Der aktuelle Fall des Hacker-Angriffs auf den norwegischen Aluminiumhersteller Norsk Hydro zeigt einmal mehr auf eindringliche Weise, wie aufgrund eines digitalen IT-Angriffs maximaler Schaden für ein weltweit operierendes Großunternehmen verursacht werden kann. Mittels einer Ransomware-Attacke wurde höchstwahrscheinlich der Erpressungstrojaner LockerGoga im Unternehmensnetz platziert und zur Ausführung gebracht. Die Folgen sind massive Störungen des Geschäftsbetriebes durch die Deaktivierung der Webapplikationen und Netzwerke bis hin zur Einstellung des Betriebs von mehreren Produktionsstätten.

Diese Cyberattacke zeigt, wie mit zunehmender Digitalisierung und Vernetzung der Wirtschaftsschutz untrennbar mit dem Schutz von Daten, Informationen und IT-Systemen verknüpft ist. Rahmenbedingungen zu schaffen, um die Digitalisierung sicherer zu machen, auch gerade im Hinblick auf den Schutz kritischer Infrastrukturen (im obigen Fall: Engpass in der Belieferung von Aluminiumteilen für die Automobilindustrie), ist Aufgabe der verantwortlichen Geschäftsführer sowie der Führungskräfte aus den Bereichen Unternehmenssicherheit, IT-Sicherheit, Risikomanagement oder Finanzen.

Geschäftsführer in der Haftung

In Deutschland können einer Studie zufolge 65 Prozent der befragten IT-Verantwortlichen die finanziellen Schäden durch Systemausfälle jedoch nicht einmal beziffern. Eine Umfrage, in Auftrag gegeben von Hewlett-Packard, kann hier Anhaltspunkte liefern. So verzeichnen mittelständische Unternehmen im Schnitt 4 Ausfälle pro Jahr, die ca. 25.000 Euro pro Stunde kosten und im Mittel etwa 3,8 Stunden andauern. Damit haben IT-Ausfälle das Potenzial ganze Unternehmen zu ruinieren.

„Wer nicht in IT-Sicherheit investiert, handelt fahrlässig und gefährdet sein Unternehmen.“

Achim Berg, Bitkom-Präsident, Berlin 2018

Ein großes Problem ist jedoch, dass sich viele Unternehmen nicht als potenzielles Opfer eines Cyberangriffs sehen. Die Zahlen des Branchenverbandes Bitkom zeigen allerdings, dass mittlerweile nahezu schon jedes zweite Unternehmen betroffen war. Vor diesem Hintergrund sind Investitionen in IT-Sicherheit absolut notwendig und gut investiertes Kapital. Ein wichtiger erster Schritt in Richtung „Mehr Sicherheit“ ist daher, die Informationssicherheit im Unternehmen zur Chefsache zu machen und einen Informationssicherheitsbeauftragten zu bestimmen, der kompetent berät und die notwendigen Maßnahmen koordiniert.

Bestellung eines Informationssicherheitsbeauftragten

Die Pflicht, einen IT-Sicherheitsbeauftragten im Unternehmen zu installieren besteht von Gesetzes wegen nicht. Was sich allerdings aus gesetzlichen Grundlagen ableiten lässt, ist eine direkte Verantwortung der Geschäftsführung für die IT Sicherheit im Unternehmen, die bis hin zu einer persönlichen Haftung führen kann. Weiterhin existieren Normen, wie unter anderem die ISO 27001 in Verbindung mit der DSGVO, die in Art. 32 ausdrücklich auf Maßnahmen zur Informationssicherheit hinweist. Will man sich diesbezüglich also professionell aufstellen, kommt schnell der IT-Sicherheitsbeauftragte ins Spiel.