Advertorial - Für den Inhalt auf dieser Seite ist die Sophos verantwortlich.

Cyber-Resilienz nimmt Geschäftsführungen in die Pflicht

Neben allen anderen negativen Folgen von Cyberattacken unterstreichen auch hohe Geldstrafen für Unternehmen die Dringlichkeit für Organisationen jeder Größenordnung, eine funktionierende Cyberabwehr zu gewährleisten. So sieht beispielsweise das BSI-Gesetz des Bundesamts für Sicherheit in der Informationstechnik vor, dass vor allem Betreiber „Kritischer Infrastrukturen“, Anbieter „Digitaler Dienste“ und „Unternehmen im besonderen öffentlichen Interesse“ mit Geldbußen in Höhe von bis zu 20 Millionen Euro belegt werden können. Und die kürzlich verabschiedete Richtlinie NIS 2.0 erweitert den Rahmen der unter diese Bestimmungen fallenden Unternehmen erheblich.

Dass diese rechtliche Offensive Hand und Fuß hat, belegt der aktuelle Ransomware Report von Sophos, in dem Anfang 2023 weltweit 3.000 IT-Fachkräfte zum Thema Cybersecurity befragt wurden. So wurden in Deutschland insgesamt 58 Prozent der befragten Unternehmen von Ransomware angegriffen, in 71 Prozent dieser Fälle gelang es den Cyberkriminellen, Daten zu verschlüsseln.

Security als Chefsache

Immer wieder machen Berichte und Diskussionen über gefährliche Cyber-Angriffe die Runde.  Das spiegelt ein falsches Bild der Bedrohungslage. Denn tatsächlich ist für Cyberkriminelle nicht zwingend der Bekanntheitsgrad einer Attacke ausschlaggebend, sondern die Effizienz und die Summen, die damit erbeutet werden. Jedes Unternehmen, das noch nicht wirksam gegen eine hoch professionell organisierte Cyberkriminalität gewappnet ist, bietet ein potenzielles Ziel – egal, ob global agierender Player, Hidden Champion, Mittelständler oder Kleinbetrieb.

Der Schutz der Unternehmens-IT ist daher eine Aufgabe, die in der Entscheidungshierarchie hoch angesiedelt sein sollte – nicht zuletzt auf Grund der erweiterten Geschäftsführerhaftung. Eine aktuelle Management-Studie von Sophos zeigt aber, dass sich Unternehmensführungen noch oft in trügerischer Sicherheit wähnen. So gibt die große Mehrheit der befragten Manager (rund 81 Prozent) zwar an, ein hohes Bewusstsein für IT-Sicherheit zu haben, doch wenn es um die Verantwortung für IT-Security geht, zeigt sich: je größer die Unternehmen desto mehr stehen dann doch die IT-Teams in der Pflicht. Dies gilt vor allem für Unternehmen mit mehr als 200 Mitarbeitenden. Bei kleineren Unternehmen mit bis zu 199 Mitarbeitenden ist der Chef zu rund 22 Prozent noch höchstpersönlich mit eingebunden.

Risikomanagement in Unternehmen ist mehr als nur Technologie

Eine Möglichkeit, Cybergefahren zu begegnen, besteht darin, den technischen Cyberschutz mit menschlicher Expertise in Form von Cyber Security as a Services (CSaaS) zu kombinieren. Angriffe, bei denen sich Hacker Zugriff auf Daten und Systeme verschaffen, verlaufen meist still und heimlich. Um diese gefährlichen Schleichfahrten zu stoppen, bevor ein Schaden entsteht, bedarf es einer Kombination aus technischer Cyber Security und spezialisierten Bedrohungsexpertinnen und -experten – übrigens auch eine Anforderung der NIS-2.0-Richtlinie. Allerdings sind diese Fachleute schwer zu finden und oft teuer. Daher setzen zunehmend mehr Unternehmen auf Cyber Security as a Service in Kombination mit technischen IT-Sicherheitslösungen. Hier kommen maßgeblich sogenannte MDR-Services (Managed Detection and Response) zum Einsatz. Diese garantieren eine 24/7-Abdeckung durch ein Team an Sicherheitsfachleuten, das auf die Erkennung und das Eliminieren von jenen Cyberangriffen, die technologische Lösungen allein nicht verhindern können, spezialisiert ist.

Das Bewusstsein für das Risiko im Cyberraum und das Engagement, die bestmögliche Security einzusetzen, schützt Unternehmen und Organisationen jeder Größe vor allem vor Cyberattacken – aber auch zunehmend davor, mit Cybersicherheits-Gesetzen in Konflikt zu geraten.

Mehr Informationen zu den Auswirkungen der Cybersecurity-Gesetze und effektive Schutzmöglichkeiten bekommen Sie hier https://www.sophos.com/de-de/content/cybersecurity-kritis