Erfolgreich mit dem New Style of Business: Präsentiert von HPE und Intel

Studie „Security Bilanz Deutschland 2016“

Probleme bei der technischen IT-Sicherheit

18.05.2016
Die Studie „Security Bilanz Deutschland“ ermittelt die IT-Sicherheit im deutschen Mittelstand und den öffentlichen Verwaltungen. Dabei nimmt sie sowohl die tatsächliche Sicherheitslage als auch die von den Unternehmen wahrgenommene Gefährdungslage in den Blick. Beide Indikatoren deuten auf zunehmende Probleme mit der IT-Sicherheit hin.

Für die Studie hat das Analystenhaus techconsult im dritten Jahr in Folge Unternehmen aus Industrie, Handel, Banken und Versicherungen, dem Dienstleistungssektor sowie öffentliche Verwaltungen und Non-Profit-Unternehmen zwischen 20 und 1.999 Mitarbeitern befragt. Die 500 Teilnehmer der Studie machten Angaben zu ihren Sicherheitsmaßnahmen und -lösungen sowie zu den Gefährdungen, denen sie sich ausgesetzt sehen.

Daraus ermittelten die Analysten von techconsult zwei Indizes: Der Sicherheitsindex fasst die Umsetzung von Maßnahmen und Lösungen auf technischer, organisatorischer, rechtlicher und strategischer Ebene zusammen. Der Gefährdungsindex hingegen ergibt sich aus der Einschätzung der Absicherung gegen bestimmte Angriffe und die wahrgenommene Bedrohung durch diese Angriffe.

"Ideal wären somit ein möglichst hoher Sicherheitsindex, der besagt, dass Lösungen und Maßnahmen sehr gut umgesetzt sind, sowie ein möglichst niedriger Gefährdungsindex, der angibt, dass die von Angriffen ausgehende Gefährdung niedrig ist", erklären die Studienautoren. Bei Indikatoren weisen allerdings in die falsche Richtung: Der Sicherheitsindex ist gesunken, der Gefährdungsindex angestiegen.

Foto: Techconsult

Daraus lässt sich ablesen, dass Unternehmen die Maßnahmen und Lösungen, die sie einsetzen, schlechter bewerten als im Vorjahr. Gleichzeitig fühlen sie sich durch verschiedene Angriffsszenarien stärker bedroht. Der Sicherheitsindex erreicht dieses Jahr nur noch 50 von 100 Punkten (-4 Punkte), der Gefährdungsindex stieg um einen Punkt auf 49 von 100 Punkten an. Der Abstand zwischen dem Sicherheitsniveau und Gefährdungslage verringert sich.

Dabei wird die Umsetzung der Maßnahmen für IT- und Informationssicherheit von den Befragten auf allen Ebenen schlechter bewertet. Die Pilotstudie Anfang 2014 zeigte noch, dass technische Maßnahmen und Lösungen deutlich besser bewertet wurden die auf der organisatorischen Ebene, wie etwa Mitarbeiterschulungen oder die strategische Ausgestaltung von IT-Sicherheit. Seither zeichnet sich allerdings der Trend ab, dass Unternehmen auch auf technischer Ebene häufiger Probleme feststellten. Die Umsetzung von technischen Maßnahmen und Lösungen wird jetzt deutlich schlechter bewertet als in den Vorjahren, der Indikator für die Umsetzungszufriedenheit auf der technischen Ebene erreicht unterdessen niedrigere Punktzahl als jene für die Umsetzung von Vorkehrungen organisatorischer, rechtlicher oder strategischer Art.

Dieser Rückgang kann aber auch als Zeichen für eine zunehmende Sensibilität in Sicherheitsfragen gedeutet werden: "Durch eine intensivere Beschäftigung mit dem Thema wird auch häufiger festgestellt, dass es Probleme und Schwachpunkte gibt", erklärt techconsult-Analyst Henrik Groß. Dass dabei insbesondere die technische Dimension deutlich schlechter bewertet werde, könnte auch daran liegen, dass Unternehmen sich damit verstärkt befassen, weil es naheliegend sei, die technischen Aspekte von IT-Sicherheit zu allererst ins Auge zu fassen.