Thought Leadership
Wolfram Funk, Senior Advisor, spricht über das Sicherheits-bewusstsein deutscher Unternehmen.
Beim Sicherheitsbewusstsein in deutschen Unternehmen gibt es noch Nachholbedarf, wie eine aktuelle Analyse der Experton Group zeigt. Zwar bejahen die im Rahmen der Untersuchung befragten Unternehmen weitestgehend die Frage nach einer ausformulierten Sicherheitsstrategie in der Organisation. Es trifft aber nur ein eingeschränktem Maße zu, dass die Befragten ein formelles Information Security Management System (ISMS), beispielsweise in Anlehnung an ISO 27001, etabliert hätten. Noch etwas geringer ist die Zustimmung zur Frage nach einem kontinuierlichen Programm zur Förderung des Sicherheitsbewusstseins („Security Awareness“) im Unternehmen.
Dies ist ganz typisch und bestätigt die Erfahrungen der Experton Group im Anwenderumfeld: diskrete, einmalige Maßnahmen wie das Etablieren einer Sicherheitsstrategie sind relativ einfach umzusetzen. Einen kontinuierlichen Prozess anzustoßen und am Leben zu halten, wie es beim ISMS und Awareness-Programm vonnöten ist, ist schon deutlich schwieriger.
Dabei gehört das Schaffen von mehr Sicherheitsbewusstsein im Unternehmen zu den Top-Sicherheits-Herausforderungen der Befragten. Umso interessanter ist die Frage, wie die Anwenderunternehmen das Sicherheitsbewusstsein bei einzelnen Gruppen beurteilen. Im Mittel schätzen die Befragten nur die „Security-Awareness“ der IT-Mitarbeiter als hoch ein. Mit deutlichem Abstand folgen Partnerunternehmen, die erstaunlicherweise aber noch vor dem Vorstand und den Abteilungsleitern im eigenen Unternehmen liegen. Das Bewusstsein bei den sonstigen Mitarbeitern wird als mäßig bis niedrig eingeschätzt. Diese Ergebnisse legen selbst bei Vorstand und Fachabteilungsleitern signifikantes Optimierungspotenzial nahe.
Allerdings muss berücksichtigt werden, dass mehr als zwei Drittel der Befragten im IT-Bereich tätig sind. Diese neigen nicht immer zur Selbstkritik, und so bleibt die Objektivität der Aussagen strittig. Daher verdient eine zusätzliche Betrachtung der Aussagen nach einzelnen Funktionen Aufmerksamkeit. Die befragten IT-Leiter sehen ihre eigenen Mitarbeiter in sehr positivem Licht, nicht aber alle anderen Mitarbeiter und die Partner. Eine besonders kritische Position nimmt der CISO oder IT-Security-Manager ein, aber auch er stellt den IT-Mitarbeitern ein positives Awareness-Zeugnis aus. Vorstand und Geschäftsführung haben über alle Bereiche hinweg einen guten bis sehr guten Eindruck mit Blick auf das Sicherheitsbewusstsein. Sich selbst bewerten sie am schlechtesten, aber immer noch „gut“.
Hier treffen nach Ansicht der Experton Group zwei gefährliche Tendenzen aufeinander. Zum einen haben es die Sicherheits- und IT-Verantwortlichen bislang nicht geschafft oder vielleicht nicht einmal versucht, ihr Management zum Absetzen der rosaroten Brille zu bewegen. Andererseits würde den IT-Verantwortlichen etwas mehr Selbstkritik nicht schaden, kann doch diese als ein Antrieb zur weiteren Schärfung auch des eigenen Sicherheitsbewusstseins dienen.
