Gefährliche Selbstüberschätzung bei der Unternehmenssicherheit

Steria Mummert Consulting hat zusammen mit Pierre Audoin Consultants (PAC) in einer Studie die Sicherheit bei Unternehmen ab etwa 1000 Mitarbeiter untersucht. Demnach würden rund 90 Prozent der Verantwortlichen sich selbst in der Lage sehen, auch größere IT-Sicherheitsrisiken adäquat beantworten zu können.

Jedoch nur ein Drittel der 270 in Europa befragten Entscheider hätten tatsächlich ein 24/7-Modell bei den Sicherheitslösungen. Aus diesen Zahlen schließen die Autoren der Studie, dass Unternehmen in Europa und Deutschland dazu neigen, sich in Sicherheitsfragen zu überschätzen, was ein “erhebliches Sicherheitsrisiko” darstelle.

Für 54 Prozent der befragten Unternehmen in Deutschland sei demnach die Ausspähung von Daten eine der drei größten Risiken. Und auch wenn die Gefahr durch externe Cyberattacken kontinuierlich zunimmt, betrachten Unternehmen nach wie vor interne Bedrohungen als gefährlicher: Mehr als die Hälfte (60 Prozent) schätzen, dass Angriffe von außen weniger als 20 Prozent ihrer Bedrohungen insgesamt ausmacht.

Der Internationale Währungsfonds hingegen sieht in externen IT-Attacken und im Datendiebstahl die beiden größten technologischen Risiken.

“Unsere Studie belegt, dass viele Unternehmen Sicherheitsrisiken falsch einschätzen”, kommentiert Gerald Spiegel, Leiter Information Security Solutions bei Steria. “Angesichts dessen ist das große Vertrauen, das sie in ihre Fähigkeit mit Bedrohungen umzugehen setzen, fehl am Platz.” Spiegel wertet einen umfassenden Schutz vor Gefahren aus dem Netz als essenziell ein.

Laut Studie setzen 77 Prozent der Unternehmen in Deutschland Authentifizierungs- und Zugriffsmanagement-Lösungen ein, um sich vor allem gegen internen Datenverlust zu rüsten. Nur ein Fünftel plant die Einführung von Verschlüsselungstechnologien in den kommenden drei Jahren. Lediglich 14 Prozent der Unternehmen mit weniger als 5.000 Mitarbeitern haben ein sogenanntes Security Operation Center eingerichtet, um Abläufe und Ereignisse zu überwachen und um sicherzustellen, dass Anomalien aufgedeckt, identifiziert und klassifiziert werden. Damit sei laut Steria unklar, ob angemessen auf Vorfälle reagiert werden könne.

Offenbar rechnen auch viele Unternehmen gar nicht damit, zur Zielscheibe von organisierter Kriminalität werden zu können. Lediglich 15 Prozent der Befragten halten es für möglich, innerhalb der nächsten drei Jahre von organisierten Banden angegriffen zu werden. 6 Prozent sieht es als wahrscheinlich an, Opfer eines staatlich geführten Angriffs zu werden. Bei den allergrößten Unternehmen sind es dagegen 19 Prozent, die Angriffe von organisierten Banden als wahrscheinlich halten, weiß die Studie.

Ob dieses Vertrauen gerechtfertigt ist, zweifeln die Macher der Studie an. In vielen Fällen seien jedoch noch nicht einmal die grundlegenden Vorkehrungen getroffen. Auch Versicherungen gegen Cyber-Schäden scheinen für die Unternehmen offenbar keine Option. Die Regeln für solche Versicherungen seien zu komplex und die Versicherungsanbieter würden zu viele Ausnahmen in die Klauseln aufnehmen.

Auch der Rückgriff auf externe Anbieter scheint gerade bei Sicherheitsfragen für die Unternehmen keine Option zu sein, hier mangle es an Vertrauen und vor allem die Reduktion der Kosten bewegt viele Unternehmen, das Thema Sicherheit im Haus zu erledigen. Allerdings glaubt etwa ein Viertel der Unternehmen, dass innerhalb der nächsten fünf Jahre, Sicherheit hauptsächlich über externe Anbieter abgebildet wird.

Die Studie untersucht unter anderem auch die wesentlichen Trends, die die Informationssicherheitsstrategie deutscher Unternehmen beeinflussen: So benennen die meisten Unternehmen (57 Prozent) die geschäftliche Nutzung privater Mobilgeräte (Bring Your Own Device) als wichtigste Entwicklung, die sie in ihrer Strategie abbilden. Weitere Faktoren sind unternehmensspezifische Risiken (30 Prozent) und Kostendruck (24 Prozent).