34 DSD 3 | 2025 IT- UND CYBERSICHERHEIT nicht immer einfach. Beim Thema BackgroundChecks zum Beispiel gibt es in Deutschland klare rechtliche Grenzen, die Unternehmen einhalten müssen. Was bedeutet, dass man am Ende auch hier sicherlich ein gewisses Restrisiko akzeptieren muss. Kommen wir von der Spionage zur Sabotage. Vorfälle wie der Angriff auf Unterseekabel in der Ostsee schaffen es in die Tagesschau. Das ist aber nur die Spitze des Eisbergs. Welche Angriffe erleben Unternehmen tagtäglich? Franz Polenz: Nicht alle Angriffe haben einen Hintergrund, der sich auf einen fremden Nachrichtendienst oder Staat beziehen. Neben normaler Kriminalität wie Diebstählen an Unternehmensstandorten sieht man mit einer gewissen Regelmäßigkeit Aktionen und strafbare Handlungen von Umweltaktivisten oder extremistischen Gruppierungen. Das kann Vandalismus beinhalten wie Farbanschläge oder Brandstiftungsdelikte gegen Firmenfahrzeuge. Dann gibt es Vorfälle ohne eigentliche Sachbeschädigung, zum Beispiel Proteste, bei denen Aktivisten sich an ein Werkstor anketten und die Zufahrt blockieren. Diese Art von Störungen ist für Unternehmen eher ein Reputationsthema, weil Aktivisten soziale Medien nutzen, um öffentlichkeitswirksam gegen ein Unternehmen zu protestieren. Eine solche Situation ist aus Sicherheitssicht zumeist relativ schnell vorbei, erfordert möglicherweise aber ein gutes Krisenkommunikationsmanagement, indem man ein entsprechendes, korrigierendes Narrativ in der Öffentlichkeit platziert. Wir haben über die vielfältigen Bedrohungen gesprochen. Wie gut ist Deutschland auf solche Gefahren vorbereitet? Sind deutsche Unternehmen und Organisationen heute resilienter als vor fünf oder zehn Jahren? Franz Polenz: Wir sind resilienter als vor fünf Jahren, aber noch nicht resilient genug. Wenn wir in andere Länder schauen, haben wir in Deutschland noch Nachholbedarf. In den skandinavischen Ländern beispielsweise sind die gesamte Gesellschaft und damit auch das Individuum und die Wirtschaftsunternehmen deutlich besser vorbereitet, was Zivilverteidigung angeht. Der Ukraine-Krieg war für viele ein Weckruf. Wir sind in Deutschland resilienter geworden, aber weder in der Gesamtgesellschaft noch in den Unternehmen ist die viel beschworene „Zeitenwende“ im Bereich unserer Sicherheit vollumfänglich angekommen. Welche Rolle spielen Gesetzesvorhaben wie das KRITIS-Dachgesetz und die Umsetzung der NIS2Richtlinie für die Prävention und das Bewusstsein für Bedrohungen? Franz Polenz: Sie senden ein Signal an die Verantwortlichen im Management, dass wir besser werden müssen in der Umsetzung von Sicherheitsanforderungen. Allerdings sind höhere Investitionen in die Sicherheit manchmal schwierig umzusetzen, weil das Management begrenzte Ressourcen hat und gegenüber den Aktionären und dem Aufsichtsrat für den Gesamterfolg des Unternehmens verantwortlich ist. Daher müssen viele wichtige Themen bei der Ressourcenzuteilung ausgewogen betrachtet werden. Bei der Umsetzung gesetzlicher Regelungen kommt es aber insbesondere auch auf die Qualität der jeweiligen Gesetze an. Wenn mit neuen gesetzlichen Regelungen im Bereich der Sicherheit nur bürokratische Meldepflichten gefordert werden, es aber keinen Zuwachs an realer Sicherheit gibt, dann bringt das relativ wenig. Wenn gesetzliche Regelungen den Unternehmen aber bei ihrer Risikoanalyse und der Umsetzung zielgerichteter Schutzmaßnahmen helfen, dann sind sie sowohl für die Awareness als auch für das faktische Schutzniveau sinnvoll.
RkJQdWJsaXNoZXIy Mjc4MQ==