Eine aktuelle Umfrage zeigt: Nur knapp die Hälfte der Unternehmensführungen in der DACH-Region ist sich ihrer direkten Verantwortung für Cybersicherheit bewusst. Sicherheitsexperten warnen vor grober Fahrlässigkeit und fordern häufigere Tests zur Erhöhung der Cyberresilienz.

Foto: Horizon3.ai Dennis Weyel, International Technical Director bei Horizon3.ai Cyberattacken sind längst ein alltägliches Risiko für Unternehmen in Deutschland, Österreich und der Schweiz. Laut dem Bundesamt für Sicherheit in der Informationstechnik (BSI) gibt es täglich mehr als 4.000 Angriffe allein auf deutsche Unternehmen. Dennoch sehen sich viele Vorstände und Geschäftsführer nicht in der direkten Verantwortung. Der aktuelle "Cyber Security Report DACH" von Horizon3.ai zeigt, dass IT-Sicherheitsaufgaben häufig auf CTOs, CIOs oder externe Beratungsfirmen abgewälzt werden. Sicherheitsexperte Dennis Weyel warnt jedoch: "Den meisten Vorständen oder Geschäftsführern scheint gar nicht klar zu sein, dass sie ohne Wenn und Aber persönlich in der Haftung stehen, wenn es durch einen ernsthaften Cyberangriff zu einer Betriebsunterbrechung oder einem Datenverlust kommt."

Die persönliche Verantwortung der Unternehmensleitung 

Der Cyber Security Report zeigt, dass nur 48 Prozent der befragten Manager sich ihrer persönlichen Haftung bewusst sind. Ein Drittel der Befragten war überrascht, dass die Verantwortung für Cybersicherheit auf Top-Management-Ebene liegt, und 12 Prozent hatten davon noch nie gehört. Dabei sind die finanziellen Auswirkungen von Cyberangriffen enorm: Der IT-Branchenverband schätzt die jährlichen Schäden in Deutschland auf mehr als 200 Milliarden Euro.

Dennis Weyel sieht hier ein massives Problem: "Obgleich dem Gros der Führungskräfte das Gefahrenpotenzial und ihre persönliche Haftung bewusst sind, gehen sie vergleichsweise lax damit um." Viele Manager würden darauf vertrauen, dass ihre D&O-Versicherung oder eine Cybercrime-Versicherung im Schadensfall einspringt. Weyel warnt jedoch: "Eine Schadensregulierung ist mitnichten per se gegeben. Unternehmen müssen nachweisen, dass sie ausreichende Schutzmaßnahmen ergriffen haben und Cyberattacken effektiv ins Leere laufen." Zudem drohen bei Nichteinhaltung regulatorischer Vorgaben empfindliche Strafen und Reputationsverluste.

Warum regelmäßige Penetrationstests essenziell sind 

Um sich vor finanziellen und rechtlichen Konsequenzen zu schützen, empfiehlt Weyel, dass Unternehmen ihre IT-Sicherheit durch regelmäßige Penetrationstests prüfen. "Ich empfehle der obersten Leitungsebene, mindestens einmal im Monat oder sogar wöchentlich sogenannte Pentests durchführen zu lassen, um ihre Cyberresilienz zu testen," betont er. Im Finanzsektor sind solche Tests als "Stresstests" bereits etabliert und von der Europäischen Zentralbank (EZB) vorgeschrieben.

NIS2: Neue Regulierungen betreffen gesamte Lieferketten 

Zusätzlich zu unternehmenseigenen Schutzmaßnahmen rückt die EU-Richtlinie NIS2 (Netzwerk- und Informationssicherheitsrichtlinie) Cybersicherheit stärker in den Fokus. Diese Vorschrift betrifft nicht nur kritische Infrastrukturen wie Telekommunikationsanbieter oder Banken, sondern auch zahlreiche mittelständische Unternehmen. "Daher umfasst NIS2 die gesamte Lieferkette. Fällt nur ein einziges Unternehmen in einer solchen Kette unter die NIS2-Regelungen, dann gelten diese im Grunde für alle Firmen innerhalb der Kette," erklärt Weyel.

Besonders betroffen sind Unternehmen aus den Bereichen Energie, Transport, Finanzwesen, Gesundheitswesen, digitale Infrastruktur und IT-Dienstleister. "Wer meint, dass nur die betriebskritischen IT-Systeme betroffen sind, irrt gewaltig," warnt Weyel. "NIS2 erfasst sämtliche IT-gestützten Prozesse, inklusive Bürobetrieb und Buchhaltung." Unternehmen sollten sich also frühzeitig mit den neuen Vorschriften auseinandersetzen und geeignete Sicherheitsmaßnahmen implementieren.