Home » News » Cybersecurity » Umfrage: IT-Sicherheit in Unternehmen zu niedrig aufgehängt

Umfrage: IT-Sicherheit in Unternehmen zu niedrig aufgehängt

Das IT-Sicherheitsunternehmen Sophos wollte herausfinden, wie Unternehmensführungen das Thema IT-Sicherheit heute sehen, wie hoch sie die Gefahr cyberkrimineller Angriffe einschätzen und welche Folgen für das operative Geschäft sie aufgrund von Hacker-Attacken am ehesten erwarten. sie.

4 Min. Lesezeit
Foto: ©AdobeStock/VideoFlow

Zunehmend wird aus Fachkreisen gefordert, den Schutz der Unternehmens-IT zum Managementthema zu machen. Wer denkt, dass das Thema IT-Sicherheit tatsächlich ganz oben in den Chefetagen deutscher, österreichischer und Schweizer Unternehmen eine Bedeutung hat, wird vor diesem Hintergrund enttäuscht: Je größer das Unternehmen, desto weniger nah ist das Thema am CEO. Unternehmensführungen wähnen ihre IT in IT-Sicherheit. Und: Zusatzkosten sind die größte Sorge im Falle eines Sicherheitsvorfalls.

Das IT-Sicherheitsunternehmen Sophos wollte herausfinden, wie Unternehmensführungen das Thema IT-Sicherheit heute sehen, wie hoch sie die Gefahr cyberkrimineller Angriffe einschätzen und welche Folgen für das operative Geschäft sie aufgrund von Hacker-Attacken am ehesten erwarten. sie. Diese und eine Reihe weiterer Aspekte untersuchte das Meinungsforschungsinstitut Ipsos im Auftrag von Sophos mit einer Umfrage im Frühsommer dieses Jahres bei hohen und höheren Führungskräften (C-Level) in Deutschland, Österreich und der Schweiz. IT-Personal wurde hierbei ausdrücklich ausgenommen. Die wichtigsten Erkenntnisse:

  • IT-Sicherheit ist in Deutschland keine Chefsache. Die IT-Abteilungen sind in der Verantwortung. Ein Drittel der Unternehmen setzt auf externe IT-Dienstleistungen.
  • Die Weltpolitische Lage und Krieg haben wenig Einfluss auf das Sicherheits-bewusstsein bei Managerinnen und Managern. Nur ein Drittel sieht durch die aktuelle weltpolitische Lage den Blick für IT-Sicherheit nochmal geschärft.
  • Die Chefetagen wiegen sich bei IT-Sicherheit in Sicherheit. Die Mehrheit gibt an, bereits seit längerem gut gewappnet zu sein.
  • C-Level-Verantwortliche erwarten insbesondere wirtschaftliche Folgen durch Cyberangriffe. Wiederherstellungskosten oder Störungen der kaufmännischen Abläufe stehen im Fokus. Den Verlust von Kunden und Beschäftigten sowie mögliche Ausfälle im Rahmen der Lieferketten erwarten die wenigsten.

Die Resultate waren bei Unternehmen in Deutschland, Österreich und der Schweiz sehr ähnlich.

IT-Sicherheit ist keine Chefsache

Die große Mehrheit der befragten Manager (rund 81 Prozent) gibt an, ein hohes bis sehr hohes Bewusstsein für IT-Sicherheit zu haben. Auch wurde den Angaben aller Befragten zufolge in der Mehrheit der Unternehmen (über 60 Prozent) die IT-Sicherheit innerhalb der zurückliegenden drei Jahre auf eine höhere beziehungsweise die höchste Hierarchieebene angesiedelt.

Hier offenbart sich ein interessanter Widerspruch, denn bei der Frage nach der tatsächlichen Verantwortung für die IT-Sicherheit zeigt sich dann doch ein anderes Bild: Je größer die Unternehmen sind, desto weniger steht die Führungsebene in der Verantwortung. Dies gilt vor allem für Unternehmen mit mehr als 200 Mitarbeitenden, hier geben nur 1,9 Prozent der Befragten an, dass die IT-Sicherheit auf Geschäftsführungs- beziehungsweise Vorstandsebene angesiedelt ist. Bei kleineren Unternehmen mit bis zu 199 Mitarbeitenden sowie im Handel liegt dieser Wert deutlich höher, hier ist der Chef zu rund 22 Prozent noch höchstpersönlich mit eingebunden.

Die Hauptverantwortung für Cybersicherheit trägt in größeren Unternehmen zu 49,1 Prozent die eigene IT-Abteilung, bei 36,5 Prozent der kleineren Unternehmen sind ebenfalls die eigenen IT-Teams in der Pflicht. Mit 35,8 Prozent bei den größeren sowie 33,1 Prozent bei den kleineren Unternehmen überträgt zudem jeweils ein gutes Drittel aller Unternehmen die Verantwortung für ihre IT-Sicherheit auf externe Dienstleister.

Wenig Ukraine-Effekt

Sophos war es auch ein Anliegen zu erfahren, ob und inwieweit sich angesichts der weltpolitischen Lage und des aktuellen Kriegs in Europa, der bereits weit lange vor der eigentlichen militärischen Auseinandersetzung auf Cyberebene tobte, die Wahrnehmung und Bedeutung von IT-Sicherheit innerhalb der letzten zwei Jahre verändert haben. Hierzu bestätigten 23 Prozent der Befragten aus Unternehmen mit mehr als 200 Mitarbeitenden sowie knapp 36 Prozent aus kleineren Unternehmen, dass Cybersicherheit noch wichtiger geworden sei.

Mehrheitlich jedoch fühlt man sich offenbar ohnehin sehr sicher: 53 Prozent der kleineren und sogar knapp 70 Prozent der größeren Unternehmen geben an, dass sich hinsichtlich des Bewusstseins für das Thema Cybersicherheit in den letzten zwei Jahren nichts verändert habe und man hierfür bereits gut aufgestellt gewesen sei.

Zusatzkosten größte Sorge, Lieferkette und Belegschaft kaum

Mit Blick auf die Folgen eines Cyberangriffs gilt die in deutschen Chefetagen meistgenannte Sorge den dadurch entstehenden Kosten – etwa durch eine notwendige Wiederherstellung des Geschäftsbetriebs. Die möglichen Unterbrechungen der kaufmännischen Abläufe stehen am zweithäufigsten im Fokus. Ein Interessanter Aspekt hierbei: Probleme im Rahmen der Lieferketten vermuten insgesamt noch weniger Befragte (23 Prozent) als einen möglichen Imageverlust (28 Prozent). Allein im verarbeitenden Gewerbe, und das ist keine große Überraschung, gehen immerhin insgesamt knapp 37 Prozent der Befragten davon aus, dass die Lieferketten möglicherweise betroffen sein könnten.

Dem Verlust von Kunden oder Beschäftigten als Folge von Cyberattacken messen die Führenden hingegen kaum bis keine Bedeutung bei: Mit Kundenverlusten rechnen 19,4 Prozent und noch weniger (1,5 Prozent) befürchten, Mitarbeitende zu verlieren. Auch Zahlungsunfähigkeit (9,5 Prozent) und Bußgelder wegen Datenschutzverletzungen (5,5 Prozent) werden kaum als Risiken gesehen.

Resümée

Es gibt zahlreiche gute Gründe, die Sicherheit der Daten in Unternehmen und Organisationen strategisch zur Chefsache zu erklären: Angefangen bei einer fortschreitenden Komplexität der Unternehmens-IT, Datenschutzregularien, Homeoffice, mobilem Arbeiten und Einbindung von IoT (Internet of Things) über  prominente Cyberattacken auf Großunternehmen oder Einflussnahmen von Hackergruppen auf politische Entwicklungen bis hin zu spezialisierten Cyberangriffen auf kritische Infrastrukturen oder vulnerable Branchen wie das Gesundheitswesen. Aber die Realität spricht eine andere Sprache: „Die Ergebnisse in der DACH-Region sind zwar enttäuschend, entsprechen aber dem, was wir in Nordamerika, ASEAN und anderen Regionen beobachten“, kommentiert Chester Wisniewski, Principal Research Scientist bei Sophos die Ergebnisse der Studie. „Leider wird die Sicherheit, wenn sie als Bestandteil der IT verwaltet wird, in der Regel auf den Status einer Aufgabe zurückgestuft, anstatt eine Priorität zu sein. Die Rolle des Sicherheitsteams besteht darin, Risiken zu identifizieren und dem Vorstand dabei zu helfen, diese Risiken nach Prioritäten zu ordnen, wohingegen die IT-Abteilung die Aufgabe hat, die erforderlichen Änderungen zu implementieren, je nachdem, wie diese Risiken angegangen werden sollen.“

 

Quelle: Sophos

IT-Sicherheit: Kein Platz im Chefsessel

Andere interessante News

Große Schäden im Homeoffice durch Phishing-Mails

In jedem fünften Fall, bei dem Mitarbeitende im Homeoffice einer Phishing-Mail zum Opfer gefallen sind, wurden Zugangsdaten oder persönliche Daten ausgeleitet. Im Büro waren dies nur 14,6 Prozent.

Ein Drittel aller weltweiten Anmeldeversuche illegal

Okta belegt in seinem aktuellen State of Secure Identity Report, dass gut ein Drittel der Anmeldeversuche auf Kundenkonten mit erbeuteten Login-Daten erfolgt. Beim Credential Stuffing nutzen Angreifer die Angewohnheit mancher Nutzer aus, ein einziges Kennwort für verschiedene Anmeldungen zu verwenden.

Cyber Threat Report für das 2. Quartal 2022

Infoblox veröffentlicht seinen aktuellen Quarterly Cyber Threat Report. Ein besonderer Fokus liegt dabei auf der Verwendung von IPv6 und die Risikominderung durch Zero Trust und DNS-Sicherheit. Die Umstellung auf IPv6 in vielen großen US-Behörden hat dem Thema zusätzliche Schubkraft verliehen. Cyber-Resilienz und wirtschaftliche Effizienz sollen auf diese Weise erhöht werden.