IT-Sicherheitsstrategie gefordert

Die Wirtschaft hängt am Datentropf

IT-Sicherheitsbedrohungen nehmen dramatisch zu, gleichzeitig steigt der Wert von Daten ins Unermessliche. Dennoch reagieren viele Unternehmen auf diese Entwicklung nur zögerlich: Sie investieren viel zu wenig, um veraltete Sicherheitssysteme und ineffiziente Organisationsstrukturen zu modernisieren.

Taschenrechner

Budgets für IT-Sicherheit geben Führungskräfte oft nur widerwillig frei, weil sie einerseits den unmittelbaren Nutzen nicht begreifen, andererseits dem allgemeinen Renditedruck unterliegen.

Der Wert von Daten in Unternehmen steigt unaufhaltsam an; nicht nur, weil sie immer mehr Daten speichern, sondern auch, weil sie immer kritischere Daten vorhalten: Produktions-, IP- (Intellectual Property) oder Kundendaten, die, wenn sie in die falschen Hände geraten, ein Unternehmen schnell in den Ruin treiben können.

Der Zugriff auf Unternehmensdaten muss zudem stets hochverfügbar sein. Ist das nicht mehr möglich, etwa dann, wenn Hacker komplette Server zwecks Erpressung verschlüsseln oder DDoS-Attacken durchführen, um ganze Server-Farmen in die Knie zu zwingen, ist ein Unternehmen so gut wie gelähmt. Dann wird der tatsächliche Wert von Daten wirklich greifbar: Sie sind im Grunde unbezahlbar. Die heutige globale Wirtschaft hängt am Tropf der Informationen und Datenbanken.

In einem Umfeld mit solcher Brisanz sollten Unternehmen alle nur denkbaren Anstrengungen in Erwägung ziehen, um ihre Daten zu schützen – eigentlich. Aber nicht einmal jeder vierte Business-Entscheider (22 Prozent) ist laut einer internationalen Studie von NTT Com Security der Meinung, dass die Gesamtheit der Daten in seinem Unternehmen „vollständig sicher“ gespeichert sei. Gleichzeitig erwarten rund zwei Drittel der befragten Entscheider (65 Prozent) in absehbarer Zeit einen Einbruch, der die IT-Sicherheit kompromittiert und das Unter-nehmen im Schnitt rund 900.000 US-Dollar kostet, so ihre Einschätzung. Hinzu kommen mögliche Imageschäden, wenn ein Einbruch bekannt wird; sie können schnell zu einem empfindlichen Umsatzeinbruch führen.

Disruptive Geldquellen und Silodenken


Es gibt weitere irritierende Ergebnisse in der Studie: Für 73 Prozent der Manager in der Vorstandsetage oder Geschäftsleitung, so erklären die Befragten, hat die Einhaltung der IT-Sicherheit eine „vorrangige“ Priorität, sie steht also an erster Stelle vor allen anderen Themen. Trotzdem wird diese Haltung nicht in den Budgets widergespiegelt: Für IT-Sicherheit geben Unternehmen nicht nur deutlich weniger als jeweils für Marketing, Vertrieb, Entwicklung, Human Resources oder andere Bereiche aus, so die Befragten. Die Gelder für IT-Sicherheit stammen auch aus unterschiedlichen Bereichen: sowohl aus dem IT-Gesamtetat als auch aus dem operativen Betrieb.

Diese unterschiedlichen Geldquellen sind ein Indiz für eine altbekannte, aber auch unglückliche Organisationsstruktur: IT-Sicherheit wird in vielen Unternehmen nämlich nicht zentral organisiert, sondern ist getrennt in den unterschiedlichen, historisch gewachsenen IT-Subbereichen wie Netzwerke, CRM oder ERP beheimatet, wo die jeweiligen Bereichsverantwortlichen ihre eigene, isolierte IT-Sicherheitsstrategie verfolgen. Es ist auch ein offenes Geheimnis, dass sie sich nur ungern untereinander abstimmen. Das führt dazu, dass eine allumfassende IT-Sicherheitsstrategie so gut wie nicht durchführbar ist.

So ist es auch nicht überraschend, dass, völlig unabhängig von der Studie, die überragende Anzahl der Unternehmen, mit denen NTT spricht, davon ausgeht, dass unentdeckte Schwachstellen in der IT-Sicherheit lauern – die IT-Sicherheit also nicht auf dem neuesten Stand ist.

Die Frage nach den Kosten ist falsch


Budgets für IT-Sicherheit geben Führungskräfte aber oft nur widerwillig frei, weil sie einerseits den unmittelbaren Nutzen nicht begreifen, andererseits dem allgemeinen Renditedruck unterliegen. In diesem Spannungsverhältnis ist es eben nicht immer einfach, die Spendierhosen anzuhaben. Damit sind sie aber auch Mitgestalter der Misere, denn mit knappen Sicherheitsbudgets kann die IT-Abteilung eben auch nicht zaubern. Umso wichtiger ist ein detailliertes Reporting mit den harten Zahlen über versuchte und tatsächliche Einbrüche in die IT-Infrastruktur.

Vielleicht müssen Führungskräfte anders herum denken; sie sollten sich nicht damit beschäftigen, wie teuer IT-Sicherheit ist, sondern sich überlegen, was es kostet, wenn sie versagt. Das kann nicht nur viel teurer werden, sondern sehr schnell das gesamte Unternehmen gefährden.


Die wichtigsten Ergebnisse der Umfrage

Befragt wurden 1.000 Business-Entscheider in Deutschland (200 Befragte), Frankreich (100), Großbritannien (200), Norwegen (100), Schweden (100), der Schweiz (100) und den USA (200). Sie kamen aus Unternehmen jeder Größe und Branche, allem voran Finanzdienstleister (32 Prozent), Einzelhändler (14 Prozent) und Fertigungsbetriebe (8 Prozent).

  • 18 Prozent der Befragten sind der Meinung, dass mangelnde IT-Sicherheit die größte Einzelgefahr für ihr Unternehmen darstellt
  • Nur 22 Prozent glauben, dass alle Daten in ihrem Unternehmen vollständig sicher gespeichert sind.
  • 54 Prozent gaben an, dass die Sicherheit der Daten in ihrem Unternehmen eine Schlüsselrolle einnimmt.
  • 52 Prozent gehen davon aus, dass formale IT-Sicherheitsrichtlinien im Unternehmen existieren.
  • 98 Prozent glauben, dass es nach einem Sicherheitsvorfall negative Auswirkungen für das Unternehmen gibt. Im Durchschnitt rechnen sie mit Umsatzeinbußen um 13 Prozent.
  • Die durchschnittlichen Kosten eines IT-Sicherheitseinbruchs schätzen die Befragten auf 907.000 US-Dollar.
  • 73 Prozent meinen, dass IT-Informationssicherheit ein wichtiges Thema für die Führungsebene ist.
  • 46 Prozent gehen davon aus, dass Mitarbeiter zu den drei schwächsten Gliedern bei der IT-Sicherheit gehören.


Bildquelle: Fotolia

©2019Alle Rechte bei MEDIENHAUS Verlag GmbH

Unsere Website verwendet Cookies, um Ihnen den bestmöglichen Service zu bieten. Durch die weitere Nutzung der Seite stimmen Sie der Verwendung zu. Weitere Infos finden Sie in unserer Datenschutzerklärung.

ok