IT-Security & Risk Management

Business kümmert sich zu wenig um IT-Sicherheit

Hartmut Lüerßen ist Partner der Lünendonk GmbH. Die Marktanalyse- und Beratungsschwerpunkte von Hartmut Lüerßen sind Digitalisierung, Trends in der IT-Beratung sowie IT-Service, Engineering Services und Personaldienstleistungen.
Die Digitale Transformation stellt neue Herausforderungen an die Zusammenarbeit von Business und IT bei Cyber Security Security und Risk Management. Werden die etablierten Vorgehensweisen den neuen Bedrohungen gerecht?

Unternehmen, die sich einer Digitalen Transformation stellen, stehen vor organisatorischen, prozessualen, kulturellen und technologischen Herausforderungen. Die Komplexität wird größer. Gerade bei unternehmensübergreifenden Prozessen steigt die Gefahr von Hackerangriffen massiv. Darauf müssen die Unternehmen reagieren. Im Mittelpunkt steht der Chief Information Security Officer (CISO), der Strategienfür die InformationSecurity und das Risikomanagement in enger Abstimmung mit den Fachbereichen definieren muss.

Wie Unternehmen des gehobenen Mittelstands und große Unternehmen sich diesen Herausforderungen stellen und wie stark die Business-Perspektive bereits berücksichtigt wird, hat Lünendonk im Rahmen einer aktuellen Studieanalysiert. Es zeigt sich: Die meisten Unternehmen arbeiten bei IT-Sicherheit und auch Risk Management noch zu sehr auf der technischen Ebene.

Werden die etablierten Vorgehensweisen den neuen Bedrohungen gerecht?
Werden die etablierten Vorgehensweisen den neuen Bedrohungen gerecht?
Foto: Myibean - shutterstock.com

"Unternehmenskritische Bedeutung"

Angesichts der vielfältigen Berichte über Hackerangriffe verwundert es nicht, dass 58 Prozent der von Lünendonk befragten IT-Entscheider und 45 Prozent der Business-Entscheider die Themen für maximal unternehmenskritisch halten. Auf einer Skala von 1 ("untergeordnete Bedeutung") bis 10 ("unternehmenskritische Bedeutung") vergaben diese Teilnehmer die Höchstnote. Mehr als 98 Prozent der Teilnehmer bewerten die Bedeutung von IT-Securityund Risk Management mindestens mit der Note 8.

Die größten Herausforderungen in der Abwehr aktueller Bedrohungsszenarien und Cyber-Risiken
Die größten Herausforderungen in der Abwehr aktueller Bedrohungsszenarien und Cyber-Risiken
Foto: Lünendonk

Zu dieser hohen Wahrnehmung haben sicherlich auch die erfolgreichen Hackerangriffe und Datenverluste bei namhaften Unternehmen wie Visa oder bei öffentlichen Institutionen wie dem Deutschen Bundestag beigetragen. In manchen Studien werden die Unternehmen nur noch in zwei Kategorien unterteilt: Unternehmen, die bereits einen Hackerangriff oder Sicherheitsvorfall erlebt haben und diejenigen, denen diese Erfahrung noch bevorsteht.

Dabei sollten sich die Unternehmen die zur zweiten Kategorie gehören, fragen, ob sie den Sicherheitsvorfall nur noch nicht entdeckt haben. Beispiel Yahoo: Das Unternehmen gab im September 2016 einen Datenverlust zu, der auf Hackerangriffe im Jahr 2014 zurückgeführt wurde. Etwa 500 Millionen Accounts waren demnach betroffen. Damit nicht genug: Im Dezember 2016 musste Yahoo einen noch größeren Datenverlust durch kriminelle Hacker aus dem Jahr 2013 eingestehen.

Die Problematik der Angriffserkennung spiegelt sich auch in den Ergebnissen der Studie wider: So steht das "frühzeitige Erkennen relevanter Angriffe und Schwachstellen in der Informationsflut" an dritter Stelle der am häufigsten genannten Herausforderungen im Zusammenhang mit Cyber-Risiken. An erster Stelle der Herausforderungen steht "das Durchsetzen von Sicherheitsstandards im Unternehmen (auch länderübergreifend)", gefolgt vom "fehlenden Security-Bewusstsein der Anwender im Unternehmen".

Security-Themen werden zu spät berücksichtigt

Gleichzeitig führt die hohe Wahrnehmung von IT-Sicherheit und Risikomanagement in vielen Unternehmen jedoch nicht häufig genug zu verändertem Handeln bei Veränderungsprojekten. Nur 37 Prozent der befragten Unternehmen berücksichtigen Security und Risikomanagement frühzeitig und umfassend. Diese Einschätzung ist unter den befragten IT-Verantwortlichen und den Business-Verantwortlichen sehr ähnlich. Es wird deutlich: In den meisten Fällen haben die Unternehmen kein Wahrnehmungsproblem sondern ein Umsetzungsproblem. Sie betrachten IT-Sicherheit und das Management von Risiken zu spät und zu technisch. Eine Digitalisierungsstrategie erfordert jedoch eine durchgängige Betrachtung - von der Business- und Prozess-Ebene bis hin zur technischen Ebene.

10 Gründe, warum sich Business Manager mehr um Information Security und Risk Management kümmern müssen
10 Gründe, warum sich Business Manager mehr um Information Security und Risk Management kümmern müssen
Foto: Lünendonk

Dafür braucht der CISO ein starkes Mandat von der Geschäftsführung. Doch in vielen Fällen berichtet dieser nicht direkt an den Vorstand oder die Geschäftsführung. Von den mehr als 250 befragten, mittelständischen Unternehmen uind Großkonzernen haben bisher 43 Prozent einen CISOim Unternehmen etabliert. Bei diesen Unternehmen berichtet der Chief Information Security Officer in 69 Prozent der Fälle an den CIO - in 30 Prozent der Fälle an den Vorstand oder die Geschäftsführung. Die hohe organisatorische Abhängigkeit gegenüber dem CIO sollte jedoch kritisch betrachtet werden, da auf diese Weise leicht Interessenskonflikte entstehen können.

»

IDG Executive Education - Cybersecurity

IDG Executive Education

Exklusiv-Seminar "Cybersecurity"

COMPUTERWOCHE/CIO und das Fraunhofer AISEC - Institut für Angewandte und Integrierte Sicherheit laden Manager am 7. und 8. März 2018 zu einer Fortbildung in Cybersecurity ein. Lernen Sie aktuelle Risiken kennen und einzuschätzen, stellen Sie den Kontext für Ihr eigenes Business her und entwickeln Sie die passenden Abwehrstrategien.

Mehr Infos unter:

www.idg-executive-education.de