Cybercrime

Cybercrime: Unternehmen müssen IT besser sichern

BSI: Bedrohung durch Cybercrime wächst weiter

Mit der Digitalisierung von Geschäftsprozessen wächst auch die Bedeutung der IT-Sicherheit. Das gilt für Behörden und Großunternehmen ebenso wie für die mittelständische Wirtschaft. Das IT-Sicherheitsgesetz erhöht den Handlungsdruck auf die Unternehmen. Gleichzeitig ergeben sich neue Geschäftschancen.

Der Ende November 2015 veröffentlichte Lagebericht des Bundesamts für Sicherheit in der Informationstechnik (BSI) machte es amtlich: „Die Anzahl kritischer Schwachstellen in Standard-IT-Produkten hat sich gegenüber den bereits hohen Vorjahreswerten im Jahr 2015 noch einmal massiv erhöht.“ Demnach wurden bereits in den ersten neun Monaten des Jahres 2015 für die elf verbreitetsten Softwareprodukte, die in der „Schwachstellenampel“ des BSI erfasst sind, 847 kritische Schwachstellen bekannt.

Cybercrime

Anzahl kritischer Schwachstellen der in der BSI-Schwachstellenampel erfassten Softwareprodukte
bis September 2015 (Quelle: „Die Lage der IT-Sicherheit in Deutschland 2015“, Bundesamt für Sicherheit
in der Informationstechnik)

Wirtschaft verliert 51 Mrd. Euro jährlich

Der Schaden für die Unternehmen durch Cyberkriminalität ist enorm: Nach Erkenntnissen des IT-Branchenverbands Bitkom beläuft sich der finanzielle Schaden auf 51 Milliarden Euro pro Jahr. Bei der Beschäftigung mit Cybersecurity sollten Entscheider deshalb immer gründlich prüfen:

  • Welche Werte sind zu schützen?
  • Welchen Bedrohungen stehen wir gegenüber?
  • Was kann ein Hack bewirken?
  • Wie hoch ist die Eintrittswahrscheinlichkeit?
  • Wo liegen unsere Schwachstellen, was ist dagegen zu tun – und was kostet das?
  • Welches Restrisiko besteht und wie lässt es sich versichern?

IT-Sicherheitsgesetz macht Druck

Auch die Politik hat die Bedeutung des Themas erkannt. Seit dem 25. Juli 2015 gilt in Deutschland das „Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme“ (IT-Sicherheitsgesetz). Dazu gehört beispielsweise die Zertifizierung der IT-Sicherheit nach ISO 27000 in ihren speziellen Ausprägungen für die verschiedenen Branchen. Zwar gilt die im Gesetz verankerte Meldepflicht für die Bereiche Energie, Informationstechnik und Telekommunikation, Transport und Verkehr, Gesundheit, Wasser, Ernährung sowie Finanz- und Versicherungswesen erst nach Inkrafttreten einer konkretisierenden Rechtsverordnung des Bundesministeriums des Innern. Doch unabhängig von der Frage, wann die Verordnung kommt, müssen die Unternehmen Cybersecurity zum festen Bestandteil ihrer Strategie machen. Die Bedrohung durch Cyberkriminalität wird genauso weiter wachsen wie die digitale Vernetzung unserer Lebens- und Arbeitswelt. Cybercrime ist ein Risiko, das es zu managen gilt – wie Überflutung, Sturm und Hagel. Diese Botschaft ist in vielen Unternehmen noch nicht wirklich angekommen.