- Anzeigen -


Sie sind hier: Home » Markt » Studien

Auf IT-Verantwortliche wartet viel Arbeit


Die Mehrheit der deutschen Unternehmen ist schlecht auf Cyber-Attacken vorbereitet
Studie: Deutsche Unternehmen haben Nachholbedarf bei Cyber-Sicherheit - Im Ländervergleich liegen deutsche Unternehmen bei Cyber-Risk-Management deutlich hinter den USA und Großbritannien

- Anzeigen -





Der "Cyber Readiness Report 2017" des Spezialversicherers Hiscox zeigt, wie gut oder schlecht deutsche, britische und US-amerikanische Unternehmen auf Cyber-Attacken vorbereitet sind. Das Marktforschungsinstitut Forrester Consulting hat dazu im Auftrag von Hiscox die "Cyber-Readiness" von je rund 1.000 Unternehmen in den drei Ländern anhand der Kriterien Strategie, Ressourcen, Technologie sowie Prozesse ermittelt. Schlechte Noten erhalten vor allem die deutschen Unternehmen: Mit 62 Prozent weist Deutschland im Ländervergleich (USA: 40 Prozent; GB: 57 Prozent) den höchsten Anteil an Unternehmen auf, die als sogenannte "Cyber-Anfänger" gelten, also unzureichend auf Cyber-Attacken vorbereitet sind. Der Anteil der "Cyber-Experten" liegt in Deutschland bei lediglich 20 Prozent, wohingegen 44 Prozent der befragten US-Unternehmen gut gegen Cyber-Attacken gerüstet sind (GB: 26 Prozent). 18 Prozent der deutschen Befragten zählen zu den "Cyber-Fortgeschrittenen", die zumindest teilweise mit den Folgen einer Cyber-Attacke klarkommen können (USA: 16 Prozent; GB 17 Prozent).

Nur eine umfassende Strategie hilft, Cyber-Attacken zu bewältigen
"Die Anzahl der schlecht gegen Cyber-Attacken gerüsteten Unternehmen in Deutschland ist erschreckend hoch. Bei gut vorbereiteten Unternehmen ist IT-Security ein Top-Management-Thema und es existiert eine klare Strategie. Der Fokus muss dabei auf zeitgemäßen Prozessen und Richtlinien, laufenden Investitionen in die technische IT-Security, Sensibilisierung und Schulung der Mitarbeiter und auf spezifischem Cyber-Versicherungsschutz liegen. Wer eines dieser Handlungsfelder vernachlässigt, läuft Gefahr, durch Cyber-Attacken nachhaltig geschädigt zu werden. Kein Unternehmen kann sich absolut vor Cyber-Attacken schützen, aber es kann die Schäden klein halten", erläutert Robert Dietrich, Hauptbevollmächtigter bei Hiscox Deutschland.

Gezielte Cyber-Attacken auf wichtige Branchen der deutschen Wirtschaft
Dass Attacken zum Alltag gehören, zeigt auch die Studie: 56 Prozent der befragten deutschen Unternehmen haben im vergangenen Jahr mindestens einen Angriff auf ihre Netzwerke und Daten festgestellt (USA: 63 Prozent; GB: 51 Prozent). Besonders stark betroffen waren hierzulande die Fertigungsindustrie und die Medien-, Kommunikations- und Technologiebranche, in denen jeweils 65 Prozent der befragten Unternehmen mindestens eine Cyber-Attacke feststellten – gefolgt von der Finanzdienstleistungsbranche (64 Prozent).

Cyber-Strategie muss Chefsache sein
Die Diskrepanz zwischen "Cyber-Anfängern" und "Cyber-Experten" manifestiert sich beispielsweise in der Rolle des Top-Managements. Während in den deutschen Unternehmen mit "Experten-Status" insgesamt 88 Prozent der Befragten der Aussage "Cyber-Sicherheit muss Chefsache sein" zustimmen (USA: 93 Prozent; GB: 91 Prozent), sind es bei den Anfängern nur 58 Prozent (USA: 70 Prozent; GB: 62 Prozent).

Lange To-Do-Liste für Cyber-Verantwortliche
Die Komplexität der Cyber-Gefahren stellt die Verantwortlichen im Bereich IT-Sicherheit vor große Herausforderungen: 69 Prozent der Befragten in deutschen Unternehmen gaben an, vor allem angesichts der sich ständig verändernden internen und externen Gefahren viel Arbeit vor sich zu haben. Für 65 Prozent der Cyber-Verantwortlichen in Deutschland hat es deshalb oberste Priorität, in den kommenden zwölf Monaten möglichst schnell auf Cyber-Vorfälle zu reagieren. 61 Prozent haben sich vorgenommen, bestehende Gefahren und Schwachstellen anzugehen. 56 Prozent wollen ihre generelle Verteidigungsfähigkeit verbessern und jeweils 55 Prozent planen, Cloud-basierte Managementsysteme zu implementieren oder eine Cyber-Police abzuschließen bzw. den bestehenden Versicherungsschutz gegen Cyber-Gefahren zu erweitern.

Risikofaktor Mitarbeiter: Potential von Cyber-Schulungen bislang verkannt
Zwar nehmen externe Cyber-Attacken den ersten Platz auf der Liste der folgenschwersten Cyber-Angriffe bei deutschen Unternehmen ein (DE: 38 Prozent; USA: 25 Prozent; GB: 34 Prozent). Auf Platz zwei und drei folgen aber schon die Cyber-Zwischenfälle durch Mitarbeiter: Bei jedem fünften deutschen Unternehmen (20 Prozent) konnten die Verantwortlichen innerhalb der Organisation ausgemacht werden (USA: 22 Prozent; GB: 16 Prozent), 14 Prozent der Befragten berichteten von verlorengegangenen bzw. gestohlenen mobilen Geräten, wie Firmenhandys oder -tablets (USA: 17 Prozent; GB: 18 Prozent).

Trotz dieser alarmierenden Ergebnisse vernachlässigen die deutschen Befragten das Thema Sensibilisierung und Schulung von Mitarbeitern bislang. So verpflichtet gegenwärtig nur jedes vierte Unternehmen in Deutschland (24 Prozent) seine Mitarbeiter zur Teilnahme an speziellen Cyber-Trainings (USA: 34 Prozent; GB: 25 Prozent). Jedoch wollen sich die deutschen Unternehmen für die Zukunft wappnen: 57 Prozent der deutschen Befragten planen, in den kommenden zwölf Monaten die Investitionen für Mitarbeiterschulungen um mehr als fünf Prozent zu erhöhen (USA: 64 Prozent; GB: 57 Prozent). Einen größeren Stellenwert nehmen hierzulande aber weiterhin Investitionen in neue IT-Sicherheitstechnologien ein: 68 Prozent der Befragten haben vor, das Budget dafür im kommenden Jahr um mehr als fünf Prozent zu steigern (USA: 71 Prozent; GB: 67 Prozent).

"Investitionen in die IT sind sinnvoll und notwendig, doch sie gaukeln eine trügerische Sicherheit vor, die den in der Realität immer komplexer werdenden Risiken aus dem Netz nicht gerecht werden. Der Faktor Mensch wird bei Investitionsentscheidungen immer noch hintenangestellt, obwohl ein Großteil der Cyber-Attacken durch Mitarbeiter verursacht wird. Dabei bieten gezielte Mitarbeitertrainings das größte Präventionspotential zur Vermeidung von Cyber-Zwischenfällen oder zumindest zur Minimierung ihres Ausmaßes. Sie lassen sich mit relativ überschaubarem Budget umsetzen und ermöglichen insbesondere kleinen und mittleren Unternehmen, ihre ‚Cyber-Readiness‘ zu verbessern", verdeutlicht Robert Dietrich.

Deutsche Unternehmen zeigen sich skeptisch gegenüber Cyber-Versicherungen
Auch der Abschluss einer Cyber-Police als zentrales Strategie-Element wird noch von vielen Unternehmen vernachlässigt. In Deutschland liegt der Anteil der versicherten Unternehmen mit 30 Prozent merklich hinter den USA (55 Prozent) und Großbritannien (36 Prozent). Jedoch plant nahezu jedes dritte deutsche Unternehmen (31 Prozent), das noch keine Cyber-Police abgeschlossen hat, dies innerhalb der nächsten zwölf Monate nachzuholen. Ihnen gegenüber steht aber immer noch ein Drittel (33 Prozent), das kein Interesse an einer Cyber-Police hat.

Diesem hohen Anteil an Unternehmen, die keine Cyber-Police abschließen möchten, ist der Nutzen einer zusätzlichen Absicherung noch immer nicht klar. Hier fehlt es an Aufklärung, vor allem zu den Risiken und den damit verbundenen Kosten, aber auch zu den Leistungen einer Cyber-Versicherung. Denn nach wie vor gehen Unternehmen davon aus, dass Cyber-Schäden von ihrer Gewerbeversicherung gedeckt sind. Wir als Versicherer sind also gefragt, das öffentliche Bewusstsein für Cyber-Gefahren zu schärfen und transparente Produkte zu schaffen, um das Vertrauen der Wirtschaft zu gewinnen", so Robert Dietrich. (Hiscox: ra)

eingetragen: 13.03.17
Home & Newsletterlauf: 10.04.17


Hiscox: Kontakt und Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.

- Anzeigen -





Kostenloser IT SecCity-Newsletter
Ihr IT SecCity-Newsletter hier >>>>>>

- Anzeigen -


Meldungen: Studien

  • Sicherheitsthematiken hemmen IT-Innovationen

    CIOs weltweit wollen auch bei den Digitalisierungsvorhaben ihrer Unternehmen eine strategischere Rolle einnehmen und wünschen sich mehr Freiheit vom operativen IT-Tagesgeschäft. Bislang wurden sie vom digitalen Wandel eher mitgerissen als ihn selber aktiv zu gestalten - gebremst u.a. von dem hohen Arbeitsvolumen zur Aufrechterhaltung des IT-Betriebs und den wachsenden Sicherheitsanforderungen. Zum fünften Mal in Folge befragte Logicalis CIOs (dieses Jahr 890 in 23 Ländern) dazu, wie sie die Umsetzung der digitalen Transformation in ihren Unternehmen bewerten, auf welche Hindernisse sie stoßen und wie sie diese angehen. Was den Fortschritt des digitalen Wandels angeht, sehen sich in der diesjährigen Studie 5 Prozent als "digitale Innovatoren" und 20 Prozent als "Early Adopters"; im Vorjahr waren es noch je 7 bzw. 22 Prozent. Dahingegen steigt die Anzahl derjenigen, die dem Reifegrad ihrer Organisation einen mittleren Wert zuordnen, von 45 auf 48 Prozent. Deutsche IT-Leiter schreiben ihren Unternehmen dieses Jahr häufiger einen mittleren Digitalisierungsgrad zu als im Vorjahr. Der Fortschritt hält sich aber insgesamt in Grenzen, möglicherweise, weil die IT-Verantwortlichen das volle Ausmaß der mit der Digitalisierung verbundenen Herausforderungen inzwischen klarer sehen.

  • Wichtig ist, dass der Router geschützt ist

    Avast hat die Ergebnisse ihrer Studie zur Sicherheit von Webcams in Deutschland und der Schweiz veröffentlicht. Demnach fürchten sich 60 Prozent der deutschen Befragten und 52 Prozent der Schweizer vor Webcam-Hacks und Spionage. Im Internet sowie im Darknet gibt es Tools, um die Webcam eines Computers zu hacken - und das teilweise kostenlos. Obwohl an vielen PCs eine Kontrollleuchte neben der Webcam die Aktivierung anzeigt, können spezielle Tools dies umgehen und ermöglichen dadurch einen unbemerkten Zugriff auf die Webcam. Die Studie von Avast, die im Oktober 2017 durchgeführt wurde, zeigt, dass 60 Prozent der Befragten in Deutschland befürchten, dass Cyberkriminelle ihre Webcam hacken und sie ausspionieren könnten. Mehr als die Hälfte aller deutschen Befragten (54 Prozent) hat sogar schonmal ihre Webcam abgeklebt. 28 Prozent der Befragten sind sich nicht darüber im Klaren, dass Cyberkriminelle ihre Webcam aktivieren können, ohne dass die Kontrollleuchte neben der Webcam dies anzeigt.

  • Workshops und Schulungen unverzichtbar

    Die größte Gefahr für die IT-Sicherheit eines Unternehmens geht - bezogen auf den Faktor Mensch - von den eigenen Mitarbeitern aus, dicht gefolgt von Drittparteien. Diese Einschätzung teilt die Mehrheit der Befragten des aktuellen "Risk:Value-Reports 2017" von NTT Security, Teil der NTT Group und Spezialistin für Informationssicherheit und Risikomanagement. Der jährlich vom Marktforschungsunternehmen Vanson Bourne im Auftrag von NTT Security erstellte Risk:Value-Report zeigt, in welchen Bereichen und bei welchen Personen die größten IT-Sicherheitsgefahren drohen. Auf die Frage "Welche Person beziehungsweise Personengruppe steht für Sie bei den Sicherheitsschwachstellen an erster Stelle?" nennen 23 Prozent der Teilnehmer die "Mitarbeiter ohne Führungsverantwortung". Den zweiten Platz belegen Drittparteien mit 19 Prozent; hierzu zählt Vanson Bourne Subunternehmen, externe Dienstleister und Lieferanten. Position drei nimmt der CEO ein; ihn stufen 12 Prozent als schwächstes Glied in der IT-Sicherheit ein. Als weitere Sicherheitsschwachstellen nennen 11 Prozent der Befragten das Management, 10 Prozent die Kunden, 7 Prozent die Administratoren, 7 Prozent die Aufsichtsräte und 6 Prozent die C-Level-Führungskräfte ohne CEO.

  • Mangel an qualifizierten IT-Professionals

    Centrify macht auf weitere Ergebnisse der vom Ponemon Institute im Auftrag von Centrify durchgeführten Studie "Die Auswirkungen von Datenschutzverletzungen auf die Reputation und den Wert eines Unternehmens" aufmerksam. Die Studie befragte unter anderem IT-Professionals in Deutschland. Dabei wurde deutlich, dass weniger als die Hälfte der deutschen IT-Professionals (47 Prozent) überzeugt sind, Datenschutzverletzungen verhindern, erkennen und stoppen zu können. Die IT-Sicherheitsbranche in Deutschland kämpft zudem mit einem Mangel an IT-Sicherheitsfachkräften. Gleichzeitig befürchten 55 Prozent der deutschen IT-Professionals, dass sie im Falle einer Datenschutzverletzung in ihrem Unternehmen ihren Job verlieren könnten.

  • Lokale Administrationsrechte beenden

    BeyondTrust hat ihre Privileged Access Management-Studie vorgestellt. Darin werden die "Fünf Todsünden für das Privileged Access Management" und ihre Folgen für den Schutz von sensiblen Informationen beschrieben. Sicherheitsexperten empfehlen schon viele Jahre lang Best Practices für die Verwaltung von privilegierten Zugriffsrechten (Privileged Access Management, PAM), um Probleme im Zusammenhang mit dem Missbrauch von privilegierten Konten zu bekämpfen. Dennoch fällt der IT die Verwaltung der Zugriffsrechte für privilegierte Konten nach wie vor nicht immer leicht. Um den Grund dafür zu verstehen, hat BeyondTrust kürzlich knapp 500 IT-Mitarbeiter weltweit befragt, die im PAM-Bereich arbeiten. Da zahlreiche Angriffe auf dem Missbrauch von privilegierten Konten beruhen, ist es nicht verwunderlich, dass die Teilnehmer die folgenden drei Sicherheitsmaßnahmen von ziemlich bis äußerst wichtig eingestuft haben.