luenendonk text in front of 2 men shaking Hands

IT-Security & Risk Management – blinde Flecken der digitalen Agenda?

Obwohl die hohe Bedeutung der Informationssicherheit und Risikosysteme für die Umstellung auf digitale Geschäftsmodelle unumstritten ist, zeigen sich im Reality Check immer wieder große Schwächen im Schutz der Unternehmens- und Kundendaten.

Die Hannover Messe zeigte eindrucksvoll, wie die Digitalisierung der Produktion und vor allem die Vernetzung des gesamten gesellschaftlichen Ökosystems konkret aussehen werden.

Dass diese Themen keine Trends mehr darstellen, sondern pure Realität, zeigen konkrete Geschäftsmodelle von Industrieunternehmen, basierend auf Robotertechnologien, Cloud und Big Data Analytics sowie die Marktreife von IoT-Geräten für den Privathaushalt (Amazon Alexa etc.).

Diese überwiegend auf Technologien basierenden Geschäftsmodelle haben offene Schnittstellen, die Kooperation mit anderen Marktbegleitern und Kunden über Cloud-Plattformen und vor allem das Entstehen sensibler Daten zur Folge.

In Summe eine große Herausforderung für die Security-Netzwerke und die Com­pliance-Anforderungen. Das belegt auch die Lünendonk-Studie „IT-Security und Risk Management – Digitale Bedrohungsszenarien im Fokus von Business und IT“.

In der Studie „IT-Security und Risk Management“ hat Lünendonk untersucht, wie Unternehmen des gehobenen Mittelstands und große Unternehmen mit den Herausforderungen bei IT-Security und Risk Management umgehen.

Die wichtigsten Ergebnisse

Die Erkenntnis für digitale Bedrohungsszenarien ist durchaus vorhanden. Die befragten Unternehmen des gehobenen Mittelstands und die großen Unternehmen sehen eine ausgeprägte Bedrohungslage.

Das verwundert bei den häufigen Meldungen über Hackerangriffe nicht. Dabei sehen die Industrieunternehmen die Bedrohungslage aufgrund der Themen cloudbasierte Produktionsnetzwerke und Plattformen (Smart Factory) besonders groß.

Bezogen auf den eigenen Reifegrad bei IT-Security und Risk Management im Vergleich zu anderen Unternehmen vergleichbarer Größe sehen sich die befragten Unternehmen als gut aufgestellt. Das Gesamtbild zeigt eine hohe Übereinstimmung in der Bewertung zwischen IT und Fachbereichen.

Das wahrgenommene Sicherheitsempfinden weicht aber häufig von der tatsächlichen Bedrohungslage ab. Es zeigt sich daher auch eine ganze Reihe von Handlungsfeldern, damit aus der digitalen Transformation mehr Chancen als Risiken entstehen.

  1. Größte Security-Herausforderungen: Durchsetzung von Sicherheitsstandards und Security-Bewusstsein der Anwender. Für 81 Prozent der IT-Verantwortlichen ist das „Durchsetzen von Sicherheitsstandards im Unternehmen (auch länderübergreifend)“ aktuell die größte Security-Herausforderung. An zweiter Stelle steht das „fehlende Security-Bewusstsein der Anwender im Unternehmen“, das für 75 Prozent der IT-Verantwortlichen ein Problem darstellt.
  2. Digitale Transformation erzeugt Handlungsbedarf: Das Erkennen relevanter Angriffe ist schon heute ein großes Problem. Zwei Drittel der befragten IT- und IT-Security-Verantwortlichen sehen aktuell in dem Thema „relevante Angriffe und Schwachstellen in der Informationsflut frühzeitig zu erkennen“ eine Herausforderung.Diese Aufgabe wird mit steigender Zahl externer Partner in der digitalen Wertschöpfungskette umso komplexer. Mit der sehr technisch ausgerichteten IT-Security-Strategie gelingt es den Unternehmen kaum, die Zusammenhänge zwischen technischen Events und realer Bedrohung für das Unternehmen herzustellen.

    Ein Beispiel: Wenn Mitarbeiter versuchen, auf Systeme zuzugreifen, für die sie keine Berechtigung haben, ist dies leicht erkennbar und ein Standardvorfall. Dieser wird protokolliert und ist leicht nachvollziehbar. Ob dieser versuchte Zugriff versehentlich oder mit krimineller Energie erfolgte, ist wiederum ein nachgelagerter Prüfungsprozess. Oft sind externe und interne Angriffe jedoch nur über die Verknüpfung verschiedener Informationsquellen und Rollenprofile erkennbar.

  3. Umsetzungsdefizit 1: 63 Prozent der Unternehmen berücksichtigen IT-Security und Risk Management zu spät im Projekt. Eine frühzeitige und umfassende Berücksichtigung findet im Projektverlauf lediglich bei 37 Prozent der Unternehmen statt. Hier besteht ein offensichtlicher Widerspruch zwischen Anspruch und Wirklichkeit. Analysiert man die Ergebnisse im Detail, so zeigen sich anhand der Größenklassen der Unternehmen keine besonderen Unterschiede.
  4. Umsetzungsdefizit 2: Mangelndes Verständnis und Zeitdruck verhindern IT-Security und Risk Management. Zumindest vordergründig werden IT-Security und Risk Management nicht aus Kostengründen hintangestellt. Insgesamt sind es nur drei Prozent der Unternehmen, bei denen „die Kosten für Security-Anforderungen tendenziell unterschätzt und als zu hoch erachtet werden“.
  5. Risk-Management-Perspektive zu technisch: Nur 27 Prozent der Unternehmen beziehen Fachbereiche aktiv mit ein.Bei 92 Prozent erfolgen die Informationswertanalyse und die Risikobewertung aus der IT-Perspektive. Dass ohne die aktive Zusammenarbeit mit den Fachbereichen die verknüpfte Sicht von technischen Incidents und der tatsächlichen Gefährdungslage für wertvolle Unternehmensprozesse und Daten nicht gelingen kann, liegt auf der Hand.
  6. Organisation und Recht: Von den befragten Unternehmen haben 43 Prozent einen Chief Information Security Officer (CISO) etabliert. Bei der Detailanalyse bestätigt sich, dass diese Funktion bei den großen Unternehmen häufiger existiert. So verfügen 52 Prozent der befragten Unternehmen mit mehr als fünf Milliarden Euro Umsatz über einen CISO.Beim IT-Sicherheitsgesetz befinden sich 34 Prozent noch in der Evaluierungsphase. Die Datenschutz-Grundverordnung (GDPR, General Data Protection Regulation), die ab dem 25. Mai 2018 gelten soll, wird derzeit noch von 39 Prozent der Unternehmen bewertet.

Hemmnisse

Es zeigt sich, dass die Unternehmen nach heutigem Stand die IT-Security und auch die Risikobewertung überwiegend aus der technischen Perspektive steuern. Methodisch gehen die Unternehmen dabei sehr strukturiert vor.

Das erklärt auch den hohen Wert bei der Bewertung des eigenen Reifegrads. So erfolgt bei 67 Prozent der Unternehmen „regelmäßig eine Analyse und Risikobewertung der technischen Infra­struktur“ und 63 Prozent der Unternehmen haben „strukturierte Prozesse, die definieren, welche Prozesse und Daten schützenswert sind“.

Allerdings werden die Fachbereiche bei der Informationswertanalyse und Risikobewertung, die eine wesentliche Grundlage für die IT-­Security-Strategie und die Investitionsentscheidungen darstellt, nur bei 27 Prozent der Unternehmen „aktiv mit einbezogen“.

Diese Quote ist zu gering und entspricht nicht den Herausforderungen der digitalen Transformation. Anders als die hohe strategische und geschäftskritische Bedeutung vermuten ließe, findet auch eine frühzeitige und umfassende Berücksichtigung im Projektverlauf lediglich bei 37 Prozent der analysierten Unternehmen statt. Hier besteht ein offensichtlicher Widerspruch zwischen Anspruch und Wirklichkeit.

Fazit: Chancen ergreifen

Dass nur vergleichsweise wenige Unternehmen ihren eigenen Ansprüchen in Bezug auf IT-Security und Risk Management in der Projektpraxis gerecht werden, muss kritisch hinterfragt werden.

Es zeigt sich, dass IT-Security und Risk Management zumindest vordergründig nicht aus Kostengründen hintangestellt werden. Die Hauptgründe, warum Unternehmen diese wichtigen Themen im Projektverlauf aufschieben, sind „fehlendes Verständnis“ sowie „Zeitdruck“.

Aus der Analystenperspektive betrachtet, scheint der klare Auftrag zu fehlen, die Fachbereiche stärker in die Entwicklung der IT-Security-Strategie und die Evaluierung des Risk Management einzubeziehen. Dies ist jedoch zwingend erforderlich, um die steigende Komplexität im Zusammenhang mit der digitalen Transformation und den Veränderungen der Wertschöpfungsketten kontrollierbar zu halten.

Insbesondere durch die Vernetzung der Geschäftsprozesse mit der Cloud entstehen, zumindest in der Theorie, offene Netzwerke, in die leichter von außen eingegriffen werden kann als bei den traditionellen geschlossenen Prozessen.

Das Hacking von Onlinebanken, Kreditkartenfirmen oder Handelsunternehmen verdeutlicht die veränderte Situation. Die Zeit ist reif für Veränderungen – auch beim strategischen und operativen Umgang mit IT-Security und Risk Management.

Das könnte Sie auch interessieren

0 Kommentare

Dein Kommentar

Möchten Sie uns Ihre Meinung zum Thema sagen?
Hinterlassen Sie uns einen Kommentar!

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.