Studie zeigt: Mehr als die Hälfte der Unternehmen hat Schwierigkeiten eine Kultur der digitalen Sicherheit zu etablieren

Hackerone, die Sicherheitsplattform für ethisch motivierte Hacker, hat heute die Untersuchungsergebnisse einer neuen Studie zur Sicherheitskultur in Unternehmen veröffentlicht. Sie legt offen, dass zwischen den Zielen digitaler Sicherheit und deren Implementierung in den Unternehmen teilweise frappierende Gegensätze bestehen. Gleichzeitig publiziert das Unternehmen seinen Appell zur Verantwortung von Unternehmen in Sachen Cybersicherheit. Ziel ist es, ein sichereres Internet für alle zu schaffen, indem zu einem verstärkten Einsatz für Transparenz und zu einer positiven Kultur in Bezug auf Cybersicherheit aufgerufen wird. Mehrere große internationale Unternehmen wie TikTok, Wix, Scythe, Starling Bank und GitLab haben bereits ihre Unterstützung zugesagt und arbeiten dabei mit Hackerone zusammen.

Bei der von Hackerone in Auftrag gegebenen Studie mit dem Titel „The Corporate Security Trap: Shifting Security Culture From Secrecy To Transparency“ wurden 800 Cybersecurity-Verantwortliche aus Deutschland, Frankreich, den Vereinigten Staaten und dem Vereinigten Königreich befragt. Dabei hat sich gezeigt, dass Unternehmen angesichts zunehmender Cyberangriffe die Sicherheit verbessern wollen. 63 Prozent (Deutschland 55 %) der Sicherheitsexperten gaben an, dass bewährte Praktiken in Sachen Cybersicherheit bei der Auswahl eines Lieferanten genauso wichtig sind wie die Kosten. Darüber hinaus gaben 62 Prozent der befragten Sicherheitsverantwortlichen an, dass sie im Falle einer Datenpanne bei einem Lieferanten ihren Anbieter wechseln würden – für Deutschland lag der Wert bei 58 Prozent.

Unternehmen prüfen zunehmend die Security-Praktiken ihrer Zulieferer und legen Wert auf ein hohes Maß an Sicherheit. Allerdings zeigt sich eine Diskrepanz zwischen der Unternehmenskultur und der Bewältigung von Sicherheitsproblemen im eigenen Unternehmen. Trotz einer verstärkten Fokussierung auf das Thema Sicherheit geben mehr als die Hälfte (57 % international, Deutschland 53 %) der Befragten an, dass es ihnen schwerfällt, eine Sicherheitskultur in ihrem Unternehmen zu etablieren. Ferner bestätigen 53 Prozent (hierzulande 52 %), dass sie infolge eines Sicherheitsverstoßes Kunden verloren haben.

Auch was die Modernisierung und die Einführung neuer Cybersicherheitspraktiken anbelangt äußern sich viele Befragte zurückhaltend: Ganze 67 Prozent der Unternehmen bestätigen, dass sie lieber Software-Schwachstellen in Kauf nehmen, als mit Hackern zu arbeiten – in Deutschland teilen diese Ansicht allerdings nur 54 Prozent.

Ein weiterer Schwerpunkt der Untersuchung war der eigene Umgang von Unternehmen in puncto Sicherheitslücken. Demnach geben 64 Prozent der Unternehmen (55 % in Deutschland) an, eine Kultur der Sicherheit durch Verschwiegenheit über die eigenen Security-Maßnahmen („Security by Obscurity“) zu pflegen, und 38 Prozent – hierzulande sogar 44 Prozent – sprechen daher nicht offen über ihre Cybersicherheitspraktiken. Darüber hinaus gaben zwei von drei Befragten (65 Prozent) der Sicherheitsexperten zu, dass in ihrem Unternehmen die Prämisse gilt, dass Sicherheit ein Innovationshemmnis darstellt – bei deutschen Unternehmen war dies lediglich bei 49 Prozent der Fall.

Um diese Missstände zu adressieren, hat Hackerone jetzt seinen Appell veröffentlicht und ruft Organisationen auf der ganzen Welt dazu auf, ihren Umgang mit Cybersecurity zu verbessern und sich für mehr Transparenz in dieser Hinsicht stark zu machen.

Der Aufruf konzentriert sich auf vier Schlüsselbereiche und fordert alle Organisationen zu einer Reihe von Maßnahmen auf:

• Förderung branchenweiter Transparenz, um Vertrauen aufzubauen und Informationen auszutauschen
• Förderung einer Kultur der branchenweiten Zusammenarbeit, die alle Unternehmen in die Lage versetzt, bei der Verringerung von Cyberrisiken das Heft in die Hand zu nehmen
• Förderung von Innovationen, indem Entwicklungsteams dazu angehalten werden, sichere Produkte zu entwickeln und diese schneller auf den Markt zu bringen
• das eigene Unternehmen und die Zulieferer zur Einhaltung bewährter Praktiken zu verpflichten, um Sicherheit zu einem Unterscheidungsmerkmal werden zu lassen

„Sicherheit kann über den Erfolg oder Misserfolg bei der Anbahnung neuer Geschäfte entscheiden“, sagt Marten Mickos, CEO von HackerOne. „GitLab, TikTok, Wix, SCYTHE und Starling Bank erkennen mit ihrem Bekenntnis zu Corporate Security Responsibility an, dass Transparenz und Zusammenarbeit in der Cybersicherheit einen Wettbewerbsvorteil darstellen. Das wachsende Partnernetzwerk bietet Unterstützung und Beratung durch Branchenexperten, die sich auf die Stärkung der Cybersicherheit weltweit konzentrieren. Indem sie sich zu diesem Appell bekennen, ergänzen Unternehmen ihr Fundament und ihre Kultur um den Aspekt der Transparenz.“

Johnathan Hunt, VP of Security von GitLab, erläutert, warum sich das Unternehmen dem Appell angeschlossen hat: „Für GitLab ist Transparenz gelebte Praxis. Dadurch wird unsere Software sicherer, und wir können besser zusammenarbeiten sowie innovativ sein. Der Corporate-Security-Aufruf von Hackerone entspricht daher in besonderem Maße unseren Werten. Wir freuen uns darüber, einer der ersten Partner zu sein, der sich öffentlich zu diesen Werten bekennt. Zudem ermutigen wir andere Organisationen dazu, sich über die Vorteile der Einhaltung der CSecR-Verpflichtungen (Corporate Security Responsibility) zu informieren und freuen uns darauf, Teil eines sichereren und produktiveren Software-Ökosystems zu sein.“

Der vollständige Report findet sich unter folgendem Link: https://www.hackerone.com/resources/i/1458426-the-corporate-security-trap/0?