Die Verantwortung für die Cybersicherheit von Unternehmen ist häufig beim IT-Management ansiedelt, selten im Vorstand oder bei der Geschäftsführung. Diesen Eindruck vermittelt zumindest der aktuelle „Cyber Security Report DACH“ des Sicherheitsunternehmens Horizon3.ai.
Dennis Weyel, International Technical Director mit Zuständigkeit für Europa bei der auf Cybersecurity spezialisierten Firma, wundert sich: „Den meisten Vorständen oder Geschäftsführern scheint gar nicht klar zu sein, dass sie ohne Wenn und Aber persönlich in der Haftung stehen, wenn es durch einen ernsthaften Cyberangriff etwa zu einer Betriebsunterbrechung kommt, personenbezogene Daten entwendet werden oder schlimmstenfalls sogar Insolvenz angemeldet werden muss.“
Angesichts von täglich mehr als 4.000 Attacken allein auf deutsche Unternehmen, wie aus dem letzten Lagebericht des Bundesamtes für Informationssicherheit (BSI) hervorgeht, stuft Dennis Weyel diese „Blindheit gegenüber der Verantwortung“ als „grob fahrlässig“ ein. Er empfiehlt der obersten Leitungsebene über alle Branchen hinweg Weisung zu geben, mindestens einmal im Monat oder sogar wöchentlich durch sogenannte Penetrationstests („Pentest“) – im Finanzsektor von der EZB als „Stresstest“ bezeichnet – die Cyberresilienz ihrer Firmen überprüfen zu lassen.
Laut „Cyber Security Report DACH“ liegt die Verantwortung für die IT-Sicherheit in den Unternehmen beim (in dieser Reihenfolge) Chief Technology Officer (CTO, 24 Prozent der Firmen), Chief Information Officer (CIO, 18 Prozent) bzw. IT-Einkaufsleiter (18 Prozent), Leiter der Abteilung Digitales (15 Prozent), Chief Information Security Officer (CISO, 13 Prozent) oder Manager für Risiko und Compliance (7 Prozent). Ein knappes Zehntel (9 Prozent) hat den Verantwortungsbereich IT-Sicherheit an eine externe Beratungsfirma gegeben. „In Wahrheit liegt die Verantwortung im Fall der Fälle aber bei allen Vorständen oder allen Geschäftsführern“, gibt Dennis Weyel zu bedenken.
