Unternehmen in Deutschland professionalisieren ihre Abwehr von Cyberattacken. Sechs von zehn Gesellschaften haben eine fundierte IT-Sicherheitsstrategie, bei Großunternehmen sind es acht von zehn, die übrigen arbeiten an der Umsetzung. Ein Umdenken aus Sicht der IT-Entscheider ist vor allem in den Chefetagen zu erkennen. 38 Prozent sehen 2017 eine Verharmlosung der Gefahr von Cyberangriffen durch Vorstände und Geschäftsführer. Das sind Ergebnisse der Studie „Potenzialanalyse Digital Security“ von Sopra Steria Consulting.
Die digitale Sorglosigkeit ist damit in deutschen Unternehmen auf dem Rückzug. Das Thema bleibt allerdings eine zentrale Aufgabe in den Unternehmen. Jeder vierte IT-Entscheider wünscht sich weniger Risikobereitschaft bei ihrer Geschäftsleitung. Ebenso viele fordern dort ein stärkeres Bewusstsein, dass nicht nur große öffentliche Organisationen und bestimmte Branchen wie Banken, sondern praktisch jedes Unternehmen das Ziel von Cyberkriminellen werden kann.
„IT-Sicherheitsvorfälle durch den Diebstahl digitaler Identitäten teilweise in millionenfacher Anzahl zeigen, dass Cyberangriffe auf Unternehmen komplexer und professioneller werden“, kommentiert Urs M. Krämer, CEO von Sopra Steria Consulting. „Informationssicherheit ist Pflichtdisziplin einer digitalen Wirtschaft. Ein sorgloser Umgang mit Cyberrisiken, wie er gerade in den Führungsetagen lange Zeit herrschte und immer noch zu finden ist, kann sich kein Unternehmen mehr erlauben.“
Den größten Nachholbedarf bei der Formulierung tragfähiger IT-Sicherheitskonzepte haben die mittelständischen Unternehmen in Deutschland: Rund jeder zweite IT-Entscheider aus einem Unternehmen mit einer Größe zwischen 1.000 und 5.000 Mitarbeitern meldet, an einer ausgefeilten IT-Sicherheitsstrategie noch zu arbeiten. Großunternehmen mit mehr als 5.000 Mitarbeitern sowie kleine Betriebe sind hier bereits weiter. Die Masse setzt auf die aktuelle Bedrohungslage angepasste Konzepte bereits um.
„WannaCry war ein Weckruf, der das in der Studie erkennbare Umdenken noch einmal verstärken wird“, sagt Studienleiter Dr. Gerald Spiegel, IT-Sicherheitsexperte bei Sopra Steria Consulting. „Das Internet der Dinge verschärft die Situation durch die Vielzahl vernetzter Geräte zusätzlich. Ein rein technischer Ansatz greift zu kurz. Es braucht einen Mix aus ineinandergreifenden Vorkehrungen, bestehend aus einer vom Vorstand getriebenen Strategie, automatisierten Verfahren für Prävention und Kontrolle und intelligenten Security-Lösungen, die Sicherheitslecks selbständig aufspüren, sowie einer kontinuierlichen Sensibilisierung aller Mitarbeiter.“
Im operativen Geschäft funktioniert die IT-Sicherheit gut
Unterhalb der Führungsebene ist das Risikobewusstsein bereits stärker ausgeprägt: Bei digitalen Projekten zur Verbesserung von Agilität und Innovation werden in der Regel konsequente Sicherheitsmaßnahmen mitgedacht.
Beispiel Vernetzung: Knapp 70 Prozent der befragten Unternehmen sind über digitale Plattformen oder Softwarelösungen mit Lieferanten oder Dienstleistern vernetzt, 57 Prozent auch mit ihren Kunden. Nahezu alle Unternehmen verfolgen dafür gezielte IT-Sicherheitsmaßnahmen: Vor allem schützen sie sich durch vertraglich vereinbarte Mindestsicherheitsmaßnahmen vor Datenmissbrauch, Datenabfluss und Cyberattacken (69 Prozent). Schon in der Befragung 2015 war das die am häufigsten angewendete Maßnahme (75 Prozent).
Beispiel Social Media: 86 Prozent der befragten Unternehmen nutzen Social Media zur Kommunikation und Interaktion (2015: 80 Prozent). Beschränkungen der Social-Media-Kommunikation aus Gründen der IT-Sicherheit erscheinen hier eher hinderlich. Zur Verhinderung eines ungewollten Datenabflusses setzen die IT-Entscheider daher hauptsächlich auf Schulungen und Awareness-Kampagnen (70 Prozent), auf Maßnahmen zur Data Leakage Prevention (64 Prozent) sowie auf Social Media Policies (56 Prozent). Das waren auch 2015 bereits die Top-Maßnahmen.
Beispiel mobiles Arbeiten: Auch über die Nutzung mobiler Endgeräte können große Mengen von Unternehmensdaten in die falschen Hände geraten. Darüber hinaus produzieren die Sensoren mobiler Geräte (Kamera, Mikrofon, GPS) Daten, die als sensibel eingestuft werden müssen. Die damit verbundenen möglichen Gefahren sind den Unternehmen bewusst: 95 Prozent führen IT-Sicherheitsmaßnahmen für mobile Endgeräte durch (2015: 90 Prozent). Vor allem Mobile Device Management (65 Prozent), regelmäßige Sicherheitsüberprüfungen (65 Prozent) oder Richtlinien für Mobile Security (54 Prozent) dienen zum Schutz der mobilen Geräte.
Security first: Innovation ja, IT-Risiken nein
Zur Einführung neuer Technologien durch die Digitalisierung der Wirtschaft beziehen die IT-Verantwortlichen in deutschen Unternehmen ebenfalls klar Position: IT- und Sicherheitsrisiken müssen vorab geklärt sein, sagen wie 2015 zwei von drei IT-Chefs. Rund ein Drittel der IT-Entscheider (32 Prozent) gibt neuen Technologien dagegen unverändert auch dann eine Chance, wenn noch nicht alle IT-Risiken bekannt sind.
In 38 Prozent der Unternehmen dürfen IT-Projekte erst starten, wenn ein Sicherheitskonzept der IT vorliegt, jede zweite Firma (49 Prozent) verlangt das spätestens vor dem Produktivgang einer Anwendung oder eines IT-Systems. Nur in zwei Prozent der Unternehmen ist ein IT-Sicherheitskonzept nicht zwingend vorgeschrieben (2015: 10 Prozent).
KRITIS und neue Datenschutz-Grundverordnung (DSGVO): IT-Sicherheit ist gesetzliche Pflicht
Einen relevanten Anteil am Umdenken in deutschen Unternehmen hat der Gesetzgeber: Im Juli 2015 hat der Deutsche Bundestag das IT-Sicherheitsgesetz verabschiedet. Es fordert von Betreibern Kritischer Infrastrukturen (KRITIS) ein Mindestmaß an IT-Sicherheit, zu der unter anderem die Meldung von Sicherheitsvorfällen gehört. Dazu kommt ab 25. Mai 2018 die verbindliche Umsetzung der europäischen Datenschutz-Grundverordnung (DSGVO), die in praktisch allen Unternehmen dazu führt, die Konzepte für Daten- und IT-Sicherheit zu überarbeiten.
Die Mehrheit der Unternehmen sieht die Vorschriften positiv: Sieben von zehn IT-Entscheidern beurteilen den Umfang der staatlichen Regulierung im Hinblick auf die IT-Sicherheit als angemessen. Nur zwölf Prozent (2015: 21 Prozent) sehen hier Lücken und bewerten das geforderte Maß an Sicherheit als zu gering. Dabei fällt auf, dass Skepsis und Ablehnung des Umfangs der geforderten Sicherheitsmaßnahmen bei kleinen und mittleren Unternehmen (28 Prozent) deutlich größer sind als bei Großunternehmen (13 Prozent).