Wer rastet, der haftet: verantwortungsvolles Handeln bei Cybersecurity

Cybersecurity ist für Unternehmen unentbehrlich. 2022 berichteten etwa 10 % der deutschen Firmen von Cyberangriffen – die Dirnglichkeit liegt auf der Hand. Unsichere Systeme können durch Schadensersatzklagen, Bußgelder und Lieferkettenprobleme sehr kostenintensiv werden. Besonders kritisch: Geschäftsführungen können bei selbst verschuldeter mangelhafter IT-Compliance persönlich haftbar gemacht werden, so sehen immerhin die einschlägigen gesetzlichen Regelungen für Aktiengesellschaften und GmbHs vor.

Unternehmen sollten sich durch gezielte Maßnahmen sicher aufstellen und dabei Experten einbinden. Hier heißt es: Verantwortung übernehmen und über den eigenen Schatten springen. Zuerst sollten die relevanten Vorschriften gefunden werden. Diese sind oft komplex und breit gefächert – sei es durch die DSGVO oder speifische Bestimmungen für kritische Systeme, sogenannte KRITIS. Seit Oktober 2024 kommt die EU-Richtlinie NIS2 hinzu, was das Verständnis und die Anpassung weiter erschwert. 

Die praktische Umsetzung erfordert klare Maßnahmen wie Hardwareanpassungen, Softwarelösungen und interne Sicherheitsrichtlinien. Effektiv durchsetzbar werden diese Maßnahmen dann durch entsprechende Personalschulungen. Nationale und internationale Standards, wie der ISO 270001 oder die BSI-Standards, bieten dabei Orientierung. Für Letztere gibt es handliche Anleitungen, auch für mittelständische Unternehmen.

Besondere Bedeutung hat die Zukunftssicherheit. Systeme müssen anpassungsfähig bleiben, da sich gesetzliche Anforderungen und Bedrohungslagen wandeln können. Ein effektives Monitoring-Konzept, entweder digital oder durch Informationssicherheitsbeauftragte, ist entscheidend für die langfristige Wirksamkeit der Sicherheitsmaßnahmen. Nur dann wird man der Verantwortung Cybersecurity gerecht.