Anzeige

Cyber Security

Mit der rapide ansteigenden Digitalisierung in Unternehmen, entstehen für die IT-Sicherheit neue Stolpersteine. Während Mitarbeiter sich über neue Technologien oder Konzepte aus den Bereichen Bring your own Device, Internet of Things und Co. freuen, schlagen in den IT-Abteilungen aus Sicherheitssicht die Alarmglocken.

Ungesicherte Geräte, das Nutzen öffentlicher W-Lans mit dem eigenen Smartphone oder täuschend echt wirkende E-Mails mit verseuchten Anhängen – die Angriffsvektoren für Cyberattacken sind vielfältig. Wer sich fahrlässig den Gefahren aussetzt, der muss mit schweren finanziellen oder auch imagetechnischen Konsequenzen leben.

Um das zu verhindern, müssen Unternehmen die IT-Sicherheit fest in der Unternehmensstrategie verankern. Nur so kann gewährleistet werden, dass alle an einem Strang ziehen und die IT-Sicherheit den Stellenwert bekommt, den sie dringend benötigt und verdient.

Genießt die IT-Sicherheit den notwendigen Stellenwert? Sind die Mitarbeiter für die Gefahr sensibilisiert worden? Welche technischen und mitarbeiterzentrierten Maßnahmen sind besonders wichtig?

Um diese Fragen zu beantworten, wurden im Rahmen der Studie „IT-Sicherheit im Mittelstand“ von DriveLock und techconsult 202 Unternehmen aller Branchen zu ihren IT-Sicherheitsmaßnahmen untersucht. Knapp die Hälfte der Befragten waren IT-Leiter und CIOs sowie IT-Mitarbeiter, -Administratoren und -Spezialisten. Die zweite Hälfte setzte sich zusammen aus weiteren C-Level-Positionen – CISOs eingeschlossen – Compliance-Spezialisten und Sicherheits- und Datenschutzbeauftragten.

Sicherheit im Mittelstand

Cyberangriffe sind längst als ernstzunehmende Bedrohung im Bewusstsein deutscher Unternehmen angekommen. Doch die Intensität, mit der gegen diese Angriffe vorgegangen wird, unterscheidet sich je nach Branche und Unternehmensgröße. Laut der Studie, hat die IT-Sicherheit einen größeren Stellenwert, je größer das Unternehmen ist. Stellt man sich die Frage, wieso mit steigender Unternehmensgröße die Implementation von IT-Sicherheit in die Unternehmensstrategie anwächst, lässt sich dies auch mit der Rollenverteilung in den Unternehmen erklären. In kleinen Unternehmen sind die Geschäftsführung und der IT-Leiter oftmals für die IT-Sicherheit verantwortlich. In größeren Unternehmen bewegt sich die Verantwortlichkeit von der Geschäftsführung hin zu einem dedizierten IT-Security-Leiter. Im Gegensatz zum Geschäftsführer oder IT-Leiter kann der IT-Security-Leiter mit deutlich mehr Expertise aufwarten, als es die Generalisten können.

Zuständigkeiten, Stellenwert und Umsetzung

Der IT-Leiter ist in fast allen Unternehmen haupt- oder mitverantwortlich für die IT-Sicherheit (83%). In 64 Prozent der Fälle ist es der IT-Security-Leiter. 27 Prozent der Unternehmen besetzen diese Position nicht einmal. Ähnlich schwach vertreten sind Compliance- und Governance-Verantwortliche. Die Position ist bei mehr als zwei Drittel der Unternehmen nicht vorhanden. Falls doch, haben sie im Vergleich den geringsten Einfluss (40%) auf Prozesse der IT-Sicherheit.

Die Studienergebnisse zum Thema Stellenwert sind leider ebenso wenig überraschend: Je kleiner die Unternehmen, umso seltener ist IT-Sicherheit Teil der Unternehmensstrategie. 50 beziehungsweise 42 Prozent der Unternehmen mit weniger als 50 oder 50-249 Mitarbeitern setzen Security-Maßnahmen proaktiv nur punktuell um, zum Beispiel im Rahmen von Gesetzesvorgaben oder erst nach einem Sicherheitsvorfall. Selbst bei Großunternehmen mit über 500 Mitarbeitern liegt dieser Wert noch bei 32 Prozent. Die verbleibenden 68 Prozent der Unternehmen in dieser Größenordnung sehen IT-Sicherheit als einen zentralen Bestandteil ihrer Unternehmensstrategie. Ein Grund für den hohen Anteil an punktuellen Maßnahmen ist sicherlich, dass beim Großteil der Unternehmen der IT-Leiter neben seinen zahlreichen anderen Pflichten auch für Security zuständig ist. Da ist es wenig erstaunlich, dass Cybersicherheit nur dann Beachtung findet, wenn unbedingt erforderlich wie bei der DSGVO.

In Sachen Umsetzung setzen die Unternehmen größtenteils immer noch auf die Klassiker: Lösungen wie Firewall (67%), Spamfilter (63%) und Antivirus (62%) führen die Liste an. Auch das zeigt, dass Security häufig nebenbei gehandhabt wird. Viele Unternehmen setzen einfach auf diese drei Basics bei der Umsetzung ihrer IT-Sicherheit. Das überrascht nicht, denn diese Lösungen sind bereits seit vielen Jahren etabliert – sowohl in Unternehmen als auch privat. Dahinter folgen Schulungen (57%) und Sensibilisierungskampagnen (50%) für die eigenen Mitarbeiter – noch vor Verschlüsselungstechnologien (ca. 49%).

Bei der tatsächlichen Umsetzung der einzelnen Bereiche existiert jedoch eine Diskrepanz zwischen Wunsch und Wirklichkeit. Eigentlich dürfte es kein Unternehmen geben, das Probleme mit Antivirus, Firewall oder E-Mail-Sicherheit hat. Doch leider sind immer noch 20 Prozent der Unternehmen in diesem Bereich nicht gut aufgestellt. Das heißt, dass ihre eingesetzte Lösung entweder nicht zufriedenstellend funktioniert und Malware trotzdem durchkommt oder aber diese überhaupt nicht vorhanden ist.

Inhouse oder outsourced?

IT-Sicherheit lässt sich in verschiedenen Bereitstellungsformen angehen. Das fängt beim klassischen Inhouse-Betrieb an, über Teilauslagerungen einzelner IT-Security-Bereiche bis hin zum kompletten Outsourcen der gesamten IT-Sicherheit.

Das Management durch externe Dienstleister ist besonders bei der kleinsten Unternehmensgröße mit 50 Prozent (gesamt 35%) eine der wichtigsten Eigenschaften bei der Wahl von Security-Leistungen. Generell sind externe Security Provider für Unternehmen, die sich nicht selbst um ihre Sicherheitsstrategie kümmern können beziehungsweise wollen, am sinnvollsten. Das ist besonders dann der Fall, wenn es Unternehmen an Ressourcen mangelt wie Security-Fachkräfte oder -Know-how. Das bedeutet auch: Je größer das Unternehmen ist, desto eher wird die IT-Sicherheit im eigenen Haus betrieben.

Fazit

Laut der Studie könnte der Mittelstand durchaus mehr für die IT-Sicherheit tun. Zwar ist sie wichtiger Bestandteil der eigenen Unternehmensstrategie, dennoch hat sie in kleineren Unternehmen deutlich seltener einen Platz in eben dieser.

Die komplette Studie kann unter folgender URL herunter geladen werden.

Martin Mangold,Vice President Cloud Operations DriveLock, www.drivelock.de

 


Artikel zu diesem Thema

Blitz
Dez 25, 2020

Cyberangriffe: Der Blitz schlägt auch zweimal an der gleichen Stelle ein

Der Blitz schlägt nicht zweimal an der gleichen Stelle ein, lautet ein altes Sprichwort.…
Cyberattacke
Dez 21, 2020

Vermehrte Cyberattacken auf Logistikunternehmen

2020 war für die Logistikbranche ein disruptives Jahr. Mit dem drastischen Wachstum des…
Cyber Security
Dez 11, 2020

IT-Sicherheitsprüfungen: Sind Sie in der Verteidigung oder in der Offensive?

Wissen Sie, wie lange es dauert, Ihre IT-Sicherheitsmaßnahmen zu umgehen und in Ihr…

Weitere Artikel

Cyber Security

SASE etabliert sich als zentraler Trend der IT-Sicherheit

Unternehmen müssen die Sicherheit ihrer IT-Infrastruktur neu definieren, weil immer mehr Mitarbeiter im Homeoffice arbeiten.
Olympische Spiele

Cybersicherheit bei den Olympischen Spielen in Tokio

Seit den Olympischen Spielen 2004 in Athen ist Cybersicherheit ein immer wichtigeres Thema sowohl für Gastgeberländer als auch das Internationale Olympische Komitee (IOC). Die wachsende Abhängigkeit der Abläufe von der IT-Infrastruktur hat zu erhöhten…
rote Ampel

Wenn die Software-Ampel auf Rot springt

Fast jedes Unternehmen hat Software im Einsatz, die in die Jahre gekommen ist. Das kann ein Problem sein – muss es aber nicht. Ein Ampelprinzip hilft bei der Einschätzung, ob Handlungsbedarf besteht, erläutert der IT-Dienstleister Avision.
Smart City

Inwieweit können wir die Smart City von morgen schützen?

Die Stadt von morgen birgt viele Versprechen für Bürger und Unternehmen, angefangen bei der leichteren Nutzung von Onlinediensten der Stadtverwaltungen bis hin zum flüssigeren Verkehr. Doch jeder neue digitale Dienst ist auch eine zusätzliche Chance für…
Cloud Computing

Multi-Cloud-Umgebungen bringen größere Sicherheitsherausforderungen mit sich

Tripwire, Anbieter von Sicherheits- und Compliance-Lösungen für Unternehmen und Industrie, stellt die Ergebnisse seiner neuen Umfrage vor. Sie bewertet Cloud-Sicherheitspraktiken in Unternehmensumgebungen für das laufende Jahr 2021.

Anzeige

Jetzt die smarten News aus der IT-Welt abonnieren! 💌

Mit Klick auf den Button "Zum Newsletter anmelden" stimme ich der Datenschutzerklärung zu.