Cybersecurity
Cybersecurity ist Chefsache
Das Bundesamt für Sicherheit und Informationstechnik (BSI) ist die Cyber-Sicherheitsbehörde des Bundes und Gestalter einer sicheren Digitalisierung in Deutschland.
©picture alliance / Oliver Berg/dpa | Oliver Berg
Absolute Sicherheit ist nicht möglich und auch generell kein erstrebenswertes Ziel. Dieser Satz gilt sowohl für die analoge Sicherheit als auch für die Cybersicherheit. Zu groß ist die Zahl möglicher Angriffsziele, zu stark wären die Einschränkungen von Freiheiten, wenn das Ziel wäre, wirklich alle Cybergefahren auszuschalten. Dieser Befund sollte aber nicht zur Resignation führen, sondern zu einer smarten Arbeitsteilung. Die Sicherung von IT-Systemen und der Aufbau von Cyber-Resilienz sind nicht nur staatliche Aufgabe, sondern obliegen allen Ebenen in ihrem jeweiligen Zuständigkeitsbereich. Der Staat kümmert sich um seine eigenen Systeme und hat auch die Systeme im Blick, die für ein funktionsfähiges Gemeinwesen besonders wichtig sind – sogenannte kritische Infrastrukturen (KRITIS). Aber auch Unternehmen abseits von KRITIS sind in der Pflicht.
Die wichtige Rolle der Unternehmen bei der Cybersicherheit hat auch US-Präsident Joe Biden in einem aktuellen Statement zur Lage der Cybersicherheit aufgrund des Ukrainekriegs herorgehoben. Er sprach davon, dass Russland als Antwort auf die wirtschaftlichen Sanktionen möglicherweise Cyberangriffe vorbereite. Um diesem Risiko Herr zu werden, appellierte Biden an alle Unternehmen: „You have the power, the capacity, and the responsibility to strengthen the cybersecurity and resilience of the critical services and technologies on which Americans rely.“ Ein so ausdrückliches Statement gegenüber dem privaten Sektor als Bestandteil der Cybersicherheitsinfrastruktur eines Landes dürfte wohl einmalig sein.
Für Deutschland sieht das BSI ebenfalls eine „abstrakt erhöhte Bedrohungslage“. Es mahnt gegenüber allen Ebenen – Unternehmen, Organisationen und Behörden – die Erhöhung von IT-Sicherheitsmaßnahmen an und warnt vor allem vor Phishing-Mails, die sich auf den Krieg in der Ukraine beziehen. Auf einer eigens eingerichteten Interseite werden Lageeinschätzungen und Warnungen aktuell gehalten. Zuletzt warnte das BSI explizit vor der Verwendung von Virenschutzsoftware des russischen Herstellers Kaspersky, um Risiken für die eigenen IT-Systeme zu minimieren. Das Beispiel von Antiviren-Software zeigt, dass die Auswirkungen von Cyberangriffen auf Unternehmen in besonderer Weise auch Dritte betreffen können.
Dem Thema „Cybersecurity als Unternehmensleitungsaufgabe“ widmete sich ein im Herbst 2021 erschienener Tagungsband im Nomos-Verlag. Kundendaten und geistiges Eigentum sind oftmals Beute von Cyberangriffen. Auch deshalb haben Unternehmen und andere Organisation des privaten Sektors besondere gesetzliche Pflichten im Bereich der IT-Sicherheit. Der Tagungsband entstand auf Grundlage der Vorträge einer interdisziplinären Fachtagung mit dem gleichen Titel, die im Oktober 2020 an der Bucerius Law School in Hamburg stattfand. Das Organisationsteam der Tagung bestand zum Großteil aus Stipendiaten der Friedrich-Naumann-Stiftung für die Freiheit und Tagung sowie Publikation des Tagungsbandes wurden zusätzlich vom Liberalen Institut der Stiftung finanziell unterstützt.
Grundtenor der Tagung und auch der Beiträge des Tagungsbandes ist, dass Cybersecurity Chefsache ist. Die Beiträge des Tagungsbandes beleuchten, welche Aufgaben die Chefetage in Unternehmen hat, um Haftung gegenüber Dritten auszuschließen, aber auch um rechtlichen Vorgaben gerecht zu werden. Welche Pflichten haben Vorstand und Mitglieder der Unternehmensleitung? Was muss inhaltlich und organisatorisch geleistet werden, um Cyberrisiken möglichst gering zu halten? Welche Besonderheiten sind in China oder im Mittelstand zu beachten? Die sieben Beiträge des Bandes geben einen guten Rundumblick über das Thema und sind im Open Access abrufbar.
Beispiele für den Themenquerschnitt: