Friedrich Merz war kürzlich zu Gast bei unserer heimischen IHK und stellte in seinen Ausführungen zum Thema „KI im Mittelstand“ die Wichtigkeit der Rolle des Geschäftsführers bei den Kernfragen der Unternehmens-IT heraus. Er wies auf die erheblichen, existenzbedrohenden Gefahren durch Cyberattacken hin und ergänzte, dass es nur eine Frage der Zeit ist, bis ein Unternehmen Opfer eines entsprechenden Angriffs wird.
In unserer zunehmend digitalisierten Welt, in der Unternehmen auf IT-Infrastrukturen angewiesen sind, ist IT-Sicherheit längst kein Thema mehr, das man allein der IT-Abteilung überlassen kann. Cyberangriffe sind schon lange zu einem wirtschaftlichen Risiko geworden, das Unternehmen jeder Größe bedroht. Ransomware-Angriffe, Datenlecks oder Systemausfälle haben nicht nur finanzielle, sondern auch rechtliche und reputative Konsequenzen. Wer IT-Sicherheit als rein technisches Problem versteht, unterschätzt die Dimensionen der Bedrohung. Sie ist eine strategische Herausforderung – und damit Chefsache.
Die Angriffspunkte für eine Cyberattacke im Unternehmen sind zahlreich, die Kosten eines erfolgreichen Angriffs können enorm sein. Laut dem Allianz Risk Barometer 2024 zählt Cyberkriminalität mittlerweile zu den größten Unternehmensrisiken weltweit. Dabei stehen nicht nur die IT-Spezialisten in der Verantwortung: Die Geschäftsführung muss den Rahmen schaffen, in dem Sicherheitsmaßnahmen effektiv greifen können. Denn: Ohne klare Priorisierung durch das Top-Management bleibt IT-Sicherheit oft Stückwerk.
Die Rolle der Geschäftsführung: Strategische Verantwortung und Vorbildfunktion
IT-Sicherheit ist ein Thema, das eine klare strategische Ausrichtung erfordert. Die Geschäftsführung hat die Aufgabe, die Bedeutung der IT-Sicherheit im gesamten Unternehmen zu verankern und zu verbreiten. Dies umfasst:
Kulturelle Verankerung von IT-Sicherheit
Sicherheitsbewusstsein beginnt an der Spitze. Führungskräfte müssen vorleben, dass IT-Sicherheit ein zentraler Bestandteil der Unternehmenskultur ist. Regelmäßige Schulungen und Sensibilisierungskampagnen schaffen das nötige Verständnis bei den Mitarbeitenden.
Bereitstellung ausreichender Ressourcen
Sicherheitsmaßnahmen kosten Geld und Zeit. Ohne das Engagement der Geschäftsführung, Budgets für externe Dienstleister oder zusätzliches Personal freizugeben und die IT-Abteilung bestmöglich zu stärken, bleibt das Risiko bestehen, dass Sicherheitslücken nicht geschlossen werden können.
Strategische Priorisierung
IT-Sicherheit muss Teil der Unternehmensstrategie sein. Dazu gehört eine klare Risikobewertung und -steuerung. Ein umfassendes Sicherheitskonzept, das regelmäßig aktualisiert wird, ist unerlässlich. Erste Orientierung kann hier beispielsweise eine Infrastrukturanalyse (ISA) darstellen.
Compliance und rechtliche Verantwortung
Cyberangriffe haben nicht nur wirtschaftliche, sondern auch rechtliche Konsequenzen. Datenschutzgesetze wie die DSGVO verpflichten Unternehmen, den Schutz personenbezogener Daten zu gewährleisten. Die Geschäftsführung trägt hier die Hauptverantwortung.
Die praktische Umsetzung: Wo die Geschäftsführung ansetzen sollte
Die Umsetzung eines sicheren IT-Umfelds beginnt mit einer umfassenden Risikoanalyse. Die wichtigsten Prozesse werden den wahrscheinlichsten Bedrohungen gegenübergestellt. Daraus abgeleitet müssen präventive Maßnahmen ergriffen werden. Dies können sowohl technische Lösungen als auch organisatorische Maßnahmen sein. Die meisten resultierenden Anforderungen können heute auch bequem durch sogenannte Managed Services mit Hilfe von externen Dienstleistern abgedeckt werden.
Ein effektives IT-Sicherheitsmanagement beinhaltet zudem regelmäßige Audits und Penetrationstests, um Schwachstellen zu identifizieren. Die Geschäftsführung sollte sicherstellen, dass diese Prozesse nicht als einmalige Projekte, sondern als kontinuierlicher Kreislauf etabliert werden.
Besonders wichtig ist die Einbindung aller Mitarbeitenden. Studien zeigen, dass der Mensch oft die größte Schwachstelle in der IT-Sicherheitskette ist. Phishing-Angriffe, unachtsamer Umgang mit Passwörtern oder der Einsatz privater Geräte ohne Sicherheitsstandards sind häufige Einfallstore für Cyberkriminelle. Schulungen und klare Regeln helfen, diese Risiken zu minimieren.
Fazit: Die Zukunft der IT-Sicherheit beginnt beim CEO
IT-Sicherheit ist kein IT-Problem, sondern eine strategische Managementaufgabe. Unternehmen, die die Verantwortung hierfür nicht auf höchster Ebene ansiedeln, setzen ihre Existenz aufs Spiel. Die Geschäftsführung muss IT-Sicherheit als integralen Bestandteil der Unternehmensstrategie betrachten und aktiv fördern.
Dabei geht es nicht nur um den Schutz vor Cyberangriffen, sondern auch um die Zukunftsfähigkeit des Unternehmens. IT-Sicherheit schafft Vertrauen bei Kunden und Geschäftspartnern, minimiert Risiken und unterstützt die Wettbewerbsfähigkeit. Die Botschaft, nicht nur die von Friederich Merz bei der IHK, ist klar: IT-Sicherheit ist Chefsache – und zwar heute, nicht morgen. www.hmcplus.de
