IT-Sicherheit: Unternehmen betrachten die Themen zu technisch

Cyberrisiken richtig bewerten

Häufig fehlt die fachliche Perspektive, wenn es darum geht, Cyberrisiken zu bewerten.

Keyfacts über IT-Sicherheit

  • IT-Sicherheit wird zu spät berücksichtigt
  • Risikobewertung erfolgt zu technisch
  • Fachbereiche aktiv einbinden
Zusammenfassung lesen Studie herunterladen

Deutschlands Unternehmen sind zunehmend durch Cyberrisiken wie Ransomware, andere Malware oder direkte Hackerangriffe bedroht. Laut einer aktuellen KPMG-Studie war in den vergangen zwei Jahren mehr als jedes dritte Unternehmen von Wirtschaftskriminalität betroffen.

Auch jene Entscheider, die keine IT- oder Sicherheitsexperten sind, haben durch Cyberattacken auf namhafte Unternehmen erkannt, dass Informationssicherheit und Risk Management ganz oben auf die digitale Agenda gehören.

Die aktuelle Lünendonk-Trendstudie „IT-Security und Risk Management 2016: Digitale Bedrohungsszenarien im Fokus von Business und IT“, die in Zusammenarbeit mit KPMG entstanden ist, hat über 250 Business- und IT-Entscheider aus mittelständischen und großen Unternehmen in Deutschland, Österreich und der Schweiz befragt, wie sie mit den Herausforderungen im Zusammenhang mit Informationssicherheit und Risk Management umgehen.

Anspruch und Wirklichkeit

Es zeigt sich: Die Bedeutung wird von den Befragten eindeutig erkannt, allerdings berücksichtigen nur 37 Prozent die Themen frühzeitig und umfassend in ihren Projekten. Hier besteht ein offensichtlicher Widerspruch zwischen Anspruch und Wirklichkeit. Der Report macht zudem deutlich, dass die große Mehrheit der Unternehmen (92 Prozent) die Themen IT-Sicherheit und auch die Risikobewertung überwiegend aus der technischen Perspektive steuern.

Mit dieser sehr technisch ausgerichteten Strategie gelingt es den Unternehmen jedoch kaum, die Zusammenhänge zwischen technischen Vorfällen und realer Bedrohung für das Unternehmen herzustellen. Ein Beispiel: Versucht ein Mitarbeiter auf ein System zuzugreifen, für das er keine Berechtigung hat, ist dies leicht zu erkennen und ein Standardvorfall. Ob allerdings versehentlich oder mit krimineller Energie auf das System zugegriffen wurde, ist eine andere Frage. Oft lassen sich externe und interne Angriffe nur dann erkennen, wenn verschiedene Informationsquellen und Rollenprofile miteinander verknüpft werden. Diese Aufgabe wird mit steigender Zahl externer Partner in der digitalen Wertschöpfungskette umso komplexer.

27

Prozent der befragten Unternehmen betrachten die Themen IT-Sicherheit und Risk Management aus technischer und geschäftlicher Perspektive.

Strategischer Handlungsbedarf

Aus der Marktperspektive betrachtet ist es daher zwingend erforderlich, die IT-Sicherheitsstrategie anhand der fachlichen Anforderungen auszurichten. Der wichtigste Schritt für Unternehmen lautet daher: Verknüpfung. Nur wer die Business-Perspektive mit den technischen Lösungen zusammenbringt, ist in der Lage, in unternehmensübergreifenden Geschäftsprozessen mit vielen externen Service- und Datenlieferanten relevante Angriffsmuster zu identifizieren und zu überwachen.

Nur eine Minderheit der Unternehmen (27 Prozent) bindet bereits die Fachbereiche aktiv ein, wenn es darum geht, die Informationen zu beschaffen und die Bedrohungsszenarien aus geschäftlicher Sicht zu bewerten. Das gibt einem erst recht zu denken, da die Hälfte der befragten Unternehmen (57 Prozent) angibt, keine Informationen zum Wert bedrohter Daten und Prozesse (Value at risk) zu haben. Überspitzt formuliert: Diese Unternehmen wissen gar nicht genau, welche Werte sie schützen sollen und wo diese Werte in den Prozesse und Datenbanken verarbeitet und gespeichert werden. Dabei ist dies die Voraussetzung, um die die tatsächliche Gefahrenlage realistisch zu bewerten und sinnvolle Maßnahmen zu planen und umzusetzen.

Externe Unterstützung

Die Studienteilnehmer wurden auch nach ihrer Vorgehensweise in Sachen Sicherheitsstrategie befragt, allerdings bleibt das Maß an Investitionsbereitschaft in externe Unterstützung noch gering. Lediglich 33 Prozent der Unternehmen planen diesbezüglich mehr Strategieberatung von außen zu beziehen. Dabei können externe Impulse sehr wertvoll sein, um interne Veränderungen voranzutreiben.

Denn offene Herausforderungen, wie die Zusammenarbeit mit den Fachbereichen bei der Informationsanalyse und Risikobewertung, die Verknüpfung der Business-Perspektive mit den technischen Sicherheitslösungen sowie die frühzeitige Berücksichtigung von Informationssicherheit in den Projekten, sind klassische Aufgaben für externe Strategieberater.

Welche Branche bereits gut aufgestellt ist und welche Abweichung sich in der Einschätzung zwischen IT-Entscheidern und Non-IT-Verantwortlichen zeigen lesen Sie in der Trendstudie.

 

Studie herunterladen
25. November 2016
Zusammengefasst

»Nur wer die Business-Perspektive mit den technischen Lösungen zusammenbringt, kann relevante Angriffsmuster identifizieren und überwachen.«

Obwohl den meisten Unternehmen die Bedeutung von Informationssicherheit und Risk Management bewusst ist, werden die Themen überwiegend rein technisch betrachtet. Mit diesem Ansatz gelingt es ihnen jedoch kaum, die Zusammenhänge zwischen technischen Vorfällen und realer Bedrohung für das Unternehmen herzustellen. Aus der Marktperspektive betrachtet, ist es daher zwingend erforderlich, die IT-Sicherheitsstrategie anhand der fachlichen Anforderungen auszurichten. Nur so sind Unternehmen in der Lage, bei festgestellten Attacken die Auswirkungen über die Geschäftsprozesse hinweg schnell zu erkennen.

Hans-Peter Fischer Partner, Security Consulting
Ganzen Artikel lesen

Kommentare

*Ihre E-Mail-Adresse wird nicht veröffentlicht

Das könnte Sie auch interessieren

KPMG verwendet Cookies, die für die Funktionalität und das Nutzerverhalten auf der Website notwendig sind. Durch die Nutzung der Website stimmen Sie dem Einsatz von Cookies zu, wie sie in der Datenschutzerklärung von KPMG im Detail ausgeführt ist. Schließen