Welche sind die größten Fehler, die Unternehmen bezogen auf Cyber-Sicherheit derzeit machen?

Der größte Fehler ist die Annahme, dass das eigene Unternehmen kein lohnendes Angriffsziel ist. Denn daraus entsteht oft genug eine Trägheit, die das Abarbeiten der Aufgaben im Bereich Informationssicherheit verhindert. Die Arbeitsprozesse in praktisch jedem Unternehmen sind von den IT-Systemen abhängig, sodass zumindest eine Betriebsunterbrechung einkalkuliert werden muss.

Kommt der Diebstahl sensibler Daten hinzu – und dazu gehören nahezu alle personenbezogenen Daten – vergrößert sich auch der Schaden. Das reicht dann bis zu schwerwiegenden Haftungsfragen, wenn Informationen von Kunden oder anderen externen Geschäftspartnern betroffen sind.

Deshalb muss IT-Sicherheit ganzheitlich gedacht werden. In der Konsequenz gehört dazu ein Plan für den Ernstfall oder die Schulung der Mitarbeiterinnen und Mitarbeiter, die für den Bereich IT-Sicherheit sensibilisiert werden müssen.

Wie sehen die Top 3 Erste-Hilfe-Maßnahmen im Ernstfall aus?

Im Idealfall greift ein zuvor entwickelter Notfallplan. Wie in nahezu jeder Krisensituation gilt jedoch der erste Grundsatz: Ruhe bewahren. In einem zweiten Schritt sollte der IT-Notfall gemeldet werden, damit die IT-Sicherheitsexpert:innen entsprechende Sofortmaßnahmen einleiten können. Dabei sollte man schildern, was und wann etwas beobachtet wurde und welche Systeme betroffen sind.

Im dritten Schritt sollte die Arbeit am befallenen System unverzüglich eingestellt werden. In der Folge ist es hilfreich, Beobachtungen zu dokumentieren und Maßnahmen nur auf Anweisung einzuleiten.

Hat Corona einen Effekt auf die Gefahrenlage von Unternehmen? Hat sich diese gegebenenfalls weiter zugespitzt?

Ja, das kann man sagen. Die Corona-Situation hat zu einer sehr starken Zunahme des Homeoffice geführt, das oft extrem spontan umgesetzt werden musste. Als dann alles lief, war das Thema scheinbar erledigt. Das heißt: In der Regel wurden die Sicherheitsüberlegungen nicht angepasst und keine ausreichende Sicherheitsstruktur geschaffen, vorhandene Regelungen nicht umgesetzt oder adaptiert.

Mal Hand aufs Herz: Wer hat sich schon darum gekümmert, dass die vielen privaten Geräte, die für die Arbeit genutzt wurden, auch ausreichend geschützt sind? Den Trend, die eigenen Geräte zu nutzen, gibt es unter dem Schlagwort „Bring your own device (BYOD)“ ja schon länger. Aber: Das kann nur gut gehen, wenn entsprechende Sicherheitsstrategien entwickelt und implementiert sind.

Welchen Stellenwert hat die Digitalkompetenz einzelner Mitarbeiter:innen beim Thema Cyber-Sicherheit für Unternehmen?

Eine ganz wesentliche. Die Auswertung von Cyber-Angriffen zeigt immer wieder, dass die Mitarbeiterinnen und Mitarbeiter zu den größten Schwachstellen für die IT-Sicherheit gehören. In den meisten Fällen kann man das den Kolleginnen und Kollegen noch nicht einmal vorwerfen. Denn die Angriffe, beispielsweise mit Fake-E-Mails, dem sogenannten Phishing, sind so raffiniert, dass für diesen Bereich besonders geschult werden muss.

Die Implementation einer technologisch ausgereiften Sicherheitsarchitektur ist das eine. Aber die größte Schwachstelle bleibt der Mensch. Hier helfen nur gute und regelmäßige Schulung und Aufklärung, um die Digitalkompetenz aufzubauen, zu stärken und zu erhalten.

Wie unterscheiden sich die Sicherheitskompetenzen im privaten Alltag von denen im beruflichen Kontext? Bin ich als digital kompetente Privatperson automatisch auch gewappnet für Cyber-Angriffe im beruflichen Kontext oder werden hier zusätzliche Aspekte wichtig? Wenn ja, welche?

Ich warne davor, die eigenen Fähigkeiten zu überschätzen. Sehen Sie: Nicht jeder, der einen Führerschein besitzt, sollte gleich an einem Formel-1-Rennen teilnehmen. Unternehmensnetzwerke sind vielfach komplexer, als die private IT-Landschaft. Im Idealfall bringen die Mitarbeiterinnen und Mitarbeiter eine gewisse Awareness mit, wenn es um IT-Sicherheitsfragen geht.

Kompetenz entsteht aber erst durch eine grundlegende Informationsvermittlung, die auf die Belange im Unternehmen zugeschnitten ist. Dieses Wissen muss regelmäßig aktualisiert werden, was nur mit regelmäßigen Trainings realisierbar ist.

Zu Hause eine Firewall installiert zu haben, hilft vielleicht im privaten Umfeld, reicht im Unternehmen aber nicht aus. Sie lassen Ihr Dach ja auch nicht vom Heizungsinstallateur decken, nur, weil der mal seine Scheune selbst eingedeckt hat. Hier müssen Profis ran.

Herr Brose, vielen Dank für das Gespräch!