Unternehmen unter Beschuss: Cyber-Angriffe nehmen immer weiter zu
EY veröffentlicht Studie über das steigende Risiko von Cyber-Angriffen
- Die Anzahl externer Bedrohungen und Sicherheitsvorfälle steigt
- Die mangelnde Investitionsbereitschaft der Unternehmen erschwert die Arbeit der Informationssicherheitsabteilungen
- Die verwendete Technologie verfehlt heutige Anforderungen
- Eine langfristige Strategie der Informationssicherheit sollte von höchster Ebene ausgerichtet werden
- Operative „Hygiene“-Aufgaben stehen in vielen Unternehmen immer noch an erster Stelle
- Stattdessen sollten die Firmen ihre Freiräume für notwendige Weiterentwicklung und Innovation nutzen, um sich für neue Technologien und diverse Bedrohungsszenarien zu rüsten
Stuttgart. Zwar haben die Unternehmen bereits große Fortschritte im Umgang mit Cyber-Risiken gemacht, doch gerade in Zeiten sich ständig verändernder Technologien ist der Handlungsbedarf so groß wie nie: 59 Prozent der Unternehmen registrieren einen Anstieg externer Bedrohungen; bei knapp einem Drittel der Organisationen ist die Anzahl der Sicherheitsvorfälle in den vergangenen zwölf Monaten angestiegen.
Gleichzeitig erfüllt die interne Informationssicherheit bei lediglich 17 Prozent der Unternehmen die Anforderungen der jeweiligen Organisation voll und ganz. Das ergab der aktuelle Global Information Security Survey 2013 „Under cyber attack“ der Prüfungs- und Beratungsgesellschaft Ernst & Young (EY). Für die Umfrage wurden fast 2.000 Manager auf C-Level aus 64 Ländern und verschiedenen Branchen befragt.
„Social Media, die Nutzung von mobilen Endgeräten, Cloud-Service-Angebote oder die Sammlung und Analyse von großen Datenmengen – die Schwachstellen für Unternehmen und die virtuellen Risiken steigen gemeinsam mit ihren Möglichkeiten. Wenn Unternehmen mit den sich immer rascher entwickelnden Technologien mithalten wollen, müssen sie schnell handeln. Denn die Frage ist mittlerweile nicht mehr, ob eine Firma von einem Hackerangriff getroffen wird, sondern lediglich wann. Solche Datendiebe sind oft gnadenlos: Wenn eine ihrer Taktiken fehlschlägt, fahren sie solange fort, bis sie die Abwehr des Unternehmens durchbrochen haben. Firmen sollten sich deshalb von der Vorstellung verabschieden, sich auf sämtliche Cases vorbereiten zu können. Vielmehr sollten sie ihre Stärken ausbauen und deutlich strategischer denken und handeln, um im Ernstfall schnell reagieren zu können“, sagt Matthias Struck, verantwortlicher Partner bei EY für den Bereich Information Risk Management.
Abteilungen für Informationssicherheit haben zu kleine Budgets
Budgetbeschränkungen hindern die Abteilungen für Informationssicherheit in den Unternehmen daran, ihre Aufgaben bestmöglich zu erfüllen: Ein zu geringes Budget ist für knapp zwei Drittel der Befragten die größte Herausforderung auf dem Weg zu mehr Informationssicherheit in der Organisation. Dabei haben im vergangenen Jahr bereits 43 Prozent der Unternehmen ihr Budget für Informationssicherheit erhöht. Und immerhin plant die Hälfte der Studienteilnehmer, das Budget in den kommenden zwölf Monaten noch einmal um fünf bis 25 Prozent zu erhöhen. Für die Hälfte aller Befragten ist der Mangel an qualifizierten Fachkräften ein weiterer wichtiger Hinderungsgrund für die Funktion Informationssicherheit.
Immer noch mangelt es häufig am Sicherheitsbewusstsein
Viele Aspekte des Informationssicherheitsmanagements in den Unternehmen sind teilweise mangelhaft: Lediglich 30 Prozent der Firmen schätzen das Sicherheitsbewusstsein und das entsprechende Know-how ihrer Mitarbeiter als ausgereift ein. Bei 29 Prozent der Studienteilnehmer fehlen diese Aspekte hingegen derzeit noch völlig oder sind unzureichend. „Es ist nicht überraschend, dass Unternehmen mit dem Reifegrad ihrer Sicherheitsmaßnahmen nicht zufrieden sind, denn die installierten Technologien und die jeweiligen Prozesse entsprechen nicht den heutigen Anforderungen“, sagt Lars Weimer, Executive Director bei EY und verantwortlich für Informationssicherheit bei Banken und Finanzorganisationen.
Informationssicherheit ist Chefsache
Das Thema Informationssicherheit sollte in der Verantwortung der obersten Führungsebene sein: Fast drei Viertel der Befragten siedeln die Festlegung von Richtlinien für die Informationssicherheit auf der höchsten Hierarchieebene im Unternehmen an. In zehn Prozent der Firmen berichtet der Leiter der Abteilung für Informationssicherheit direkt an den Geschäftsführer und in immerhin 35 Prozent der Unternehmen reportet er sicherheitsrelevante Themen vierteljährlich an den Vorstand.
Business Continuity/Disaster Recovery und Cyber-Risiken/ Bedrohungen sind die Top-Prioritäten
Für die Hälfte der Befragten zählen die Aufrechterhaltung der Geschäftstätigkeit und die Notfallwiederherstellung zu den zwei wichtigsten Prioritäten für die nächsten zwölf Monaten. Cyber-Risiken und Bedrohungen sind für 38 Prozent der Studienteilnehmer die Top-Priorität, während ein Viertel der Unternehmen ihren Schwerpunkt jeweils auf Data Leakage und Data Loss Prevention, Information Security Transformation oder Compliance Monitoring legen.
Hingegen setzen lediglich 24 Prozent der Befragten Threat and Vulnerability Management an die erste oder zweite Stelle ihrer Prioritätenliste; für 34 Prozent der Studienteilnehmer hat dieser Punkt sogar am wenigsten Priorität. „Dieses Ergebnis ist verwunderlich. Denn ein Cyber-Angriff kann zu jeder Zeit und an jedem Ort stattfinden. Für Unternehmen ist es von großer Wichtigkeit zu wissen, wo die Gefahren lauern und wo ihre Schwachstellen liegen. Um sich bestmöglich vorzubereiten, sollten Unternehmen dem Management von Bedrohungen und Schwachstellen deshalb mehr Beachtung schenken“, sagt Matthias Struck.
EY im Überblick
EY* ist eine der drei großen deutschen Prüfungs- und Beratungsorganisationen. In der Steuerberatung ist EY deutscher Marktführer. EY beschäftigt rund 7.900 Mitarbeiter an 22 Standorten und erzielte im Geschäftsjahr 2012/2013 einen Umsatz von 1,31 Milliarden Euro. Gemeinsam mit den 175.000 Mitarbeitern der internationalen EY-Organisation betreut EY Mandanten überall auf der Welt.
EY bietet sowohl großen als auch mittelständischen Unternehmen ein umfangreiches Portfolio von Dienstleistungen an: Wirtschaftsprüfung, Steuerberatung, Rechtsberatung, Transaktionsberatung, Advisory Services und Immobilienberatung.
Zusätzliche Informationen entnehmen Sie bitte folgender Internetseite:
