Kein Konzept für IT-Sicherheit: A.T. Kearney greift DAX-Konzerne an

Die Berater lassen kein gutes Haar an der Security-Strategie der DAX30-Firmen. Ein Vorschlag: Den IT-Sicherheitsverantwortlichen dem CIO gleichstellen. [...]

In aller Schärfe kritisiert die Unternehmensberatung A.T. Kearney den Umgang deutscher Großunternehmen mit der IT-Sicherheit. Nach Einschätzung der Berater investieren die hiesigen Konzerne zu wenig Geld, arbeiten konzeptlos und mit einem auf Tools verengten Blick und üben falsche Zurückhaltung bei der Veröffentlichung von Hacker-Angriffen. A.T. Kearney stützt seine Kritik auf eine Auswertung der Jahresberichte der 30 DAX-Konzerne.
Auch die gängige Organisation der Informationssicherheit ist den Beratern ein Dorn im Auge. „Derjenige, der sich um die Informationssicherheit kümmert, muss dem CIO auf Augenhöhe begegnen und kritische Fragen stellen können“, fordert Michael Römer, Partner bei A.T. Kearney. 
Die meisten Sicherheitsverantwortlichen seien heute noch Teil der IT-Abteilung und oft auch nur auf der Sachbearbeiter-Ebene angesiedelt. Die Berater empfehlen nach Vorbild der Compliance-Verantwortung eine Ansiedlung außerhalb der IT – beispielsweise neben dem Revisionswesen.
 
A.T. Kearney bemängelt überdies, dass die Unternehmen zwar insgesamt 72,4 Milliarden Euro für ihre IT ausgeben, davon aber nur 2,5 Milliarden auf die IT-Sicherheit entfallen – also deutlich weniger als 4 Prozent. Dabei beziffere das Bundesinnenministerium den jährlichen Schaden für deutsche Firmen durch Industriespionage auf 50 Milliarden Euro. 95 Prozent der Unternehmen weltweit seien eine Zielscheibe für Cyber-Kriminelle oder massiv verwundbar.
„Das Thema Informationssicherheit hat trotz der Zunahmen an Hacker und Wirtschaftsspionage-Angriffen noch nicht den Stellwert im Management“, fasst Römer die Quintessenz der Studie zusammen. 27 der 30 Firmen widmeten sich zwar explizit dem Thema Informationssicherheit. Die im Bericht genannten Schutzmaßnahmen deuteten aber auf ein veraltetes Sicherheitsverständnis hin.

NECKERMANN, ADIDAS UND NORTEL WURDEN OPFER

Meist seien technische Einzelmaßnahmen wie der Einsatz von Antiviren-Software oder der Aufbau redundanter Systeme dokumentiert. Ein durchgängiges und ganzheitliches Konzept lasse sich in den meisten Fällen nicht erkennen. Lediglich jeder zehnte Bericht sei dazu geeignet, wirkliches Vertrauen aufzubauen.
Vorsichtig geschätzt wurde laut A.T. Kearney schon jedes vierte Unternehmen Opfer eines Computerangriffs. Wirtschaftsspione hätten es auf Marketingpläne, Kundenlisten oder Entwicklungsdaten abgesehen. Die Berater nennen prominente Beispiele.
 
So erbeuteten Unbekannte im Mai 2011 1,2 Millionen Kundendatensätze des Reiseunternehmens Neckermann. Sportartikelhersteller Adidas musste im Herbst vergangenen Jahres seine Website nach einem Hackerangriff vom Netz nehmen. Bei Nortel Networks hatten Datendiebe unbemerkt zehn Jahre lang uneingeschränkten Zugang.

FIRMEN REDEN NICHT ÜBER VORFÄLLE

Ein Problem ist nach Einschätzung der Berater, dass die Firmen bei derlei Vorfällen oft herumdrucksen und nicht offen darüber reden. „Weil sich Unternehmen aber nach wie vor scheuen, Fälle von Wirtschaftsspionage und Hackerangriffen publik zu machen, wirkt die Bedrohung kleiner als sie tatsächlich ist“, so die Berater. „Dadurch fehlt vielen Entscheidern insgesamt eine Sensibilität für die Größe des Problems.“
Die meisten Organisationen verfolgten keine ganzheitliche Strategie, um ihre Daten und ihr Know-how zu schützen. Stattdessen verließen sich die Verantwortlichen häufig auf technische Einzellösungen, die aber immer nur einen Teil der Gefahr abwehren können.

RAT: ASSESSMENT FÜR WERTVOLLE DATEN DURCHFÜHREN

Als versierter stellen die Berater die Hacker und Spione dar, die ihre Angriffe individuell auf das Opfer zuschnitten und Methoden verwendeten, die mit den klassischen Werkzeugen nicht abgewehrt werden können. „Diese neue Realität erfordert, verstärkt auf Erkennung und Abwehr laufender Angriffe zu setzen“, so A.T. Kearney.
 
Die Berater empfehlen, in einem Assessment die wertvollen Daten im Unternehmen zu identifizieren. Die Frage nach ihrer Absicherung sei als strategisch und geschäftskritisch einzustufen. Informationssicherheit sollte als ganzheitliche Funktion betrachtet und über die Abteilungsgrenzen hinweg angegangen werden.
* Werner Kurzlechner ist Redakteur der deutschen CIO.


Mehr Artikel

News

Bad Bots werden immer menschenähnlicher

Bei Bad Bots handelt es sich um automatisierte Softwareprogramme, die für die Durchführung von Online-Aktivitäten im großen Maßstab entwickelt werden. Bad Bots sind für entsprechend schädliche Online-Aktivitäten konzipiert und können gegen viele verschiedene Ziele eingesetzt werden, darunter Websites, Server, APIs und andere Endpunkte. […]

Frauen berichten vielfach, dass ihre Schmerzen manchmal jahrelang nicht ernst genommen oder belächelt wurden. Künftig sollen Schmerzen gendersensibel in 3D visualisiert werden (c) mit KI generiert/DALL-E
News

Schmerzforschung und Gendermedizin

Im Projekt „Embodied Perceptions“ unter Leitung des AIT Center for Technology Experience wird das Thema Schmerzen ganzheitlich und gendersensibel betrachtet: Das Projektteam forscht zu Möglichkeiten, subjektives Schmerzempfinden über 3D-Avatare zu visualisieren. […]

Be the first to comment

Leave a Reply

Your email address will not be published.


*