Immer häufiger werden Unternehmen Opfer erfolgreicher Cyberangriffe. Ironischerweise herrscht jedoch oft Stillschweigen über Sicherheitsvorfälle im Bereich Cybersecurity – weder teilen Mitarbeiter sie mit ihren Vorgesetzten noch informieren diese die relevanten Behörden. Doch was steckt hinter diesem bedenklichen Schweigen?
Laut einer weltweiten Umfrage von Keeper Security unter 400 IT-Führungskräften (davon 100 aus Deutschland) befürchten beeindruckende 74% der Befragten, dass ihr Unternehmen einem erfolgreichen Cyberangriff zum Opfer fallen könnte. Tatsächlich haben bereits 40% der Unternehmen ein solches Worst-Case-Szenario erlebt. Dennoch bleiben derartige Vorfälle oft intern, ohne dass die zuständigen Behörden informiert werden. Die Gründe für dieses Verschweigen liegen in der Sorge der Betroffenen begründet: 43% fürchten um den Ruf des Unternehmens, während 40% finanzielle Auswirkungen befürchten. Doch angesichts der steigenden Anzahl von Angriffen ist eine ehrliche und transparente Dokumentation von Cybersecurity-Vorfällen von entscheidender Bedeutung.
Mangelndes Interesse der Unternehmensführung an Cybersecurity
Die Umfrage zeigt auch, dass die Befragten sich mehr Unterstützung von der Unternehmensleitung wünschen. Ein Viertel hat den Eindruck, dass die Führungsebene wenig Interesse an den Auswirkungen von Cyberangriffen zeigt. Zusätzlich glauben 23%, dass ihre Chefs nicht angemessen auf derartige Vorfälle reagieren würden. Ein weiteres Problem besteht darin, dass in 22% der befragten Unternehmen keine klaren Richtlinien existieren, um Verstöße an die Unternehmensleitung zu melden. Es wird daher deutlich, dass die Einführung von Best Practices, Richtlinien und Prozessen zur Bewältigung von laufenden Bedrohungen unerlässlich ist – auch vor dem Hintergrund der NIS2-Richtlinie. Ein weiterer Herausforderungspunkt ist der Fachkräftemangel im Bereich IT-Sicherheit, der laut der Umfrage die angemessene Bewältigung von Cybersicherheitsvorfällen erschwert.
„Die Zahlen verdeutlichen, dass Unternehmen ihre Cybersicherheitskultur grundlegend ändern müssen“, betont Darren Guccione, CEO und Mitbegründer von Keeper Security. „Die Verantwortung beginnt an der Spitze, und die Führungskräfte müssen eine Unternehmenskultur schaffen, die der Meldung von Cybersecurity-Vorfällen Priorität einräumt. Andernfalls setzen sie sich selbst rechtlichen Verpflichtungen und kostspieligen finanziellen Strafen aus und gefährden Mitarbeiter, Kunden, Stakeholder und Partner.“
Diese gründliche und transparente Dokumentation von Cybersecurity-Vorfällen ist daher nicht nur ein Schutzschild für Unternehmen, sondern auch eine ethische Verpflichtung gegenüber den verschiedenen Interessengruppen, die von solchen Sicherheitsverletzungen betroffen sein können.