Zu wenig Fokus auf IT-Sicherheit

Unternehmen, die sich einer Digitalen Transformation stellen, stehen vor organisatorischen, prozessualen, kulturellen und technologischen Herausforderungen. Die Komplexität wird größer. Gerade bei unternehmensübergreifenden Prozessen steigt die Gefahr von Hackerangriffen massiv. Darauf müssen die Unternehmen reagieren. Wie CIOs sich diesen Herausforderungen stellen und wie stark die Business-Perspektive bereits berücksichtigt wird, hat Lünendonk im Rahmen einer aktuellen Studie analysiert. Es zeigt sich: Die meisten Unternehmen arbeiten bei IT-Sicherheit und auch Risk Management noch zu sehr auf der technischen Ebene.

Angesichts der vielfältigen Berichte über Hackerangriffe verwundert es nicht, dass 58 Prozent der von Lünendonk befragten IT-Entscheider und 45 Prozent der Business-Entscheider die Themen für maximal unternehmenskritisch halten. Auf einer Skala von 1 (»untergeordnete Bedeutung«) bis 10 (»unternehmens-kritische Bedeutung«) vergaben diese Teilnehmer die Höchstnote. Mehr als 98 Prozent der Teilnehmer bewerten die Bedeutung von IT-Security und Risk Management mindestens mit der Note 8.

Zu dieser hohen Wahrnehmung haben sicherlich auch die erfolgreichen Hackerangriffe und Datenverluste bei namhaften Unternehmen wie Visa beigetragen. In manchen Studien werden die Unternehmen nur noch in zwei Kategorien unterteilt: Unternehmen, die bereits einen Hackerangriff oder Sicherheitsvorfall erlebt haben und diejenigen, denen diese Erfahrung noch bevorsteht.

Dabei sollten sich die Unternehmen die zur zweiten Kategorie gehören, fragen, ob sie den Sicherheitsvorfall nur noch nicht entdeckt haben. Beispiel Yahoo: Das Unternehmen gab im September 2016 einen Datenverlust zu, der auf Hackerangriffe im Jahr 2014 zurückgeführt wurde. Etwa 500 Millionen Accounts waren demnach betroffen. Damit nicht genug: Im Dezember 2016 musste Yahoo einen noch größeren Datenverlust durch kriminelle Hacker aus dem Jahr 2013 eingestehen.

Die Problematik der Angriffserkennung spiegelt sich auch in den Ergebnissen der Studie wider: So steht das »frühzeitige Erkennen relevanter Angriffe und Schwachstellen in der Informationsflut« an dritter Stelle der am häufigsten genannten Herausforderungen im Zusammenhang mit Cyber-Risiken. An erster Stelle der Herausforderungen steht »das Durchsetzen von Sicherheitsstandards im Unternehmen«, gefolgt vom »fehlenden Security-Bewusstsein der Anwender im Unternehmen«.

Gleichzeitig führt die hohe Wahrnehmung von IT-Sicherheit und Risikomanagement in vielen Unternehmen jedoch nicht häufig genug zu verändertem Handeln bei Veränderungsprojekten. Nur 37 Prozent der befragten Unternehmen berücksichtigen Security und Risikomanagement frühzeitig und umfassend. Diese Einschätzung ist unter den befragten IT-Verantwortlichen und den Business-Verantwortlichen sehr ähnlich. Es wird deutlich: In den meisten Fällen haben die Unternehmen kein Wahrnehmungsproblem sondern ein Umsetzungsproblem. Sie betrachten IT-Sicherheit und das Management von Risiken zu spät und zu technisch. Eine Digitalisierungsstrategie erfordert jedoch eine durchgängige Betrachtung von der Businessund Prozess-Ebene bis hin zur technischen Ebene. Dafür braucht der CIO oder gar CISO ein starkes Mandat von der Geschäftsführung. Doch in vielen Fällen berichtet dieser nicht direkt an den Vorstand oder die Geschäftsführung. Von den mehr als 250 befragten, mittelständischen Unternehmen und Großkonzernen haben bisher 43 Prozent einen CISO im Unternehmen etabliert. Bei diesen Unternehmen berichtet der Chief Information Security Officer in 69 Prozent der Fälle an den CIO in 30 Prozent der Fälle an den Vorstand oder die Geschäftsführung. Die hohe organisatorische Abhängigkeit gegenüber dem CIO sollte jedoch kritisch betrachtet werden, da auf diese Weise leicht Interessenskonflikte entstehen können.