Cybersicherheit und Digitalisierung

Betriebs- und Datensicherheit gehören auf die Agenda der Geschäftsleitungsebene. Denn in Zeiten fortschreitender Vernetzung im IoT (Internet der Dinge) müssen Firmen der Reaktionsfähigkeit auf externe Angriffe und interne Sicherheitsvorfälle genau so hohe Priorität einräumen wie der Prävention. Konventionelle Schutzverfahren, wie sie seit Jahren im Einsatz sind, richten gegen die immer raffinierteren Angriffstaktiken professioneller Hacker ebenso wenig aus wie gegen die wenig subtilen Vorgehensweisen von Cybererpressern.  

Grundsätzlich betrachtet lässt sich ein angemessenes Schutzniveau nur herstellen, wenn ein Unternehmen alle IT-basierten Abläufe und Aktionen durchgängig überwacht. Idealerweise ist sogenannte Threat Intelligence im Einsatz, mit deren Hilfe Mitarbeiter oder vertrauenswürdige externe Dienstleister in den Datenströmen sogar die minimalsten Abweichungen erkennen. Damit aus einer (potenziellen) Sicherheitsbedrohung erst gar kein Angriff werden und das Unternehmen flexibel reagieren kann, helfen dann intelligente Analyseverfahren, welche die abweichenden Daten mit Kontextinformationen anreichern. 

Das Risiko, geistiges Eigentum, Know-how oder Kundendaten an Datendiebe zu verlieren, produktions- und geschäftskritische Abläufe durch gezielte Sabotage oder einen erpresserischen Angriff mit Ransomware lahmgelegt zu bekommen, wird stetig größer. Technisch lässt sich dagegen deutlich mehr tun als hier skizziert. Doch selbst mit modernsten, intelligentesten Sicherheitslösungen bleibt immer noch ein riesiges Restrisiko, nämlich die Mitarbeiterschaft. Daher sind kontinuierliche Sensibilisierungstrainings für Cybersicherheit – über alle Hierarchieebenen hinweg – ebenso unabdingbar wie gezielte Schulungen. 

Datensicherheit, -schutz und die leidige Compliance 

Unternehmen, die Wert auf die Konformität mit gesetzlichen Vorgaben legen, haben es derzeit nicht leicht. Das aktuelle IT-Sicherheitsgesetz benennt keine klaren Anforderungen und hat so, nicht nur laut Auffassung des Branchenverbands Bitkom, erheblichen Konkretisierungs- und Nachbesserungsbedarf. Auf der anderen Seite der Verbindlichkeitsskala steht die Europäische Datenschutzgrundverordnung, deren Übergangsfrist im Mai 2018 endete. Die EU-weit geltenden Regularien ersetzen große Teile nationaler Datenschutzgesetze und sehen für Verstöße Sanktionen vor, die recht drastisch ausfallen können – darunter Bußgelder in Höhe von bis zu 20 Millionen Euro beziehungsweise vier Prozent des Jahresumsatzes sowie Haftstrafen. Bei Verdacht müssen Unternehmen ab dem kommenden Jahr gespeicherte Daten ihrer Kunden, Lieferanten, Hersteller etc. herausgeben. Und das ausdrücklich nicht auf Papier, sondern in einem standardisierten Datenformat. Darauf sollen bisher nur knapp 30 Prozent der deutschen Unternehmen eingestellt sein. 

Cybersicherheit und Digitalisierung: Status quo schafft Handlungsdruck

In Unternehmen, die bei der Digitalisierung erst am Anfang stehen (aber auch bei Behörden und öffentlichen Einrichtungen), warten viele Papierunterlagen oft noch darauf, eingescannt, digital erfasst und regelkonform archiviert zu werden. Bei anderen haben uneinheitliche Systeme über die Jahre hinweg für recht unterschiedliche Datenformate gesorgt. Um den gesetzlichen Vorgaben der Datenportabilität und dem besonderen Schutz personenbezogener Informationen nachkommen zu können, müssen Unternehmen und andere Organisationen etliche ihrer Dokumente und Prozesse also schleunigst auf den Prüfstand stellen.