Von Rudolf Kahlen, Fotos Amin Akhtar

Arne Schönbohm, Präsident des Bundesamtes für Sicherheit in der Informationstechnik (BSI), äußert sich im Interview über die Gefahr von Cyber-Angriffen, wie sich Firmen darauf am besten technisch und organisatorisch vorbereiten und im Ernstfall richtig reagieren.

Herr Schönbohm, wie sehr sind kleine und mittelständische Betriebe gefährdet?

Cyber-Angriffe können jeden treffen, unabhängig von der Größe eines Unternehmens. Jedoch ist gerade der Mittelstand ein beliebtes Ziel von Angreifern, weil dort sehr viel Know-how vorhanden ist, das für Außenstehende lukrativ ist. Gleichzeitig haben zahlreiche Firmen immer noch Nachholbedarf bei der Cyber-Sicherheit. Informationen zu Angriffsmethoden und Schutzmaßnahmen stellt das BSI im Rahmen der Allianz für Cyber-Sicherheit zur Verfügung.

Wie sehr ist dabei die Geschäftsführung gefragt?

Viele Unternehmensleitungen sehen die Chancen der Digitalisierung, überlassen deren Risiken aber ihrer IT-Abteilung, sofern diese existiert. Das ist der falsche Ansatz. Die Digitalisierung, die wir alle wollen und von der die Unternehmen profitieren, wird nur dann erfolgreich sein, wenn auch für das nötige Maß an Informationssicherheit gesorgt ist. Die Geschäftsführung muss diesen Teil deswegen im Rahmen des regulären Risikomanagements mit betrachten, Risikoanalysen machen und entsprechende Schutzmechanismen etablieren. Das betrifft das Unternehmen, aber auch dessen Produkte.

Was sollte die Chefetage hier zugunsten eines Verbesserungsprozesses anstoßen?

Entscheidend ist, den Ist-Zustand zu analysieren, Ziele zu formulieren und daraus entsprechende Prozesse und Maßnahmen abzuleiten und umzusetzen. Es gilt, ein Informationssicherheitsmanagement aufzusetzen. Anleitungen und Hilfe finden Unternehmen im IT-Grundschutzprofil des BSI.

Was raten Sie, wenn es darum geht, wertvolle Firmeninfos zu schützen?

Zuerst einmal sollte man wissen, was die wichtigen Daten sind. Dies ist Teil der Analyse, die sich dann in entsprechenden Schutzmaßnahmen niederschlägt. Neben rein technischen gehören auch personelle und organisatorische Maßnahmen zu einem sinnvollen Schutzkonzept.

Arne Schönbohm, Präsident des Bundesamts für Sicherheit in der Informationstechnologie (BSI)

Wie sollte die Geschäftsführung die Beschäftigten auf Hacker-Angriffe vorbereiten?

Das regelmäßige Sensibilisieren der Belegschaft ist ein Muss. Wie dies geschieht, hängt von den Möglichkeiten und der Struktur des Unternehmens ab. Interne oder externe Schulungen sind eine Möglichkeit, Übungen und Tests eine andere.

Welche weiteren Vorkehrungen sind nötig?

Die Unternehmensleitung sollte erstens Cyber-Sicherheit als Chefsache verstehen, zweitens ein firmenweites Informationssicherheitsmanagement etablieren und drittens sicherstellen, dass die notwendigen Investitionen getätigt werden. Dabei gilt es, nicht nur das Unternehmen zu betrachten, sondern auch die hergestellten Produkte.

Und wie sieht die richtige Reaktion im Ernstfall aus?

Idealerweise hat man sich vorher überlegt, was in einem Notfall zu tun ist. Hilfen und Handlungsempfehlungen zur richtigen Reaktion auf einen Cyber-Vorfall finden Unternehmen bei der Allianz für Cyber-Sicherheit. Drei wichtige Punkte im Ernstfall sind erstens: Ruhe bewahren; zweitens: Krisenreaktionsmechnismen in Gang setzen. Drittens: aus dem Vorfall lernen und die Erfahrungen in die Prävention einfließen lassen.

Wie hilfreich kann das Gespräch mit Betroffenen sein?

Der Austausch mit anderen ist ein wesentliches Element für mehr Cyber-Sicherheit in Deutschland. Aus den Erfahrungen anderer zu lernen und die eigenen Erfahrungen als Warnung an andere weiterzugeben ist ein Grundgedanke der Allianz für Cyber-Sicherheit. Die Zusammenarbeit mit den Industrie- und Handelskammern ist dabei sehr wichtig, denn so gelingt es uns, auch in der Fläche mehr Cyber-Sicherheit zu erreichen.

Ihre Meinung ist gefragt: Haben Sie Fragen oder Anregungen? Dann schreiben Sie uns eine E-Mail an die Redaktion.