Die Ver­ant­wor­tung für die Cyber­sicher­heit von Unternehmen ist häu­fig beim IT-Man­age­ment ansiedelt, sel­ten im Vor­stand oder bei der Geschäfts­führung. Diesen Ein­druck ver­mit­telt zumin­d­est der aktuelle „Cyber Secu­ri­ty Report DACH“ des Sicherheits¬¬unternehmens Horizon3.ai. Den­nis Weyel, Inter­na­tion­al Tech­ni­cal Direc­tor mit Zuständigkeit für Europa bei der auf Cyber­se­cu­ri­ty spezial­isierten Fir­ma, wun­dert sich: „Den meis­ten Vorstän­den oder Geschäfts­führern scheint gar nicht klar zu sein, dass sie ohne Wenn und Aber per­sön­lich in der Haf­tung ste­hen, wenn es durch einen ern­sthaften Cyberan­griff etwa zu ein­er Betrieb­sun­ter­brechung kommt, per­so­n­en­be­zo­gene Dat­en entwen­det wer­den oder schlimm­sten­falls sog­ar Insol­venz angemeldet wer­den muss.“ Angesichts von täglich mehr als 4.000 Attack­en allein auf deutsche Unternehmen, wie aus dem let­zten Lage­bericht des Bun­de­samtes für Informations¬sicherheit (BSI) her­vorge­ht, stuft Den­nis Weyel diese „Blind­heit gegenüber der Ver­ant­wor­tung“ als „grob fahrläs­sig“ ein. Er emp­fiehlt der ober­sten Leitungsebene über alle Branchen hin­weg Weisung zu geben, min­destens ein­mal im Monat oder sog­ar wöchentlich durch soge­nan­nte Pen­e­tra­tionstests („Pen­test“) – im Finanzsek­tor von der EZB als „Stresstest“ beze­ich­net – die Cyber­re­silienz ihrer Fir­men über­prüfen zu lassen.

Laut „Cyber Secu­ri­ty Report DACH“ liegt die Ver­ant­wor­tung für die IT-Sicher­heit in den Unternehmen beim (in dieser Rei­hen­folge) Chief Tech­nol­o­gy Offi­cer (CTO, 24 Prozent der Fir­men), Chief Infor­ma­tion Offi­cer (CIO, 18 Prozent) bzw. IT-Einkauf­sleit­er (18 Prozent), Leit­er der Abteilung Dig­i­tales (15 Prozent), Chief Infor­ma­tion Secu­ri­ty Offi­cer (CISO, 13 Prozent) oder Man­ag­er für Risiko und Com­pli­ance (7 Prozent). Ein knappes Zehn­tel (9 Prozent) hat den Ver­ant­wor­tungs­bere­ich IT-Sicher­heit an eine externe Beratungs­fir­ma gegeben. „In Wahrheit liegt die Ver­ant­wor­tung im Fall der Fälle aber bei allen Vorstän­den oder allen Geschäfts¬führern“, gibt Den­nis Weyel zu bedenken.

Über 200 Milliarden Euro Schaden durch Cyberkriminalität

In der Umfrage erk­lärte beina­he die Hälfte (48 Prozent), dass sie sich der per­sön­lichen Haf­tung auf Top­man­age­mentebene bewusst seien. Ein Drit­tel gab sich von dieser Recht­spo­si­tion über­rascht, 12 Prozent behaupteten, von dieser Haf­tung „noch nie gehört“ zu haben. Den mit Cyberkrim­i­nal­ität ver­bun­de­nen Schaden schätzte ein gutes Drit­tel (34 Prozent) auf 100 bis 200 Mil­liar­den Euro allein in Deutsch­land. 28 Prozent gin­gen von 200 bis 300 Mil­liar­den Euro Schaden­shöhe aus, 22 Prozent von 50 bis 100 Mil­liar­den Euro, und 15 Prozent von weniger als 50 Mil­liar­den Euro. Damit liegt knapp zwei Drit­tel der Befragten in der Größenord­nung richtig: Der IT-Branchen¬verband geht von etwas über 200 Mil­liar­den Euro Schadenssumme im let­zten Jahr aus.*

„Obgle­ich dem Gros der Führungskräfte das Gefahren­poten­zial und ihre per­sön­liche Haf­tung bewusst sind, gehen sie ver­gle­ich­sweise lax damit um“, wun­dert sich Sicher­heit­sex­perte Den­nis Weyel. Er spekuliert: „Möglicher­weise gehen viele Top­man­ag­er davon aus, dass ihre D&O‑Versicherung zusam­men mit ein­er Cyber­crime-Ver­sicherung schon für alle eventuellen Schä­den aufkom­men wer­den. Doch wen­ngle­ich bei­de Ver­sicherun­gen sin­nvoll sind, ist eine Schadens¬regulierung im Fall der Fälle mit­nicht­en per se gegeben. Eine aus­re­ichende Absicherung vor Hack­eran­grif­f­en und der Nach­weis, dass Cyber­at­tack­en tat­säch­lich ins Leere laufen, stellen in der Regel eine wesentliche Grund­lage für der­ar­tige Ver­sicherun­gen dar. Spätestens bei möglichen Com­pli­ance-Ver­stößen etwa gegen die Net­zw­erk- und Infor­ma­tion­ssicher­heit­srichtlin­ie NIS2 der Europäis­chen Union ist die Asseku­ranzfrage sicher­lich alles andere als geklärt.“

NIS2 umfasst die gesamte Lieferkette

Rund 30.000 Unternehmen in Deutsch­land sind von den NIS2-Bes­tim­mungen betrof­fen. Das Bun­de­samt für Sicher­heit in der Infor­ma­tion­stech­nik (BSI) hat eigens eine Web­site ein­gerichtet, auf der Fir­men prüfen kön­nen, ob sie darunter fall­en.** Cyber-Sicher­heit­sex­perte Den­nis Weyel gibt zu bedenken: „Daher umfasst NIS2 die gesamte Liefer­kette. Fällt nur ein einziges Unternehmen in ein­er solchen Kette unter die NIS2-Regelun­gen, dann gel­ten diese im Grunde für alle Fir­men inner­halb der Kette.“ Er gibt ein Beispiel: „Wenn eine Fir­ma ein Kranken­haus auf der Kun­den­liste ste­hen hat, dann ist sie betrof­fen, weil die Klinik als Kri­tis­che Infra­struk­tur eingestuft wird.“

Das deutsche Gesetz zur Umset­zung der Revi­sion der Net­zw­erk- und Informationssicherheits¬richtlinie („NIS-2Um­suCG“) unter­schei­det zwis­chen „beson­ders wichti­gen Ein­rich­tun­gen“ und „wichti­gen Ein­rich­tun­gen”. Zur ersten Kat­e­gorie gehören die Betreiber ver­sorgungskri­tis­ch­er Anla­gen ab ein­er bes­timmten Ver­sorgungs­größe wie beispiel­sweise große Telekom­mu­nika­tion­snet­z­be­treiber und Teile der Bun­desver­wal­tung. Unter die zweite Kat­e­gorie fall­en Fir­men ab ein­er gewis­sen Min­dest­größe aus den Sek­toren Energie, Trans­port und Verkehr, Finanzwe­sen, Gesund­heit, Wass­er, dig­i­tale Infra¬struktur und Wel­traum sowie zusät­zlich Unternehmen der Abfall­wirtschaft, der Chemiein­dus­trie, der Lebens­mit­tel­wirtschaft, bes­timmte Pro­duk­ther­steller wie für Medi­z­in­pro­duk­te oder IT-Geräte, Maschi­nen- und Fahrzeug­bauer sowie Forschung­sein­rich­tun­gen. „Wer meint, dass nur die jew­eils betrieb­skri­tis­chen IT-Sys­teme betrof­fen sind, irrt gewaltig“, erläutert Den­nis Weyel. Er ver­weist darauf, dass in der Geset­zes­be­grün­dung aus­drück­lich fest­gelegt ist, dass darunter „sämtliche Aktiv­itäten der Ein­rich­tung, für die IT-Sys­teme einge­set­zt wer­den“ fall­en, also beispiel­sweise auch der übliche Büro­be­trieb oder die Buchhaltung.