- Anzeigen -


Sie sind hier: Home » Markt » Studien

Vielfach bei reinen Absichtserklärungen geblieben


Unternehmen investieren immer weniger IT-Budget in Sicherheit und bezahlen eher Lösegeldforderungen bei Ransomware-Attacken
In Deutschland und Österreich wird nur gut 13Prozent des IT-Budgets in Informationssicherheit investiert

- Anzeigen -





Nicht einmal jedes zweite deutsche und österreichische Unternehmen stuft seine eigenen kritischen Daten als "vollständig sicher" ein. So lautet ein beunruhigendes Ergebnis des aktuellen "Risk:Value-Reports" von NTT Security. Die Investitionen in die IT-Sicherheit bleiben aber ungeachtet dessen weiterhin auf vergleichsweise niedrigem Niveau. Die Unternehmen sind eher bereit, auf Lösegeldforderungen im Falle einer Ransomware-Attacke einzugehen.

Den Risk:Value-Report erstellt jährlich das Marktforschungsunternehmen Vanson Bourne im Auftrag von NTT Security, dem auf Sicherheit spezialisierten Unternehmen und "Security Center of Excellence" der NTT Group. Dabei befragt es weltweit Führungskräfte – in diesem Jahr waren es 1.800 – zu Themen rund um IT und IT-Sicherheit.

Bei der aktuellen Untersuchung zeigt sich erneut, dass mit 41Prozent weniger als die Hälfte der befragten Entscheidungsträger in deutschen und österreichischen Firmen alle unternehmenskritischen Daten als "komplett sicher" klassifiziert. Im Vergleich zur vorjährigen Untersuchung bedeutet dies einen weiteren Rückgang um fünf Prozentpunkte. Ein Grund hierfür sind die nach wie vor niedrigen Investitionen in die IT-Sicherheit.

In Deutschland und Österreich wird nur gut 13Prozent des IT-Budgets in Informationssicherheit investiert. Im Vergleich zur letztjährigen Studie ist dieser Wert sogar noch weiter gesunken, 2017 lag er bei 15Prozent. Und das Investitionsvolumen ist deutlich geringer als in etlichen anderen Unternehmensbereichen. Im Hinblick auf die Segmente, in denen höhere Investitionen als in der Informations- und Datensicherheit getätigt werden, nannten

40 Prozent Forschung und Entwicklung
36 Prozent Personalwesen
33 Prozent Vertrieb
30 Prozent Betrieb und Fertigung
30 Prozent Rechnungswesen und Controlling
30 Prozent Marketing.

Die mangelnde Investitionsbereitschaft korrespondiert mit einem weiteren zentralen Untersuchungsergebnis. 41Prozent der befragten deutschen und österreichischen Unternehmen würden im Fall einer Ransomware-Attacke eher Lösegeld bezahlen, als stärker in die Informationssicherheit zu investieren, da sie eine solche Vorgehensweise für kostengünstiger halten. Deutschland und Österreich nehmen hier den "Spitzenwert" ein. Auf globaler Ebene sind im Durchschnitt nur 33Prozent der Unternehmen bereit, auf Zahlungsforderungen einzugehen, und in der Schweiz sogar nur 23Prozent.

"Dieses Ergebnis ist mehr als erschreckend, gerade auch angesichts der nicht abebbenden Gefahr von Ransomware-Angriffen. Unser kürzlich vorgestellter Global Threat Intelligence Report hat ergeben, dass der Anteil von Ransomware an allen Malware-Angriffen in EMEA bei hohen 29Prozent liegt", erklärt Kai Grunwitz, Senior Vice President EMEA bei NTT Security. "Wenn sich Unternehmen nun von der Bezahlung von Lösegeld Kostenvorteile versprechen, ist das in unseren Augen mehr als trügerisch. Und das böse Erwachen wird früher oder später für viele kommen."

Die geringe Investitionsbereitschaft ist umso erstaunlicher, als – wie auch bei der letztjährigen Untersuchung – 96 Prozent der befragten Unternehmen in Deutschland und Österreich die Meinung vertreten, dass ein Sicherheitsvorfall mit Datendiebstahl gravierende negative Auswirkungen hat. Genannt wurden Verlust des Kundenvertrauens (52 Prozent), Beeinträchtigung der Reputation (44 Prozent) und direkte finanzielle Einbußen (41 Prozent). Die Befragten rechnen mit einem durchschnittlichen Umsatzverlust von gut 9Prozent und schätzen, dass die Behebung eines entstandenen Schadens rund neun Wochen dauert und im Schnitt Kosten in Höhe von mehr als 2,3 Millionen Euro verursacht. Die Kosten werden dabei von den Unternehmen in Deutschland und Österreich deutlich höher veranschlagt als in anderen Ländern. Der internationale Durchschnittswert liegt bei nur 1,3 Millionen Euro.

Das hohe Schadenspotenzial wirft die Frage auf, wie es um das Thema Incident Response bestellt ist. Auch an diesem Punkt hat sich im Vergleich zum Vorjahr nicht wirklich viel getan. In Deutschland und Österreich verfügten 2017 nur 42 Prozent der Unternehmen über einen Incident-Response-Plan. Allerdings befanden sich 36Prozent bereits im Implementierungsprozess und weitere 11Prozent planten die Umsetzung entsprechender Maßnahmen in naher Zukunft. Die jetzigen Ergebnisse spiegeln diese Entwicklung allerdings nicht wider, im Gegenteil. Nach wie vor ist nur bei 42 Prozent der Unternehmen ein Incident-Response-Plan vorhanden.

"Das Ergebnis zeigt leider, dass es vielfach bei reinen Absichtserklärungen geblieben ist und der Ernst der Lage immer noch unzureichend erkannt wird, auch wenn zahlreiche Sicherheitsvorfälle der letzten Zeit eigentlich gezeigt haben, dass an einem gelebten Incident-Response-Plan kein Weg mehr vorbeiführt. Denn nur mit dedizierten Ablauf- und Notfallplänen kann auf unterschiedliche IT-Sicherheitsvorfälle entsprechend angemessen und vor allem auch schnell reagiert werden. Idealerweise sollten spezialisierte Incident-Response-Tools genutzt werden, beispielsweise eine zentrale Incident-Response-Plattform zur systematischen und koordinierten Bearbeitung von Sicherheitsvorfällen mit fertig ausgearbeiteten Handlungsplänen", so Grunwitz.

Allerdings hat die Untersuchung aus Sicht von NTT Security auch positive Ergebnisse gebracht. So hat sich verstärkt die Erkenntnis durchgesetzt, dass Sicherheitsvorfälle nicht gänzlich auszuschließen sind. 43Prozent der Befragten sind bereits Opfer eines solchen Vorfalls geworden und weitere 15Prozent zwar noch nicht, rechnen aber damit. Deshalb gewinnen hinsichtlich der Umsetzung umfassender Cyber-Security-Strategien auch Managed Security Services (MSS) signifikant an Bedeutung. MSS werden derzeit zwar noch verhalten genutzt, der Risk:Value-Report zeigt aber, dass sich gegenwärtig etwa 70Prozent der befragten Unternehmen in Deutschland und Österreich aktiv mit MSS-Lösungen auseinandersetzen beziehungsweise planen, es zeitnah zu tun.

Methodologie
Die Risk:Value-Studie wurde vom Marktforschungsunternehmen Vanson Bourne im Auftrag von NTT Security im Februar und März 2018 durchgeführt. Dabei wurden 1.800 Nicht-IT-Entscheider in Deutschland und Österreich, Benelux, Frankreich, Großbritannien, Norwegen, Schweden, der Schweiz sowie in Australien, Hongkong, Singapur und den USA befragt. Die befragten Unternehmen beschäftigen mehr als 500 Mitarbeiter.
(NTT Security: ra)

eingetragen: 23.06.18
Newsletterlauf: 03.07.18

NTT Security: Kontakt und Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.

- Anzeigen -





Kostenloser IT SecCity-Newsletter
Ihr IT SecCity-Newsletter hier >>>>>>

- Anzeigen -


Meldungen: Studien

  • Neue Herausforderung SCADA in der Cloud

    Ob Produktionsstraße oder Roboter, in Zeiten der Industrie 4.0 gilt es zunehmend industrielle Kontrollsysteme (ICS, Industrial Control System) und die Betriebstechnologie (OT, Operational Technology) vor Cybergefahren zu schützen. Laut einer aktuellen Studie von Kaspersky Lab, bei der weltweit insgesamt 320 Verantwortliche für Cybersicherheit im ICS-Bereich befragt wurden, waren 31 Prozent der Industrieunternehmen in den vergangenen 12 Monaten mindestens von einem ICS/OT-bezogenen Cybersicherheitsvorfall betroffen. Acht Prozent können dazu keine Angaben machen und zehn Prozent messen derartige Vorfälle nicht. Zudem haben mehr als drei Viertel (77 Prozent) die Befürchtung, dass ihre Organisation zum Ziel eines Cybersicherheitsvorfalls werden könnte, der ihre industriellen Kontrollnetzwerke einbezieht.

  • Deutsche im Cyberstress?

    Wachsende Cyberbedrohungen stressen deutsche Arbeitnehmer immer mehr. Die Ergebnisse einer aktuellen Kaspersky-Studie zu diesem Thema sind alarmierend: So sind 32,2 Prozent der deutschen Arbeitnehmer durch die Angst gestresst, Opfer eines Hackerangriffs zu werden. Aber auch alltägliche Aufgaben wie das Halten einer Präsentation (43,2 Prozent) oder das Gestehen von Fehltritten stresst Arbeitnehmer in der Arbeit (28 Prozent).

  • Sicherheitslücken zum Teil hausgemacht

    Jeder zweite junge Angestellte hat am Arbeitsplatz schon einmal fragwürdiges Online-Verhalten an den Tag gelegt. Vom Arbeitgeber bereitgestellte Computer, Laptops und Handys werden zum Beispiel für Computerspiele (28 Prozent), nicht autorisierte Anwendungen (8 Prozent) und zum Teilen von Apps mit Kollegen (12 Prozent) genutzt. Das ergibt eine neue Umfrage von Censuswide im Auftrag des Zero Trust-Cybersicherheits-Spezialisten Centrify. Die Studie befragte 500 deutsche Büroangestellte im Alter von 18-24 Jahren sowie 250 Entscheidungsträger in deutschen Unternehmen verschiedener Größen und Branchen. Ziel war es herauszufinden, ob die neue Generation von Arbeitnehmern ein größeres IT-Sicherheitsrisiko darstellt, weil sie als 'Digital Natives' einen anderen Umgang mit digitalen Technologien und sozialen Medien pflegt als ältere Generationen.

  • Weltweit steigende Sorge vor Data Hacks & Malware

    Um Risiken durch Cyberangriffe zu reduzieren und reibungslose Geschäftsprozese zu gewährleisten, sollten Unternehmen Unterlizenzierungen ihrer Software beseitigen und effektive Software-Asset-Management-Prozesse einführen. Dies ist die Kernaussage der neuesten Auflage der BSA | The Software Alliance Global Software Studie. In Deutschland ist Software im Wert von 1,3 Mrd. Euro ohne Lizenz im Einsatz: Jedes fünfte Programm (20 Prozent) ist unlizenziert. Dies stellt einen Rückgang um zwei Prozentpunkte gegenüber der letzten Studie aus dem Jahr 2016 dar. Für den weltweiten Rückgang identifiziert die BSA eine Reihe von Ursachen: zum einen das stärkere Wachstum des Software-Marktes in Ländern mit einem höheren Anteil lizenzierter Software, zum anderen der Trend zu Abonnement-Modellen bei der Software-Nutzung.

  • Kampf gegen Datenklau und IT-Spionage

    Die Gesellschaft zur Förderung des Forschungstransfers (GFFT) und Sopra Steria Consulting haben in Frankfurt ein Security Lab gegründet. Wirtschaft und öffentliche Verwaltung können ihre Aktivitäten im Kampf gegen Datenklau und IT-Spionage bündeln und neue Sicherheitslösungen deutlich schneller und effizienter an den Start bringen. Unterstützt wird das Security Lab vom Stiftungslehrstuhl für Mobile Business und Multilateral Security der Goethe-Universität. Die Initiatoren reagieren mit dem Security Lab auf einen erhöhten Bedarf in der Wirtschaft. Unternehmen müssen beim Thema IT- und Informationssicherheit innovativer sein als potenzielle Angreifer und auf der Höhe des technischen Fortschritts arbeiten.