Im Zuge der voranschreitenden digitalen Transformation beobachten wir, dass immer mehr Unternehmen auf datengetriebene Geschäftsmodelle setzen. Mit der ab Mai 2018 für Unternehmen verbindlichen Datenschutzgrundverordnung (EU-GDPR) etabliert die EU einen einheitlichen Standard zur Verarbeitung dieser oft sensiblen Daten.
Die jüngste Vergangenheit zeigt jedoch, dass Unternehmen ein über die Regulierung hinausgehendes Eigeninteresse an Informationssicherheit haben. Es gilt, Antworten auf folgende Fragen zu finden: Inwieweit beeinflusst die Einhaltung von Sicherheitsstandards und der verantwortungsvolle Umgang mit Daten das Vertrauen der Kunden bzw. die Reputation allgemein? Welchen strategischen Wert haben Kundendaten und insbesondere deren Sicherheit für das Unternehmen?
Capgemini Consulting befragte zum dritten Mal in Folge im Rahmen des Information Security Benchmarks führende mittelständische Unternehmen sowie Großkonzerne aus verschiedenen Branchen zu aufkommenden Trends, Budgets und Organisationsstrukturen. Darüber hinaus wurde das Sicherheitsniveau jedes der über 100 teilnehmenden Unternehmen, basierend auf Capgeminis Information Security Framework, hinsichtlich vier zentraler Bereiche evaluiert: Strategie und Steuerung, Organisation und Mitarbeiter sowie Prozesse und Technologie. Zusätzlich wurden in diesem Jahr drei spezifische Fokusthemen näher beleuchtet, die für die teilnehmenden Unternehmen von besonderer Relevanz sind: EU-GDPR, Cloud-Security und DevOps.
Informationssicherheit immer noch kein USP
Die diesjährige Studie kommt zu der Erkenntnis, dass 67 Prozent der befragten Unternehmen Kundendaten im Allgemeinen und 61 Prozent persönliche Informationen im Besonderen als ihre „Kronjuwelen“ ansehen. Entsprechend nennen 90 Prozent der Befragten den Schutz von Daten und Informationen als zentralen Treiber für die Informationssicherheit ihrer Organisation. Nur 64 Prozent der Befragten sehen die Einhaltung der künftig geltenden EU-Datenschutz-Grundverordnung als wichtigen Einflussfaktor, während gut ein Drittel der Befragten die Notwendigkeit der Umsetzung vernachlässigt. Gesetzliche Regularien zu erfüllen zählt somit gleichzeitig zu den Top Fünf der Risiken als auch der Verbesserungspotenziale für Informationssicherheit.
Treiber für die digitale Transformation 38 Prozent betrachten Informationssicherheit als Treiber für die digitale Transformation
In diesem Jahr verstehen 38 Prozent der befragten Unternehmen Informationssicherheit als Treiber für die digitale Transformation, ganze 18 Prozent mehr als noch im Vorjahr. Es bleibt jedoch dabei, dass die Mehrzahl der Teilnehmer Informationssicherheit weiterhin als Compliance-Thema sieht. Dies führt dazu, dass bisher nur selten mit besonders sicheren Angeboten geworben wird – Sicherheit ist noch immer keine Unique Selling Proposition mit der sich Unternehmen von der Konkurrenz abheben wollen.
Cybersecurity-Budgetverteilung kündigt Paradigmenwechsel an
Etwas überraschend ist mit nur 6 Prozent der geringe Anteil des IT-Budgets, der für die Informationssicherheit im Unternehmen vorgesehen ist. Hier könnte es jedoch zu positiven Veränderungen kommen, denn 90 Prozent der befragten Unternehmen erwarten einen Anstieg dieses Budgets im kommenden Geschäftsjahr. Warum, zeigt folgender Trend: Im Vergleich zum Vorjahr verzeichnen insbesondere Großunternehmen einen außerordentlich hohen personellen Anstieg im Jahr 2017. Interessant ist, dass es sich bei 50 Prozent der Vollzeitstellen um ausgelagerte Arbeitskräfte handelt.
Der Budgetvergleich zum Vorjahr zeigt sogar eine eindeutige Umverteilung: Insgesamt sinken die Investitionen in den „Protection“ von 49 auf 42 Prozent, gleichzeitig steigen die Investitionen in die „Detection“ von Gefahren von 15 auf 20 Prozent. „Response and Recovery“ gewinnen an Bedeutung mit 14 Prozent (2016 noch 11 Prozent). Auf diese Weise reagieren befragte Unternehmen auf die Notwendigkeit der Implementierung neuer Cybersecurity-Lösungen, um so der zunehmenden Komplexität durch die digitale Transformation gerecht zu werden.
Paradigmenwechsel Verlagerung des Fokus von „Schutz“ auf „Erkennung“ und „Reaktion und Wiederherstellung“
Paradigmenwechsel von der „Festungsmentalität“ zur „Mitarbeiter-Firewall“
In der „neuen Welt“ reichen Investitionen in Schutz- und Abwehrtechnologien wie Firewalls und Virenscanner nicht mehr aus. Ein modernes Informationssicherheitsmanagement zeichnet sich vielmehr durch die Erwartungshaltung aus, jederzeit Opfer eines Hackerangriffs sein zu können. Dabei unterstützen Erkennungstechnologien die Informationssicherheit bei der Entdeckung von Angriffen in Echtzeit, beispielsweise durch den Einsatz von künstlicher Intelligenz. Sie erlauben so eine unmittelbare Reaktion und die Wiederherstellung nach Systemausfällen mittels vorbereiteten Krisenmanagement- und Business-Continuity-Plänen.
Darüber hinaus empfinden die befragten Unternehmen die Sensibilisierung und Fachkenntnis des Managements als ihre größte Stärke, während die Sensibilisierung der Mitarbeiter im Bereich Informationssicherheit als ausbaufähig gilt. Diese Erkenntnis erklärt sich dadurch, dass viele Vorfälle auf fehlerhaftes Verhalten der Angestellten zurückgeführt werden können. Unternehmen müssen deshalb Sensibilisierungsprogramme über alle Hierarchieebenen hinweg implementieren, um eine ganzheitliche Informationssicherheit zu gewährleisten.
Nachholbedarf in aktuellen Fokusthemen führt zur Stagnation des Gesamtreifegrads – nur 6 Prozent vollständig auf GDPR vorbereitet
Entgegen dieser grundsätzlich zu begrüßenden Entwicklung, zeigt sich Nachholbedarf in den drei Fokusthemen der Studie. Zum Beispiel gaben zum Zeitpunkt der Datenerhebung, immerhin ein Jahr vor Einführung der EU-GDPR, nur 6 Prozent der teilnehmenden Unternehmen an, bereits den künftig geltenden Anforderungen vollständig zu entsprechen. 54 Prozent haben bis dato noch keine DevOps-Philosophie in ihrem Unternehmen implementiert. Cloud Services scheinen hingegen auf dem Vormarsch zu sein, denn immerhin 88 Prozent der Befragten gaben an, diese in ihre Betriebsabläufe zu integrieren. Unsicherheit besteht jedoch hinsichlich der für letztere zwei Themen zu implementierenden Sicherheitsmaßnahmen. Für das Thema DevOps konnten sich nur 38 Prozent der Teilnehmer auf das Berechtigungsmanagement privilegierter Accounts sowie Code-Reviews bzw. 33 Prozent auf automatisierte Sicherheitstests als wichtigste Sicherheitsmaßnahmen einigen. Während 59 Prozent der Teilnehmer einen Cloud-Provider bei der Dienstleisterauswahl auf Sicherheitsaspekte untersuchen, führen nur 37 Prozent regelmäßige Sicherheitschecks durch, um das Sicherheitsniveau langfristig zu gewährleisten.
Das erklärt auch, warum der Information Security Benchmark, trotz einzelner positiver Entwicklungen, mit 1.97 im Durchschnitt den gleichen Gesamtreifegrad aufzeigt wie im Vorjahr. Den höchsten Reifegrad erzielen dabei stark regulierte Branchen: Mit 2.27 bzw. 2.21 schneiden die Branchen Finanzdienstleistungen und Energie, wie auch schon im Jahr zuvor, am besten ab. Ein überraschender Wert angesichts der schwerwiegenden IT-Sicherheitsvorfälle mit großem Medieninteresse, die eher gesteigerte Investitionen zur Minimierung von Informationssicherheitsrisiken erwarten ließen. Es bleibt abzuwarten, ob Unternehmen ihr gestiegenes Informationssicherheitsbudget zukünftig sinnvoll einsetzen, um ihre Schutzmechanismen zu optimieren.
Zur Studie
Capgeminis Information Security Benchmarking-Studie 2017 gibt einen Überblick über den aktuellen Stand der Informationssicherheit weltweit. Im zweiten Quartal 2017 nahmen 101 Unternehmen aus verschiedenen Branchen teil. Ergebnisse der Information Security Benchmarking-Studie 2017 stehen hier zur Verfügung.