„Security as a Service 2023“ – Trügerische Selbsteinschätzung bestimmt das Bild

A1 Digital, Experte für Digitalisierung, veröffentlicht in Zusammenarbeit mit Foundry (CIO, CSO und COMPUTERWOCHE) eine Studie zum Stand der IT-Sicherheit in der DACH-Region 2023. [...]

Foto: DarwinLaganzon/Pixabay

Mehr als 70 Prozent der Unternehmen in Deutschland, Österreich und der Schweiz fühlen sich gut gewappnet gegen Angriffe auf das Unternehmen, die Daten und die Infrastruktur. Demgegenüber berichten 48 Prozent der Verantwortlichen von nennenswerten Schäden nach Cyberattacken.

Im Ernstfall vergehen nach eigenen Angaben vom Erkennen und Bewerten bis zum Auslösen des Krisenmanagements in 62 Prozent der befragten Unternehmen Stunden und Tage oder, schlimmer noch, die Betroffenen können die Lage nicht einschätzen. Die fatale Erkenntnis: Ein umfassendes Abwehrkonzept existiert in den betroffenen Unternehmen nicht.

Risikofaktor Selbsteinschätzung

In der Umfrage zeichnen die Unternehmen ein positives Selbstbild ihrer Sicherheitskompetenzen. Insgesamt bewerten 73 Prozent der Unternehmen ihre Fähigkeiten zur Erkennung von Cyberrisiken und Cyberangriffen als „gut“ oder „sehr gut“. Besonders selbstbewusst sind sogenannte KRITIS-Betreiber, also Unternehmen, die kritische Infrastrukturen betreiben: Von ihnen ordnen 79 Prozent ihre Fähigkeiten mindestens „gut“ ein, bei den nicht-KRITIS-Unternehmen sind es rund 60 Prozent.

Größere Unterschiede gibt es in der Selbsteinschätzung innerhalb der verschiedenen Abteilungen von Unternehmen. 81 Prozent der Entscheider im IT-Bereich fühlen sich in der Lage, Cyber-Angriffe zu erkennen. Weniger zuversichtlich sind die Fachabteilungen (50 Prozent) und die Geschäftsführung (66 Prozent).

Aber auch nach größeren Schadensfällen bewerten 80 Prozent der betroffenen Unternehmen ihre Abwehr als „gut“ oder „sehr gut“. Die größten technischen Herausforderungen sehen Unternehmen in der wachsenden Bedrohung durch immer komplexere Cyberangriffe sowie den fehlenden Informationen über den Wert von bedrohten Daten und Prozessen (je 45 Prozent).

„Wie die Studie zeigt, ist die Selbstwahrnehmung in der Welt der Cybersicherheit oft trügerisch und kann zu einem falschen Sicherheitsgefühl führen“, erläutert Thomas Snor, Leiter Cybersecurity bei A1 Digital. „Unternehmen müssen die Komplexität und Vielschichtigkeit der Bedrohungen erkennen.

Es reicht nicht aus, sich auf vergangenen Erfolge auszuruhen. Stattdessen ist es entscheidend, proaktiv zu handeln, Strategien regelmäßig anzupassen und sich auf die sich ständig verändernde Landschaft der Cyberbedrohungen einzustellen.“

CISO oder IT?

Überraschenderweise haben nicht die CISOs (11,5 Prozent), sondern die CIOs (22 Prozent) den größeren Einfluss auf Sicherheitsentscheidungen. Die Entscheidungsgewalt der CIOs über Sicherheitsdienstleistungen steigt mit der Unternehmensgröße.

„Nur 12 Prozent der CISOs treffen tatsächlich Security-Entscheidungen; meist werden diese vom CIO getroffen“, so Snor. „Der CISO wäre meines Erachten besser in der Organisation des CFOs aufgehoben, da dort die Expertise für Risiko-Management und -bewertung sitzt. Hier kann die brennende Frage nach dem Wert der Daten im Kontext des Gesamtrisikos des Unternehmens am kompetentesten beantwortet werden.“

Der Faktor Mensch als Schwachstelle und als Mangelware

Nachlässige Mitarbeiter werden von knapp 37 Prozent als Ursache für erfolgreiche Angriffe genannt. Auf der anderen Seite werden selbstkritisch die Ausbildung und mangelnde IT-Sicherheitserfahrung der Mitarbeiter mit 36,7 Prozent unter den Top drei der größten Herausforderungen genannt.

Fast jeder fünfte Befragte beklagt im Zusammenhang mit organisatorischen Herausforderungen in der Zukunft einen Mangel an Fachkräften aus dem IT-Security Bereich.

Eine Frage der Organisation

Die größte organisatorische Herausforderung im Bereich der IT-Sicherheit sehen Unternehmen in der Umsetzung von Sicherheitsstandards (44 Prozent) und der Überwachung ihrer Einhaltung (39 Prozent). Die Budgets sind nur für ein Viertel ein großes Hindernis.

Die Unternehmensgröße beeinflusst die Wahrnehmung: Bei großen Unternehmen mit mehr als 1.000 Mitarbeitern sieht knapp die Hälfte die Umsetzung von Standards als Herausforderung, bei Unternehmen mit weniger als 500 Mitarbeitern sind es 44 Prozent. KRITIS-Organisationen bewerten die Herausforderung durch Standards mit 43 Prozent geringer als Nicht-KRITIS-Betreiber (48 Prozent).

Aus technischer Sicht sind komplexe Cyber-Angriffe (45 Prozent), fehlende Informationen über Bedrohungen (45 Prozent) und Datensicherung in der Cloud (43 Prozent) die drei größten Herausforderungen.

Bemerkenswert ist auch, dass nur drei Prozent der Unternehmen keinen Dienstleister für ihre IT-Sicherheit nutzen. 28 Prozent setzen auf die Unterstützung wenigstens eines Dienstleisters, mehr als die Hälfte der Unternehmen nutzt sogar zwei bis fünf Dienstleister.

Insgesamt lagern Unternehmen IT-Sicherheitsaufgaben zunehmend aus. Knapp 40 Prozent vertrauen auf Dienstleister für die Überwachung von Sicherheitsrichtlinien, die Umsetzung von Sicherheitsprozessen und technischer Systeme.

Wichtig ist in diesem Zusammenhang die Vertrauenswürdigkeit des Serviceanbieters, und 47 Prozent der Befragten erwarten, dass das Unternehmen seinen Sitz in Deutschland hat.

Der Link zur Studie findet sich hier: Security as a Service 2023


Mehr Artikel

Frauen berichten vielfach, dass ihre Schmerzen manchmal jahrelang nicht ernst genommen oder belächelt wurden. Künftig sollen Schmerzen gendersensibel in 3D visualisiert werden (c) mit KI generiert/DALL-E
News

Schmerzforschung und Gendermedizin

Im Projekt „Embodied Perceptions“ unter Leitung des AIT Center for Technology Experience wird das Thema Schmerzen ganzheitlich und gendersensibel betrachtet: Das Projektteam forscht zu Möglichkeiten, subjektives Schmerzempfinden über 3D-Avatare zu visualisieren. […]

News

KI ist das neue Lernfach für uns alle

Die Mystifizierung künstlicher Intelligenz treibt mitunter seltsame Blüten. Dabei ist sie weder der Motor einer schönen neuen Welt, noch eine apokalyptische Gefahr. Sie ist schlicht und einfach eine neue, wenn auch höchst anspruchsvolle Technologie, mit der wir alle lernen müssen, sinnvoll umzugehen. Und dafür sind wir selbst verantwortlich. […]

Case-Study

Erfolgreiche Migration auf SAP S/4HANA

Energieschub für die IT-Infrastruktur von Burgenland Energie: Der Energieversorger hat zusammen mit Tietoevry Austria die erste Phase des Umstieges auf SAP S/4HANA abgeschlossen. Das burgenländische Green-Tech-Unternehmen profitiert nun von optimierten Finanz-, Logistik- und HR-Prozessen und schafft damit die Basis für die zukünftige Entflechtung von Energiebereitstellung und Netzbetrieb. […]

FH-Hon.Prof. Ing. Dipl.-Ing. (FH) Dipl.-Ing. Dr. techn. Michael Georg Grasser, MBA MPA CMC, Leiter FA IT-Infrastruktur der Steiermärkischen Krankenanstaltengesellschaft m.b.H. (KAGes). (c) © FH CAMPUS 02
Interview

Krankenanstalten im Jahr 2030

Um sich schon heute auf die Herausforderungen in fünf Jahren vorbereiten zu können, hat die Steiermärkische Krankenanstaltengesellschaft (KAGes) die Strategie 2030 formuliert. transform! sprach mit Michael Georg Grasser, Leiter der Fachabteilung IT-Infrastruktur. […]

Be the first to comment

Leave a Reply

Your email address will not be published.


*