Thought Leadership
Mit der rapide ansteigenden Digitalisierung in Unternehmen, entstehen für die IT-Sicherheit neue Stolpersteine. Während Mitarbeiter sich über neue Technologien oder Konzepte aus den Bereichen Bring your own Device, Internet of Things und Co. freuen, schlagen in den IT-Abteilungen aus Sicherheitssicht die Alarmglocken.
Ungesicherte Geräte, das Nutzen öffentlicher W-Lans mit dem eigenen Smartphone oder täuschend echt wirkende E-Mails mit verseuchten Anhängen – die Angriffsvektoren für Cyberattacken sind vielfältig. Wer sich fahrlässig den Gefahren aussetzt, der muss mit schweren finanziellen oder auch imagetechnischen Konsequenzen leben.
Um das zu verhindern, müssen Unternehmen die IT-Sicherheit fest in der Unternehmensstrategie verankern. Nur so kann gewährleistet werden, dass alle an einem Strang ziehen und die IT-Sicherheit den Stellenwert bekommt, den sie dringend benötigt und verdient.
Genießt die IT-Sicherheit den notwendigen Stellenwert? Sind die Mitarbeiter für die Gefahr sensibilisiert worden? Welche technischen und mitarbeiterzentrierten Maßnahmen sind besonders wichtig?
Um diese Fragen zu beantworten, wurden im Rahmen der Studie „IT-Sicherheit im Mittelstand“ von DriveLock und techconsult 202 Unternehmen aller Branchen zu ihren IT-Sicherheitsmaßnahmen untersucht. Knapp die Hälfte der Befragten waren IT-Leiter und CIOs sowie IT-Mitarbeiter, -Administratoren und -Spezialisten. Die zweite Hälfte setzte sich zusammen aus weiteren C-Level-Positionen – CISOs eingeschlossen – Compliance-Spezialisten und Sicherheits- und Datenschutzbeauftragten.
Sicherheit im Mittelstand
Cyberangriffe sind längst als ernstzunehmende Bedrohung im Bewusstsein deutscher Unternehmen angekommen. Doch die Intensität, mit der gegen diese Angriffe vorgegangen wird, unterscheidet sich je nach Branche und Unternehmensgröße. Laut der Studie, hat die IT-Sicherheit einen größeren Stellenwert, je größer das Unternehmen ist. Stellt man sich die Frage, wieso mit steigender Unternehmensgröße die Implementation von IT-Sicherheit in die Unternehmensstrategie anwächst, lässt sich dies auch mit der Rollenverteilung in den Unternehmen erklären. In kleinen Unternehmen sind die Geschäftsführung und der IT-Leiter oftmals für die IT-Sicherheit verantwortlich. In größeren Unternehmen bewegt sich die Verantwortlichkeit von der Geschäftsführung hin zu einem dedizierten IT-Security-Leiter. Im Gegensatz zum Geschäftsführer oder IT-Leiter kann der IT-Security-Leiter mit deutlich mehr Expertise aufwarten, als es die Generalisten können.
Zuständigkeiten, Stellenwert und Umsetzung
Der IT-Leiter ist in fast allen Unternehmen haupt- oder mitverantwortlich für die IT-Sicherheit (83%). In 64 Prozent der Fälle ist es der IT-Security-Leiter. 27 Prozent der Unternehmen besetzen diese Position nicht einmal. Ähnlich schwach vertreten sind Compliance- und Governance-Verantwortliche. Die Position ist bei mehr als zwei Drittel der Unternehmen nicht vorhanden. Falls doch, haben sie im Vergleich den geringsten Einfluss (40%) auf Prozesse der IT-Sicherheit.
Die Studienergebnisse zum Thema Stellenwert sind leider ebenso wenig überraschend: Je kleiner die Unternehmen, umso seltener ist IT-Sicherheit Teil der Unternehmensstrategie. 50 beziehungsweise 42 Prozent der Unternehmen mit weniger als 50 oder 50-249 Mitarbeitern setzen Security-Maßnahmen proaktiv nur punktuell um, zum Beispiel im Rahmen von Gesetzesvorgaben oder erst nach einem Sicherheitsvorfall. Selbst bei Großunternehmen mit über 500 Mitarbeitern liegt dieser Wert noch bei 32 Prozent. Die verbleibenden 68 Prozent der Unternehmen in dieser Größenordnung sehen IT-Sicherheit als einen zentralen Bestandteil ihrer Unternehmensstrategie. Ein Grund für den hohen Anteil an punktuellen Maßnahmen ist sicherlich, dass beim Großteil der Unternehmen der IT-Leiter neben seinen zahlreichen anderen Pflichten auch für Security zuständig ist. Da ist es wenig erstaunlich, dass Cybersicherheit nur dann Beachtung findet, wenn unbedingt erforderlich wie bei der DSGVO.
In Sachen Umsetzung setzen die Unternehmen größtenteils immer noch auf die Klassiker: Lösungen wie Firewall (67%), Spamfilter (63%) und Antivirus (62%) führen die Liste an. Auch das zeigt, dass Security häufig nebenbei gehandhabt wird. Viele Unternehmen setzen einfach auf diese drei Basics bei der Umsetzung ihrer IT-Sicherheit. Das überrascht nicht, denn diese Lösungen sind bereits seit vielen Jahren etabliert – sowohl in Unternehmen als auch privat. Dahinter folgen Schulungen (57%) und Sensibilisierungskampagnen (50%) für die eigenen Mitarbeiter – noch vor Verschlüsselungstechnologien (ca. 49%).
Bei der tatsächlichen Umsetzung der einzelnen Bereiche existiert jedoch eine Diskrepanz zwischen Wunsch und Wirklichkeit. Eigentlich dürfte es kein Unternehmen geben, das Probleme mit Antivirus, Firewall oder E-Mail-Sicherheit hat. Doch leider sind immer noch 20 Prozent der Unternehmen in diesem Bereich nicht gut aufgestellt. Das heißt, dass ihre eingesetzte Lösung entweder nicht zufriedenstellend funktioniert und Malware trotzdem durchkommt oder aber diese überhaupt nicht vorhanden ist.
Inhouse oder outsourced?
IT-Sicherheit lässt sich in verschiedenen Bereitstellungsformen angehen. Das fängt beim klassischen Inhouse-Betrieb an, über Teilauslagerungen einzelner IT-Security-Bereiche bis hin zum kompletten Outsourcen der gesamten IT-Sicherheit.
Das Management durch externe Dienstleister ist besonders bei der kleinsten Unternehmensgröße mit 50 Prozent (gesamt 35%) eine der wichtigsten Eigenschaften bei der Wahl von Security-Leistungen. Generell sind externe Security Provider für Unternehmen, die sich nicht selbst um ihre Sicherheitsstrategie kümmern können beziehungsweise wollen, am sinnvollsten. Das ist besonders dann der Fall, wenn es Unternehmen an Ressourcen mangelt wie Security-Fachkräfte oder -Know-how. Das bedeutet auch: Je größer das Unternehmen ist, desto eher wird die IT-Sicherheit im eigenen Haus betrieben.
Fazit
Laut der Studie könnte der Mittelstand durchaus mehr für die IT-Sicherheit tun. Zwar ist sie wichtiger Bestandteil der eigenen Unternehmensstrategie, dennoch hat sie in kleineren Unternehmen deutlich seltener einen Platz in eben dieser.
Die komplette Studie kann unter folgender URL herunter geladen werden.
Martin Mangold,Vice President Cloud Operations DriveLock, www.drivelock.de
