Cyberangriffe verursachten zwischen Frühjahr 2023 und Frühjahr 2024 allein in Deutschland Schäden von über 266 Milliarden Euro [1], was die Dringlichkeit einer umfassenden Strategie zur Bekämpfung von Cyberrisiken deutlich macht.

MOONROC, eine führende Managementberatung, zeigt in ihrem Artikel "Hoffnung ist keine Strategie - Warum man Cyberrisiken ganzheitlich angehen muss!" zentrale Herausforderungen und Lösungen im Umgang mit Cyberrisiken auf. Der Artikel bietet fundierte Experteneinschätzungen und veranschaulicht, wie Unternehmen Sicherheitsstandards harmonisieren, Risiken systematisch steuern und ein starkes Sicherheitsbewusstsein auf allen Ebenen etablieren können.

Cyberrisiken in der deutschen Wirtschaft: Organisierte Kriminalität als treibende Kraft hinter der Zunahme von Cyberangriffen

Das Ergebnis einer aktuellen Bitkom-Studie zum Wirtschaftsschutz 2024 ist alarmierend. Zwischen Frühjahr 2023 und Frühjahr 2024 waren 81% der befragten deutschen Unternehmen von schwerwiegenden Sicherheitsvorfällen betroffen [2]. Bei 70% dieser Vorfälle wurden die Täter der organisierten Kriminalität zugeordnet.

Aber nicht nur die Gefahr durch externe Cyberangriffe ist deutlich gestiegen - auch die internen Schwachstellen bleiben ein erhebliches Risiko. Eine Umfrage unter 5.000 Beschäftigten in Deutschland zeigt: 41% der Mitarbeiter sehen sich als potenzielles Ziel für Cyberkriminalität, was die Anfälligkeit der Unternehmen erhöht. Und die Prognose verdeutlicht, dass das Risiko von Cyberangriffen und Datenklau in den kommenden Jahren weiter steigen wird [3].

Regularien zur Cybersicherheit: Ein starker Rahmen für wirksamen Schutz!

Angesichts der wachsenden Bedrohungen ist der Druck auf Regierungen und Aufsichtsbehörden, striktere Cybersicherheitsvorgaben zu schaffen, deutlich gestiegen. Regulierungen wie die Network and Information Security Directive (NIS2), der Digital Operational Resilience Act (DORA) oder der Cyber Resilience Act (CRA) sollen nicht nur die Wirtschaft und Organisationen schützen, sondern auch den Schutz von Gesellschaft und Individuen gewährleisten.

Ab Januar 2025 wird der Digital Operational Resilience Act (DORA) im Finanzsektor einen einheitlichen EU-weiten Rahmen für strenge Sicherheitsstandards im Umgang mit digitalen Bedrohungen schaffen. Um diesen Anforderungen gerecht zu werden, müssen Finanzinstitute umfassende Maßnahmen in verschiedenen Bereichen umsetzen. Diese reichen von einem Informations- und Kommunikationstechnologie-Risikomanagement über die Meldung von Vorfällen und der Überprüfung der digitalen Resilienz bis hin zu der Steuerung von Drittanbieterrisiken und der Förderung des Informationsaustausches.

Verankerung von DORA in der Informationssicherheits-Governance (ISG): Der Schlüssel zur Stärkung der Cyber-Resilienz

Umfragen zeigen, dass in vielen Unternehmen das Bewusstsein für IT-Sicherheit zwar vorhanden ist, aber das Engagement fehlt. Als Leitlinie unterstützt DORA die ISG, die organisatorischen und technischen Maßnahmen zu definieren, die notwendig sind, um die Vertraulichkeit, Integrität und Verfügbarkeit von Informationen sicherzustellen. Die ISG legt den Rahmen fest, um Risiken zu minimieren und die Sicherheitsstrategien entsprechend den geschäftlichen Anforderungen zu gestalten. Eine robuste ISG sorgt dafür, dass Unternehmensziele und Sicherheitsstrategien in Einklang stehen und ein einheitliches Schutzniveau gewährleistet wird.

"Eine ISG ist entscheidend, weil sie Cybersicherheit als strategisches Ziel in alle Unternehmensebenen integriert, klare Verantwortlichkeiten schafft und fundierte Risikobewertungen ermöglicht.", erklärt Detlev Henze, Experte für Informations- und Cybersicherheit. "Durch diese strukturierte Herangehensweise wird die Reaktionsfähigkeit auf Bedrohungen verbessert, die langfristige Resilienz des Unternehmens gestärkt und die Einhaltung von Regularien wie DORA sichergestellt."

Informationssicherheits-Governance (ISG): Eine klare Struktur als Erfolgsfaktor zur Stärkung der Unternehmensresilienz

Eine solide ISG ist die Basis für die effektive Umsetzung von Informations- und Cybersicherheitsmaßnahmen sowie die Sicherstellung eines langfristig verlässlichen Sicherheitsniveaus. Als Rahmenwerk setzt die ISG klare Leitlinien für die strategische Ausrichtung und die operative Umsetzung von Cybersicherheitsmaßnahmen. Sie stellt sicher, dass alle Maßnahmen zur Informationssicherheit in Übereinstimmung mit den Unternehmenszielen und regulatorischen Vorgaben, wie beispielsweise DORA, erfolgen. Weiterhin gewährleistet sie eine koordinierte Zusammenarbeit aller Beteiligten, die Cybersicherheit als gemeinsames Ziel verfolgen, um die Widerstandsfähigkeit des Unternehmens gegenüber digitalen Bedrohungen nachhaltig zu stärken. Die Grundlage hierfür bilden fünf relevante Bausteine:

Verantwortung und Integration Wissen und Weiterbildung Reporting und Prüfung Kommunikation und Bewusstsein Notfall- und Krisenmanagement

Dreistufiges Vorgehensmodell zur Stärkung der ISG

MOONROC empfiehlt ein dreistufiges Vorgehensmodell, um das Top-Management der Unternehmen adäquat auf die neuen Anforderungen vorzubereiten:

Der erste Schritt besteht aus einer Übersicht über die aktuelle ISG, die durch ein Quick Assessment des Informationssicherheits-Managements erreicht wird. Der Fokus liegt dabei auf dem Top-Management und dessen Verantwortungsübernahme bzw. den möglichen Konsequenzen im Falle eines Sicherheitsvorfalls. Operative Einheiten stehen nicht im Vordergrund, sondern strategische und strukturelle Themen auf Vorstandsebene.

Im zweiten Schritt wird auf Basis dieser Analyse der Soll-Zustand der ISG definiert. Dabei werden spezifische Ziele und Maßnahmen entwickelt, die den Anforderungen der DORA-Vorgaben entsprechen.

Der finale, dritte Schritt beinhaltet die Implementierungsplanung, bei der eine neue, effiziente ISG etabliert wird, die alle relevanten DORA-Anforderungen erfasst und steuert. Das Ergebnis ist eine robuste ISG, die nicht nur den aktuellen Anforderungen gerecht wird, sondern die Organisation langfristig auf zukünftige Herausforderungen vorbereitet.

(Quellen: [1] Bitkom Studie zum Thema Wirtschaftsschutz 2024, S. 13; [2] Bitkom Studie zum Thema Wirtschaftsschutz 2024, S. 3; [3] G DATA CyberDefense AG: "Cybersicherheit in Zahlen - Lernen. Wissen. Handeln", 2024, S. 68)

