21. Mär. 2012

BITKOM: Fehlende Notfallpläne, mangelnder Austausch


Laut einer Repräsentativ-Umfrage unter 800 deutschen Unternehmen im Auftrag des BITKOM haben 45 % der Firmen keinen Notfallplan für IT-Sicherheitsvorfälle. Dabei sehen 57 % quer durch alle Branchen und Unternehmensgrößen Angriffe auf ihre IT-Systeme durchaus als reale Gefahr an – 40 % haben bereits konkrete Angriffe auf die IT oder vergleichbare Sicherheitsvorfälle erlebt, jedes zehnte Unternehmen sogar 10 Mal und häufiger."

Es ist erschreckend, wie viele Unternehmen sich auf IT-Angriffe und Notfälle nur unzureichend vorbereitet haben", kommentierte BITKOM-Präsident Prof. Dieter Kempf das Ergebnis. Ein Notfallplan sei oberste Pflicht, um die Folgen eines IT-Sicherheitsvorfalls minimieren zu können. Er listet beispielsweise die wichtigsten Geschäftsprozesse des Unternehmens auf und beschreibt, was im Schadensfall zu tun und wer zu informieren ist.

Immerhin würde der BITKOM-Umfrage zufolge nur jedes vierte Unternehmen nach einem Vorfall die Zusammenarbeit mit Polizei und Staatsanwaltschaft vermeiden, wenn es von einem Hackerangriff oder einem IT-Sicherheitsleck betroffen wäre. Bei knapp drei Viertel sei die Bereitschaft zur Zusammenarbeit mit den Behörden hingegen hoch oder sehr hoch. Doch nach Erfahrungen des BITKOM scheuen noch immer zu viele betroffene Unternehmen den Gang zur Polizei oder zu einer anderen Institution – nicht zuletzt aus Angst vor dem Verlust von Image und Reputation, sollte bekannt werden, dass sie Opfer eines IT-Angriffs geworden sind. Um alle Beteiligten schützen zu können, brauche man jedoch Informationen über konkrete, aktuelle Angriffe, betonte Kempf: Es sollte zur Selbstverständlichkeit werden, die Behörden oder andere Stellen über IT-Sicherheitsvorfälle zu informieren und Erfahrungen auszutauschen. Unternehmen müssten auf freiwilliger Basis – und falls notwendig auch anonym – solche Vorfälle melden können. Denn ein aktuelles Lagebild helfe gleichermaßen Staat und Wirtschaft, im Krisenfall schneller und adäquater reagieren zu können.

Lange Zeit habe IT-Sicherheit vor allem als Herausforderung für einzelne Unternehmen gegolten, führt der BITKOM weiter aus: Wer Opfer von kriminalität wurde, erlitt einen Schaden – die Auswirkungen waren für den Betroffenen mitunter dramatisch, aber sie in aller Regel auf eine einzelne Organisation begrenzt. Die Dimensionen haben sich jedoch durch die Digitalisierung zentraler Bereiche der Wirtschaft und des öffentlichen Lebens verändert. "IT-Sicherheit hat heute eine makroökonomische, systemische Bedeutung gewonnen, sie ist zum Standortfaktor geworden", sagte Kempf. Sie werde künftig bei Investitionsentscheidungen die gleiche Bedeutung haben wie innere und äußere Sicherheit, wie ordnungspolitische oder rechtliche Planungssicherheit. Höhere IT-Sicherheit koste Mühe und Geld – doch darin liege gleichzeitig auch eine Chance: "Sicherheit und Datenschutz können weltweit zum Markenzeichen von IT made in Germany werden", so Kempf weiter.

In diesem Sinne sei es auch Ziel und Aufgabe der unlängst von BITKOM und dem BSI initiierten "Allianz für Cybersicherheit", die Zusammenarbeit von Staat, Wirtschaft und Wissenschaft zu fördern. Ausgehend von einem konsolidierten, aktuellen Lagebild wolle man im Rahmen der Allianz künftig alle Interessengruppen mit Informationen und Lösungshinweisen zur Realisierung eines angemessenen Cybersicherheitsniveaus versorgen. Dazu zählen auch eine größere Transparenz über aktuelle Angriffsformen und Schwachstellen. Ein vertrauensvoller Austausch zum Thema Cybersicherheit solle jedoch bewusst auch auf regionaler Ebene gestärkt werden, um Landesbetriebe, kommunale Dienstleister und mittelständische Unternehmen besser mit relevanten Informationen unterstützen zu können.