Es gibt nach wie vor Organisationen, deren Management keine oder nur geringe Aktivitäten im Bereich der Informationssicherheit unternimmt, da man entweder glaubt, das Unternehmen sei zu klein für Kriminelle oder dass man vermeintlich kein persönliches Risiko eingeht. Weit gefehlt!
Dieses Verhalten ist ernsthaft zu hinterfragen. Sieht man sich die aktuelle Entwicklung bei Ransomware, Phishing etc. an, sind die Gefahren nicht unerheblich (siehe auch Allianz Risk Barometer), es bestehen durchaus Risiken und das mit steigender Tendenz. In der Presse wird vielfach davon berichtet, entsprechende Warnungen des Bundesamts für Sicherheit in der Informationstechnik (BSI) bestehen seit Jahren. Aktuell wird zusätzlich vor einer erhöhten Gefahrenlage in der Folge des Angriffskriegs Russlands auf die Ukraine gewarnt. Unwissenheit ist keine akzeptierbare Ausrede mehr, zu wenig oder gar nichts zu tun.
Vor allem werden die Attacken zahlreicher, die Berichterstattung zu IT-Sicherheit im Mittelstand zeigt, dass 3 von 10 Mittelständler Opfer von Cyberangriffen geworden sind. Im Untersuchungszeitraum sind 29 % der mittelständischen Unternehmen Opfer von Cyberattacken geworden (KfW-Research). Die Hauptbedrohung geht von der Erpressung von Löse- oder Schweigegeld aus. Dabei dringen Schadprogramme in die IT-Systeme der betroffenen Unternehmen ein und verschlüsseln oder entwenden vorhandene Daten.
Angriffe auf Unternehmen können jedoch nur dann erfolgreich sein, wenn zur Abwehr solcher Bedrohungen in dem betreffenden Unternehmen nicht in einem ausreichenden Maße Schutzvorkehrungen getroffen worden sind. Die Bedrohungslage wird in Unternehmen aus unterschiedlichen Gründen nicht erkannt oder aktiv behoben, notwendige Investitionen in die allgemeine Sicherheit und die IT-Sicherheit unterbleiben. Leider lassen sich zum „Nulltarif“ keine ausreichenden oder angemessenen Maßnahmen ergreifen. Schutzmaßnahmen hinken oftmals der Bedrohung hinterher, die Angriffsfläche für Cyberattacken wird mit zunehmender Digitalisierung auch nicht kleiner!
Daher ist „Nichtstun“ keine Option. Denn dies birgt Risiken für das Unternehmen aber auch für die Geschäftsführung, da eine unzureichende Absicherung trotz bekannter Risiken als Verletzung der Sorgfaltspflicht gewertet werden kann!
Die Verletzung der Sorgfaltspflicht zieht die persönliche Haftung eines GmbH-Geschäftsführers nach sich (§ 43 Abs. 1 und 2 GmbHG). Er muss alle verfügbaren Informationen einholen und berücksichtigen. Fehlt ihm die eigene Sachkunde, etwa in der Informationssicherheit, rechtlichen oder technischen Themen, muss er fachkundigen Rat einholen, um eine Haftung auszuschließen.
Die neue Richtlinie der EU zur Informationssicherheit „NIS-2“ stellt hierzu konkrete Mindestanforderungen. Die Anforderung (Art. 20 und Art. 32) hat es in sich, sie regelt, dass Leitungsorgane wesentlicher und wichtiger Einrichtungen die gem. Art. 21 ergriffenen Risikomanagementmaßnahmen im Bereich der Cybersicherheit in der Umsetzung überwachen und für Verstöße gegen diesen Artikel durch die betreffenden Einrichtungen persönlich verantwortlich gemacht werden können. Und die Leitungsorgane müssen nicht nur den Mitarbeitern Schulungen anbieten sondern auch selbst an Schulungen teilnehmen. Dort erwerben sie idealerweise grundlegend wichtige Kenntnisse zu Erkennung und Bewertung von Risiken sowie Managementpraktiken im Bereich der Cybersicherheit, um sich selbst in die Lage zu versetzen, die geforderte Überwachung der Umsetzung zu betreiben!
Für den Fall, dass Unsicherheit herrscht, welcher Schutz für das Unternehmen „angemessen“ ist, wäre dringlich zu empfehlen, sich zu informieren. Je nach Branche kann das abweichen (z. B. im Gesundheitswesen gilt der B3S), hilfreich ist es immer, ein Informationssicherheitsmanagementsystem (ISMS) gem. ISO/IEC 27001 anzustreben, bei dem man einen Nachweis nach erfolgter und bestandener Prüfung erhält. Und der B3S sowie TISAX® basieren auf dieser Norm! Praktischerweise ist die Normenreihe der ISO/IEC 2700x als Bezugsrahmen bei NIS-2 zugelassen. In der Praxis ist der belastbare Nachweis von angemessenen Maßnahmen ohne ISMS (inkl. Zertifikat) ansonsten schwer zu erbringen.
Hinsichtlich unternehmerischer und persönlicher Risiken ist eine auf Führungskräfte zugeschnittene Qualifizierungsmaßnahme empfehlenswert, daher bietet Opexa ein passendes Seminar für die Mitglieder der Geschäftsleitung an, den "Cyberführerschein für Führungskräfte"!
Machen Sie das Unternehmen sicherer, denken Sie aber auch an Ihr Risiko!