Datensicherheit im Unternehmen ist meist Sache der IT-Abteilung. Allerdings zeigt die Erfahrung, dass Datendiebstahl schnell zu einer Lähmung des Unternehmens führt – die wirtschaftlichen Folgekosten sind entsprechend hoch. Es wäre angezeigt, dass Cyber-Risiken genauso behandelt werden wie andere Risiken: als Chefsache.
Das FBI sagt lapidar, es gäbe nur zwei Arten von Unternehmen: die einen wurden bereits gehackt, den anderen stünde ein Hacker-Angriff noch bevor. Zur ersten Art gehören in Deutschland knapp ein Drittel aller Unternehmen, das ergab eine Umfrage des Branchenverbands BITKOM im März 2014. Die Sensibilität der deutschen Industrie ist inzwischen glücklicherweise gestiegen. Neun von zehn Unternehmen verfügen heute über ein Sicherheitskonzept zum Datenschutz und über einen Notfallplan für den Fall eines Datenverlusts.
Ein Cyber-Angriff hat oft weitreichende Auswirkungen, die Ereignisse überschlagen sich und gehen weit über die Aufgaben des IT-Teams hinaus. Das ist nach der Entdeckung des Angriffs in erster Linie damit beschäftigt, die Sicherheitslücke herauszufinden und zu schließen. Aber auch das Management wird in Mitleidenschaft gezogen. Es muss sich mit den rechtlichen, den wirtschaftlichen und nicht zuletzt den imageschädigenden Folgen auseinandersetzen. Denn bei Bekanntwerden eines Datenverlusts sind schnell alle Unternehmensbereiche betroffen, das Vertrauen schwindet, Aufträge werden storniert und die Einnahmen gehen zurück.
Versicherungsprogramme vieler Unternehmen berücksichtigen Cyber-Risiken kaum oder nur mit geringen Schadensummen. Auch bei betrieblichen Versicherungen sind Cyber-Risiken normalerweise nicht eingeschlossen. Der Grund: Datensicherheit ist fast immer Sache der IT, gefragt ist hier aber das Risikomanagement. Hacker-Angriffe und Datendiebstahl sind kein Randproblem mehr sondern haben sich zu einem hohen Geschäftsrisiko gewandelt. Diese Problematik muss aus der IT-Ecke herausgenommen werden und in das allgemeine Risikomanagement überführt werden – es muss zur Chefsache erhoben werden.