In unserem letzten Blogbeitrag haben wir Ihnen ausführlich dargelegt, warum die Sensibilisierung und Weiterbildung Ihres Teams im Bereich der Cybersicherheit eine so zentrale Rolle spielt. Nun geht es Ihnen selbst an den Kragen. Denn wenn ein Unternehmen unsicher ist, nicht ausreichend Ressourcen für die Cybersicherheit bereitgestellt werden, dann meistens, weil das Thema nicht ausreichend Priorität bei Ihnen, den Führungskräften, genießt. Lesen Sie im folgenden Blogartikel, welche konkreten Maßnahmen Sie ergreifen können, um noch heute mehr Cybersicherheit in Ihrem Betrieb zu etablieren.
Raus aus der Nische und rein ins Geschäft
“Gib das mal an die IT”, oder “Der Herbert soll sich das mal anschauen, der hat doch Ahnung von sowas”. Haben Sie Sätze wie diese in Ihrem Betrieb schon einmal gehört? Ja? Dann befinden Sie sich sicherlich in guter Gesellschaft, denn Cybersicherheit wird im Mittelstand traditionell als Nischenthema behandelt. Seit die Digitalisierung jedoch von Datenspeicherung bis Zeit- und Personalerfassung, nahezu jeden Bereich eines Unternehmens betrifft, muss auch die Cybersicherheit Schritt halten. Beginnen Sie das Thema aus Ihrer kaufmännischen Brille zu betrachten: Handelt es sich um eine lohnende Investition für mein Unternehmen, oder gibt es Dringenderes? Das Thema muss also raus aus der IT-Abteilung und auf den Schreibtisch der Geschäftsführung.
Sobald Sie verstanden haben, dass mangelhafte Cybersicherheit ein Risiko für den gesamten Betrieb darstellt, ergeben sich fast automatisch Folgefragen wie:
- Stelle ich genügend Ressourcen für die IT-Abteilung, die Anschaffung neuer Materialien oder die Weiterbildung meiner Mitarbeitenden bereit?
IT-Abteilungen sind chronisch unterfinanziert. Selbstverständlich, denn Ihre Investitionen machen sich zunächst nicht beim Umsatz, geschweige denn beim Gewinn bemerkbar. Frei nach dem Prinzip “there is no glory in prevention” (es liegt kein Ruhm in der Vorsorge), bemerken Sie gute Cybersicherheit nur, wenn Sie nichts bemerken. Entsprechend fällt es Verantwortlichen schwer, ausreichend Ressourcen zu erhalten. Ändern Sie hier Ihre Sichtweise vom notwendigen Übel hin zur Investition in die Sicherheit Ihres Geschäftsbetriebes.
- Welche Daten sind besonders schützenswert? Gibt es beispielsweiße Baupläne oder Akten, ohne die ich den Betrieb nicht aufrechterhalten kann? Welche Mitarbeitenden arbeiten mit besonders sensiblen Daten und stellen somit ein interessantes Ziel für Angreifer dar?
Nun obliegt es Ihnen einen Notfallplan zu erarbeiten. Was muss passieren damit im Fall einer Hackerattacke nicht alles still liegt? In Ihrer Person laufen alle Stränge des Unternehmens zusammen, Sie befinden sich deshalb in einer einzigartigen Position abwägen zu können, welche Teile des Unternehmens besonders schützenswert sind. Definieren Sie Ihre Kronjuwelen und sichern Sie diese.
Praxistipp:
Stellen Sie sich kritische Fragen: Welche Kronjuwelen haben wir? Wo sind diese gespeichert und gibt es Back-Ups? Welche Möglichkeiten habe ich den Betrieb aufrechtzuerhalten, wenn diese Daten weg sind?
Hier finden Sie Materialien, die Ihnen bei der Beantwortung dieser Fragen helfen können:
Risiken erkennen und Verantwortung übernehmen
Hand aufs Herz: Kennen Sie Ihre Pflichten bezüglich der Meldung von Cyberattacken, dem Schutz von Kundendaten, der Sicherung von Lieferketten und nicht zuletzt Ihre persönliche Haftung für den wirtschaftlichen Schaden, der durch Phishing und Ransomware entstehen kann? Nein? Dann Lassen Sie uns gemeinsam Licht ins Dunkel bringen.
Achtung, die folgenden Beispiele stellen nur die wichtigsten gesetzlichen Regelungen dar. Welche Regelungen für Ihr Unternehmen gelten, richtet sich unter anderem an nach der Branche, der Größe Ihres Unternehmens, und den Unternehmen denen Sie als Zulieferer zugehörig sind.
Drei wesentliche Pflichten, welche idealerweise in die Risiko-Management Systeme Ihres Unternehmens eingegliedert sein sollten sind:
- Sorgfaltspflicht: Vorstandsmitglieder müssen die Sorgfalt eines ordentlichen und gewissenhaften Geschäftsleiters gemäß § 93 Abs. 1 (1) und (2) AktG anwenden. Geschäftsführer einer GmbH sind nach § 43 Abs. 1 GmbHG zur gleichen Sorgfalt verpflichtet.
- Legalitätspflicht: Die Geschäftsleitung ist dafür verantwortlich, dass das Unternehmen in seinen Außenbeziehungen rechtmäßig agiert. Dazu gehört auch die Überprüfung der Handlungen der Mitarbeiter.
- Pflicht zur Einrichtung von Überwachungssystemen: Gemäß § 91 Abs. 2 AktG ist die Einrichtung solcher Systeme ausdrücklich vorgeschrieben. Diese Regelung impliziert, dass bei einer juristischen Überprüfung auch die Geschäftsführung einer GmbH oder anderer Gesellschaftsformen betroffen sein könnte.
Die Datenschutzgrundverordnung (DSGVO)
Zusätzlich möchte ich Ihnen die zwei wichtigsten Grundverordnungen, welche explizit die Sicherheit von Daten im Unternehmen zur Aufgabe haben, vorstellen:
Die DSGVO ist eine europäische Verordnung und damit in allen Mitgliedsstaaten der EU geltendes Gesetz. Sie zielt darauf ab, natürliche Personen bei der Verarbeitung personenbezogener Daten (bspw. Name, Alter, Wohnort, etc.) zu schützen und gleichzeitig den freien Datenverkehr innerhalb der EU zu gewährleisten.
Für Sie interessant ist die Verantwortlichkeit der Daten, die Ihnen zur Aufbewahrung durch Ihre Kunden, Lieferanten, etc. anvertraut werden. Denn laut Artikel 4 der Verordnung liegt diese bei „der natürlichen oder juristischen Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet.“. Ergo: Sie als Geschäftsführung haften für die Sicherheit der besagten Daten. Bei Nichteinhaltung drohen empfindliche Strafen. Seien Sie sich also bewusst, die Sicherheit von Daten ist nicht nur zur Aufrechterhaltung des normalen Betriebes essenziell, sollten Sie grob gegen die gültigen Rechtsakte verstoßen, kann dies unter Umständen das wirtschaftliche Ende ihres Unternehmens bedeuten.
Richtlinie zur Netz- und Informationssicherheit (NIS-2)
Mit der NIS-2-Richtlinie werden derzeit neue Mindeststandards für Cybersicherheit in der EU definiert. Im Vergleich zur Vorgängerrichtlinie wurde diese insbesondere in den Punkten Risikomanagement, Aufsichts- und Durchsetzungsmaßnahmen sowie Geldbußen verschärft. Für Sie relevant ist letztlich die Frage, ob Sie von NIS-2 betroffen sind und wenn ja welche Pflichten dies beinhaltet. Lesen Sie hierzu am besten unseren Übersichtsblogartikel.
Welche weiteren Bestimmungen auf europäischer Ebene oder im nicht europäischen Ausland für Sie gültig sind sollten Sie im Einzelfall rechtlich klären lassen. Behalten Sie vorerst die drei folgenden Aspekte im Hinterkopf:
- Vorsorge: Informieren Sie sich regelmäßig über die neuen rechtlichen Entwicklungen bezüglich der Cybersicherheit in Ihrem Betrieb und übersetzen Sie diese in Ihre Verantwortlichkeiten.
- Reaktion: Sollte eine Hackerattacke vorliegen sind Sie in der Regel verpflichtet diese zu melden. Seien Sie transparent gegenüber Kunden und der Öffentlichkeit und protokollieren Sie Ihr Vorgehen.
- Halten Sie sich fit: Aufgrund der dynamischen Entwicklung des Bereichs sollten Sie sich regelmäßig selbst testen. Organisieren Sie bspw. Für die gesamte Geschäftsführung eine Fortbildung oder eine spielerische Übung.
Wenn nicht heute, dann aber Morgen
Keine Transferstelle, kein Cybersicherheitsexperte, keine Investition kann Ihnen 100% Sicherheit vor Cyberattacken garantieren. Ein gewisses Restrisiko wird egal wie sicher Sie sich fühlen immer bleiben. Das Schlüsselwort hier heißt: Risikomanagement.
Versuchen Sie Cybersicherheit als wirtschaftlichen Risikofaktor wie andere Risikofaktoren zu sehen. Wenn sich Ihr Unternehmen beispielsweise in der Nähe eines Flusses befindet, ist die Gefahr einer Überflutung Ihres Betriebes vermutlich wahrscheinlicher als bei Ihrer Konkurrenz. Definieren Sie also Ihre persönliche Risikobereitschaft.
Aus kaufmännischer Sicht kann es durchaus Sinn ergeben eine Investition in die Cybersicherheit Ihres Unternehmens vorerst aufzuschieben. Seien Sie sich jedoch bewusst, dass Sie diese Entscheidung getroffen haben und reflektieren Sie die Auswirkungen dieser. Langfristig verhindern Sie so, dass die Cybersicherheit dauerhaft hintenangestellt wird.
Was sind beispielsweiße Mechanismen, die Sie einführen können, um diese Entscheidungen zu protokollieren? Wenn Sie im Januar in neue Produktionsmaschinen investiert haben und hierfür die IT-Sicherheit Ihres Unternehmens hintenangestellt haben, dann ist vielleicht der bei nächster Gelegenheit der Zeitpunkt gekommen andere Prioritäten zu setzen.
Ermitteln Sie Ihre Risikobereitschaft
- Unternehmenseigentum – Welche Risiken werden wir nicht akzeptieren?
- Strategie – Welches sind die Risiken, die wir eingehen müssen?
- Stakeholder – Welche Risiken sind die Stakeholder bereit zu tragen, und in welchem Umfang?
- Kapazität – Welche Ressourcen sind für die Bewältigung dieser Risiken erforderlich?
- Finanzen – Sind wir in der Lage, die Wirksamkeit unseres Risikomanagements angemessen zu quantifizieren?
- Messbarkeit – Können wir messen und Berichte erstellen, um sicherzustellen, dass eine ordnungsgemäße Überwachung, Trendbestimmung und Kommunikation erfolgt?
Kurzum: Beginnen Sie Cybersicherheit als Risiko zu betrachten, welches Sie durch schlaues Management reduzieren und dessen Auswirkungen, selbst im Falle einer Hackerattacke kontrollieren können. Sollten Sie beispielsweiße im Laufe der Risikobewertung darauf kommen, dass Sie Ihre Produktion auch mehrere Wochen ohne Baupläne aufrechterhalten können, dann ist es unter Umständen nicht nötig diese Daten besonders zu schützen. Setzen Sie also Prioritäten und planen sie für den Tag X.
Praxistipp
Mit der sogenannten Monte-Carlo-Simulation lassen sich Wahrscheinlichkeiten von bestimmten Situationen schätzen. Oftmals bewerten Menschen Risiken völlig falsch, da wir grundsätzlich emotional denken und komplexe Wahrscheinlichkeiten nur schwer erfassen können.
Durch eine gelungene Risikoanalyse kann es Ihnen beispielsweise gelingen, sich für oder gegen die Notwendigkeit einer Investition zu entscheiden.
Verfasst von Tobias Diemer
Projektmanager Kommunikation
