KRITIS-Sicherheit nicht nur für KRITIS
Für die Betreiber sogenannter kritischer Infrastrukturen ist die neue Verordnung im Rahmen des IT-Sicherheitsgesetzes bereits in Kraft getreten. Im Frühjahr 2017 folgen auf die Sektoren Energie, Informationstechnik, Telekommunikation, Wasser und Ernährung, die Bereiche Finanzen, Transport, Verkehr und Gesundheit. In der aktuellen Studie ist folglich der Prozentsatz derer deutlich angestiegen, die sich als Betreiber von kritischen Infrastrukturen im Sinne des Gesetzes einstufen. Statt 14% im Vorjahr tun das jetzt bereits 22% der Befragten.
In Anbetracht dieser Zahlen sollte man davon ausgehen, dass die betreffenden Unternehmen entsprechend handeln und investieren. Herausgekommen ist aber etwas anderes. 2016 erfüllten nämlich nicht ein Mal die Hälfte der relevanten Unternehmen die Anforderungen des Gesetzes. Zur Erinnerung: Die Anforderungen müssen bis Juni dieses Jahres umgesetzt werden.
Einige Beispiele. 73 % haben noch keinen Informationssicherheitsbeauftragten benannt, der als Ansprechpartner für das BSI fungiert, bei 61 % der Befragten fehlt die Meldestelle für Cyberangriffe und deutlich über die Hälfte der Befragten, nämlich 59 %, haben in ihrem Unternehmen noch keines der vorgeschriebenen ISMS, Informationssicherheitsmanagementsysteme, implementiert. Und genau diese Systeme sind es ja, die physische Sicherheitseinrichtungen mit IT-Sicherheitssystemen verbinden.
Handlungsdruck kommt noch von anderen Seiten. Kunden und externe Geschäftspartner und im Falle KRITIS eine kritischer werdende Bevölkerung verleihen ihren Forderungen nach IT-Sicherheit deutlich mehr Nachdruck. Der gesetzliche Druck motiviert aber am stärksten. Für 76 % ist er die entscheidende Motivation Budgets freizusetzen. An zweiter Stelle stehen dann mit 66 % Kundenanforderungen, gefolgt von Branchenstandards, der aktuellen Berichterstattung zu Cyberattacken, aktuellen Sicherheitsvorfällen oder Cyberangriffen im eigenen Unternehmen oder der Branche.
Fazit
Unternehmen, die im Bereich Industrie 4.0 oder kritische Infrastrukturen tätig sind, gehen generell von einer erhöhten Bedrohung durch Cyberangriffe aus (85 %) und eine überwältigende Mehrheit der Befragten hat sich bereits intensiv mit dem Thema Informationssicherheit auseinandergesetzt (91 %). Bleibt zu hoffen, dass bei allem notwendigen Fokussieren auf Cybersicherheit, physische Schwachstellen in Sicherheitskonzepten stärker als bisher berücksichtigt werden. Sie können entscheidend sein, will man nicht wie der Geschäftsführer der Ettlinger Stadtwerke konstatieren: "Als er anrief, war meine Resthoffnung dahin, dass man das vielleicht doch nicht schafft." (oe)
Lesetipp: Cyberspionage wird zur größten Bedrohung für Unternehmen