Thought Leadership
Jeder vierte Verantwortliche für IT-Sicherheit in Unternehmen muss sich den Vorwurf von Vorgesetzten anhören, Cybersicherheit sei doch ganz einfach. Externe Sicherheitsdienste spielen bei den ganz kleinen und ganz großen Unternehmen eine weniger wichtige Rolle als der Durchschnitt, aber wohl aus ganz unterschiedlichen Gründen.
Fehlende qualifizierte Sicherheitsexperten und das rasante Tempo der Cyberbedrohungen – vor diesen Schwierigkeiten stehen IT-Teams in Deutschlands Unternehmen (jeweils 26,2 Prozent Nennung) hauptsächlich. Während dieses Ergebnis nicht überraschend ist, kommt eine weitere Einschätzung allerdings eher unerwartet: Die IT-Experten bemängeln, dass ihnen auch die Einstellung der Firmenleitung das Leben schwer macht: Gut jeder Vierte (25,2 Prozent) teilt die Erfahrung, dass die Unternehmensführung davon ausgeht, dass Cybersicherheit einfach ist und die Bedenken übertrieben sind. 22,3 Prozent geben zudem an, dass die Unternehmensplanung ihrer Meinung nach der Cybersicherheit nicht konsequent die nötige Priorität einräumt. Und 18,8 Prozent fällt auf, dass einzelne Unternehmensbereiche immer wieder Wege finden, die Security-Regeln zu umgehen.
Die Unternehmensgröße sorgt für unterschiedliche Bedenken
Immerhin 16,8 Prozent geben an, dass ihre Unternehmensführung zwar die existierende Cybersicherheit lobt, aber nicht wirklich an deren Wirksamkeit glaubt. In Betriebsgrößen 50 bis 249 gibt das gut jeder Vierte an (23,5 Prozent) an, in Konzernen findet diese Haltung mit 5,1 Prozent kaum statt. Je größer das Unternehmen, desto genauer scheinen die Verantwortlichen die Ausgaben abzuwägen und dann aber auch an deren Wirksamkeit zu glauben. Allerdings nennen Mitarbeitende in der IT von Konzernen am stärksten (30,8 Prozent) die Sorge, mit dem Tempo der Cyberbedrohungen nicht mithalten zu können.
In Konzernen fehlt oft eine einheitliche Sicherheitskultur
Große Unternehmen unterliegen anderen Arbeitsprozessen, und so ist hier die zweitwichtigste Nennung zu den Schwierigkeiten im Betrieb: „Es fällt schwer, eine einheitliche und starke Sicherheitskultur im Unternehmen zu schaffen.“ – 28,8 Prozent zum Mittel von 17,8 Prozent. Die Hindernisse der anderen Unternehmensgrößen sind in dieser Betriebsgröße kein Thema, nämlich, dass die Unternehmensführung Cybersicherheit für einfach hält und Bedenken übertrieben sind (5,1 Prozent zum Mittel 25,2 Prozent).
Auch der Fachkräftemangel macht sich bemerkbar. Kleine Firmen bis 49 Mitarbeiter leiden mit 33,3 Prozent mehr als der Durchschnitt (26,2 Prozent) darunter. Fehlendes Budget ist hier aber kein Hindernis und wird mit 10 Prozent unterdurchschnittlich (17,8 Prozent) genannt.
Externe Experten für Schulungen und Sicherheitstools
Wie gehen Unternehmen unterschiedlicher Größen nun mit diesen Erfahrungen und Schwierigkeiten um? Angesichts der Komplexität und Schnelligkeit der heutigen Cyberbedrohungen ist es üblich, sich extern Unterstützung zu holen. So benennt fast jeder dritte Befragte (29,7 Prozent), dass das Unternehmen sich Spezialisten zu Kompetenzentwicklung, Schulung und Sensibilisierung der Mitarbeitenden im Bereich Cybersicherheit dazuholt. An zweiter Stelle kommen externe Dienste zu Sicherheitsmaßnahmen im Unternehmensnetzwerk (27,7 Prozent). Knapp ein Drittel aller Befragten über alle Unternehmensgrößen hinweg geben an, mittlerweile bei der Reaktion auf und Behebung nach Cyberattacken ein externes Team hinzuzuholen – was die starken Wachstumszahlen in Sachen MDR und Incident Response untermauert. Konzerne sind in Sachen Cybersicherheit naturgemäß autarker unterwegs – hier nennt jeder Dritte (33,3 Prozent, Platz 1 der Nennungen), dass keine der genannten Aufgaben an Externe herausgegeben werden. Interessanterweise arbeitet mit 23,3 Prozent auch fast ein Viertel der kleinen Firmen bis 49 Mitarbeitern nicht mit externen Spezialisten zusammen, während dieser Wert bei Unternehmen von 50 bis 1000 Mitarbeitern im Mittel nur bei rund 7 Prozent liegt. Ein Indiz dafür, dass sich gerade die kleinsten Firmen immer noch in (fälschlicher) Sicherheit wiegen und sich nicht als Ziel immer gezielterer Cyberattacken sehen.
(lb/Sophos)
