Wie gut ist die deutsche Handelslandschaft beim Thema Cybersicherheit auf diese Gefahren vorbereitet?
Linke: Aus eigener Erfahrung behaupte ich, dass viele Unternehmen in Bezug auf Cybersecurity nicht gut aufgestellt sind, sie behandeln das Thema eher stiefmütterlich. Oft übernimmt das jemand aus der IT-Abteilung nebenbei oder ein IT-Dienstleister. Es gibt aber niemanden, der offiziell die Verantwortung trägt, die nötige Qualifikation besitzt oder einen wirklichen Überblick hat. Auch das BSI bestätigt, dass besonders kleine und mittlere Unternehmen (KMU) oft schlecht aufgestellt sind.
Meiner Erfahrung nach liegt das unter anderem daran, dass Unternehmen sich für zu klein oder zu unwichtig halten, um für Angreifer attraktiv zu sein. Aber diese Unternehmen verkennen, wie Cyberangriffe heutzutage funktionieren: Angreifer suchen nicht gezielt nach großen, wertvollen Unternehmen oder Daten, sondern generell nach Schwachstellen.
Ein weiterer entscheidender Faktor ist, dass Cybersicherheit nicht zum Kerngeschäft des Einzelhändlers gehört, was bedeutet, dass Business-Prozesse wie Einkauf, Verkauf und Finanztransaktionen Vorrang haben. Cybersecurity wird oft als zusätzlicher Kostenpunkt gesehen, ohne dass ein direkter Return on Security Investment erkennbar ist. Man bereitet sich damit aber auf einen immer wahrscheinlicher werdenden Ernstfall vor.
Hinzu kommt, dass wichtige Systeme wie Webshops, ERP-Systeme, Kassensysteme oder Zahlungsterminals in der Regel nicht redundant ausgelegt sind. Das bedeutet, dass ein Angriff das gesamte Geschäft lahmlegen kann.
Und schließlich gibt es im Einzelhandel viele gewachsene IT-Landschaften, oft betreiben Unternehmen einen Mix aus alten Legacy-Systemen und neueren Cloud-Services. Diese Vielfalt abzusichern, stellt eine echte Herausforderung dar.