IT-Rebellen Das Blog für IT- und Businessentscheider, die neue Wege gehen wollen.
Gemeinsam mit dem World Economic Forum hat McKinsey einen Bericht vorgelegt, in dem es um Sicherheitsrisiken und Verantwortung in unserer immer stärker vernetzten Welt geht. Die drei wesentlichen Erkenntnisse des Reports sind: Die Weltwirtschaft ist nicht ausreichend gegen Cyber-Attacken geschützt; Unternehmen sind laut Selbsteinschätzung schlecht auf notwendige Veränderungen vorbereitet und ausreichende Abwehrkräfte lassen sich nur mit Unterstützung des Topmanagements entwickeln.
Quelle: McKinsey Risk and Responsibility in a
Hyperconnected World
Zu dem Report wurden Interviews mit Top-Executives und Daten von 200 Unternehmen, Technologieanbietern und Behörden analysiert. Demnach erachten Unternehmen Informationsdiebstahl und die absichtliche Unterbrechung von Online-Prozessen als die wichtigsten technischen Risiken, denen sie sich gegenüber sehen. Fast 2/3 der Unternehmen beschreiben das Risiko von Cyberattacken als „wichtiges Thema mit möglichen großen strategischen Implikationen“. Dabei glauben die Verteidiger an Boden zu verlieren. 80 % der Manager erklären laut McKinsey , dass ihre Organisationen nicht Schritt halten können mit der zunehmenden Raffinesse der Angreifer. Laut Praktikern verbreiten sich die ausgeklügelten Angriffsstrategien ausgehend von staatlichen Stellen über verschiedene Arten von Kriminellen und Hackern, die erheblichen „destruktiven Ehrgeiz“ hegen.
Viele Unternehmen wollen das Problem offenbar mit Geld erschlagen
Dem Report zufolge, verfügen große Institutionen weder über die Fakten noch über die richtigen Prozesse, um effektiv über Cyber-Security zu entscheiden. Nach genauerer Betrachtung stuft McKinsey den Sicherheitsreifegrad von 34 % der Institutionen mit dem Attribut „aufkeimend“ ein und von 60 % als „in Entwicklung begriffen“. Ausreichend klingt das nicht. Das folgende Zitat aus dem Report bestätigt die kritische Einstellung der Unternehmensberater: „Größere Ausgaben haben sich nicht in einem höheren Reifegrad niedergeschlagen. Es scheint, als wenn viele Institutionen das Problem mit Geld erschlagen wollen.“
Dabei beeinflussen die Kontrollen, mit denen Cyberattacken vermieden werden sollen, die Geschäfte bereits negativ. Sicherheitsbedenken verzögern die Bereitstellung mobiler Funktionen in Unternehmen durchschnittlich um 6 Monate und limitieren den Gebrauch von Public Cloud Services „dramatisch“. Und obwohl die direkten Sicherheitsausgeben relativ gering sind, beziffern einige CIOs den Sicherheitsaufwand auf 20 bis 30 Prozent all ihrer Aktivitäten.
Sollten Hacker auch in den nächsten fünf Jahren ihre Angriffsfähigkeiten weiterhin schneller entwickeln als Unternehmen ihre Verteidigungskünste, McKinsey nennt das „Cyberbacklash“, droht sich die Digitalisierung zu verlangsamen. Eine relativ kleine Anzahl von zerstörerischen Attacken könnte das Vertrauen in die Wirtschaft erschüttern und Regierungen dazu veranlassen, neue Regulierungen einzuführen, die die technische Innovation bremsen. Dann könnte die Weltwirtschaft die 10 bis 20 Billionen Dollar nicht realisieren, die die Geschäfte mit Big Data, Mobility und anderen Innovationen bis zum Jahr 2020 versprechen. Im schlimmsten Fall so der Report von McKinsey und dem World Economic Forum weiter, drohten Verluste in Höhe von 3 Billionen Dollar durch entgangene Produktivitätssteigerungen und Wachstum.
Bisherige Sicherheitsmodelle verlieren Effektivität
Die Technik zentrischen und Compliance getriebenen heutigen Sicherheitsmodelle verlieren, so die Autoren, immer stärker an Effektivität. Die Wirtschaft benötige ein neues „Security Operating Model“, das folgenden Schlüsselelemente berücksichtigen soll:
- Den Wert von Informationen anhand von Business-Risiken bewerten und entsprechend schützen. Security Teams müssen wertvolle Informationen, deren Verlust gravierende Auswirkungen auf das Geschäft hat, besonders schützen und die Anstrengungen zum Schutz von Informationen entsprechend priorisieren.
- Unterschiedlich starke Schutzmechanismen für verschieden wichtige Werte bereitstellen. Abgestufte Sicherheitsmechanismen erlauben es Unternehmen, sich auf den Schutz der wichtigsten Informationen zu konzentrieren.
- Sicherheit muss tief in die IT-Landschaft integriert werden, um die Skalierbarkeit zu erhöhen. Statt einfache Sicherheitsriegel vorzuschieben, müssen Unternehmen ihre Mitarbeiterschaft so erziehen, damit Sicherheitsaspekte von Anfang an, in Technologieprojekten berücksichtigt werden.
- Aktiv verteidigen, um mögliche Attacken proaktiv aufzudecken. Unternehmen müssen Kapazitäten aufbauen, um verfügbare relevante Sicherheitsinformationen zu analysieren und ihre Verteidigungssysteme darauf vorzubereiten.
- Kontinuierlich testen, um die eigenen Reaktionszeiten zu verkürzen. Organisationen sollen zum Beispiel funktionsübergreifende Cyberwar-Simulationen fahren, um ihre Reaktionsfähigkeit in Echtzeitnähe zu bringen.
- Nutzer für den Wert von Informationen sensibilisieren. Nutzer sind sich oft nicht im Klaren, wie sicherheitskritisch sie sich verhalten, wenn sie fremde Links anklicken, unsichere Passworte verwenden und vertrauliche Informationen per E-Mail verbreiten. Unternehmen sollten beginnen, Nutzer verschiedenen Sicherheitsstufen zuzuordnen und sie sensibilisieren.
- Cyber-Abwehr integrieren in unternehmensweites Risk-Management- und Gonvernance-Prozesse. Cyber-Security ist ein Unternehmensrisiko und muss als solches behandelt werden. Die Prüfung möglicher Cyber-Attacken muss integriert werden mit anderen Risiko-Analysen. Die Ergebnisse müssen in relevanten Management- und Aufsichtsrats-Diskussionen präsentiert werden.
Die gesamte Studie können Interessierte hier herunterladen.
