Cyberattacken können die Geschäftstätigkeit eines Unternehmens vollständig lahmlegen, sie können notwendige Operationen in einem Krankenhaus verhindern, Kraftwerke ausschalten oder Flughäfen und Bahnstrecken zum Stillstand bringen. Jedes zweite Unternehmen in Deutschland stimmt mittlerweile der Aussage zu, ein erfolgreicher Cyberangriff könnte seine Existenz bedrohen. Zugleich erwarten knapp zwei Drittel, in den kommenden zwölf Monaten Ziel von solchen Angriffen zu werden.

206 Milliarden Euro Schaden ist den Unternehmen in Deutschland in den vergangenen zwölf Monaten durch Wirtschaftskriminalität entstanden, davon rund 150 Milliarden Euro durch Cyberattacken. Cyberkriminalität längt Teil der weltweiten organisierten Kriminalität geworden. Die Angreifer handeln arbeitsteilig, sind spezialisiert und professionell – und haben nicht selten Verbindungen zu staatlichen Akteuren, wobei oft die Grenzen zwischen staatlich geduldetem und staatlich forciertem Handeln verschwimmen.

Gefordert sind Behörden und die Politik, Antworten auf diese Bedrohungslage zu finden. Wir brauchen eine höhere Präsenz von Polizei und Strafverfolgungsbehörden im Cyberraum. Die wiederum brauchen dazu Know-how, Personal und technische Ausstattung. Und wir benötigen eine stärkere Konzentration von Zuständigkeiten, Cyberkriminalität orientiert sich nicht an unseren föderalen Strukturen.

Gefordert sind aber auch alle Unternehmen selbst, entsprechende Schutzmaßnahmen zu treffen. Zuallererst darf IT-Sicherheit in den Unternehmen nicht allein Aufgabe der IT-Abteilungen sein, sondern sie muss Priorität für das Top-Management werden. Wenn Cyberattacken existenzbedrohend sein können, dann muss ihre Abwehr Top-Priorität sein – überall. Jedes Unternehmen benötigt darüber hinaus einen Notfallplan für Cyberangriffe. Nur wer weiß, wie im Falle einer Attacke zu handeln ist, wird diese auch abwehren können. Und wer sich erst dann darüber Gedanken machen will, verliert im besten Fall wertvolle Zeit. Im schlimmsten Fall sind die Kommunikationsmöglichkeiten im Unternehmen so weit eingeschränkt, dass es ohne Notfallplan handlungsunfähig ist. Und drittens muss IT-Sicherheit die Menschen in den Mittelpunkt rücken. Deshalb sollte jedes Unternehmen alle Mitarbeiterinnen und Mitarbeiter regelmäßig schulen. Dazu, wie sie sich bei einer Cyberattacke verhalten, aber vor allem auch, wie sie eine solche möglicherweise im Vorfeld erkennen und sogar verhindern können, etwa indem Social Engineering ins Leere läuft oder Schadsoftware keinen Weg auf die Firmenrechner findet. Und schließlich muss IT-Sicherheit mit den notwendigen Ressourcen ausgestattet werden. Mindestens 20 Prozent der gesamten IT-Ausgaben sollten dafür aufgewendet werden.

Es geht um die Abwehr jedes einzelnen Angriffs. Und es geht um die die Stärkung der Widerstandsfähigkeit unserer Unternehmen und Infrastrukturen, im Schulterschluss zwischen Politik, Behörden und Wirtschaft – und letztlich um die Souveränität Deutschlands in einer digitalen Welt.