Wie aktuell und dringlich dieser Themenkomplex ist, beweist nicht zuletzt die neueste Bitkom Studie. Demnach entstand der deutschen Wirtschaft durch Spionage, Datendiebstahl oder Sabotage ein Schaden in einer Höhe von 203 Milliarden Euro. Die Angreifer gehen dabei immer organisierter vor. Vor allem staatliche Akteure, allen voran Russland und China, haben deutsche Unternehmen massiv ins Visier genommen. Eine Entwicklung, die sich seit Beginn des Ukraine-Kriegs noch einmal entscheidend verstärkt hat.

Krisenmanagement – auf die Methodik kommt es an

Entsprechend wichtig ist es für Unternehmen aller Größenordnungen zu wissen, wie sie sich effektiver gegen Bedrohungen schützen können und im Krisenfall agieren sollten. So vermittelte Valerie Kostka, Projektleitung ESG Elektroniksystem- und Logistik GmbH und Dozentin beim Bundesamt für Bevölkerungsschutz, dem Auditorium wie verwaltungstechnische Krisenarbeit gerade bei kleineren und mittleren Unternehmen (KMUs) gestaltet sein sollte.

Demnach seien großangelegte Übungen oder das Erstellen von Checklisten mit Blick auf konkrete Krisenszenarien wenig sinnvoll, um im Fall der Fälle handlungsfähig zu bleiben. Vielmehr sollte es darum gehen, eine Methodik für die Arbeit im Krisenstab zu etablieren, indem Probleme zu Beginn klar ermittelt, schnelle Entscheidungen getroffen und klare Arbeitsanweisungen erteilt werden. Dies sei auch von KMUs leistbar, in denen die Krisenstabsarbeit in der Regel durch Freiwillige zusätzlich zur regulären Arbeit erbracht werden muss.

Kein bloßer Fokus auf Cyber- und IT-Security

Unter dem Titel „Wirtschaftsschutz in der Krise – wie wir uns effektiv schützen können“ griff der Vortrag von Karsten Grießhammer, Head of Global Security & Protection bei Biontech SE, eines der gegenwärtig dringlichsten Themen im Bereich Corporate Security auf. Er betonte, dass Wirtschaftsschutz holistischer gedacht werden müsste – ein bloßer Fokus auf Cyber- und IT-Security würde der gegenwärtigen Bedrohungslage in Deutschland nicht gerecht. Er verwies dabei unter anderem auf die Gefahr durch Innentäter und betonte das Erfordernis, den Wirtschaftsschutz messbar und damit auch für KMUs operationalisierbar zu machen. Ebenso sei es grundsätzlich notwendig auf Seiten der Mitarbeiter eine größere „Awareness“ für das Thema Sicherheit im Unternehmen zu schaffen.

Social Engineering: Der Mensch als größte Schwachstelle

Wie wichtig ein entsprechendes Sicherheitsbewusstsein auf Seiten der Mitarbeitenden ist, untermauerte auch Michael Willer, Geschäftsführer der Human Risk Consulting GmbH. Der Einsatz von Social Engineering werde nach wie vor auf Seiten vieler Unternehmen unterschätzt. Häufig ginge die größte Gefahr von den Menschen im Unternehmen selbst aus, deren Verhalten durch zwischenmenschliche Beeinflussung von Angreifern gezielt manipuliert wird. Denn natürlich nützen in solchen Fällen die besten Cybersecurity-Maßnahmen wenig.

Unentdeckte Angriffe und was sich ändern muss

Ebenfalls für mehr Awareness sprach sich Prof. Dr. Haya Shulman, Cybersecurity Analytics and Defences und Security Management am Fraunhofer SIT, aus. In ihrem Vortrag zum Thema „Cybersecurity“ erläuterte sie u. a. die Gefahr durch Angriffe, die nur selten entdeckt werden würden, wie im Fall des Hijackings von Internet-Domänen. Klare kritische Worte richtete sie an die Adresse großer Software-Hersteller, die aufgrund der größeren Rentabilität von Cloud-Lösungen zunehmend den On-Premises-Bereich vernachlässigen würden. So daure es oft Monate bis zum Release von Sicherheitsupdates zum Schließen lange bekannter Sicherheitslücken.

Mit Blick auf die weltweite Entwicklung im Bereich Cybersecurity und den Standort Deutschland appellierte Prof. Dr. Schulmann zudem dazu, mehr Anreize zu setzen, um gut ausgebildete IT-Fachkräfte in Deutschland zu halten und ein Abwandern zu verhindern. Es sei schwer verständlich, wieso dies einem Land wie Deutschland, mit den entsprechenden Ressourcen nicht in nötigem Maße gelänge.

KMUs müssen sich aktiv dem Krisen- und Sicherheitsmanagement zuwenden

Abgerundet wurde das Vortragsprogramm durch die Vorträge weiterer Referenten, darunter Prof. Dr. Peter Neumann, Politikwissenschaftler & Professor am King's College in London, Verena Richterich, Leiterin des Referats Opferhilfe Weisser Ring e. V. sowie vom Landesamt für Verfassungsschutz Hessen. Im Prinzip unisono stimmten alle Referenten darin überein, dass es in der gegenwärtigen Bedrohungslage kein Aussitzen mehr geben kann. Auch KMUs müssen sich zukünftig aktiv den Themen Krisen- und Sicherheitsmanagement zuwenden, um die eigene Existenz zu schützen.

Dabei ist Sicherheit in der heutigen Zeit viel mehr als bloße Cyber- oder IT-Security. Zudem werden sich die gesetzlichen Rahmenbedingungen durch neue Verordnungen, Richtlinien und Gesetze, wie das KRITIS-Dachgesetz, den Cyber Security Act oder NIS2 stark verändern und praktisch alle Teilbereiche des deutschen und europäischen Wirtschaftraums erfassen. Der Handlungsdruck steigt also.

Das Thema Sicherheit muss in Zukunft in jeder Unternehmenskultur eine tragende Rolle spielen. Sicherheitstagungen wie die VSW und LfV Hessen bieten interessierten Unternehmen wichtige Anreize und Plattformen sich zu informieren, zu netzwerken und direkt in Kontakt mit Experten, Dienstleistern und Herstellern zu treten. „Just do it!“ lautet der Appell.