Bewusstsein allein reicht nicht

Dariush Ansari, Geschäftsleiter bei Network Box, zieht den Vergleich zu der Entwicklung von Sicherheitsfunktionen im Auto: Scheibenwischer und Sicherheitsgurte konnten sich erst durchsetzen, als die Bevölkerung ausreichend für die Gefahrenlage sensibilisiert war und so ein Bedarf entstanden ist. „Wenn ich die Kosten eines Sicherheitsvorfalls am eigenen Leib gespürt habe, steht Sicherheit ganz oben auf der Agenda“, so Stefan Rojacher, Communications Manager bei Kaspersky Lab.

Unternehmen müssen sich also klar machen, dass es keine Frage mehr ist, ob ein Sicherheitsvorfall (Incident) eintritt, sondern nur noch wann es soweit ist. Doch das nötige Bewusstsein für IT-Sicherheit ist allenfalls die halbe Miete – essenziell ist die richtige Strategie für den Umgang mit einem erfolgreichen Cyber-Angriff und diese ist mangels Know-how in Unternehmen kaum selbst zu stemmen.  „Es fehlt in Deutschland viel Kapazität an erfahrener IT-Security-Expertise, um Unternehmen strukturiert dabei zu unterstützen, mit einfachen Maßnahmen, die IT-Sicherheit strategisch anzugehen, diese organisatorisch umzusetzen und mit den geeigneten Technologien zu untermauern“, sagt Grüneberg.

Gerade Mittelständler seien mit der Flut an Einzellösungen völlig überfordert, so der Tenor der Teilnehmer des Business Talks. Standards wie die IT-Grundschutz-Kataloge des Bundesamtes für Sicherheit in der Informationstechnik (BSI) seien schlichtweg zu komplex für kleinere und mittelständische Unternehmen, einen strukturierten und mittelstandsfähigen Ansatz suche man bisher noch vergebens. Tritt ein Sicherheitsvorfall ein, fehlt es an den nötigen Maßnahmen, um angemessen zu reagieren. Ralf Nemeyer, Principal Consultant Secure Information bei Computacenter resümiert: „Viele Organisationen haben für einen Sicherheitsvorfall keine hinreichenden Prozesse vorbereitet. Dies führt zu unklaren Verantwortlichkeiten während der Behandlung von Vorfällen. Das wirkt einer effizienten Bearbeitung entgegen.“