Cybersicherheit: Gleichgültigkeit im Vorstand

Deutsche CIOs extrem in Sorge

Werner Kurzlechner lebt als freier Journalist in Berlin und stellt regelmäßig Rechtsurteile vor, die Einfluss auf die tägliche Arbeit von Finanzentscheidern nehmen. Als Wirtschaftshistoriker ist er auch für Fachmagazine und Tageszeitungen jenseits der IT-Welt tätig.
Wie eine Ponemon-Studie zeigt, fehlt es in den Vorständen an Problembewusstsein in Sachen Cyber-Security. Die deutschen Ergebnisse sind in mehrfacher Hinsicht extrem.
Fast die Hälfte der Befragten beklagen, dass Führungskräfte auf Vorstandsebene unterdurchschnittlich wenig Verständnis für Sicherheitsthemen haben.
Fast die Hälfte der Befragten beklagen, dass Führungskräfte auf Vorstandsebene unterdurchschnittlich wenig Verständnis für Sicherheitsthemen haben.
Foto: Janina Dierks - Fotolia.com

Licht und Schatten gibt es hierzulande im internationalen Vergleich bei der Cybersicherheit. Das zeigt eine aktuelle Studie des Ponemon Institute, für die im Auftrag des Anbieters Websense 5.000 IT-Security-Verantwortliche in 15 Ländern befragt wurden. Die Einschätzungen aus Deutschland spiegeln in extremer Weise Vertrauen in die vorhandenen Sicherheitslösungen, aber auch Sorge wegen einer schwer greifbaren Bedrohungslage wider. Insgesamt zeigt die Studie, dass die Einblicke in cyberkriminelle Aktivitäten sehr beschränkt sind.

Umsatzverluste weithin ignoriert

So können nur 37 Prozent der Befragten mit Sicherheit sagen, wenn ihr Unternehmen vertrauliche Daten als Folge einer Cyberattacke verloren hat. Von den Opfern von Datenverlust weiß nur jedes dritte Unternehmen zu sagen, welchen Informationen genau gestohlen wurden.

Besonders ausgeprägt erscheint die Nonchalance im Top-Management der Firmen. Fast die Hälfte der Befragten - zwei Drittel davon übrigens CIOs - finden, dass Führungskräfte auf Vorstandsebene unterdurchschnittlich wenig Verständnis für Sicherheitsthemen haben. 80 Prozent bemängeln, dass von Business-Seite abhanden gekommene vertrauliche Daten nicht mit einem Umsatzverlust gleichsetzen. Die finanziellen Konsequenzen des Problems werden also weithin ignoriert.

Die Studie offenbart große Defizite bei den eingesetzten Sicherheitslösungen. Fast 70 Prozent gehen davon, dass Cyber-Angriffe manchmal unbemerkt durch ihr Security-Netz schlüpfen. Nur eine Minderheit von 43 Prozent wähnt sich vor fortgeschrittenen Cyber-Angriffen sicher. 63 Prozent zweifeln daran, den Abfluss vertraulicher Informationen stoppen zu können.

Die deutschen Ergebnisse sind wie angerissen höchst auffällig. Mehr als anderswo äußern sich die hiesigen Verantwortlichen zuversichtlich, dank ihrer IT-Lösungen über Angriffsversuche und ihre möglichen Folgen Bescheid zu wissen. 65 Prozent der deutschen Befragten sagen das. Die 60-Prozent-Marke wird sonst nur noch in den Niederlanden übertroffen. In Brasilien, Mexiko und Indien scheinen die Mängel hingegen extrem, beantworten doch nicht einmal 30 Prozent die Frage positiv.

Trotz des starken Vertrauens in die vorhandenen Lösungen ist den deutschen Verantwortlichen ebenso stark bewusst, dass es dennoch Schlupflöcher für Attacken gibt. 78 Prozent in der Bundesrepublik sagen, dass Cybersicherheitsbedrohungen manchmal durchs Raster der bestehenden Systeme fallen. Übertroffen wird dieser Wert nur in Frankreich und Italien (jeweils 82 Prozent) sowie in Singapur (79 Prozent). Im Vergleich recht unbesorgt äußert man sich in Kanada, Schweden, Australien und Mexiko mit Werten unter 60 Prozent.

Äußerst gering ist den Aussagen der Befragten zufolge in Deutschland das Verständnis der Bedrohungslandschaft, in der das eigene Unternehmen heute bestehen muss. Nur 34 Prozent sagen, dass sie diese Gefahren gut kennen - marginal unterboten wird dieser Wert nur noch in Hongkong. Zum Vergleich: In Italien meint eine Mehrheit von 52 Prozent, viel genug über die aktuellen Bedrohungen zu wissen.

Großes Vertrauen, große Bedenken

Zusammenfassend lässt sich speziell über die deutschen Antworten sagen, dass das Vertrauen in die eingesetzten Lösungen größer ist als im Rest der Welt. Im Grunde positiv stimmt, dass parallel dazu das Bewusstsein dafür vorhanden ist, dass sich Einfallstore für Angreifer sich auch bei größter Umsicht auftun können, und dass die sich rasch verändernde Welt Kriminellen bedrohlicher als anderswo wahrgenommen. Beides dürfte dafür sprechen, dass man nicht in Selbstzufriedenheit erstarrt.

Gleichwohl stimmen die Studienergebnisse insgesamt eher nachdenklich. Immerhin 44 Prozent der teilnehmenden Unternehmen wurden im vergangenen Jahr ein- oder mehrmals angegriffen. Rund 60 Prozent der Firmen haben Baustellen in ihren Sicherheitssystemen oder Wissensdefizite über Attacken und ihre Konsequenzen.

"Setzen Sie auf eine alles umfassende Verteidigungsstrategie, die Web, E-Mail und mobile Kanäle beinhaltet", raten die Studienautoren. Der Fokus auf nur einen dieser Kanäle sei zu vermeiden. Daneben nennt die Studie die Schulung und Sensibilisierung der Mitarbeiter als wichtigen Baustein für mehr Cybersicherheit. Die Untersuchung "Exposing the Cybersecurity Cracks: A Global Perspective" ist bei Websense erhältlich. Aus Deutschland flossen 445 Antworten ein.

Zur Startseite