IT-Angriffe: Firmen schweigen und sind konzeptlos

Zahlreiche Unternehmen sind nicht auf den Fall vorbereitet, dass ihre IT-Infrastruktur von einem Angriff getroffen wird. Und dies, obwohl man sich unter den verantwortlichen Managern des Risikos durchaus bewusst ist. Das berichtete Dieter Kempf, Chef des IT-Branchenverbandes BITKOM heute auf der CeBIT.

Hinzu kommt, dass die Dunkelziffer der erfolgten Attacken weiterhin recht hoch sein dürfte, da Betroffene häufig schweigen. Das habe laut Kempf eine aktuelle Untersuchung der Lage ergeben. Demnach sieht mehr als die Hälfte (57 Prozent) aller Unternehmen Angriffe auf die IT als reale Gefahr - quer durch alle Branchen und Unternehmensgrößen. 40 Prozent haben bereits solche Sicherheitsvorfälle erlebt, jedes zehnte Unternehmen sogar zehn Mal und häufiger.

Doch fast jedes zweite Unternehmen (45 Prozent) hat nicht einmal einen Notfallplan für IT-Sicherheitsvorfälle. "Es ist erschreckend, wie viele Unternehmen sich auf IT-Angriffe und Notfälle nur unzureichend vorbereitet haben", kommentierte Kempf auf der CeBIT das Ergebnis. Ein Notfallplan sei oberste Pflicht, um die Folgen eines IT-Sicherheitsvorfalls minimieren zu können. Er listet beispielsweise die wichtigsten Geschäftsprozesse des Unternehmens auf und beschreibt, was im Schadensfall zu tun und wer zu informieren ist.

Immerhin würde laut der Untersuchung inzwischen "nur noch" jedes vierte Unternehmen die Zusammenarbeit mit Polizei und Staatsanwaltschaft vermeiden, wenn es betroffen wäre. Doch nach Erfahrungen des BITKOM scheuen aber noch immer zu viele betroffene Unternehmen den Gang zur Polizei oder zu einer anderen Institution. Sie haben Angst vor dem Verlust von Image und Reputation, sollte bekannt werden, dass sie Opfer eines IT-Angriffs geworden sind.

"Um alle Beteiligten schützen zu können, brauchen wir Informationen über konkrete, aktuelle IT-Angriffe", erklärte Kempf. Es sollte zur Selbstverständlichkeit werden, die Behörden oder andere Stellen über IT-Sicherheitsvorfälle zu informieren und Erfahrungen auszutauschen. Unternehmen müssen auf freiwilliger Basis - und falls notwendig auch anonym - solche Vorfälle melden können, so der Verbandschef weiter. Ein Richtlinienentwurf der EU-Kommission sieht inzwischen sogar vor, dass Attacken gemeldet werden müssen, falls die Gefahr besteht, dass beispielsweise Kundendaten Dritten in die Hände gefallen sind.

Diese Nachricht empfehlen

Nachricht versenden
Kommentieren
Hinweis einsenden

[o1] am

Tja dann müssen eben gesetzliche Regelungen wie beim Brandschutz etc her und wer sich nicht daran hält wird sanktioniert.

[re:1] am

(+4)

@hover: IT-Strukturen sind in der Regel jedoch etwas komplizierter aufgebaut als ein Bürogebäude.

[re:2] am

(+10)

@hover: Würde mich freuen. Als Administrator redet man oft gegen massive Wände. Es liegt nämlich (oft) nicht an den Administratoren, sondern an den gestellten Ressourcen (Zeit, Zeit, Zeit!). Mit einer gesetzlichen Regelung (wie auch immer die aussehen würde sei mal dahin gestellt) gäbe es wenigstens eine rechtliche Absicherung für den/die Administrator/in die nicht zu faul oder ahnungslos sind sondern nicht die Zeit und Mittel dafür bekommen.

[re:3] am

@hover: Gesetzliche Regelungen gibt es ja mehr als genug, im Zweifel hat man Sorgfaltspflichten verletzt und ist schadenersatzpflichtig, wenn man zB Kundendaten versaubeutelt. IT-Firmen lassen sich auch gerne, was die IT-Sicherheit betrifft, zertifizieren, bzw wird man erst gar nicht als Geschäftspartner akzeptiert, wenn man solche Zertifikate nicht nachweist. Oft jedenfalls, auch nicht immer^^ und um sein Renommee vermeintlich sauber zu halten, werden Sicherheitsvorfälle, so gut es geht, geheim gehalten.