Sowohl die IT-Verantwortlichen als auch die Business-Entscheider bewerten die Themen Information Security und Risk Managementals geschäftskritisch. Dennoch besteht aus der Marktperspektive betrachtet Handlungsbedarf. So fehlen bei mehr als der Hälfte der Unternehmen Informationen zum Wert bedrohter Daten und Prozesse (Value at risk), zwei Drittel sehen die frühzeitige Erkennung relevanter Angriffe in der Informationsflut als große Herausforderung. Weitere 63 Prozent berücksichtigen Information Security und Risk Management nicht frühzeitig und umfassend genug bei Projekten.
Das zeigt die aktuelle Lünendonk-Trendstudie, die in fachlicher Zusammenarbeit mit Hewlett Packard Enterprise, KPMG, NTT Security, Open Systems und Unisys durchgeführt wurde und bei diesen Unternehmen kostenfrei verfügbar ist.
Obwohl den Verantwortlichen die Bedeutung von Information Security und Risk Management bewusst ist, werden die Themen überwiegend rein technisch betrachtet und als Aufgabe der IT operationalisiert. Bisher beziehen lediglich 27 Prozent der befragten Unternehmen die Fachbereiche bei der Informationswertanalyse und Risikobewertung mit ein.
„Es fehlt weniger an der Erkenntnis als an der Umsetzung, wie die Business-Perspektive mit den technischen Security Operations verknüpft werden kann“, erläutert Hartmut Lüerßen, Partner bei Lünendonk, die Studienergebnisse. „Diese Veränderung ist eine strategische Aufgabe“, so Lüerßen weiter. Derzeit kämpfen die Unternehmen vor allem mit operativen Herausforderungen: Für 81 Prozent der Unternehmen ist das „Durchsetzen von Sicherheitsstandards im Unternehmen (auch länderübergreifend)“ die größte Security-Herausforderung, für 75 Prozent ist es das „fehlende Sicherheitsbewusstsein der Anwender“.
Strategischer Handlungsbedarf und (noch) Zeit zum Handeln
Für die befragten Unternehmen stehen die Themen „Digitale Transformation“ und „Veränderungen der Wertschöpfungsketten“ ganz oben auf der strategischen Agenda. Mit der Digitalen Transformation steigt die Komplexität, auch in Projekten. Derzeit berücksichtigen jedoch 63 Prozent der Unternehmen die Information Security und das Risk Management nicht frühzeitig und umfassend genug bei Projekten. Das geschieht vor allem aus Zeitdruck und mangelndem Verständnis der Zusammenhänge und Auswirkungen, etwa bei der Entwicklung digitaler Geschäftsmodelle.
„Bei den Unternehmen entsteht dadurch eine Scheingeschwindigkeit: Zu Beginn des Projektes sieht es so aus, als ginge es schneller voran. Doch in der Realität ist es aufwändiger, die Security-Anforderungen nachträglich zu erfüllen, wenn es überhaupt möglich ist. Am Ende dauert es dann sogar länger bis zum Live-Betrieb“, erläutert Lüerßen. Seine Empfehlung lautet: „Unternehmen, die den Weg der Digitalen Transformation beschreiten, sollten diese Gelegenheit nutzen, um das Dilemma fehlender Zusammenarbeit zu überwinden.“
Strategische Themen kommen zu kurz
Diese strategischen Themen kommen in den Planungen aus der Marktperspektive betrachtet zu kurz: Als Reaktion auf die steigenden Security-Anforderungen wollen 77 Prozent der Unternehmen mehr in „Mitarbeiterschulungen und Trainings“ investieren, gefolgt von Investitionen in die „IT-Sicherheitsarchitektur durch neue Lösungen (mehr Tools)“ (73 %). Mit „mehr Budget“ wollen 53 Prozent der Unternehmen reagieren, weitere 45 Prozent wollen die „Zusammenarbeit mit Anbietern von Managed Services“ ausbauen.
Methodik: Für die Studie „Information Security und Risk Management 2016: Digitale Bedrohungen im Fokus von Business und IT“ wurden über 250 Business- und IT-Entscheider aus Unternehmen des gehobenen Mittelstands und großen Unternehmen in Deutschland, Österreich und der Schweiz befragt. Die Teilnehmerunternehmen beschäftigen mindestens 500 Mitarbeiter. Von den befragten Unternehmen beschäftigt die Hälfte weltweit mehr als 3.000 Mitarbeiter. Die Studie wurde in fachlicher Zusammenarbeit mit Hewlett Packard Enterprise, KPMG, NTT Security, Open Systems und Unisys durchgeführt und kann bei den Studienpartnern kostenlos heruntergeladen werden.