IT-Sicherheit fordert weiter die Wirtschaft

Die Resilienz von IT-Infrastrukturen bleibt für die Wirtschaft eine Herausforderung. Dies zeigt eine aktuelle eco Umfrage. 75,2 Prozent der IT-Expert:innen in Deutschland sehen Verbesserungspotential wenn es darum geht, diese gegen Cyberattacken zu wappnen. Aus der Perspektive vieler Expert:innen sind lokale Datennetze und insbesondere einzelne Server oft nur mäßig vor Cyberattacken bzw. Hackerangriffen geschützt. Eine gute oder sehr gute Sicherheit attestiert nur rund jeder zehnte Experte (10,7 Prozent) den im allgemeinen genutzten digitalen Infrastrukturen in Deutschland. Das Meinungsforschungsinstitut Civey hatte im November 503 IT-Expertinnen und Experten befragt, wie sie die Sicherheit der digitalen Infrastruktur in Deutschland einschätzen.

„Die IT-Infrastruktur in Deutschland ist grundlegend für das Funktionieren unserer Gesellschaft“, sagt Klaus Landefeld, stellvertretender Vorstandsvorsitzer des eco Verbands. „Daher begrüßen wir das Ziel von Politik und Wirtschaft, die digitale Infrastruktur in Deutschland widerstandsfähiger zu machen. Insbesondere Unternehmen und Institutionen, die entsprechend der NIS2 Richtlinie zu den sogenannten grundlegenden Einrichtungen gehören, müssen zukünftig verstärkt auf Compliance-Anforderungen achten und sollten sich heute schon darauf vorbereiten“, sagt Landefeld und gibt Unternehmen die folgenden Tipps, wie sie ihre Resilienz erhöhen – insbesondere kleine und mittlere Unternehmen müssen hier schnell aufholen:

• Prüfen Sie selbst anhand der Gesetzestexte, ob Sie unter das KRITIS-Dachgesetz fallen könnten. Laut dem aktuellen Entwurf des Dachgesetzes zum Schutz Kritischer Infrastrukturen gehören zukünftig deutlich mehr Unternehmen zum Kreis derer, die gesetzliche Mindeststandards bei der IT-Sicherheit erfüllen müssen. Wenn Sie unsicher sind, holen Sie sich Hilfe, beispielsweise beim Service-Center des BSI (Bundesamt für Sicherheit in der Informationstechnik).
• Bringen Sie Ihre Geschäftsprozesse auf Vordermann, indem Sie diese durchleuchten und Risiken bewerten. Leiten Sie daraus die nötigen Handlungsschritte ab. Besonders die kritischen Geschäftsprozesse gehören so gut wie möglich geschützt.
• Machen Sie (schriftliche) Pläne für den Notfall und benennen Sie darin Ansprechpartnerinnen und Ansprechpartner im Unternehmen für den Fall der Fälle. Ein Notfallhandbuch ist bei KRITIS-Unternehmen vorgeschrieben. Aber auch Nicht-KRITIS Unternehmen können davon profitieren. Regeln Sie darin etwa Prozesse zum Wiederanlauf nach einem Ausfall der IT oder einem Sicherheitsvorfall. Ins Notfallhandbuch gehören auch regelmäßig überprüfte Backups und klare Kommunikationswege.
• Wenn Sie ein KRITIS Unternehmen sind, seien Sie sich bewusst, welche Daten Sie wo speichern und wie sensibel diese sind. Die Daten sind hinsichtlich Vertraulichkeit, Integrität und Verfügbarkeit zu bewerten. Hierbei gilt es auch, den Kumulationseffekt zu beachten: speichern Sie sehr viele eigentlich unkritischen Daten auf nur einem Server, wird dieser kritisch.
• Machen Sie IT-Security zur Chefsache, das unterstreicht auch die NIS2 Richtlinie. Die Geschäftsführer haften in Zukunft auch privat für eventuelle Versäumnisse.
• Informieren Sie sich, welchen Meldepflichten Sie im Fall der Fälle nach Einführung der NIS2 nachkommen müssen. Nehmen Sie diese auch in Ihr Notfallhandbuch mit auf und legen Sie eindeutig fest, wer die Meldung absetzt.
• Eine regelmäßige Überprüfung der implementierten Sicherheitsmaßnahmen und des Notfallhandbuchs ist Pflicht. Legen Sie klare Zyklen fest, in denen diese überprüft werden und dokumentieren Sie diese klar.
• Je nach Branche gelten noch spezifischere Anforderungen an die Sicherheit, als die NIS2 fordert. Informieren Sie sich vorab hinsichtlich Ihrer branchenspezifischen Standards.
• Bei Fragen melden Sie sich gerne bei unserer Kompetenzgruppe KRITIS und bringen Sie sich aktiv in die Arbeitsgruppen zu regulatorischen und operativen Aspekten ein!