Thought Leadership
Eine neue, von Palo Alto Networks beauftragte Studie zeigt, dass Unternehmen intern noch wesentlich enger zusammenarbeiten und besser Informationen austauschen müssen, um IT-Sicherheitsvorfälle zu vermeiden. So kann es Unternehmen zudem gelingen, Geldstrafen und Reputationsschäden durch mangelhafte IT-Sicherheit zu vermeiden.
Die wichtigste Erkenntnis der europaweiten Untersuchung ist, dass ein erheblicher Teil der Verantwortung allein auf den Schultern der IT lastet. Fast die Hälfte (46 Prozent) aller Führungskräfte glauben, dass letztlich die Verantwortung für den Schutz des Unternehmens vor Cybersicherheitsrisiken alleine der IT obliegt. Ein wesentlicher Anteil (57 Prozent) der IT-Abteilungen stimmt sogar zu, die alleinige Verantwortung für die Sicherheit des Unternehmens zu tragen.
Die Ergebnisse sind vor dem Hintergrund des EU-Abkommens über die Datenschutz-Grundverordnung (General Data Protection Regulation, GDPR) interessant. Diese fordert von den Unternehmen in Sachen Cybersicherheit, Anforderungen auf State-of-the-Art-Niveau zu erfüllen. Diese sollen Unternehmen helfen, das Risiko von Sicherheitsverletzungen zu vermeiden – und sich damit Geldstrafen von bis zu 20 Millionen Euro (oder 2 Prozent bis 4 Prozent des gesamten weltweiten Jahresumsatzes) zu ersparen. Die Regelung überträgt im Falle eines Sicherheitsvorfalls die Verantwortung an alle Stellen, die Zugriff auf Daten haben, also etwa vom Kundendienst über die IT-Abteilung bis hin zur Führungsetage.
Viele Führungskräfte tun sich immer noch schwer damit, Cybersicherheit zu verstehen
Die Ergebnisse legen nahe, dass es Meinungsverschiedenheiten darüber gibt, ob es auf Führungsebene mangelndes Verständnis für Cybersicherheit vorherrscht. Darauf angesprochen, gibt mehr als eine von zehn (13 Prozent) Führungskräften an, „mehr oder weniger“ zu verstehen, wie ein Online-Sicherheitsrisiko für ein Unternehmen definiert ist, aber dennoch auf Google angewiesen zu sein, um Sicherheitsrisiken zu verstehen.
Die Mehrheit der Befragten versteht – nach eigenen Angaben – Cyberrisiken immer besser. Einer von zehn Mitarbeitern glaubt noch nicht, dass die Führungskräfte oder der Vorstand des Unternehmens über ein relevantes oder genaues Wissen zu aktuellen Cybersicherheitsfragen verfügen. Dieses aber wäre wichtig, um das Unternehmen effektiv vor Cyberangriffen zu schützen, die die IT-Umgebung kompromittieren können.
Definition von „Erfolg“ erforderlich, um Rollen zu etablieren
Verordnungen und Rahmenwerke werden die Erfolgsmessung in Bezug auf die Effektivität der Cybersicherheit standardisieren. In der Zwischenzeit ist aber eine interne Absprache erforderlich, um die Rollen und Verantwortlichkeiten festzulegen und einen Konsens über einen Ansatz zu finden.
Die Umfrageergebnisse unterstreichen, dass die Art und Weise, wie Unternehmen Sicherheit bewerten, keinen ganzheitlichen Blick auf alle risikorelevanten Elemente zulässt. Derzeit misst eines von vier (25 Prozent) Unternehmen die Effektivität der Cybersicherheit daran, wie viele Angriffe von Sicherheitsregeln blockiert wurden. Eines von fünf Unternehmen (21 Prozent) gab als Kriterium für die Effizienz die Zeit an, wie lange es dauert, um ein Sicherheitsproblem zu lösen. 13 Prozent beobachten, wie lange der letzte Zwischenfall zurückliegt. Präventions- und Echtzeit-Maßnahmen, wie zum Beispiel die Fähigkeit eines Unternehmens, den gesamten Datenverkehr in seinem Netzwerk zu überwachen, müssen jedoch ebenfalls berücksichtigt werden, um eine realistische Risikoeinschätzung zu gewinnen.
„Die neuen EU-Vorschriften werden es erforderlich machen, dass die Unternehmen bei ihren Cybersicherheitspraktiken zulegen – und dies kann eine Chance oder ein Risiko sein, je nachdem, wie die Unternehmen entscheiden, sich dieser Aufgabe zu nähern. Letztlich ist es wichtig, dass Führungskräfte erkennen, dass bei der Cybersicherheit die Beweislast bei jedem im Unternehmen liegt. Sicherheit ist keine schwarze Magie mehr, sondern eine alltägliche Geschäftspraxis, die jede Ebene des Unternehmens durchdringen muss“, kommentierte Greg Day, Vice President und Regional Chief Security Officer für Europa, den Nahen Osten und Afrika bei Palo Alto Networks.
Empfehlungen für europäische Unternehmen
Palo Alto Networks empfiehlt Unternehmen, die folgenden Schritte durchzuführen, um ihre IT-Umgebungen besser gegen Cyberangriffe zu schützen:
- Erstellen einer Cybersicherheitsstrategie, die sich auf Prävention, also die Verhinderung von Cyberangriffen bei jedem Schritt des Angriffslebenszyklus konzentriert und dabei das Bewusstsein und die Verantwortlichkeit der Mitarbeiter mit einbezieht.
- Nutzung automatisierter State-of-the-Art-Sicherheitstechnologie, die nicht nur den Vorschriften entspricht, sondern auch den Mitarbeitern ermöglicht, mit den Tools, die sie benötigen, effizient zu arbeiten.
- Regelmäßige Information eines jeden Mitarbeiters im Unternehmen über die eigene Rolle bei der Verhinderung erfolgreicher Cyberangriffe.
Umfragemethode
Die Online-Umfrage wurde im Oktober 2015 von Redshift Research bei Unternehmen mit mehr als 1.000 Mitarbeitern in Großbritannien, Deutschland, Frankreich, den Niederlanden und Belgien durchgeführt. Teilgenommen haben 765 Business-Entscheider.
