IT-Sicherheitsvorfälle: Jede zweite Firma ohne Notfallplan

Die meisten Firmen sind um ihre IT-Sicherheit besorgt und sehen Angriffe auf ihre Systeme als reale Gefahr. Doch fast jedes zweite Unternehmen (45 Prozent) hat nicht einmal einen Notfallplan für IT-Sicherheitsvorfälle.

Planlos: Viele Firmen haben keine Ahnung, wie sie sich bei einem IT-Sicherheitsvorfall verhalten sollten (Foto: Jürgen Fälchle - Fotolia.com).

Überraschend, denn immerhin 40 Prozent haben bereits konkrete Angriffe auf die IT oder vergleichbare Sicherheitsvorfälle erlebt, jedes zehnte Unternehmen sogarzehn Mal und häufiger, wie eine repräsentative Umfrage des Branchenverbandes Bitkom zeigt.

»Es ist erschreckend, wie viele Unternehmen sich auf IT-Angriffe und Notfälle nur unzureichend vorbereitet haben«, sagte Bitkom-Präsident Prof. Dieter Kempf auf der CeBIT in Hannover. Seiner Ansicht nach ist ein Notfallplan oberste Pflicht, um die Folgen eines IT-Sicherheitsvorfalls minimieren zu können. Er listet beispielsweise die wichtigsten Geschäftsprozesse des Unternehmens auf und beschreibt, was im Schadensfall zu tun und wer zu informieren ist.

Immerhin würde nur jedes vierte Unternehmen die Zusammenarbeit mit Polizei und Staatsanwaltschaft vermeiden, wenn es von einem Hackerangriff oder einem IT-Sicherheitsleck betroffen wäre. Knapp drei Viertel der Firmen zeigt hingegen eine hohe oder sehr hohe Bereitschaft, in einem solchen Fall mit den Behörden zusammenzuarbeiten. Die Erfahrungen des Bitkom zeigen jedoch, das noch immer viele Unternehmen bei einem IT-Sicherheitvorfall davor zurückschrecken, zur Polizei oder anderen Institutionen zugehen. Die Unternehmen fürchten den Verlust von Image und Reputation, sollte bekannt werden, dass sie Opfer eines IT-Angriffs geworden sind. »Um alle Beteiligten schützen zu können, brauchen wir Informationen über konkrete, aktuelle IT-Angriffe“« sagte Kempf. Es sollte zur Selbstverständlichkeit werden, die Behörden oder andere Stellen über IT-Sicherheitsvorfälle zu informieren und Erfahrungen auszutauschen. Unternehmen müssen auf freiwilliger Basis – und falls notwendig auch anonym – solche Vorfälle melden können. Ein aktuelles Lagebild hilft Staat und Wirtschaft, im Krisenfall schneller und adäquater reagieren zu können.

Lange Zeit galt IT-Sicherheit vor allem als Herausforderung für einzelne Unternehmen. Denn obwohl die Folgen für von einem Cyber-Angriff betroffenen Firmen häufig dramatisch waren, waren sie in der Regel jedoch auf eine einzelne Organisation begrenzt. Die Dimensionen haben sich jedoch durch die Digitalisierung zentraler Bereiche der Wirtschaft und des öffentlichen Lebens verändert. »IT-Sicherheit hat heute eine makroökonomische, systemische Bedeutung gewonnen«, so Mempf. Sie sei zum Standortfaktor geworden und werde künftig bei Investitionsentscheidungen die gleiche Bedeutung haben wie innere und äußere Sicherheit, wie ordnungspolitische oder rechtliche Planungssicherheit.