Home / Themen / Analysen / Informationssicherheit: Theorie und Realität klaffen weit auseinander

Informationssicherheit: Theorie und Realität klaffen weit auseinander

Quelle: NTT Security

Die Bedeutung eines umfangreichen Sicherheitskonzeptes für Unternehmen und Gesellschaft ist weithin bekannt. Dennoch stuft nicht einmal jeder Zweite die eigenen kritischen Daten als „vollkommen sicher“ ein.

Im aktuellen Risk:Value-Report, den das Marktforschungsunternehmen Jigsaw Research im Auftrag von NTT Security erstellte, kristallisierte sich deutlich die ambivalente Einstellung deutscher Unternehmen gegenüber der Datensicherheit heraus: 83 Prozent der befragten Entscheidungsträger sind überzeugt, dass Cyber-Security eine zentrale Position in der Gesellschaft einnehmen muss. Auch für ihr eigenes Unternehmen ist 79 Prozent ein starker Datenschutz wichtig – 81 Prozent gaben sogar an, dass eine gute Cyber-Security ihrem Unternehmen hilft. Dennoch: Nicht einmal jeder zweite Befragte (41 %) stufte alle unternehmenskritischen Daten als „komplett sicher“ ein.

Es mangelt an der gelebten Umsetzung

„Unternehmen sind sich der Bedeutung von Datensicherheit bewusst, aber sie vertrauen nicht in ihre eigenen Sicherheitsvorkehrungen“, erklärt Kai Grunwitz, Senior Vice President EMEA bei NTT Security. „Meist mangelt es jedoch nicht an den eingesetzten Technologien, sondern an der konsequenten und gelebten Umsetzung oder eben Nicht-Umsetzung der Sicherheitsstrategie.“

Die Sorge der deutschen Unternehmen gilt daher auch nicht nur unzureichend gesicherter Technik: Laut den befragten Entscheidungsträgern stellen

  • Cloud (16 %),
  • BYOD (16 %
  • Ransomware (13 %) und
  • IoT (12 %)

in den nächsten zwölf Monaten zwar eine mögliche Bedrohung dar, über die Hälfte fürchtet jedoch, dass die Sicherheitslücke innerhalb des Unternehmens liegt: Böswillige Insider-Bedrohungen wie Datendiebstahl (31 %), versehentliche oder fahrlässige Sicherheitslücken (28 %), aber auch eine Schatten-IT (25 %) stuften die Befragten als potentielles Sicherheitsrisiko ein. Das korreliert mit dem Aspekt, dass 36 Prozent der deutschen Unternehmen die gesamte Belegschaft als schwächstes Glied in Sachen Sicherheit sehen.

Dennoch hat erst rund die Hälfte der Unternehmen (53 %) vollständige Sicherheitsrichtlinien eingeführt. 14 Prozent dieser Unternehmen haben ihre Mitarbeiter allerdings nicht aktiv über die Richtlinien informiert, ein kleiner Teil (2 %) plant dies auch nicht.

„Es ist unerlässlich, die Mitarbeiter ausreichend über die Gefahren und den richtigen Umgang mit ihnen zu schulen – vor allem da Social-Engineering-Angriffe immer beliebter werden. Jeder Mitarbeiter wird schnell zur Sicherheitslücke, wenn er keine sehr gute Security-Awareness besitzt. Unternehmensspezifische Awareness-Trainings können für die Thematik sensibilisieren und ihnen Sicherheit im Umgang mit entsprechenden Vorfällen bieten“, betont Grunwitz.

Incident-Response-Plan: Oft nur Absichtserklärung

Das Bewusstsein für die Gefahren macht es umso erstaunlicher, dass auch in diesem Jahr lediglich 36 Prozent der Unternehmen über einen Incident-Response-Plan verfügen; immerhin 42 Prozent stecken laut Studie im Implementierungsprozess und weitere 13 Prozent planen die Umsetzung entsprechender Maßnahmen in naher Zukunft.

„In den vergangenen Jahren hat sich in den Unternehmen bezüglich des Incident-Response-Plans trotz zahlreicher bekannt gewordener Sicherheitsvorfälle und ständig zunehmendem Schadenspotential nicht viel geändert. Obwohl nur mit dedizierten Ablauf- und Notfallplänen angemessen und schnell auf diese Sicherheitsvorfälle reagiert werden kann, verfügt noch immer nicht mal die Hälfte der befragten Unternehmen über einen Incident-Response-Plan“, fasst Grunwitz zusammen. „Und auch die erfreulich hohe Zahl laufender Implementationen und Projekten in Planung ist bei genauer Betrachtung ernüchternd: die vergangenen Studien machen deutlich, dass sie oft nur Compliance getrieben sind und reine Absichtserklärungen bleiben, die nicht zu einer signifikanten Verbesserung der Incident Response Readiness der Unternehmen im Folgejahr führen – nur wenige dieser Incident-Response-Projekte werden erfolgreich umgesetzt.“ Die Zusammenarbeit mit einem erfahrenen Incident-Response-Partner sei darum zu empfehlen.

Nichtsdestotrotz hat die Untersuchung auch positive Ergebnisse gebracht. Innerhalb der deutschen Unternehmen findet ein Austausch zum Thema Sicherheit statt: 71 Prozent der befragten Entscheidungsträger gaben an, auf dem aktuellen Stand bezüglich Attacken, potentiellen Attacken und der Compliance in ihrem Unternehmen zu sein. In 71 Prozent der Unternehmen ist das Thema ein regulärer Teil der Vorstandssitzung – weitere 8 Prozent würden sich dies wünschen.

Zudem verfügt der Großteil der deutschen Unternehmen über eine Versicherung für den Fall von Datenverlust oder Sicherheitslücken. Bei 53 Prozent deckt die Versicherung beide Fälle ab, bei 25 Prozent den Datenverlust und 5 Prozent sind nur für Sicherheitslücken versichert.

Share

Leave a Reply