Nicht einmal die Hälfte der befragten Entscheidungsträger in deutschen und österreichischen Firmen stuft die eigenen unternehmenskritischen Daten als "komplett sicher" ein: Das ist das Kernergebnis des 2017-er Ausgabe des "Risk:Value-Reports" von NTT Security. Die gute Nachricht: Kunden denken zunehmend um und stellen sich der Herausforderung in punkto Sicherheit.
Mehr als die Hälfte (52 Prozent) der im Auftrag von NTT Security befragten deutschen und österreichischen Anwenderunternehmen mit über 500 Mitarbeitern rechnet mit der unmittelbar bevorstehenden Verletzung der Informationssicherheit. Das ist noch einmal eine Steigerung gegenüber den 51 Prozent vom Vorjahr.
Die befragten Kunden schätzen, dass die Behebung des auf diese Weisen entstandenen Schadens rund zwölf Wochen dauern und durchschnittlich Kosten in Höhe von mehr als 1,1 Millionen Euro verursachen wird.
Nur 46 Prozent der befragten Non-IT-Entscheider glauben, dass ihre unternehmenskritischen Daten in sicheren Händen sind. Fast ein Drittel, nämlich 28 Prozent der Befragten, hat keine Ahnung, an welchem physischen Ort sich ihre Daten konkret befinden.
Lesetipp: Wie die erste Jahreshälfte IT-Security-Sicht verlaufen ist
Sicherheitsvorfälle schaden dem Unternehmen
Im Widerspruch dazu stehen zwei weitere Ergebnisse der NTT-Studie: die Auswirkungen eines Sicherheitsvorfalls auf das eigene Unternehmen und die Höhe der Investitionen in die IT-Sicherheit. Fast alle (96 Prozent) Entscheider sind der Meinung, dass ein Sicherheitsvorfall mit Datendiebstahl gravierende negative Auswirkungen auf ihr Unternehmen haben würde. Genannt wurden Verlust des Kundenvertrauens (47 Prozent), Beeinträchtigung der Reputation (46 Prozent) und direkte finanzielle Einbußen (42 Prozent).
Trotz dieser prekären Lagen investieren die Unternehmen weiterhin nur sehr spärlich in ihre IT-Sicherheit. Laut der Auswertung von NTT Security stieg der Anteil des IT-Budgets, der ausschließlich für IT-Sicherheitsmaßnahmen vorgesehen ist, von elf Prozent im Vorjahr auf gerade mal 15 Prozent an.
"Neben der Höhe der Investitionen, die wir als zu gering einschätzen, ist auch die Art und Weise der Investitionsentscheidungen ausschlaggebend. Vielfach wird unserer Erfahrung nach neuen Gefahren mit der Implementierung weiterer Sicherheitslösungen begegnet. Kostspielige Insellösungen und schwer zu managende Flickenteppiche sind die Folge. Umgesetzt werden sollte aber vielmehr ein ganzheitliches Lösungskonzept, das den kompletten Sicherheitsbedarf in Abhängigkeit vom spezifischen Risikoprofil des Unternehmens abdeckt", betont Kai Grunwitz, Senior Vice President EMEA bei NTT Security.
"Mit dem klassischen reinen Infrastruktur- und Technologie-Security-Management ist heutigen gezielten Bedrohungssituationen nicht mehr adäquat beizukommen", so Grunwitz weiter, "sie müssen Bestandteil eines durchgängigen Risikomanagements sein, mit dem die gesamte Wertschöpfungskette eines Unternehmens abgesichert wird, von den Daten über die Business-Anwendungen bis zu den modernen, digitalen Arbeitsumgebungen."
Incident-Response-Plan in der Schublade
Aus Sicht des Sicherheitsspezialisten gibt es aber auch positive Entwicklungen zu vermerken: So hat sich bei Kunden mittlerweile die Erkenntnis durchgesetzt, dass Sicherheitsvorfälle nicht gänzlich auszuschließen sind. Infolgedessen nehmen auch die Investitionen in den genannte "Incident-Response", also in Maßnahmen, die unmittelbar nach einem sicherheitsrelevanten Vorfall zu treffen sind, gestiegen.
Dennoch haben in Deutschland und Österreich derzeit nur 42 Prozent der Unternehmen einen derartigen Incident-Response-Plan in der Schublade. Die gute Nachricht: 36 Prozent der von NTT Security befragten Anwenderunternehmen implementieren gerade einen derartigen Incident-Response-Plan und weitere elf Prozent planen entsprechende Maßnahmen in naher Zukunft.
Lesetipp: Was Security-Dienstleister für die zweite Jahreshälfte erwarten
"Die richtige Reaktion auf einen Cyber-Angriff gehört mittlerweile zur Kernaufgabe unserer Kunden. Ein Incident-Response-Plan ist mehr als ein Stück Papier in einem Ordner - es ist ein Stück Sicherheit", erklärt Grunwitz.
Positiv hervorzuheben ist laut NTT Security außerdem, dass immerhin 53 Prozent der Befragten in Deutschland und Österreich wissen, dass sie von der neuen Datenschutz-Grundverordnung der EU (EU-DSGVO) betroffen sind. In der Schweiz liegt dieser Wert sogar bei 58 Prozent, global aber bei lediglich 40 Prozent.
Managed Security Services kommen in Mode
Managed Services im Bereich Security sind derzeit voll im Trend. Aktuell nutzen zwar lediglich drei Prozent der im Auftrag von NTT Security befragten Unternehmen in Deutschland und Österreich derartige Dienste. Aber beachtliche 44 Prozent der Unternehmen wollen schon bald auf das Angebot von Managed-Security-Services-Providern (MSSP) zurückgreifen. Zudem zieht ein Viertel der Befragten es zumindest in Betracht, Managed-Security-Services in naher Zukunft in Anspruch zu nehmen.
Als Haupttreiber für die verstärkte Orientierung hin zu MSSP-Lösungen benennen die Kunden neben der höheren externen Verfügbarkeit von modernen Technologien (17 Prozent der Nennungen), den besseren Zugriff auf Expertenwissen (29 Prozent) und den Mangel an ausreichender interner IT-Security-Expertise (25 Prozent). Auch die zuvor erwähnte EU-DSGVO mit der damit verbundenen Datenklassifikation und dem Datenmanagement beschleunigt die Nutzung von Managed Security Services.