IT Sicherheit: Zunehmende Bedeutung und akuter Handlungsbedarf

07.02.2017 11:45

IT Sicherheit: Zunehmende Bedeutung und akuter Handlungsbedarf

Obwohl den meisten Unternehmen die Bedeutung von Informationssicherheit und Risk Management bewusst ist, werden die Themen überwiegend rein technisch betrachtet. Doch die technische Perspektive allein reicht nicht aus.

Deutschlands Unternehmen sind zunehmend durch Cyberrisiken wie Ransomware, andere Malware oder direkte Hackerangriffe bedroht. Laut einer aktuellen KPMG-Studie war in den vergangen zwei Jahren mehr als jedes dritte Unternehmen von Wirtschaftskriminalität betroffen.

Auch jene Entscheider, die keine IT- oder Sicherheitsexperten sind, haben durch Cyberattacken auf namhafte Unternehmen erkannt, dass Informationssicherheit und Risk Management ganz oben auf die digitale Agenda gehören.

Die aktuelle Lünendonk-Trendstudie „IT-Security und Risk Management 2016: Digitale Bedrohungsszenarien im Fokus von Business und IT“, die in Zusammenarbeit mit KPMG entstanden ist, hat über 250 Business- und IT-Entscheider aus mittelständischen und großen Unternehmen in Deutschland, Österreich und der Schweiz befragt, wie sie mit den Herausforderungen im Zusammenhang mit Informationssicherheit und Risk Management umgehen.

Anspruch und Wirklichkeit

Es zeigt sich: Die Bedeutung wird von den Befragten eindeutig erkannt, allerdings berücksichtigen nur 37 Prozent die Themen frühzeitig und umfassend in ihren Projekten. Hier besteht ein offensichtlicher Widerspruch zwischen Anspruch und Wirklichkeit. Der Report macht zudem deutlich, dass die große Mehrheit der Unternehmen (92 Prozent) die Themen IT-Sicherheit und auch die Risikobewertung überwiegend aus der technischen Perspektive steuern.

Mit dieser sehr technisch ausgerichteten Strategie gelingt es den Unternehmen jedoch kaum, die Zusammenhänge zwischen technischen Vorfällen und realer Bedrohung für das Unternehmen herzustellen. Ein Beispiel: Versucht ein Mitarbeiter auf ein System zuzugreifen, für das er keine Berechtigung hat, ist dies leicht zu erkennen und ein Standardvorfall. Ob allerdings versehentlich oder mit krimineller Energie auf das System zugegriffen wurde, ist eine andere Frage. Oft lassen sich externe und interne Angriffe nur dann erkennen, wenn verschiedene Informationsquellen und Rollenprofile miteinander verknüpft werden. Diese Aufgabe wird mit steigender Zahl externer Partner in der digitalen Wertschöpfungskette umso komplexer.

27 Prozent der befragten Unternehmen betrachten die Themen IT-Sicherheit und Risk Management aus technischer und geschäftlicher Perspektive.

 

Strategischer Handlungsbedarf

Aus der Marktperspektive betrachtet ist es daher zwingend erforderlich, die IT-Sicherheitsstrategie anhand der fachlichen Anforderungen auszurichten. Der wichtigste Schritt für Unternehmen lautet daher: Verknüpfung. Nur wer die Business-Perspektive mit den technischen Lösungen zusammenbringt, ist in der Lage, in unternehmensübergreifenden Geschäftsprozessen mit vielen externen Service- und Datenlieferanten relevante Angriffsmuster zu identifizieren und zu überwachen.

Nur eine Minderheit der Unternehmen (27 Prozent) bindet bereits die Fachbereiche aktiv ein, wenn es darum geht, die Informationen zu beschaffen und die Bedrohungsszenarien aus geschäftlicher Sicht zu bewerten. Das gibt einem erst recht zu denken, da die Hälfte der befragten Unternehmen (57 Prozent) angibt, keine Informationen zum Wert bedrohter Daten und Prozesse (Value at risk) zu haben. Überspitzt formuliert: Diese Unternehmen wissen gar nicht genau, welche Werte sie schützen sollen und wo diese Werte in den Prozesse und Datenbanken verarbeitet und gespeichert werden. Dabei ist dies die Voraussetzung, um die die tatsächliche Gefahrenlage realistisch zu bewerten und sinnvolle Maßnahmen zu planen und umzusetzen.

Externe Unterstützung

Die Studienteilnehmer wurden auch nach ihrer Vorgehensweise in Sachen Sicherheitsstrategie befragt, allerdings bleibt das Maß an Investitionsbereitschaft in externe Unterstützung noch gering. Lediglich 33 Prozent der Unternehmen planen diesbezüglich mehr Strategieberatung von außen zu beziehen. Dabei können externe Impulse sehr wertvoll sein, um interne Veränderungen voranzutreiben.

Denn offene Herausforderungen, wie die Zusammenarbeit mit den Fachbereichen bei der Informationsanalyse und Risikobewertung, die Verknüpfung der Business-Perspektive mit den technischen Sicherheitslösungen sowie die frühzeitige Berücksichtigung von Informationssicherheit in den Projekten, sind klassische Aufgaben für externe Strategieberater.

Welche Branche bereits gut aufgestellt ist und welche Abweichung sich in der Einschätzung zwischen IT-Entscheidern und Non-IT-Verantwortlichen zeigen lesen Sie in der Trendstudie.

Angebote Consulting bei KPMG