Unternehmen in Deutschland treiben die Digitalisierung voran und stellen dabei mitunter die IT-Sicherheit hinten an. 32 Prozent der IT-Entscheider berichten, dass im eigenen Unternehmen neue Technologien in Einzelfällen auch dann eingeführt werden, wenn vorab noch nicht alle möglichen Sicherheitsrisiken bekannt und bewertet sind. Das sind Ergebnisse der Studie „Potenzialanalyse Digital Security“ von Sopra Steria Consulting. Für die Studie wurden im April 2017 insgesamt 205 IT-Entscheider aus Unternehmen ab 500 Mitarbeitern befragt.
Die Ergebnisse zeigen, dass Unternehmen branchenübergreifend unter enormen Digitalisierungsdruck stehen. Banken müssen sich mit Technologien wie Blockchain und Robo Advisory gegenüber FinTechs und Neobanken behaupten. Die Industrie verteidigt ihre Marktstellung durch eine vernetzte Produktion, und Energieversorger tüfteln an neuen Geschäftsmodellen durch den Einsatz intelligenter Netze und Stromzähler. Das führt dazu, dass Entscheider im Einzelfall digitale Projekte absegnen, ohne vorher alle Sicherheitsrisiken zu kennen. „Die IT-Entscheider wissen, dass sie die Entwicklung einer neuen App oder die Einführung einer Software nicht pauschal aufhalten dürfen. Das widerspricht den Erwartungen des Marktes an Agilität“, sagt Dr. Gerald Spiegel, Leiter Information Security Solutions bei Sopra Steria Consulting.
IT-Sicherheit und schnelle Produktentwicklung konkurrieren immer stärker
Umso wichtiger werden IT-Sicherheitsstrategien, die Cyber-Risiken wie WannaCry und Petya begegnen und dennoch die Geschwindigkeit einer digitalisierten Wirtschaft ermöglichen. „Wichtig ist, eine differenzierte Sicherheitsstrategie zu verfolgen. Der Umfang der im Rahmen einer Risikoanalyse ermittelten Maßnahmen hängt unter anderem vom möglichen Schaden ab, von der Wahrscheinlichkeit eines Angriffs sowie von der Wirksamkeit der Maßnahmen und der Dauer der Umsetzung“, sagt Spiegel. Die Unternehmen in Deutschland sind hier noch auf der Suche nach der richtigen Balance zwischen Risikobereitschaft bei Innovationen und der Sicherheit der betriebenen Lösung. Die Mehrheit startet Digitalprojekte und versucht, während der Umsetzung mögliche Sicherheitsrisiken zu adressieren.
In fast jedem zweiten Unternehmen (49 Prozent) muss vor Fertigstellung einer IT-Anwendung ein Sicherheitskonzept vorliegen. Elf Prozent der Entscheider geben an, dass die IT-Sicherheitsstrategien erst nach der Einführung einer App oder anderen Technologie erarbeitet werden. In der Automobil- und Energiebranche sowie der öffentlichen Verwaltung hat die Sicherheit am häufigsten Vorrang vor der schnellen Markteinführung. Jeder zweite Entscheider in dieser Branche gibt an, dass IT-Projekte nur gestartet werden dürfen, wenn Schutzbedarfsanalyse, Risikobewertung und Abwehrmaßnahmen vorliegen.
IT-Risikoanalyse häufig Handarbeit
Darüber hinaus gewinnen automatisierte Sicherheitsverfahren an Bedeutung. Die Erstellung von IT-Sicherheitskonzepten ist heute in der Mehrheit der Unternehmen Handarbeit und erfolgt aufgrund fehlender Ressourcen oft rudimentär . „Das Tempo für das Erkennen und Schließen realer und potenzieller Einfallstore für Cyberattacken muss sich dem der Digitalisierung stärker anpassen“, so Spiegel. „Es braucht so etwas wie eine agile IT-Risikoaufklärung, die laufend mit Daten gefüttert, selbstständig IT-Sicherheitskonzepte und -maßnahmen für neue Technologien erstellt.“