Human Risk in KRITIS-Unternehmen: Zwischen Sicherheitslücke und persönlicher Haftung

Wir haben unserem Senior-Consultant "Digitale Forensik" Marco Kaspar 5 Fragen zum Thema "Human Risk in KRITIS-Unternehmen" gestellt.

1. Datendiebstahl & Haftung

„Herr Kaspar, wenn in einem Energieversorgungsunternehmen sensible Daten entwendet werden – sei es durch interne oder externe Akteure – ab wann wird aus einem IT-Vorfall ein persönliches Haftungsrisiko für Geschäftsführer und Vorstände?“

Marco Kaspar: "Ein Haftungsrisiko entsteht immer dann, wenn bekannte Sicherheitsrisiken organisatorisch nicht ausreichend berücksichtigt wurden. Gerade im KRITIS-Umfeld geht es heute nicht mehr nur um Technik, sondern auch um die Frage: Wer erhält Zugriff auf kritische Systeme und Daten? Viele Vorfälle entstehen nicht durch fehlende Firewalls, sondern durch interne Risiken, Fehlbesetzungen oder unzureichend kontrollierte Zugriffe. Unternehmen müssen deshalb Sicherheitsrisiken bereits im Recruiting und bei der Vergabe sensibler Rollen mitdenken.
Wer bekannte Risiken ignoriert, riskiert im Ernstfall nicht nur einen Sicherheitsvorfall, sondern auch persönliche Verantwortung."

2. Fehlende Berechtigungskonzepte

„Wie gefährlich ist es wirklich, wenn in KRITIS-Unternehmen wie Energieversorgern oder Telekommunikationsanbietern unklare oder zu weit gefasste Berechtigungskonzepte bestehen – und welche Konsequenzen drohen Führungskräften im Ernstfall?“

Marco Kaspar: "Zu weit gefasste Berechtigungen gehören zu den größten Risiken in Unternehmen. Denn ein Berechtigungskonzept ist nur so sicher wie die Person, die dahinter sitzt. Wenn Mitarbeitende oder Dienstleister mehr Zugriff erhalten als notwendig, entstehen massive Insider- und Sicherheitsrisiken. Deshalb müssen Unternehmen nicht nur Zugriffe kontrollieren, sondern auch sicherheitskritische Rollen deutlich stärker bewerten und absichern. Im Ernstfall wird schnell die Frage gestellt, ob Risiken organisatorisch ausreichend minimiert wurden."

3. Faktor Mensch als Sicherheitsrisiko

„Sie erleben es täglich: Der Mensch ist oft die größte Schwachstelle. Wo beginnt aus ihrer Sicht fahrlässiges Verhalten von Mitarbeitenden – und wann kippt das Ganze in eine Organisationsverantwortung mit möglichen rechtlichen Folgen für das Management?“

Marco Kaspar: "Menschen machen Fehler. Der Umgang damit ist aus meiner Sicht entscheidend. Wenn Mitarbeitende ohne ausreichende Sensibilisierung, Kontrolle oder Sicherheitsprozesse Zugriff auf kritische Systeme erhalten, wird aus einem Einzelfehler schnell ein organisatorisches Problem. Human Risk beginnt deshalb nicht erst im Arbeitsalltag, sondern bereits bei der Auswahl, beim Onboarding, und bei der Bewertung sicherheitskritischer Rollen. Unternehmen sollten den Faktor Mensch künftig als strategisches Sicherheitsrisiko verstehen, nicht nur als HR-Thema."

4. Sicherheitsüberprüfung bei Schlüsselpositionen

„Gerade in der Energiewirtschaft und IT: Welche Risiken entstehen, wenn bei der Besetzung von Schlüsselpositionen auf tiefgehende Sicherheitsüberprüfungen verzichtet wird – und wer trägt die Verantwortung, wenn es später zum sicherheitskritischen Vorfall kommt?“

Marco Kaspar: "In KRITIS-Unternehmen reicht fachliche Qualifikation allein nicht mehr aus. Wer Zugriff auf kritische Infrastruktur erhält, wird automatisch Teil der Sicherheitsarchitektur eines Unternehmens. Ohne strukturierte Sicherheits- und Risikobewertung entstehen erhebliche Insider-Risiken. Viele Unternehmen prüfen Technik intensiver als Menschen mit kritischen Zugriffsrechten. Genau das wird sich künftig ändern müssen. Die Verantwortung liegt aber letztlich bei den Führungsebenen, die solche Rollen freigeben und absichern müssen."

5. Human Risk Intelligence als Pflichtprogramm

„Wenn wir Human Risk Intelligence ernst nehmen: Was müssen Unternehmen konkret verändern, um Risiken durch Mitarbeitende systematisch zu erkennen und zu minimieren – und was passiert, wenn Geschäftsführer dieses Thema weiterhin unterschätzen?“

Marco Kaspar:"Human Risk Intelligence bedeutet, Personalentscheidungen stärker mit Security und Risikomanagement zu verbinden. Unternehmen brauchen strukturierte Sicherheitsbewertungen, risikobasierte Zugriffsmodelle, klare Governance, und eine enge Zusammenarbeit zwischen HR, Security und Compliance. Unerkannte menschliche Risikofaktoren sind häufig ein größeres Risiko als die Technik dahinter. Wer das weiterhin unterschätzt, riskiert nicht nur Sicherheitsvorfälle, sondern zunehmend auch regulatorische und persönliche Konsequenzen."

Sollten Sie Fragen zum Thema haben oder eine Beratung wünschen, kontaktieren Sie uns gern: info@drei-grad.de.