Die Befragung von 230 Unternehmen ergab eine kritische Lage in Deutschen unternehmen. Zwei Drittel der Befragten gaben ab Sicherheitsvorfälle verzeichnet zu haben.  Betroffen waren am häufigsten mit 34 Prozent PC und Notebooks, gefolgt von Netzwerke (31 Prozent) sowie Smartphones und Tablets (30 Prozent). Auch die Rechenzentren selbst (29 Prozent) und Server (28 Prozent) waren betroffen.  Das hingegen vernetzte Drucker, Sensoren und IoT nur im geringen Maß betroffen waren, kann aber auch an einem Zusammenhang zwischen fortgeschrittener Digitalisierungsstrategie und Security-Strategie liegen.

Die Schäden der betroffenen Unternehmen sind hoch. An erster Stelle liegen dabei Reputationsschäden bei Kunden oder Lieferanten, von denen 41 Prozent der betroffenen Unternehmen berichteten. Dazu kommen Datenschutzrechtliche Maßnahmen, die nach einem Angriff durchgeführt werden müssen, Ausfälle der Informationssystemen, ebenso wie Kosten für Rechtsstreitigkeiten. Dazu kommen noch Umsatzeinbußen, Patentrechtsverletzungen  und Kosten für die Aufklärung der Angriffe.

So verwundern auch nicht die Zuwachsraten am Markt für Security-Lösungen, der in Deutschland seit 2017 um neun Prozent auf 4,1 Milliarden Euro angewachsen ist und auch 2018 wieder ähnlich wachsen soll. Die Analysten von Gartner schätzen Ausgaben für 2018 weltweit sogar auf rund 114 Milliarden US-Dollar, was einem Anstieg von 12,4 Prozent gegenüber dem Vorjahr entspräche.

Das Problem in vielen Unternehmen ist häufig das Fehlen einer ganzheitlichen Security-Strategie. Insbesondere mittelständische Unternehmen, aber auch Großkonzerne besitzen eine historisch gewachsene IT-Security-Landschaft mit teilweise 50 bis 80 unterschiedlichen Security-Lösungen, über die auch keine transparente Übersicht besteht.

Um seine IT-Security zu stärken ist daher häufig Transparenz der erste Schritt. Hierbei darf man sich auch nicht auf die zentrale IT-Organisation beschränken, sondern muss auch den Bestand an IT und vorhandene Sicherheitslösungen in den Fachbereichen einbeziehen. Auch wenn das Thema Schatten-IT in den letzten Jahren nicht immer im Fokus stand muss man solche in Eigenverantwortung beschaffte IT-Ressourcen auch mit einbeziehen. In diesen Bereichen kommt es häufig zur Verletzung der Compliance. Entweder sind die entsprechenden Regeln nicht bekannt oder sie wissend ignoriert. Beides muss in späteren Schritten durch eine Schulung und Sensibilisierung der Mitarbeiter angegangen werden, da Fehlverhalten der Anwender (37 Prozent) und unzureichend gesicherte Endpoints (34 Prozent) immer noch zu den am häufigsten genannten Sicherheitsrisiken zählen.

Die umfassende Bestandsaufnahme kann also nur der erste Schritt sein.  Aber er ist notwendig um ein zentrales Konzept der Informationssicherheit zu entwickeln und die richtigen IT-Security-Lösungen, -Technologien und  -Services auszuwählen. Derzeit haben lediglich 58 Prozent der befragten Unternehmen ein umfassendes Sicherheitskonzept, was zwangsweise bedeutet, dass Lücken entstehen werden, oder bereits vorhanden sind. Nur wenn die eigenen IT-Ressourcen und ihre Schwachstellen bekannt sind und darauf abgestimmte Lösungen genutzt und Maßnahmen wie Mitarbeiterschulungen getroffen werden kann ein IT-Security-Konzept halten.

Mehr dazu erfahren Sie auf unseren StrategieTagen IT Security am 27. und 28. November 2018.