Umfrage: IT-Sicherheit ist keine Chefsache
Die zunehmende Globalisierung, moderne und innovative Arbeitsplätze sowie die Herausforderungen des World Wide Web erfordern eine neue Struktur und Positionierung der IT-Sicherheit. Führende Experten raten dazu, Prozesse und Strategien näher an das Management zu heben. Doch wie schätzen die Führungskräfte selbst die Sicherheitslage ein?
Mehr Bewusstsein für IT-Sicherheit notwendig
Die Herausforderungen unserer globalen Welt machen eine sichere Informationstechnologie zur Pflicht für erfolgreiche Unternehmen. Dabei sind neue Datenschutzregelungen, immer komplexer werdende IT-Strukturen und die zunehmende Cyberkriminalität nur einige der Gründe dafür, dass Manager und Managerinnen ihr Bewusstsein für die Rolle der IT-Sicherheit schärfen sollten. Experten raten bereits seit langer Zeit dazu, die Sicherheit der Daten in Unternehmen und Organisationen in die höhere Führungsebene zu verlagern.
Die aktuelle Positionierung von IT-Sicherheit in Unternehmen
Aufgrund der Relevanz des Themengebietes IT-Sicherheit für Unternehmen hat das Meinungsforschungsinstitut Ipsos zu Beginn des Jahres 2022 Führungskräfte in Deutschland, Österreich und der Schweiz befragt, wie sie die Sicherheitslage einschätzen, welche Folgen sich ihrer Meinung nach aufgrund von einer zunehmenden Cyberkriminalität ergeben können und ob die weltpolitische Lage sie in ihrem Handeln beeinflusst.
Der Widerspruch: Positionierung vs. Verantwortung
Laut der Ipsos-Studie hat die Mehrheit der Führungskräfte die Relevanz von IT-Sicherheit verstanden. So geben 81 % der Manager und Managerinnen an, dass sie ein hohes bis sehr hohes Bewusstsein für IT-Sicherheit besitzen. Darüber hinaus haben über 60 % der befragten Unternehmen das Thema in den vergangenen drei Jahren auf die höhere bzw. höchste Hierarchieebene gehoben. Und doch ergibt sich ein Widerspruch. Denn die eigentliche Verantwortung für die IT-Sicherheit liegt in der Regel weniger oft in der Chefetage, sobald das Unternehmen größer wird. So gibt Ipsos an, dass lediglich 1,9 % der Unternehmen mit mehr als 200 Mitarbeitern ihre Verantwortung auf Managementebene angesiedelt haben. Bei kleineren Unternehmen und dem Handel dagegen ist der Chef in 22 % der befragten Teilnehmer der Studie persönlich eingebunden.
Verantwortung für Cybersicherheit wird gern extern vergeben
Ein Umdenken hinsichtlich der Cybersicherheit hat in vielen Unternehmen bereits eingesetzt – und doch ist es ein langsamer Prozess. Dies belegen auch die Zahlen der Studie. So liegt die Verantwortung bei 49,1 % der größeren Unternehmen in der eigenen Abteilung, während 35,8 % das Thema an externe Dienstleister vergeben haben. Kleinere Unternehmen haben die IT-Sicherheit zu 36,5 % als Aufgabe eigener Teams erklärt. Die Weitergabe an externe Stellen erfolgt bei 33,1 % der Befragten.
Sophos Infografik
Weltpolitische Lage hat nur wenig Einfluss
Dass die Weltpolitik einen Einfluss auf die Prozesse innerhalb von Unternehmen hat, ist nichts Neues. Und doch ist die Lage in den letzten Jahren unruhiger geworden, sodass auch die IT-Sicherheit vor neue Herausforderungen gestellt wird. Das bestätigen auch die befragten Unternehmen der Studie. So geben 23 % der großen Unternehmen und 36 % der kleinen Firmen an, dass für sie das Thema wichtiger geworden ist. Gleichzeitig fühlt sich die Mehrheit der Befragten (70 %) dennoch sicher und gut aufgestellt für die Zukunft. Auch das Bewusstsein für cyberkriminelle Angriffe ist gewachsen und wird als mögliche Folge der weltpolitischen Lage erkannt. So halten 58 % der befragten Unternehmen dies für wahrscheinlich, während nur knapp 39 % dieses Risiko nicht einkalkulieren.
Mögliche Folgen finden Beachtung
Obwohl sich die Mehrheit der Unternehmen sicher und gut gewappnet fühlt, ist man sich möglichen Folgekosten aufgrund von einem Cyberangriff bewusst. Häufig wird auch die Unterbrechung der kaufmännischen Abläufe befürchtet. So geben 23 % der Befragten an, dass es zu Problemen innerhalb der Lieferkette kommen könnte. Einen möglichen Imageverlust kalkulieren lediglich 28 % der befragten Unternehmen ein. Kaum Beachtung dagegen findet ein möglicher Verlust von Kunden und Beschäftigten sowie einer Zahlungsunfähigkeit.
Unterschiede zu internationalen Unternehmen kaum sichtbar
Ob Nordamerika, ASEAN oder andere Regionen rund um den Globus: das Denken und Handeln der deutschen, österreichischen und Schweizer Unternehmen findet sich auch auf der restlichen Welt wieder. Auch Chester Wisniewski, Principal Research Scientist bei Sophos, bestätigt: “Sicherheit wird als Bestandteil der IT gesehen, aber nicht als Aufgabe wahrgenommen.” So bleiben häufig die Rollen des Sicherheitsteams und der IT-Abteilung unterschiedlich und voneinander getrennt. Während die Sicherheitsteams Risiken identifizieren und diese zusammen mit dem Vorstand nach Prioritäten ordnen, beschäftigt sich die IT-Abteilung lediglich mit der Implementierung.
Auch angesichts der weltpolitischen Lage und dem Ukraine-Krieg bleiben internationale Unternehmen gelassen. Eine Ausnahme bilden die Bemühungen zur Verbesserung der amerikanischen IT-Infrastruktur. Hierbei hat die zuständige CISA-Agentur teilweise Meldepflichten für Anbieter von kritischen Infrastrukturen verstärkt.
Mehr Verantwortung für IT-Abteilungen gefordert
Die Ergebnisse der Studie unterstützen den Rat zahlreicher Experten, die mehr Verantwortung für die IT-Abteilungen fordern. Denn nach wie vor setzt 1/3 der Unternehmen auf externe Dienstleister. Ähnlich verhält es sich bei dem Einfluss der weltpolitischen Lage auf das Denken und Handeln im Bereich der IT-Sicherheit. Auch hier sind es nur 1/3 der Unternehmen, die sich durch die Weltpolitik beeinflusst fühlen. Die Mehrheit der Befragten fühlt sich sicher und für die Zukunft gut gewappnet. Anders verhält es sich mit den Folgen möglicher Cyberangriffe. Hierbei befürchten Manager und Managerinnen vermehrt wirtschaftliche Folgen, beispielsweise Probleme innerhalb der Lieferketten oder Störungen bei kaufmännischen Abläufen.
Für die Umfrage wurden insgesamt 201 C-Level-Manager aus dem Handel, Dienstleistungsunternehmen und dem verarbeitenden Gewerbe in Deutschland, Österreich und der Schweiz befragt.