Home » Fachbeiträge » KRITIS » Warum Cybersicherheit Chefsache sein muss

Die Rolle der Unternehmensführung in kritischen Infrastrukturen: Warum Cybersicherheit Chefsache sein muss

Der Gesetzgeber macht Cybersicherheit durch verschärfte Vorschriften und gestiegene Haftungspflichten zu einem zentralen Thema für die Geschäftsleitung. Damit Betreiber kritischer Infrastrukturen den Anforderungen gerecht werden und ihre IT-Sicherheitsstrategie bestmöglich mit der Geschäftsstrategie in Einklang bringen können, braucht es eine klare Kommunikation, verständliche Kennzahlen und ein neues Mindset im Management.

·

Redaktion IT-SICHERHEIT (cs)

4 Min. Lesezeit
Ein Datenschutzschild über einer Stromtrasse
Foto: ©AdobeStock/ TensorSpark

Hinweis: Dieser Artikel stammt aus der Ausgabe 6/2024 der Zeitschrift IT-SICHERHEIT. Das komplette Heft können Sie hier herunterladen. (Registrierung erforderlich)

Die Unternehmensleitung muss das Thema Cybersicherheit zur Chefsache machen, sich der Cyberrisiken bewusst werden und die Fähigkeit entwickeln, sie zu qualifizieren, zu quantifizieren und zu kommunizieren. Um die Chancen der Digitalisierung zu nutzen, bedarf es einer verstärkten Sensibilisierung im Sinne einer umfassenden Cybersecurity. Diese veränderte Denkweise ist existenziell für den Fortbestand und den geschäftlichen Erfolg des Unternehmens. Cyberrisiken sind immerhin zum größten Geschäftsrisiko geworden und dürfen nicht länger ignoriert werden, weder bei einzelnen Firmen noch im Hinblick auf die gesamte Volkswirtschaft. Die zunehmende Schärfe des Gesetzgebers in diesem Bereich – Stichwort NIS-2-Richtlinie und KRITIS-Verordnung – belegt ebenso die wachsende Gefahr.

Erhöhte Anforderungen und Geschäftsführerhaftung

Gerade die kritischen Infrastrukturen sowie die durch NIS-2 regulierten anderen „wichtigen“ und „besonders wichtigen“ Einrichtungen sind exponierte Ziele, da Angreifer hier den größten Schaden für Wirtschaft und Gesellschaft anrichten können. Es ist daher nur folgerichtig, dass die EU die grundlegenden Anforderungen an die Cybersicherheit bei ihnen erhöht. Unter anderem verpflichtet sie Geschäftsführer zum Cyberrisikomanagement und macht sie bei Missachtung persönlich haftbar. In der Praxis wird es nie möglich sein, alle Risiken zu beseitigen. Vielmehr müssen CEOs abwägen, mit welchen sie leben können und mit welchen nicht. Im Bereich kritischer Infrastrukturen ist das aber eine Entscheidung, die nicht nur das unternehmerische Risiko betrifft, sondern gesamtgesellschaftliche Auswirkungen hat.

In Deutschland sind voraussichtlich knapp 30.000 Einrichtungen direkt von NIS-2 erfasst – deutlich mehr als von der bisherigen KRITIS-Verordnung. Indirekt wirkt sich die neue Direktive jedoch auf viele weitere Unternehmen aus. Denn zukünftig müssen regulierte Organisationen auch die Cybersecurity in ihrer Lieferkette betrachten. Wer weiterhin Aufträge von solchen Geschäftspartnern erhalten will, muss sich also darauf einstellen, dass Cybersicherheit bei Vertragsverhandlungen auf den Tisch kommen wird. Für Zulieferer empfiehlt es sich, proaktiv das Gespräch mit möglicherweise regulierten Kunden zu suchen und das Thema gemeinsam anzugehen. Wer Cybersicherheit auch als kleines oder mittelständisches Unternehmen ernst nimmt, kann daraus einen Wettbewerbsvorteil generieren.

Herausforderungen bei der Umsetzung von Sicherheitsstrategien

In der Praxis schreitet die Modernisierung der Security-Strategie jedoch oftmals nur schleppend voran. Das hat viele Gründe: Aufgrund des anhaltenden Fachkräftemangels stellt es gerade bei geringeren Ressourcen – etwa im öffentlichen Sektor oder in kleinen und mittleren Unternehmen (KMU) – eine Herausforderung dar, geeignete Sicherheitsexperten zu finden und den wachsenden Anforderungen neben dem IT-Tagesgeschäft gerecht zu werden. Viele Unternehmen wissen zudem nicht so recht, wo sie eigentlich ansetzen sollen. Sie investieren zwar in neue Security-Technologie, aber sind diese Maßnahmen wirklich zielgerichtet und gibt es messbare Kriterien, um die Wirksamkeit zu ermitteln?

Denn mit der Implementierung neuer Technologie allein ist es nicht getan. Man muss sie auch optimal konfigurieren, kontinuierlich aktualisieren und korrekt anwenden. Manchmal sind wichtige Funktionen nicht aktiviert oder Datenquellen nicht richtig angebunden. Eigentlich liefern die Security-Lösungen ständig Informationen zu verdächtigen Aktivitäten in der IT-Umgebung, doch oft liegen die Daten in Silos und können nicht zusammengeführt werden, weil Systeme inkompatibel sind. Den Unternehmen gelingt es deshalb häufig nicht, Sicherheitsmaßnahmen optimal auf die eigene Infrastruktur sowie die Geschäftsstrategie auszurichten.

Um dies zu erreichen, braucht es eine nahtlose Kommunikation zwischen IT-Sicherheitsverantwortlichen auf der einen und der Geschäftsführung auf der anderen Seite. Die IT-Sicherheit steht dabei in der Pflicht, klar und konkret den Wert von Cybersecurity-Maßnahmen aufzuzeigen, während die Chefetage das Mindset ausbilden muss: Cybersecurity ist Chefsache.

Denn gerade mit der NIS-2-Direktive wird die Geschäftsführerhaftung mehr denn je betont. Die Konsolidierung des Security-Tool-Stacks und die Einführung einer zentralen Management-Plattform können zudem dabei helfen, Datensilos aufzubrechen, die nötigen Informationen zu sammeln und relevante Kennzahlen übersichtlich darzustellen. So wird die Grundlage für eine effiziente und datengetriebene Kommunikation zwischen den Abteilungen gefördert und die Erreichung von Compliance unterstützt.

Der Staat als Förderer und Forderer

Allerdings hinken selbst viele Unternehmen, die nach bisherigem  Recht schon zu den KRITIS-Organisationen zählen, in ihren Schutzmaßnahmen noch hinterher. Seit Mai 2023 müssen sie laut IT-Sicherheitsgesetz etwa die Einführung von Systemen zur Angriffserkennung gegenüber dem BSI nachweisen. In den meisten Sektoren hat die Mehrheit der Unternehmen aber erst mit der Umsetzung begonnen und noch nicht alle MUSS-Anforderungen erfüllt. Vor allem kleinere Einrichtungen kämpfen mit Kapazitäts- und Budget-Engpässen. Hier sollte der Staat nicht nur fordern, sondern auch fördern und mehr Unterstützung bieten.

Fazit: Cybersicherheit als strategische Priorität

Unternehmen, die strategisch in die IT-Sicherheit investieren, sorgen für reibungslose Prozesse, schützen ihre Daten und fördern das Vertrauen von Kunden, Partnern und der Öffentlichkeit. Wer dagegen die Absicherung vernachlässigt und Opfer eines Cyberangriffs wird, riskiert einen immensen Reputationsverlust, der das Geschäft nachhaltig schädigen kann.

Gerade im B2B-Bereich wird eine solide Security-Aufstellung zudem zur Voraussetzung für Geschäftsbeziehungen. Niemand kann es sich leisten, in einer hochvernetzten, digitalen Welt Schwachstellen entlang der Lieferkette zu riskieren. Auch der Gesetzgeber rückt Cybersecurity deshalb zunehmend in den Fokus der Regulierung und lässt nicht mehr zu, dass Unternehmen dieses häufig unbequeme Thema ignorieren. Cybersicherheit muss damit ein zentraler Bestandteil einer jeden Geschäftsstrategie werden. Doch um das Unternehmen tatsächlich abzuhärten und eine wirksame Sicherheitsstrategie zu formulieren, braucht es eine nahtlose Kommunikation zwischen IT-Sicherheitsverantwortlichen und Geschäftsführung sowie eine belastbare Datenbasis.

Porträt Hannes Steiner

Hannes Steiner ist Vice President DACH bei Trend Micro.

Weitere Artikel zum Thema:

Wie Cybersicherheit mit ihren Kosten korrespondiert

Cybersicherheit: Angriffe nehmen zu, Resilienz wächst

Chefsache künstliche Intelligenz

Andere interessante Fachbeiträge

Ein medizinischer Mitarbeiter in OP-Kleidung, Maske und Haube bedient medizinische Geräte in einem Krankenhaus. Mit Handschuhen und Stethoskop blickt er auf einen Monitor, der nahtlos integrierte medizinische Daten aus der Praxis in die Cloud anzeigt. Ein unscharfer Hintergrund suggeriert eine klinische Umgebung.

Von der Praxis bis zur Cloud

Digitalisierung und Vernetzung sind schon heute integraler Bestandteil des modernen Gesundheitswesens. Leistungsfähige IT-, Kommunikations- und Telematik-Infrastrukturen sowie Gesu...

KRITIS
Weiblicher Arzt mit Tablet

Eindämmung der Schatten-IT in Krankenhäusern

Ob Messenger-Dienste, private Cloud-Speicher oder unkontrollierte KI-Anwendungen – in vielen Kliniken umgehen Beschäftigte die offiziellen IT-Systeme, um schneller und flexibler ar...

KRITIS
Person nutzt Cloud Computing

Die zehn häufigsten Probleme bei der Anwendungssicherheit

Von ineffizienten DNS-Methoden bis zu ausufernden Latenzzeiten – die Bereitstellung von Anwendungen, Programmierschnittstellen (APIs) und generativer künstlicher Intelligenz (GenAI...

Cybersecurity