WiWo App Jetzt gratis testen
Anzeigen

Cyber-Bedrohungen So unterschiedlich schätzen Management und IT die Gefahren ein

Finger auf einer Tastatur, das Bild ist grün ausgeleuchtet. Quelle: imago

Die Bedrohung der Unternehmen durch Cyberattacken und Hackerangriffe steigt. Doch Management und IT sind oft uneins, ob und in welchen Bereichen Investitionen in die IT-Sicherheit notwendig sind.

Lob für seine Arbeit bekommt Max Thelen kaum. Erst recht nicht von seinem Chef. Im Sommer vergangenen Jahres war einer dieser seltenen Momente. Damals sorgte die Schadsoftware WannaCry weltweit für Aufsehen. Ein Trojaner verschlüsselte dabei wichtige Dokumente wie etwa Word-Dateien – und forderte Lösegeld für die Freigabe der Daten. Die weltweit größte Containerreederei Maersk und der britische Konsumgüterhersteller Reckitt Benkiser waren Opfer der Cyberattacke. Nicht aber der Mittelständler Sanacorp, ein Pharmagroßhändler aus Planegg bei München. „Da sagte die Geschäftsführung zu uns: ‚Dann habt ihr wohl doch was richtig gemacht‘“, erzählt Thelen, der bei Sanacorp als IT-Chef unter anderem für die IT-Sicherheit verantwortlich ist. „Wenn wir unseren Job gut machen, dann passiert eben gar nichts. Wir fallen erst dann auf, wenn’s schlecht läuft.“

Genau in diesem Dilemma liegt einer der Gründe, warum Hacker bei vielen Unternehmen leichtes Spiel haben: In ihrer Einschätzung von Cyberbedrohungen liegen Führungskräfte und IT-Sicherheitsverantwortliche weit auseinander. Das ist das Ergebnis einer Studie des amerikanischen Software-Anbieters Varonis, die der „WirtschaftsWoche“ vorliegt.

Auf die Frage nach den drei wichtigsten Cybersicherheitsproblemen, vor denen ihre Unternehmen stehen, nennen zwar sowohl Führungskräfte als auch IT-Manager Datenverlust und Datendiebstahl. Uneinigkeit zwischen beiden Gruppen herrscht jedoch bei einem anderen Schwerpunkt: Die IT-Profis sehen in Erpressersoftware wie WannaCry eine große Herausforderung. Dagegen haben Führungskräfte eher Risiken wie Sabotage im Blick, wenn etwa Cyberangreifer die Fertigungsmaße für eine automatisierte Montagelinie manipulieren. Die Manager setzen deshalb auch andere Schwerpunkte bei IT-Sicherheitsinvestitionen, als ihre IT-Chefs sie setzen würden. Dies wiederum begünstigt, dass Unternehmen häufiger von Trojanern betroffen sind, weil derartige Angriffe nicht ganz oben auf der Prioritätenliste der Chefetage rangieren.

Auch die möglichen Auswirkungen von IT-Sicherheitsrisiken schätzen beide Gruppen unterschiedlich ein: Die IT-Sicherheitsverantwortlichen sehen durch die Cyberangriffen vor allem die Marken und die Reputation des Unternehmens bedroht. Demgegenüber fürchtet die Unternehmensleitung im Schadensfall zusätzliche Kosten bei Datenschutzverstößen, etwa durch hohe Bußgelder infolge der seit diesem Jahr gültigen Datenschutzgrundverordnung der EU.

Auch das hat Max Thelen bei Sanacorp bereits erlebt. „IT-Sicherheit hat auf den ersten Blick keinen greifbaren Mehrwert“, sagt der IT-Manager. Daher sei die Geschäftsführung auch nicht immer davon überzeugt, wie wichtig Investitionen in IT-Sicherheit seien. Für den Fachmann Thelen hingegen entscheidet die Frage, wie gut die Daten gesichert sind, letztlich über den Bestand des Unternehmens. Seine Begründung: „Wir als Großhändler verfügen über kein echtes Alleinstellungsmerkmal.“ Denn ähnlich wie etwa im Buchhandel sei der Preis bei vielen Sanacorp-Produkten gesetzlich festgelegt. „Wenn ein Medikament bei Sanacorp nicht verfügbar ist, bestellt ein Apotheker eben bei der Konkurrenz.“ Aus diesem Grund sei es für das Geschäft entscheidend, dass der Betrieb ohne Unterbrechung läuft.

Laut der Studie von Varonis können nur 68 Prozent der Führungskräfte Folgen beziffern, wie sich die Security-Investitionen auf den Geschäftserfolg auswirken - aber immerhin 88 Prozent der IT-Verantwortlichen. „Security-Spezialisten müssen mit ihrem Know-how zu klugen Entscheidungen beitragen. Vor allem aber müssen sie auch von der Führungsriege gehört werden“, sagt Varonis-Deutschlandchef Thomas Ehrlich. „Am besten klappt dies auf Augenhöhe, wenn Security als unternehmenskritischer Bereich wie auch Personalwesen oder Finanzen angesehen und in der Geschäftsführung entsprechend personell verankert wird.“

Genau diesen Weg hat Hellmann Logistics mit Hauptsitz in Osnabrück eingeschlagen. Der Vorstand des Logistikunternehmens mit weltweit 13.400 Mitarbeitern hat Anfang vergangenen Jahres die Position des Chief Digital & Information Officers geschaffen. Die bekleidet Uwe Neumeier, der seitdem die IT-Sicherheit auf höchster Ebene vorantreiben kann. Neumeier redet mit seinen Vorstandskollegen über die Bedrohungen aus dem Cyberraum – und schafft so an der entscheidenden Stelle das nötige Bewusstsein. Auch in der Frage, wie viel Geld in die Hand genommen werden muss, um sich vor den Gefahren zu schützen, sind sie sich bei Hellmann Logistics nun häufiger einig. „Wir investieren in Zusammenarbeit mit dem Vorstand kontinuierlich in unsere Cybersecurity“, sagt Neumeier.

© Handelsblatt GmbH – Alle Rechte vorbehalten. Nutzungsrechte erwerben?
Zur Startseite
-0%1%2%3%4%5%6%7%8%9%10%11%12%13%14%15%16%17%18%19%20%21%22%23%24%25%26%27%28%29%30%31%32%33%34%35%36%37%38%39%40%41%42%43%44%45%46%47%48%49%50%51%52%53%54%55%56%57%58%59%60%61%62%63%64%65%66%67%68%69%70%71%72%73%74%75%76%77%78%79%80%81%82%83%84%85%86%87%88%89%90%91%92%93%94%95%96%97%98%99%100%