IT-Sicherheit

„Vogel-Strauß-Politik“ bei Cybersicherheit

Über zwei Drittel der Unternehmen vernachlässigen die Bewertung der betrieblichen Cyberrisiken, obgleich genau dies in anstehenden gesetzlichen Vorschriften gefordert wird, berichte Dennis Weyel, International Technical Director mit Zuständigkeit für Europa beim Sicherheits­unternehmen Horizon3.ai. Er beruft sich dabei auf Ergebnisse des „Cyber Security Report DACH 2024“ seines Arbeitgebers, dem eine Stichprobe von 300 Firmen in Deutsch­land, Österreich und der Schweiz zugrunde liegt.

Risikobewertungen
Mehr als zwei Drittel der befragten DACH-Unternehmen prüft die Risiken für ihre IT-Infrastruktur nicht regelmäßig (Bild: Horizon3.ai)

Der Untersuchung zufolge führen lediglich 30 Prozent der befragten Unternehmen regelmäßig eine Risikobewertung ihrer IT-Infrastruktur durch, um heraus­zufinden, wie anfällig sie gegen Hackerangriffe sind. Laut Studie überprüfen 21 Prozent der Unternehmen ihren Schutz gegen Hackerangriffe überhaupt nicht – bis dieser durch eine tatsächliche Attacke „getestet“ wird. 13 Prozent wollen das auch in Zukunft nicht ändern. Knapp ein Zehntel (8 Prozent) sieht gar keine Notwendigkeit dazu. Ein knappes weiteres Zehntel (9 Prozent) macht es sich besonders einfach und antwortet in der Umfrage: „Wir haben kein Cyberrisiko, von dem wir wissen.“

Anzeige

Weyel wundert sich über dieses Verhalten: „Die ständige Bewertung der betrieblichen Cyber­sicherheit ist ein fester Bestandteil der anstehenden gesetzlichen Vorgaben zur IT-Sicherheit, vom Cyber Resilience Act CRA bis zur Neuauflage der Verordnung zur Netzwerk- und Informations­­sicherheit NIS2. Unternehmen, die die Prüfung ihrer Cyberresilienz vernachlässigen, laufen in ernsthafte Compliance-Probleme hinein mit entsprechendem Rechtsrisiko für die Verantwortungs­träger, vom IT-Leiter bis zu Geschäftsführung und Vorstand.“

„Angesichts von durchschnittlich 70 Schwachstellen, die täglich in gängigen Softwareprogrammen von Unternehmen entdeckt werden, erscheint es geradezu abenteuerlich, das eigene Computernetzwerk nur einmal im Jahr auf ausnutzbare Schwachstellen und andere Sicherheitslücken zu überprüfen.“

Dennis Weyel, International Technical Director bei Horizon3.ai
Dennis Weyel, International Technical Director bei Horizon3.ai

Firmen ignorieren fahrlässig die Gesetze

Dennis Weyel beklagt: „Die Wirtschaft in Deutschland, Österreich und der Schweiz verlässt sich viel zu stark darauf, dass die Abwehrsysteme im Fall der Fälle schon funktionieren werden, ohne sich selbst systematisch davon zu überzeugen. Das ist ab 17. Oktober für die rund 30.000 Unternehmen, überwiegend Mittelständler, die dann unter das NIS2-Umsetzungs- und Cybersicherheitsstärkungs­gesetz fallen, grob fahrlässig.“ Er verweist auf Schätzungen, wonach rund 40 Prozent aller Firmen ab 50 Beschäftigten hierzulande den NIS2-Regularien unterliegen.

Dabei ist ein knappes Viertel der Firmen sich der eigenen Schwäche auf dem Gebiet der Risikovorsorge offenbar bewusst, hat die Umfrage ergeben. So führen 23 Prozent der befragten Unternehmen zwar derzeit noch keine Cyberrisikobewertung durch, planen aber immerhin, sich künftig dieses Themas anzunehmen. 15 Prozent der Firmen geben sich mit einer jährlichen Risikoanalyse zufrieden.

 

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.