Die fortschreitende Digitalisierung und Vernetzung von IT-Systemen, Alltagsgegenständen und Industrieanlagen, hebt die Gefährdungslage für Wirtschaft und Gesellschaft auf ein neues Niveau. Potenzielle Ziele sogenannter „Cyberangriffe“ werden immer häufiger auch deutsche mittelständische Unternehmen. Mit der zunehmenden Digitalisierung und Vernetzung von IT-Systemen werden „Cyberangriffe“ immer vielschichtiger und ausgefeilter. Bei der Kombination aus neuer Angriffsqualität und zunehmender Digitalisierung ist hier durchaus von einer dynamischen Gefährdungsgrundlage auszugehen.
Der kriminelle Einsatz von Schadsoftware kostete die deutsche Wirtschaft allein in den Jahren 2017/2018 Millionenbeträge. Sogenannte Erpressungstrojaner, genannt „Ransomware“ verursachen erhebliche finanzielle Verluste. Ohne Wissen des Benutzers werden dabei alle Dateien im Computer von außen verschlüsselt und sind, ohne entsprechende Entschlüsselungscodes nicht wieder herzustellen. In der Regel wird das Opfer anschließend aufgefordert, Lösegeld für eine System- bzw. Datenwiederherstellung zu zahlen. Erhebliche wirtschaftliche Schäden sind für das Unternehmen die Folge.
Der alte Werbeslogan „Gefahr erkannt, Gefahr gebannt“, hat heute mehr denn je seine Berechtigung im Umgang mit Daten aller Art. Insbesondere zählt hier das Risikomanagement zu den Aufgaben im Controlling eines Unternehmens. Per Definition bedeutet Risikomanagement die „Tätigkeit des Umgangs mit Risiken“ und umfasst also sämtliche Methoden und Maßnahmen zum Erkennen, Analysieren, Bewerten und Kontrollieren bzw. Überwachen von risikorelevanten Fakten und Daten eines Unternehmens.
Bericht zur Lage der IT-Sicherheit in Deutschland
Das BSI (Bundesamt für Sicherheit in der Informationstechnik) hat dazu einen „Bericht zur Lage der IT-Sicherheit in Deutschland 2018“ herausgegeben. Im Rahmen der IT-Grundschutz-Modernisierung wurden bestehende BSI-Standards aktualisiert und allgemeine Anforderungen an Managementsysteme für Informationssicherheit neu definiert. Die aktualisierten Standards sind u. a.:
- BSI 200-1: Definition allgemeiner Anforderungen für die Informationssicherheit (ISMS) als Empfehlungshilfe zum Aufbau eines Managementsystems, in Unabhängigkeit von der eingesetzten Methode.
- BSI 200-2: Vorgehensweise als Grundschutzmethodik zur Einführung einer Basis- und Kernabsicherung für kleine und mittelständische Betriebe.
- BSI 200-3: Hinweise für eine Risikoanalyse, auf der Basis des Grundschutzes, zur Erlangung einer höheren Absicherungsstufe.
Diese Standards dienen als Anleitung und Grundlage für den Aufbau eines soliden Informationssicherheitsmanagements und enthalten Sicherheitsmaßnahmen aus den Bereichen Organisation, Personal, Infrastruktur und Technik.
Der BSI-Präsident Arne Schönbohm führt dazu aus: „Wenn wir unsere führende Position behalten und „Made in Germany“ auch im Cyberraum weiterhin als Markenzeichen gelten soll, dann dürfen wir nicht nachlassen, den Dreiklang aus Digitalisierung, Vernetzung und Innovationsgeschwindigkeit mit kreativen und praxisrelevanten Angeboten für mehr Cybersicherheit zu verstärken“.