So steht’s um die IT-Sicherheit deutscher Unternehmen

So steht’s um die IT-Sicherheit deutscher Unternehmen

Jedes dritte Unternehmen in Deutschland ist im vergangenen Jahr Opfer eines Cyber-Angriffes geworden. Illegaler Wissens- und Technologietransfer, Social Engineering und Wirtschaftssabotage sind somit keine Einzelfälle, sondern ein Massenphänomen. Eine Infografik zeichnet ein grobes Lagebild zur IT-Sicherheit.

Die IT-Sicherheitsverantwortlichen müssen mit ganz unterschiedlichen Bedrohungen fertigwerden, zeigt unsere neue Studie „Unternehmen schützen, Risiken minimieren“. Das Spektrum der Angriffsszenarien reicht vom klassischen Trojaner oder der Phishing-E-Mail über die Sabotage von IT-Systemen und den Diebstahl von Speichermedien bis zu unsicheren Cloud-Diensten und Erpressung mittels IT. Selbst auf Schäden, die bei so genannten Penetrationstests durch vom Unternehmen selbst beauftragte Hacker entstehen, müssen sich Unternehmen und Behörden einstellen. Auf dem Sicherheitsradar haben die Spezialisten seit der Malware Wannacry auch Ransomware-Attacken, bei denen Hacker Lösegeld für das Freischalten von verschlüsselten Daten verlangen. Diese Angriffe haben 2018 eine neue Dimension angenommen, weil sie sich rasant innerhalb eines Netzwerks ausbreiteten.


Quelle: Infografik zur Studie „Potenzialanalyse Unternehmen schützen, Risiken minimieren“.

Aufräumkosten für das Schließen von Sicherheitslücken

Das Ausmaß der Cyber-Attacken lässt sich, ebenso wie das von Social-Media-Shitstorms, schwer beziffern. Laut einer Bitkom-Studie haben alleine Cyber-Angriffe auf deutsche Industriefirmen in den letzten zwei Jahren einen Schaden von 43 Milliarden Euro verursacht. Die Mehrheit der für unsere Untersuchung befragten Unternehmen verzeichnen vor allem „Reparaturkosten“, um die Netze nach Cyber-Attacken wieder betriebsfähig und sicher zu bekommen. Unternehmen müssen zum Beispiel Schwachstellen aufspüren, die Sicherheitspatches besorgen und verteilen sowie umfassende Aufklärungskampagnen für Mitarbeiter und Kunden starten – ggf. müssen auch Behörden oder die Öffentlichkeit informiert werden. Mit konkreten Produktschäden und dem Verlust von Servicequalität kämpfen dagegen weniger Unternehmen. Dasselbe gilt für Rufschädigungen. Das ist allerdings auch der Tatsache geschuldet, dass Reputationsschäden nur schwer zu messen und selten einer direkten Cyber-Attacke zuzuordnen sind.

Investieren in die IT-Sicherheit

Damit Cyber-Angriffe erst gar keine Schäden verursachen, investieren Privatwirtschaft und öffentliche Verwaltung beträchtliche Summen in die Sicherheit ihrer Systeme und Netze. Tendenz steigend: Jeder zweite befragte Entscheider gibt an, die Investitionen in IT-Sicherheit werden in seiner Organisation bis 2021 erhöht. Die Investitionen fließen vielfach in professionelles Berechtigungsmanagement, der geregelte Zugang zu Daten und Systemen für Alle scheint immer noch ein herrschendes Problem zu sein. Ein weiterer großer Posten ist die Mitarbeiteraufklärung. Besonders die Mitarbeiter (im Vgl. zur Leitungsebene) sind für die IT-Sicherheit eines Unternehmens von Bedeutung. Während die Mehrheit des Chefs inzwischen für das Thema Cyber-Security stark sensibilisiert sind, herrscht bei den Mitarbeitern häufig noch Nachholbedarf.

Die fortschreitende Digitalisierung und Vernetzung erfordert zudem ein höheres Sicherheitsbewusstsein, das fest in den strategischen Entscheidungen, in den Prozessen und der Organisation verankert ist. Je früher das Thema Sicherheit in Vorhaben einbezogen wird, desto besser. Jedes dritte Unternehmen startet beispielsweise IT-Projekte nur noch dann, wenn integrierte Sicherheitskonzept vorliegen, zeigt die Studie.


Quelle: Infografik zur Studie „Potenzialanalyse Unternehmen schützen, Risiken minimieren“.

Fachkräftemangel steht Sicherheitsstrategie im Weg

Ob Unternehmen und Behörden ihr Sicherheitsniveau halten können, hängt stark davon ab, wie es gelingt, mit den Methoden der Hacker und Industriespione zumindest mitzuhalten. Das erfordert einen Mix aus State-of-the Art-Technik, eingespielte, wo möglich automatisierte Prozesse und vor allem Know-how. Und genau da entsteht gerade ein Engpass. Lediglich 17 Prozent der Entscheider bemängeln, keine passende technische Sicherheitslösung zu finden. Stattdessen hat jedes zweite Unternehmen Schwierigkeiten, geschultes IT-Sicherheitspersonal zu finden. Hier sind Wirtschaft und Wissenschaft gefordert, da wo es geht, Sicherheitsstrategien zu entwickeln, die für Sicherheit sorgen und gleichzeitig Ressourcen schonen.

 

Foto: Getty Images / TimeStopper


Gerald Spiegel

Dr.Gerald Spiegel ist Leiter Information Security Management bei Sopra Steria Consulting. Im Blog schreibt er über IT-Sicherheit, Cybercrime und Security Information and Event Management (SIEM).


Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.