren – man denke nur an die medienwirksamen Hacker-Angriffe auf den Bundestag, und Sony Pictures bzw. das Sony Playstation Network – haben scheinbar nur geringe Auswirkungen auf das Risikobewusstsein der deutschen Unternehmen.
Hohe Gefahren aus Cyber-Angriffen
Dabei liegt eine effiziente Strategie zur IT- und Cyber-Sicherheit sowie deren konsequente Umsetzung ganz entscheidend im Interesse der Unternehmen selbst. So drohen im Fall eines Datenverlusts unter Umständen Informationspflichten gemäß § 42a BDSG, die mit hohen Reputationsschäden einhergehen können. Darüber hinaus sind – je nach Art des Cyber-Angriffs – auch existenzbedrohende direkte Schäden für die betroffenen Unternehmen möglich. Man denke nur an einen Cyber-Angriff auf IT-gesteuerte Produktionsanlagen, der zu einem Komplettausfall der Produktion für mehrere Tage oder gar Wochen führt. Es bedarf nicht allzu viel Fantasie um sich vorzustellen, dass ein solcher Angriff für viele Unternehmen schnell existenzbedrohend werden kann. Dabei dürfte es praktisch in vielen Fällen auch kaum oder nur schwerlich möglich sein, den Initiator der Attacke zu bestimmen, womit in einem solchen Fall oft nicht einmal Regressansprüche verwirklichbar sein werden.
Gesetzliche Regelungen
Über die tatsächlichen Gefahren hinaus lohnt auch ein Blick auf die rechtlichen Rahmenbedingungen zum Thema IT-Sicherheit. Zwar gibt es bislang nur wenig gesetzliche Regelungen zum Thema IT-Sicherheit, doch diese legen durchaus gewisse Rahmenbedingungen fest, die man kennen sollte. Überblicksartig lassen sich die wichtigsten dieser Regelungen darstellen wie folgt:
Besonders relevant werden wird hier in Zukunft das IT-Sicherheitsgesetz, welches vor allem zu Änderungen des Gesetzes über das Bundesamt für Sicherheit in der Informationstechnik führen wird (vgl. Sie im Detail „Bundestag beschließt IT-Sicherheitsgesetz – ein Schritt Richtung sichere IT?“).
IT-Sicherheit erfordert juristische und fachliche Kompetenz
Abschließend lässt sich konstatieren, dass das Thema IT-Sicherheit sowohl aus rechtlichen wie auch aus tatsächlichen Gründen komplex und vielgestaltig ist. Bei der Ausgestaltung und Umsetzung der Strategie zur IT-Sicherheit ist es von entscheidender Bedeutung, dass technische Fachleute und spezialisierte juristische Berater Hand in Hand arbeiten. Nur so kann letztlich eine Strategie zur IT-Sicherheit entstehen und umgesetzt werden, die sowohl den rechtlichen Anforderungen genügt, als auch effektiv den tatsächlichen Gefahren der Cyber-Kriminalität begegnet.
Weitere Artikel: Datenschutzcompliance beim konzerninternen Datentransfer