Laut der Global Information Security Survey (GISS) 2018-19 (PDF) von Ernst & Young machen mehr als die Hälfte der Unternehmen Cybersicherheit nicht zu einem integralen Bestandteil ihrer Strategie und Geschäftspläne. Die Wirtschaftsprüfungsgesellschaft befragte weltweit rund 1.400 Führungskräfte der C-Suite. Erstaunlicherweise schneiden größere Unternehmen in diesem Punkt sogar schlechter ab als kleinere (58 Prozent gegenüber 54 Prozent).
Foto: bestfoto77 - shutterstock.com
Ganzen 77 Prozent der Unternehmen fehlt es an Cybersicherheit und Widerstandskraft, so das Fazit der Untersuchung. Viele Unternehmen hätten kein klares Bild davon, was und wo ihre wichtigsten Informationen und Vermögenswerte sind. Ferner mangele es an den Fähigkeiten, diese effektiv zu schützen.
Die gute Nachricht ist, dass die Budgets für Cybersicherheit steigen, um dem Thema mehr Stellenwert einzuräumen. Größere Unternehmen werden tendenziell eher in diesem Jahr (63 Prozent) und im nächsten (67 Prozent) die Budgets erhöhen als kleinere Unternehmen (50 und 66 Prozent).
Systemausfälle gewinnen an Aufmerksamkeit
Sei es durch die Konvergenz von Operational Technology (OT) und IP-basierten IT-Netzwerken oder den zunehmenden Einsatz von Cloud Computing im Zuge der digitalen Transformation, für Systemausfälle ist heutzutage kein Platz. Cyberangriffe, die das operative Geschäft unterbrechen, werden heute als die drittgrößte Bedrohung eingestuft, direkt nach Phishing (Platz 1) und Malware (Platz 2). Dies ist nicht verwunderlich, da beispielsweise Distributed-Denial-of-Service (DDoS)-Angriffe zu Betriebsunterbrechungen führen können, die das Unternehmen zum Stillstand bringen. Ausfälle waren schon immer schmerzhaft, aber mit der Migration von Workloads und Anwendungen in die Cloud kommt der Geschäftsbetrieb praktisch zum Erliegen, wenn die Datenleitung zum Flaschenhals wird und kollabiert.
"Immer mehr Unternehmen beginnen, die Vielfalt in der Bedrohung[slandschaft] zu erkennen", sagt Richard Watson, Leiter Cybersicherheit bei EY Asia-Pacific. "Ein Aspekt, der sich in den letzten zwölf Monaten zum Besseren gewendet hat - zum Teil wegen großer Cyber-Angriffe, die wir auf globaler Ebene erlebt haben - ist die wachsende Erkenntnis, dass es bei der Sicherheit auch darum geht, die Kontinuität des Geschäftsbetriebs zu wahren - und nicht nur um die Sicherheit von Daten und Datenschutz."
Es hapert bei der Prävention
Leider räumen viele Unternehmen ein, auf Zeit zu spielen. Ohne einen konkrete Sicherheitspanne, die negative Auswirkungen hat, neigen 63 Prozent dazu, ihre Ausgaben nicht erhöhen zu wollen. Viele Unternehmen sind sich zudem unsicher, ob sie Angriffe und Vorfälle denn überhaupt erfolgreich identifizieren können. Mitunter wähnen sie sich in einer trügerischen Sicherheit und sind sich der Folgen überhaupt nicht bewusst.
Wie in der EY-Studie erwähnt, quantifiziert das Ponemon Insitute die durchschnittlichen Kosten eines Sicherheitsverstoßes mit 3,62 Millionen Dollar pro Vorfall. Zugleich sind mittel- bis langfristige Reputationsschäden aufgrund eines Vertrauensverlustes nur schwer ermittelbar und können den vorgenannten Betrag schnell übertreffen. Ebenso blieben etwaige DSGVO-Bußgelder in der Ermittlung dieses Betrages noch völlig unberücksichtigt.
Unternehmen sollten daher der Prävention mehr Stellenwert einzuräumen, statt hinterher Besserung zu geloben, nachdem Schäden entstanden sind.
Corporate Governance auf den Prüfstand
Nur 18 Prozent der Unternehmen geben an, dass die Informationssicherheit regelmäßig in die Geschäftsstrategie einfließt. Mehr als die Hälfte (55 Prozent) der Befragten in der EY-Studie berichten, dass Informationssicherheit nur bedingt oder gar nicht die Geschäftsstrategie Berücksichtigung findet. Im digitalen Zeitalter reicht dieser Ansatz nicht mehr aus. Digitales Geschäft geht zwangsläufig mit Risiken einher. Insofern sind Cybersicherheit und Geschäftsstrategie eng miteinander zu verzahnen und gehören regelmäßig auf die Tagesordnung in den Gremien.
Die Verantwortung für die Informationssicherheit wird zwar zunehmend auf den obersten Ebenen des Unternehmens wahrgenommen. Für 40 Prozent der Unternehmen übernimmt der Chief Information Officer (CIO) diese Verantwortung. Allerdings sagen 60 Prozent der Unternehmen, dass die Person, die direkt für die Informationssicherheit verantwortlich ist, kein Vorstandsmitglied ist.
Im Schnitt geben etwa 70 Prozent der Unternehmen an, dass ihre Führungskräfte ein umfassendes Verständnis von Sicherheit haben oder positive Schritte unternehmen, um ihr Verständnis zu verbessern. Da die Sicherheit zu einem Schlüsselfaktor für das Wachstum wird, dürfte dieser Anteil zunehmen. Laut den Studienergebnissen ist es jedoch wahrscheinlicher, dass kleinere Unternehmen die Verantwortung für die Informationssicherheit eher auf Vorstandsebene tragen als größere Unternehmen.
Größere Unternehmen haben hingegen weitere Fortschritte hinsichtlich des Security-Bewusstseins gemacht: 73 Prozent haben demnach zumindest ein begrenztes Verständnis für IT-Sicherheit, verglichen mit 68 Prozent der kleineren Unternehmen.
Schwachstellen ausmerzen
Weniger als jedes zehnte Unternehmen gibt an, dass ihre Informationssicherheitsfunktion derzeit ihren Bedürfnissen voll und ganz entspricht und viele sind besorgt, dass wichtige Verbesserungen noch nicht eingeleitet wurden.
Kleinere Unternehmen sind eher im Rückstand: Während 78 Prozent der größeren Unternehmen sagen, dass ihre Informationssicherheitsfunktion zumindest teilweise ihren Bedürfnissen entspricht, sind es nur 65 Prozent der kleineren Unternehmen.
Insgesamt sind 92 Prozent der Unternehmen besorgt über ihre Informationssicherheitsfunktion in Schlüsselbereichen. Ressourcen sind dabei ein zentrales Thema: 30 Prozent der Unternehmen kämpfen mit Fachkräftemangel, während 25 Prozent Budgetrestriktionen angeben.
Kleinere Unternehmen sind besonders besorgt: 28 Prozent geben an, dass ihre Informationssicherheitsfunktion derzeit nicht ihren Bedürfnissen entspricht oder verbessert werden soll und 56 Prozent sagen, dass sie an Fachkräftemangel oder Budgetbeschränkungen leiden.
Bei lediglich 15 Prozent der Unternehmen erfüllt der Informationssicherheitsbericht derzeit ihre Erwartungen vollständig.
Unter den Unternehmen, die im vergangenen Jahr von einem Vorfall betroffen waren, sagen weniger als ein Drittel, dass der Cyberangriff von ihrem Security Operations Center (SOC) entdeckt wurde.
Kleinere Unternehmen müssen besonders schnell handeln: Fast ein Viertel (23 Prozent) erstellt derzeit keine Berichte über Informationssicherheit, verglichen mit 16 Prozent bei größeren Unternehmen. Ebenso ist bedenklich, dass lediglich fünf Prozent aller Befragten die finanziellen Auswirkungen jeder Sicherheitsverletzung ermitteln. Die Dunkelziffer der tatsächlich entstandenen Schäden könnte damit weitaus höher liegen als vermutet. (jd)