Geht es um die IT- und physische Sicherheit, sehen Unternehmen sich bundesweit gut aufgestellt. Subjektiv, das legen aktuelle Studien nach, bewerten Fach- und Führungskräfte den Schutz der technischen Infrastruktur durchweg als solide. Dessen ungeachtet bilden Cyber- oder terrorristische Übergriffe ein stetes und damit ernst zu nehmendes Risiko. Organisationen der kritischen Infrastruktur sollten diesem mit objektiven, etablierten Sicherherheitmaßnahmen vorbeugen – gerade in Zeiten hohen regulatorischen Drucks.
Die Zahlen lassen aufhorchen: Rund 47 Prozent deutscher Arbeitnehmer fühlen sich durch IT-Sicherheitsmaßnahmen ihrer Betriebe gut geschützt; mehr als ein Drittel (rund 32 Prozent) stuft die Mechanismen gar als sehr gut ein. Die von Statista erhobenen Daten spiegeln einen Trend, der sich auch anderweitig bemerkbar macht: So stuft ein Großteil der Befragten (46,9 Prozent) das Risiko als gering ein, Opfer von Cyberkriminalität oder Datenklau zu werden.
Die objektive Wirklichkeit zeichnet indes ein anderes Bild: Für den Zeitraum von 2015 bis 2023 registrierte der Branchenverband Bitkom eine signifikante Zunahme des Gesamtschadens, der beispielsweise auf Datendiebstahl, Industriespionage oder Sabotage zurückgeht. Von 51,5 Milliarden Euro im Referenzjahr 2015 stiegen die Ausgaben bis 2023 auf 205,9 Milliarden Euro an – das entspricht einer Steigerung von 309 Prozent.
Angesicht dieser Entwicklungen lediglich auf das Gefühl zu setzen, wäre für Unternehmen jeglicher Größe fatal – stehen durch Angriffe auf die Cyber- und physische Infrastruktur doch Umsätze, Innovationskraft und allgemeine Geschäftstüchtigkeit auf dem Spiel. Wie real die Bedrohung ist, verdeutlichen Erhebungen von BKA und deutscher Telekom aus dem Jahr 2023: Inländische Unternehmen mit mindestens zehn Beschäftigten und einem Jahresumsatz von einer Million Euro oder mehr wurden häufig Opfer von Datenraub (41 Prozent), Hardwarediebstählen (35 Prozent) und Ausspähaktionen mit digitalen Mitteln (30 Prozent). Die Anzahl vermutlich betroffener Organisationen lag in allen Fällen nahezu gleichauf.
Der Prävention solcher und ähnlicher gelagerter Fälle leistet die EU mit ambitionierten Richtlinien wie NIS-2 und CER Vorschub: Die Cybersicherheits-Richtlinie NIS-2 etwa fordert einen gefahrenübergreifenden Ansatz, der neben digitalen Sicherheitsmaßnahmen auch Vorkehrungen zum physischen Schutz von Infrastrukturen vorgibt.
Künftig müssen Unternehmen, die unter die NIS-2-Richtlinie fallen, Risikomanagementmaßnahmen zur Cybersicherheit implementieren. Cybervorfälle müssen sie zudem melden. Laut Schätzungen des Statistischen Bundesamts sind davon allein in Deutschland knapp 30.000 Unternehmen betroffen.
CER wiederum konzentriert sich auf die physische Resilienz kritischer Einrichtungen. Die Richtlinie sieht unter anderem vor, entsprechende Infrastrukturen systematisch zu erfassen und zentrale Meldesysteme für Störungen einzurichten.
Für beide Richtlinien gelten Umsetzungsfristen in nationales Recht, mit entsprechenden Sanktionen bei ausbleibender Gesetzgebung – und bislang durchwachsenem Erfolg. Mit dem Bruch der Koalition im November 2024 scheiterte die Umsetzung für NIS-2 und CER in Deutschland. Die Umsetzung sollte bis spätestens Oktober 2024 erfolgen. Um Vertragsverletzungsverfahren zu vermeiden, müssen die Umsetzungspläne unter der neuen Regierung an Fahrt gewinnen.
Unternehmen sollten bis dahin nicht tatenlos zusehen: Zu hoch ist allein der ökonomische Druck, der ungeachtet politischer Entwicklungen besteht. Organisationen stehen deshalb in der Pflicht, sich gemäß beider Richtlinien angriffssicher aufzustellen, beispielsweise mit einem Informationssicherheitsmanagementsystem (ISMS) nach ISO 27001. Die Verantwortung liegt damit gleichermaßen auf politischer wie unternehmerischer Ebene: Organisationen, die rechtzeitig nach etablierten Standards statt nach Bauchgefühl handeln, befinden sich dabei klar im Vorteil.
