Kein Vertrauen in eigene Sicherheitsvorkehrungen

Der jährliche „Risk:Value-Report“ von NTT Security zeigt die ambivalente Stimmung im IT-Security-Markt: 83 Prozent der befragten Entscheidungsträger sind überzeugt, dass ein umfangreiches Sicherheitskonzept eine zentrale Position in der Gesellschaft einnehmen muss. Auch für ihr eigenes Unternehmen ist ein starker Datenschutz wichtig (79 %) – 81 Prozent gaben sogar an, dass eine gute Security-Strategie ihrem Unternehmen hilft. Dennoch: Nicht einmal jeder zweite Befragte (41 %) stufte alle unternehmenskritischen Daten als „komplett sicher“ ein. „Unternehmen sind sich der Bedeutung von Datensicherheit bewusst, aber sie vertrauen nicht in ihre eigenen Sicherheitsvorkehrungen“, erklärt Kai Grunwitz, Senior Vice President EMEA (Europa, Naher Osten und Afrika) bei NTT. „Meist mangelt es jedoch nicht an den eingesetzten Technologien, sondern an der konsequenten und gelebten Umsetzung oder eben Nicht-Umsetzung der Sicherheitsstrategie.“

Potenzielle Gefahren

Neben unzureichend gesicherter Technik stellen die Cloud (16 %), BYOD (16 %), Ransomware (13 %) und IoT (Internet of Things) (12 %) für die Studienteilnehmer eine Gefahr von außen dar. Doch über die Hälfte fürchtet, dass die Sicherheitslücke innerhalb des Unternehmens liegt: Böswillige Insider-Bedrohungen wie Datendiebstahl (31 %), versehentliche oder fahrlässige Sicherheitslücken (28 %), aber auch eine Schatten-IT (25 %) stuften die Befragten als potenzielles Sicherheitsrisiko ein. Das korreliert mit dem Aspekt, dass 36 Prozent der deutschen Unternehmen die gesamte Belegschaft als schwächstes Glied in Sachen Sicherheit sehen.

Risiko durch Mitarbeiter

Obwohl Unternehmen die eigenen Mitarbeiter als das größte Sicherheitsrisiko sehen, hat erst rund die Hälfte der Unternehmen (53 %) vollständige Sicherheitsrichtlinien eingeführt. 14 Prozent dieser Unternehmen haben ihre Mitarbeiter allerdings nicht aktiv über die Richtlinien informiert, ein kleiner Teil (2 Prozent) plant dies auch nicht. „Es ist unerlässlich, die Mitarbeiter ausreichend über die Gefahren und den richtigen Umgang mit ihnen zu schulen – vor allem da Social-Engineering-Angriffe immer beliebter werden“, betont Grunwitz.

Kein Incident-Response-Plan

Das Bewusstsein für die Gefahren macht es umso erstaunlicher, dass auch in diesem Jahr lediglich 36 Prozent der Unternehmen über einen Incident-Response-Plan verfügen; immerhin 42 Prozent stecken laut Studie im Implementierungsprozess und weitere 13 Prozent planen die Umsetzung entsprechender Maßnahmen in naher Zukunft. „In den vergangenen Jahren hat sich in den Unternehmen bezüglich des Incident-Response-Plans trotz zahlreicher bekannt gewordener Sicherheitsvorfälle und ständig zunehmendem Schadenspotenzial nicht viel geändert. Obwohl nur mit dedizierten Ablauf- und Notfallplänen angemessen und schnell auf diese Sicherheitsvorfälle reagiert werden kann, verfügt noch immer nicht mal die Hälfte der befragten Unternehmen über einen Incident-Response-Plan“, fasst Grunwitz zusammen.

Austausch zum Thema Sicherheit nimmt zu

Trotz der zahlreichen Unsicherheiten, sind auch positive Entwicklungen zu verzeichnen: 71 Prozent der befragten Entscheidungsträger gaben an, auf dem aktuellen Stand bezüglich Attacken, potenziellen Attacken und der Compliance in ihrem Unternehmen zu sein. In 71 Prozent der Unternehmen ist das Thema ein regulärer Teil der Vorstandssitzung – weitere 8 Prozent würden sich dies wünschen. Zudem verfügt der Großteil der deutschen Unternehmen über eine Versicherung für den Fall von Datenverlust oder Sicherheitslücken. Bei 53 Prozent deckt sie beide Fälle ab, bei 25 Prozent den Datenverlust und 5 Prozent sind nur für Sicherheitslücken versichert.

Autor: Sarah Böttcher

(c)2019
Vogel Communications Group