IT-Sicherheit in Produktion und Technik
12.09.17 - 13.09.17
In Berlin

Be CIO: IT Management im digitalen Wandel
13.09.17 - 13.09.17
In Köln

IBC 2017
14.09.17 - 18.09.17
In Amsterdam

Orbit IT-Forum: Auf dem Weg zum Arbeitsplatz der Zukunft
27.09.17 - 27.09.17
In Leverkusen

it-sa 2017
10.10.17 - 12.10.17
In Nürnberg

EY veröffentlicht Studie über das steigende Risiko von Cyber-Angriffen. Die mangelnde Investitionsbereitschaft der Unternehmen erschwert die Arbeit der Informationssicherheitsabteilungen. Die verwendete Technologie verfehlt heutige Anforderungen.

Zwar haben die Unternehmen bereits große Fortschritte im Umgang mit Cyber-Risiken gemacht, doch gerade in Zeiten sich ständig verändernder Technologien ist der Handlungsbedarf so groß wie nie: 59 Prozent der Unternehmen registrieren einen Anstieg externer Bedrohungen; bei knapp einem Drittel der Organisationen ist die Anzahl der Sicherheitsvorfälle in den vergangenen zwölf Monaten angestiegen. Gleichzeitig erfüllt die interne Informationssicherheit bei lediglich 17 Prozent der Unternehmen die Anforderungen der jeweiligen Organisation voll und ganz. Das ergab der aktuelle Global Information Security Survey 2013 „Under cyber attack“ der Prüfungs- und Beratungsgesellschaft Ernst & Young (EY). Für die Umfrage wurden fast 2.000 Manager auf C-Level aus 64 Ländern und verschiedenen Branchen befragt.

„Social Media, die Nutzung von mobilen Endgeräten, Cloud-Service-Angebote oder die Sammlung und Analyse von großen Datenmengen – die Schwachstellen für Unternehmen und die virtuellen Risiken steigen gemeinsam mit ihren Möglichkeiten. Wenn Unternehmen mit den sich immer rascher entwickelnden Technologien mithalten wollen, müssen sie schnell handeln. Denn die Frage ist mittlerweile nicht mehr, ob eine Firma von einem Hackerangriff getroffen wird, sondern lediglich wann. Solche Datendiebe sind oft gnadenlos: Wenn eine ihrer Taktiken fehlschlägt, fahren sie solange fort, bis sie die Abwehr des Unternehmens durchbrochen haben. Firmen sollten sich deshalb von der Vorstellung verabschieden, sich auf sämtliche Cases vorbereiten zu können. Vielmehr sollten sie ihre Stärken ausbauen und deutlich strategischer denken und handeln, um im Ernstfall schnell reagieren zu können“, sagt Matthias Struck, verantwortlicher Partner bei EY für den Bereich Information Risk Management.

Abteilungen für Informationssicherheit haben zu kleine Budgets

Budgetbeschränkungen hindern die Abteilungen für Informationssicherheit in den Unternehmen daran, ihre Aufgaben bestmöglich zu erfüllen: Ein zu geringes Budget ist für knapp zwei Drittel der Befragten die größte Herausforderung auf dem Weg zu mehr Informationssicherheit in der Organisation. Dabei haben im vergangenen Jahr bereits 43 Prozent der Unternehmen ihr Budget für Informationssicherheit erhöht. Und immerhin plant die Hälfte der Studienteilnehmer, das Budget in den kommenden zwölf Monaten noch einmal um fünf bis 25 Prozent zu erhöhen. Für die Hälfte aller Befragten ist der Mangel an qualifizierten Fachkräften ein weiterer wichtiger Hinderungsgrund für die Funktion Informationssicherheit.

Immer noch mangelt es häufig am Sicherheitsbewusstsein

Viele Aspekte des Informationssicherheitsmanagements in den Unternehmen sind teilweise mangelhaft: Lediglich 30 Prozent der Firmen schätzen das Sicherheitsbewusstsein und das entsprechende Know-how ihrer Mitarbeiter als ausgereift ein. Bei 29 Prozent der Studienteilnehmer fehlen diese Aspekte hingegen derzeit noch völlig oder sind unzureichend. „Es ist nicht überraschend, dass Unternehmen mit dem Reifegrad ihrer Sicherheitsmaßnahmen nicht zufrieden sind, denn die installierten Technologien und die jeweiligen Prozesse entsprechen nicht den heutigen Anforderungen“, sagt Lars Weimer, Executive Director bei EY und verantwortlich für Informationssicherheit bei Banken und Finanzorganisationen.

Informationssicherheit ist Chefsache

Das Thema Informationssicherheit sollte in der Verantwortung der obersten Führungsebene sein: Fast drei Viertel der Befragten siedeln die Festlegung von Richtlinien für die Informationssicherheit auf der höchsten Hierarchieebene im Unternehmen an. In zehn Prozent der Firmen berichtet der Leiter der Abteilung für Informationssicherheit direkt an den Geschäftsführer und in immerhin 35 Prozent der Unternehmen reportet er sicherheitsrelevante Themen vierteljährlich an den Vorstand.

Business Continuity/Disaster Recovery und Cyber-Risiken/ Bedrohungen sind die Top-Prioritäten

Für die Hälfte der Befragten zählen die Aufrechterhaltung der Geschäftstätigkeit und die Notfallwiederherstellung zu den zwei wichtigsten Prioritäten für die nächsten zwölf Monaten. Cyber-Risiken und Bedrohungen sind für 38 Prozent der Studienteilnehmer die Top-Priorität, während ein Viertel der Unternehmen ihren Schwerpunkt jeweils auf Data Leakage und Data Loss Prevention, Information Security Transformation oder Compliance Monitoring legen.

Hingegen setzen lediglich 24 Prozent der Befragten Threat and Vulnerability Management an die erste oder zweite Stelle ihrer Prioritätenliste; für 34 Prozent der Studienteilnehmer hat dieser Punkt sogar am wenigsten Priorität. „Dieses Ergebnis ist verwunderlich. Denn ein Cyber-Angriff kann zu jeder Zeit und an jedem Ort stattfinden. Für Unternehmen ist es von großer Wichtigkeit zu wissen, wo die Gefahren lauern und wo ihre Schwachstellen liegen. Um sich bestmöglich vorzubereiten, sollten Unternehmen dem Management von Bedrohungen und Schwachstellen deshalb mehr Beachtung schenken“, sagt Matthias Struck.

www.de.ey.com 

Frische IT-News gefällig?
IT Newsletter Hier bestellen:

Newsletter IT-Management
Strategien verfeinert mit profunden Beiträgen und frischen Analysen

Newsletter IT-Security
Pikante Fachartikel gewürzt mit Shortnews in Whitepaper-Bouquet