„Chefsache Cybersicherheit“ – so betont Prof. Thomas P. Köhler in seinem im Mai 2019 beim Campus Verlag erschienenen Buch. Keynotes, Artikel in Zeitschriften und Podcasts, in denen die Aussage „IT-Sicherheit ist Chefsache“ von Prof. Köhler ständig präsent ist, finden sich zahlreich im Web.
Der Titel des Tagungsbandes zum 18. IT-Sicherheitskongress des Bundesamts für Sicherheit in der Informationstechnik im Jahr 2022 lautet „Cyber-Sicherheit ist Chefinnen- und Chefsache“.
Der Neujahrsempfang von IT-On.NET, dessen Gründer und ehemaliger Chef ich war, etablierte sich als wiederkehrendes Event im Kalender unserer Kunden, Mitarbeiter und Partner. Am 3. Donnerstag im Jahr 2004, dem 15. Januar, hielt ich erstmals vor diesen Gästen einen Begrüßungsvortrag mit dem Titel „IT-Sicherheit ist Chefsache“.
Wann erreicht diese wirklich unverzichtbare und existenziell wichtige Aufgabe endlich die Chefetagen? Warum dauert es so lange, bis Geschäftsführer, Vorstände und Firmeninhaber dies als vorrangige Herausforderung für ihre Unternehmen erkennen?
Ich selbst gehöre zu dieser Gruppe und habe über 20 Jahre lang erfolgreich mein Unternehmen IT-On.NET geleitet. Die zahlreichen Gespräche auf Augenhöhe mit Kunden lassen mich verstehen, dass trotz erkannter Gefahren die Umsetzung notwendiger Maßnahmen aufgrund der Komplexität des Themas eine Herausforderung darstellt.
Geschäftsführer hören oft, wofür sie haften, wofür sie verantwortlich sind und welche Gesetze und Verordnungen zu beachten sind. Insbesondere die beauftragten Personen, von denen im Unternehmen immer mehr benötigt werden, reichen von Arbeitssicherheits- über Datenschutz- bis zu Informationssicherheitsbeauftragten. Dabei sollte die IT-Leitung nicht gleichzeitig Informationssicherheitsbeauftragte sein, genauso wenig wie die Chefin Datenschutzbeauftragte sein sollte. Bei all den täglichen Herausforderungen – von Markt- und Preisdruck über Lieferengpässe bis zu Mitarbeiterfluktuation und Fachkräftemangel, Digitalisierung usw. – müssen wir wirklich IT- und Informationssicherheit zur Chefsache machen?
Ja, das müssen wir, denn es gehört zum Risikomanagement, und die Bewertung ist alleinige Aufgabe der Chefs. Es hilft auch nicht, den Kopf in den Sand zu stecken. In den fast 20 Jahren seit meiner Keynote im Jahr 2004 sind die Internetkriminellen nicht weniger geworden, sondern globaler und organisierter. Staaten bekämpfen sich im Internet, und Unternehmen geraten dabei zwischen die Fronten. Ein eindrucksvolles Beispiel ist der Supergau, den das Logistikunternehmen MAERSK 2017 erlebte – ein Angriff der russischen Hackergruppe NotPetya, der eigentlich den Unternehmen der Ukraine galt.
Vor 20 Jahren fehlten noch Beispiele für angegriffene Unternehmen, heute sind sie täglich in Online-Netzwerken, in TV und Radiosendern präsent, und oft ist man selbst davon betroffen.
Meine langjährige Erfahrung als Unternehmer, Kundenberater, Partner namhafter IT-Security-Anbieter, Netzwerker unter mehr als 400 IT-Systemhäusern in Deutschland, Cyber-Security-Awareness-Beauftragter und Trainer für IT-Anwender in Industrie, Kommunen, Sozialträgern und der Gesundheitsbranche motiviert mich, Ihnen als Chef/Chefin als Ratgeber zur Seite zu stehen.
Für mich beginnt Cyber-Security-Awareness in Unternehmen mit der Führung. Awareness ist ein kommunikativer Prozess, an dem alle Unternehmensbereiche beteiligt sind. Die Etablierung dieses Bewusstseins mit Management-Teams und Mitarbeiterinnen im Unternehmen ist die Aufgabe, der ich mich widme.
