IT-Standards: Keinen Bock auf Sicherheit

29. Dezember 2015

3 Min. Lesezeit

Vorstände und Geschäftsführer halten sich nicht an ihre eigenen IT-Sicherheitsstandards, fand eine Studie heraus. Doch dabei riskieren sie auch ihr eigenes Geld.

IT-Standards: Keinen Bock auf Sicherheit (Desktop)

Die neue digitale Welt verspricht allerorts die Dinge zu vereinfachen: Den Taxiruf per App, die Maschinen in der Fabrik können von zu Hause überwacht werden, die Heizung im Wohnzimmer schon im Büro angeschaltet. Immer geht es darum, den Menschen Arbeit oder Denkleistung abzunehmen. Algorithmen sagen etwa vorher, welcher Film oder welche Musik gefallen, wann mal wieder Sport angesagt ist oder Aktien verkauft werden sollten.

Und dann kommen diese Warner daher. Sie sagen, es drohen Gefahren im Netz. Sie sagen, man müsse sich um die Sicherheit der eigenen Daten bemühen, besonders aber um die der Betriebsgeheimnisse. Man müsse die IT-Systeme im Unternehmen vor Kriminellen schützen. Also legen sie Schutzschichten um die neue Welt: Sie geben die Anweisung, Passwörter regelmäßig zu ändern, verschlüsseln Kommunikation, geben Token heraus, mit denen sich die Mitarbeiter über speziell gesicherte Verbindungen im System der Firma einloggen müssen.

Doch weil das den Aufwand erhöht, der durch die Digitalisierung ja eigentlich reduziert werden soll, beschließen immer wieder einige, sich schlicht nicht an die Sicherheitsmaßnahmen zu halten: Besonders auch Vorstände und Führungskräfte, wie eine Studie im Auftrag des IT-Sicherheitsanbieters Palo Alto Networks herausgefunden hat, die dem Handelsblatt vorab vorliegt. 27 Prozent der 765 von Redshift Research befragten Entscheidungsträgern von Unternehmen mit mehr als 1000 Mitarbeitern in Großbritannien, Deutschland, Frankreich, den Niederlanden und Belgien gaben an, das Unternehmen potenziellen IT-Sicherheitsrisiken auszusetzen – 14 Prozent davon in vollem Bewusstsein.

Und das obwohl, fast alle Teilnehmer der Umfrage erklärten, Cybersicherheit solle Priorität in ihrem Unternehmen haben. In Deutschland gaben sogar 38 Prozent der Befragten zu, ihren Betrieb möglichen Cybersicherheitsrisiken ausgesetzt zu haben, die höchste Zahl innerhalb der untersuchten Länder. Besonders unvorsichtig sind Mitarbeiter der Bereiche Finanzdienstleistungen, Versicherungen oder dem Dienstleistungssektor.

Zu ähnlichen Ergebnissen kommt auch die Umfrage „Potenzialanalyse Digital Security“ von Sopra Steria Consulting unter 110 IT-Entscheidern in Unternehmen ab 500 Mitarbeitern in Deutschland. Demnach erklärte ein Viertel der Befragten, ihre Geschäftsleitern hätten eine zu hohe Risikobereitschaft im Hinblick auf Cyberangriffe.

Auch Thorsten Holz kennt dieses Problem. Der Professor für Systemsicherheit an der Ruhr-Universität Bochum ist Direktor des Horst-Görtz-Instituts für IT-Sicherheit. „Ich höre oft von IT-Sicherheitsverantwortlichen in Unternehmen, dass das Management darauf besteht, bestimmte Smartphones, Tablets oder andere Geräte nutzen zu dürfen“, erzählt er. Dabei seien ihnen die Sicherheitsmaßnahmen erst einmal egal. „Geräte mit hohen Sicherheitsstandards sind ihnen oft in der Handhabbarkeit zu aufwendig“, sagt Holz. Deswegen müsse ein Schwerpunk von Forschung und Entwicklung bei IT-Sicherheitsangeboten darauf liegen, deren Transparenz zu erhöhen. „Das bedeutet, sie so zu integrieren, dass der Nutzer nicht mehr mitbekommt, dass Sicherheitslösungen vorhanden sind. An diesem Punkt sind wir aber leider noch lange nicht.“

Marc Bachmann ist Bereichsleiter für öffentliche Sicherheit und Verteidigung beim IT-Branchenverband Bitkom. Er sieht immerhin eine leichte Verbesserung des Problems. „Die Haltung zur IT-Sicherheit hat sich in den letzten Jahren nicht zuletzt durch die NSA-Affäre verbessert“, sagt er. „Allerdings werden IT-Sicherheitsmaßnahmen von vielen Unternehmen immer noch als Kostenpunkt verstanden, den es abzuarbeiten gilt. Sie glauben also, dass sie durch den Kauf einer technischen Lösung geschützt sind.“

Dabei lasse sich IT-Sicherheit nicht so einfach an die Technik delegieren. Die Mitarbeiter müssten für die Gefahren sensibilisiert sein, besonders das Management. „Lebt der Vorstand oder die Geschäftsführung dies nicht vor, ist es schwer, eine Akzeptanz dafür im Unternehmen herzustellen“, erklärt der Experte.

Die Sorglosigkeit der Führungskräfte hat laut der Studie von Palo Alto Networks einen Grund: Fast ein Fünftel schreibt sich keine persönliche Rolle in den Bemühungen des Unternehmens um Cybersicherheit zuschreibt. Nur 21 Prozent glauben, der für einen Datenverlust verantwortliche Mitarbeiter würde dafür zur Rechenschaft gezogen. 40 Prozent gehen hingegen davon aus, dass die IT verantwortlich gemacht würde.

Dabei kann dies gerade Führungskräften auf die Füße fallen: „Das Einhalten von IT-Sicherheitsmaßnahmen ist angesichts der möglichen Schäden durch Hacker eine wesentliche Sorgfaltsplicht von Vorständen“, erklärt Professor Marco Gercke, Direktor des Cybercrime Research Instituts in Köln. „Verstoßen sie dagegen, können sie für die Schäden haftbar gemacht werden.“ Sie können sich auch nicht darauf verlassen, dass eine Versicherung dafür aufkommt. Die Sorgfaltspflicht von Vorständen ist in Paragraf 93, Absatz 2 des Aktiengesetztes geregelt. Dort steht klar, dass Vorstandsmitglieder mindestens zehn Prozent des Schadens bis mindestens zur Höhe des Eineinhalbfachen der festen jährlichen Vergütung zahlen muss.

Sorglosigkeit kann also schmerzhaft an eigene Geld gehen: Der Branchenverband Bitkom kommt in einer aktuellen Studie zu dem Ergebnis, dass aus der Schaden als Folge digitaler Wirtschaftsspionage, Sabotage und Datendiebstahl bei rund 51 Milliarden Euro pro Jahr liegt – konservativ gerechnet.