IT-Sicherheit ist (auch) in Österreich keine Chefsache

Sophos stellt Unternehmensleitungen in Handel, Dienstleistung und verarbeitendem Gewerbe die Gretchenfrage: Sag, Chef, wie hältst du´s mit der IT-Sicherheit? [...]

(Quelle: Sophos)

Es gibt zahlreiche gute Gründe, die Sicherheit der Daten in Unternehmen und Organisationen strategisch zur Chefsache zu erklären: Angefangen bei einer fortschreitenden Komplexität der Unternehmens-IT, Datenschutzregularien, Homeoffice, mobilem Arbeiten und Einbindung von IOT (Internet of Things) über  prominente Cyberattacken auf Großunternehmen oder Einflussnahmen von Hackergruppen auf politische Entwicklungen bis hin zu spezialisierten Cyberangriffen auf kritische Infrastrukturen oder vulnerable Branchen wie das Gesundheitswesen.

Dies sind einige willkürlich gewählte Beispiele, die Liste ist lang. Zunehmend wird ergo auch aus Fachkreisen gefordert, Schutz der Unternehmens-IT zum Managementthema zu machen.

Welche Bedeutung hat das Thema IT-Sicherheit aber tatsächlich ganz oben in den Chefetagen deutscher, österreichischer und Schweizer Unternehmen? Wie hoch schätzen die Unternehmensführungen die Gefahr cyberkrimineller Angriffe ein und welche Folgen für das operative Geschäft aufgrund von Hacker-Attacken erwarten sie am ehesten? Hat die aktuelle weltpolitische Lage einen Einfluss auf Wahrnehmung und Entscheidungen hinsichtlich der IT-Sicherheit?

Diese und eine Reihe weiterer Aspekte wollte das IT-Sicherheitsunternehmen Sophos in einer breit angelegten Studie herausfinden.

Das Meinungsforschungsinstitut Ipsos hat hierfür im Frühsommer dieses Jahres hohe und höhere Führungskräfte (C-Level) in den drei Ländern befragt. IT-Personal wurde hierbei ausdrücklich ausgenommen.

Einige wichtige Erkenntnisse für Österreich aus der Studie in der Übersicht:

  • IT-Sicherheit ist in Österreich keine Chefsache. Die IT-Abteilungen sind in der Verantwortung. Ein Drittel der Unternehmen setzt auf externe IT-Dienstleistungen.
  • Weltpolitische Lage und Krieg haben wenig Einfluss auf das Sicherheits-Bewusstsein bei Managerinnen und Managern. Nur ein Drittel sieht durch die aktuelle weltpolitische Lage den Blick für IT-Sicherheit nochmal geschärft.
  • Österreichs Chefetagen wiegen sich bei IT-Sicherheit in Sicherheit. Die Mehrheit gibt an, bereits seit längerem gut gewappnet zu sein.
  • C-Level-Verantwortliche erwarten insbesondere wirtschaftliche Folgen durch Cyberangriffe, insbesondere Wiederherstellungskosten oder Störungen der kaufmännischen Abläufe. Aber auch ein Imageverlust bereitet den Österreichern mit Platz 3 Sorgen.
  • Unternehmen in Deutschland, Österreich und der Schweiz mit sehr ähnlichen Ergebnissen

Höher aufgehängt und doch: IT-Sicherheit ist keine Chefsache. Die IT ist in der Pflicht.

Die große Mehrheit der befragten Manager (rund 81 Prozent) gibt an, ein hohes bis sehr hohes Bewusstsein für IT-Sicherheit zu haben. Auch wurde den Angaben aller Befragten zufolge in der Mehrheit der Unternehmen (über 60 Prozent) die IT-Sicherheit innerhalb der zurückliegenden drei Jahre auf eine höhere bzw. die höchste Hierarchieebene angesiedelt.

Hier offenbart sich ein interessanter Widerspruch, denn bei der Frage nach der tatsächlichen Verantwortung für die IT-Sicherheit zeigt sich dann doch ein anderes, durchaus zu erwartendes Bild: Je größer die Unternehmen sind, desto weniger steht die Führungsebene in der Verantwortung. Dies gilt vor allem für Unternehmen mit mehr als 200 Mitarbeitenden.

Die Hauptverantwortung für Cybersicherheit trägt in größeren Unternehmen zu 47,1 Prozent die eigene IT-Abteilung, bei 33,3 Prozent der kleineren Unternehmen sind ebenfalls die eigenen IT-Teams in der Pflicht. Mit 29,4 Prozent bei den größeren sowie 33,3 Prozent bei den kleineren Unternehmen überträgt zudem jeweils ein Drittel aller Unternehmen die Verantwortung für ihre IT-Sicherheit auf externe Dienstleister.

Wenig Ukraine-Effekt: Österreichs Chefetagen wähnen sich in IT-Sicherheit

Selbstverständlich war es Sophos auch ein Anliegen zu erfahren, ob und inwieweit sich angesichts der weltpolitischen Lage – nicht zuletzt des aktuellen Kriegs in Europa, der bereits weit lange vor dem eigentlichen Einmarsch Russlands in die Ukraine auf Cyberebene tobte – die Wahrnehmung und Bedeutung von IT-Sicherheit innerhalb der letzten zwei Jahre verändert haben.

Für 37,7 Prozent ist die Cyber-Sicherheit insgesamt noch wichtiger geworden: Größere Unternehmen machen sich mit knapp 53 Prozent mehr Sorgen als kleinere Betriebe (31 Prozent).

Mehrheitlich jedoch fühlt man sich offenbar sehr sicher: 55 Prozent insgesamt (61 Prozent der kleineren und 41 Prozent der größeren Unternehmen) geben an, dass sich hinsichtlich des Bewusstseins für das Thema Cybersicherheit in den letzten zwei Jahren nichts verändert habe und man hierfür bereits gut aufgestellt gewesen sei.

Auch in Bezug auf die bestehenden IT-Sicherheitsstrukturen im Unternehmen herrscht Zufriedenheit: 62,2 Prozent geben an, Ihr Unternehmen sei gut bis sehr gut gegen Cyberattacken gewappnet.

Einen cyberkriminellen Angriff auf ihr Unternehmen halten gut 47 Prozent für wahrscheinlich bis sehr wahrscheinlich, knapp 51 Prozent betrachten diesen Fall als eher unwahrscheinlich. 

Cyberattacken-Folgen: Zusatzkosten größte Sorge, Imageverlust auf Platz drei

Mit Blick auf die Folgen eines Cyberangriffs gilt die in österreichischen Chefetagen meistgenannte Sorge den dadurch entstehenden Kosten – etwa durch eine notwendige Wiederherstellung des Geschäftsbetriebs (56,6 Prozent). Die möglichen Unterbrechungen der kaufmännischen Abläufe stehen am zweithäufigsten im Fokus (54,7 Prozent).

Ein Interessanter Aspekt hierbei gegenüber den deutschsprachigen Nachbarländern: ein negativer Einfluss auf Image und Märkte wird als wirtschaftliche Auswirkungen immerhin an dritter Stelle genannt (26,4 Prozent), mit kaum Unterschieden bei Unternehmensgröße und Altersstruktur.

Am Ende der Sorgen stehen Bußgelder aufgrund von Datenschutzverletzungen (3,8 Prozent), Zahlungsunfähigkeit (5,7 Prozent) und Verlust von Beschäftigten. Mit Kundenverlusten rechnen 15 Prozent. Lieferkettenprobleme sind für die größeren Unternehmen durchaus ein Problem (35 Prozent zu 13 Prozent in der Gesamtnennung).

Chester Wisniewski: International (leider) ein ähnliches Bild

„Die Ergebnisse in der DACH-Region sind zwar enttäuschend, entsprechen aber dem, was wir in Nordamerika, ASEAN und anderen Regionen beobachten“, kommentiert Chester Wisniewski, Principal Research Scientist bei Sophos die Ergebnisse der Studie.

„Leider wird die Sicherheit, wenn sie als Bestandteil der IT verwaltet wird, in der Regel auf den Status einer Aufgabe zurückgestuft, anstatt eine Priorität zu sein. Die Rolle des Sicherheitsteams besteht darin, Risiken zu identifizieren und dem Vorstand dabei zu helfen, diese Risiken nach Prioritäten zu ordnen, wohingegen die IT-Abteilung die Aufgabe hat, die erforderlichen Änderungen zu implementieren, je nachdem, wie diese Risiken angegangen werden sollen.“

Auch, was die Bedeutung der IT-Sicherheit vor dem Hintergrund der weltpolitischen Lage angeht, scheint weltweit einhellige Gelassenheit zu sorgen. Wiesniewski: „Der Krieg in der Ukraine hat die Einstellungen nicht wirklich verändert, abgesehen von den kritischen US-Infrastrukturen. Die US-amerikanische CISA-Agentur hat ihre Bemühungen zur Verbesserung des Sicherheitsbewusstseins und in einigen Fällen der Meldepflichten für Anbieter kritischer Infrastrukturen verstärkt, aber außerhalb der USA oder in anderen Unternehmen des privaten Sektors sind keine großen Bedenken oder Maßnahmen zu erkennen.“

Über die Umfrage:
Ipsos hat im Auftrag von Sophos 201 C-Level-Managerinnen und -Manager aus Handel, Dienstleitung und verarbeitendem Gewerbe in Deutschland sowie jeweils 50 in Österreich und der Schweiz zum Thema IT-Sicherheit in ihren Unternehmen befragt.


Mehr Artikel

News

Große Sprachmodelle und Data Security: Sicherheitsfragen rund um LLMs

Bei der Entwicklung von Strategien zur Verbesserung der Datensicherheit in KI-Workloads ist es entscheidend, die Perspektive zu ändern und KI als eine Person zu betrachten, die anfällig für Social-Engineering-Angriffe ist. Diese Analogie kann Unternehmen helfen, die Schwachstellen und Bedrohungen, denen KI-Systeme ausgesetzt sind, besser zu verstehen und robustere Sicherheitsmaßnahmen zu entwickeln. […]

Be the first to comment

Leave a Reply

Your email address will not be published.


*