Korrekt. In der Informationssicherheit! + Die Bedeutung eines umfangreichen Sicherheitskonzeptes für Unternehmen und Gesellschaft ist weithin bekannt. Das zeigt auch der aktuelle Risk:Value-Report von NTT Security. Dennoch stuft nicht einmal jeder Zweite die eigenen kritischen Daten als „vollkommen sicher“ ein.
Den jährlichen Risk:Value-Report erstellt das Marktforschungsunternehmen Jigsaw Research im Auftrag von NTT Security, dem auf Sicherheit spezialisierten Unternehmen und „Security Center of Excellence“ der NTT Group. Dafür geben weltweit Führungskräfte – in diesem Jahr 2.256 – ihre Einschätzungen zu Themen rund um IT und IT-Sicherheit ab.
Bei der aktuellen Untersuchung kristallisierte sich deutlich die ambivalente Einstellung deutscher Unternehmen gegenüber der Datensicherheit heraus: 83% der befragten Entscheidungsträger sind überzeugt, dass Cyber-Security eine zentrale Position in der Gesellschaft einnehmen muss. Auch für ihr eigenes Unternehmen ist 79% ein starker Datenschutz wichtig – 81% gaben sogar an, dass eine gute Cyber-Security ihrem Unternehmen hilft. Dennoch: Nicht einmal jeder zweite Befragte (41%) stufte alle unternehmenskritischen Daten als „komplett sicher“ ein.
„Unternehmen sind sich der Bedeutung von Datensicherheit bewusst, aber sie vertrauen nicht in ihre eigenen Sicherheitsvorkehrungen“, erklärt Kai Grunwitz, Senior Vice President EMEA bei NTT Security. „Meist mangelt es jedoch nicht an den eingesetzten Technologien, sondern an der konsequenten und gelebten Umsetzung oder eben Nicht-Umsetzung der Sicherheitsstrategie.“
Die Sorge der deutschen Unternehmen gilt daher auch nicht nur unzureichend gesicherter Technik: Laut den befragten Entscheidungsträgern stellen Cloud (16%), BYOD (16%), Ransomware (13%) und IoT (12%) in den nächsten zwölf Monaten zwar eine mögliche Bedrohung dar, über die Hälfte fürchtet jedoch, dass die Sicherheitslücke innerhalb des Unternehmens liegt: Böswillige Insider-Bedrohungen wie Datendiebstahl (31%), versehentliche oder fahrlässige Sicherheitslücken (28%), aber auch eine Schatten-IT (25%) stuften die Befragten als potentielles Sicherheitsrisiko ein. Das korreliert mit dem Aspekt, dass 36% der deutschen Unternehmen die gesamte Belegschaft als schwächstes Glied in Sachen Sicherheit sehen.
Dennoch hat erst rund die Hälfte der Unternehmen (53%) vollständige Sicherheitsrichtlinien eingeführt. 14% dieser Unternehmen haben ihre Mitarbeiter allerdings nicht aktiv über die Richtlinien informiert, ein kleiner Teil (2%) plant dies auch nicht.
„Es ist unerlässlich, die Mitarbeiter ausreichend über die Gefahren und den richtigen Umgang mit ihnen zu schulen – vor allem da Social-Engineering-Angriffe immer beliebter werden. Jeder Mitarbeiter wird schnell zur Sicherheitslücke, wenn er keine sehr gute Security-Awareness besitzt. Unternehmensspezifische Awareness-Trainings können für die Thematik sensibilisieren und ihnen Sicherheit im Umgang mit entsprechenden Vorfällen bieten“, betont Grunwitz.
Das Bewusstsein für die Gefahren macht es umso erstaunlicher, dass auch in diesem Jahr lediglich 36% der Unternehmen über einen Incident-Responce-Plan verfügen; immerhin 42% stecken laut Studie im Implementierungsprozess und weitere 13% planen die Umsetzung entsprechender Maßnahmen in naher Zukunft (Abbildung 1).
„In den vergangenen Jahren hat sich in den Unternehmen bezüglich des Incident-Response-Plans trotz zahlreicher bekannt gewordener Sicherheitsvorfälle und ständig zunehmendem Schadenspotential nicht viel geändert. Obwohl nur mit dedizierten Ablauf- und Notfallplänen angemessen und schnell auf diese Sicherheitsvorfälle reagiert werden kann, verfügt noch immer nicht mal die Hälfte der befragten Unternehmen über einen Incident-Response-Plan“, fasst Grunwitz zusammen. „Und auch die erfreulich hohe Zahl laufender Implementationen und Projekten in Planung ist bei genauer Betrachtung ernüchternd: die vergangenen Studien machen deutlich, dass sie oft nur Compliance getrieben sind und reine Absichtserklärungen bleiben, die nicht zu einer signifikanten Verbesserung der Incident Response Readiness der Unternehmen im Folgejahr führen – nur wenige dieser Incident-Response-Projekte werden erfolgreich umgesetzt (Abbildung 2). Die Zusammenarbeit mit einem erfahrenen Incident-Response-Partner ist darum dringend zu empfehlen.“
Nichtsdestotrotz hat die Untersuchung auch positive Ergebnisse gebracht. Innerhalb der deutschen Unternehmen findet ein Austausch zum Thema Sicherheit statt: 71% der befragten Entscheidungsträger gaben an, auf dem aktuellen Stand bezüglich Attacken, potentiellen Attacken und der Compliance in ihrem Unternehmen zu sein. In 71% der Unternehmen ist das Thema ein regulärer Teil der Vorstandssitzung – weitere 8% würden sich dies wünschen. Zudem verfügt der Großteil der deutschen Unternehmen über eine Versicherung für den Fall von Datenverlust oder Sicherheitslücken. Bei 53% deckt die Versicherung beide Fälle ab, bei 25% den Datenverlust und 5% sind nur für Sicherheitslücken versichert.
Das „Risk:Value Executive Summary“ steht zum Download unter https://www.nttsecurity.com/de-de/risk-value-report-2019 zur Verfügung.
Abbildung 1: Verfügbarkeit von Incident-Response-Plänen in deutschen Unternehmen 2019 (Quelle: NTT Security).
Methodologie
Die Risk:Value-Studie wurde im Auftrag von NTT Security zwischen Februar und März 2019 vom Marktforschungsunternehmen Jigsaw Research durchgeführt. Dabei wurden 2.256 Nicht-IT-Entscheider in Deutschland, Österreich, Großbritannien, Benelux, Frankreich, Italien, Norwegen, Spanien, Schweden, der Schweiz sowie in Chile, Brasilien, Australien, Hongkong, Indien, Japan, Singapur und den USA befragt. Die befragten Unternehmen sind unter anderem in den Bereichen Manufacturing, Handel, Healthcare, Logistik, Telekommunikation und Verwaltung tätig und beschäftigen mehr als 250 Mitarbeiter.