BITKOM: Jede zweite Firma ohne Notfallplan für IT-Sicherheitsvorfälle

Notfallplan als oberste Pflicht, um die Folgen eines IT-Sicherheitsvorfalls minimieren zu können

[datensicherheit.de, 07.03.2012] Die meisten Unternehmen sorgten sich um ihre IT-Sicherheit und Angriffe auf ihre IT-Systeme sehe mehr als die Hälfte (57 Prozent) aller Unternehmen als reale Gefahr, quer durch alle Branchen und Unternehmensgrößen. 40 Prozent hätten bereits konkrete Angriffe auf die IT oder vergleichbare Sicherheitsvorfälle erlebt – jedes zehnte Unternehmen sogar zehn Mal und häufiger. Doch fast jedes zweite Unternehmen (45 Prozent) habe nicht einmal einen Notfallplan für IT-Sicherheitsvorfälle:
Der BITKOM stützt diese Erkenntnisse auf eine von ihm beauftragte Umfrage unter 800 Unternehmen, die repräsentativ für die deutsche Wirtschaft sei. Es sei erschreckend, wie viele Unternehmen sich auf IT-Angriffe und Notfälle nur unzureichend vorbereitet hätten, so BITKOM-Präsident Prof. Dieter Kempf auf der „CeBIT 2012“ in Hannover. Ein Notfallplan sei oberste Pflicht, um die Folgen eines IT-Sicherheitsvorfalls minimieren zu können. Professor Kempf listet beispielsweise die wichtigsten Geschäftsprozesse des Unternehmens auf und beschreibt, was im Schadensfall zu tun und wer zu informieren ist.
Immerhin würde nur jedes vierte Unternehmen die Zusammenarbeit mit Polizei und Staatsanwaltschaft vermeiden, wenn es von einem Hacker-Angriff oder einem IT-Sicherheitsleck betroffen wäre. Bei knapp drei Viertel sei die Bereitschaft zur Zusammenarbeit mit den Behörden dagegen nach eigenen Angaben hoch oder sehr hoch. Doch nach Erfahrungen des BITKOM scheuen noch immer zu viele betroffene Unternehmen den Gang zur Polizei oder zu einer anderen Institution. Sie hätten Angst vor dem Verlust von Image und Reputation, sollte bekannt werden, dass sie Opfer eines IT-Angriffs geworden sind. Um alle Beteiligten schützen zu können, bräuchten sie Informationen über konkrete, aktuelle IT-Angriffe, betont Professor Kempf. Es sollte zur Selbstverständlichkeit werden, die Behörden oder andere Stellen über IT-Sicherheitsvorfälle zu informieren und Erfahrungen auszutauschen. Unternehmen müssten auf freiwilliger Basis – und falls notwendig auch anonym – solche Vorfälle melden können. Ein aktuelles Lagebild helfe Staat und Wirtschaft, im Krisenfall schneller und adäquater reagieren zu können.
Lange Zeit galt IT-Sicherheit vor allem als Herausforderung für einzelne Unternehmen. Wer Opfer von Cyber-Kriminalität wurde, erlitt einen Schaden; die Auswirkungen waren für den Betroffenen mitunter dramatisch, aber sie waren in aller Regel begrenzt auf eine einzelne Organisation. Die Dimensionen haben sich jedoch durch die Digitalisierung zentraler Bereiche der Wirtschaft und des öffentlichen Lebens verändert. IT-Sicherheit habe heute eine makroökonomische, systemische Bedeutung gewonnen, sie sei zum Standortfaktor geworden, erläutert Professor Kempf. Sie werde künftig bei Investitionsentscheidungen die gleiche Bedeutung haben wie innere und äußere Sicherheit, wie ordnungspolitische oder rechtliche Planungssicherheit. Daher komme auch das diesjährige „CeBIT“-Motto „Managing Trust – Vertrauen und Sicherheit in der digitalen Welt“ zur richtigen Zeit. Höhere IT-Sicherheit koste Mühe und Geld, so Professor Kempf, doch liege darin auch eine Chance – Sicherheit und Datenschutz könnten weltweit zum Markenzeichen von „IT made in Germany“ werden.