CISO Security Studie: Über 80 Prozent der Unternehmen mit IT-Sicherheits-Strategie

Investitionsbereitschaft für IT-Sicherheit aber noch unterschiedlich stark ausgeprägt

[datensicherheit.de, 09.12.2016] Laut einer aktuellen Umfrage Umfrage von IDG unter rund 500 IT-Sicherheitsverantwortlichen von Unternehmen aus Deutschland, Österreich und der Schweiz verfügen mehr als 80 Prozent der Unternehmen über eine klare IT-Sicherheits-Strategie. Dabei nähmen nur 20 Prozent der Unternehmen die IT-Sicherheit selbst in die Hand – die Mehrzahl vertraue auf externe Dienstleister.

Bedrohungslage zwingt alle Unternehmen zum Handeln

IT-Sicherheit werde in Unternehmen zur strategischen Frage – gleichzeitig steige der Investitionsbedarf, so Ergebnisse der von Cisco unterstützten „CISO Security Studie“ von IDG Research Services, die unter rund 500 IT-Entscheidern in unterschiedlichen Positionen durchgeführt worden sei. Diese Studie werde im Rahmen des „Cisco Executive Security Summit“ in Frankfurt am Main veröffentlicht.
Die gegenwärtige Bedrohungslage zwinge alle Unternehmen zum Handeln, betont Klaus Lenssen, „CSO“ für Cisco in Deutschland: „Und zwar unabhängig davon, wie IT-nah ihr Kerngeschäft ist.“ Viele Unternehmen nähmen diese Verantwortung ernst und handelten beim Thema Sicherheit schnell und gezielt. Dies sei eine positive Entwicklung, die sich auch in ihrer Studie widerspiegele.

IT-Sicherheit erfordert Investitionen

Der Studie zufolge verfolgen 84 Prozent der befragten Firmen einen strategischen Ansatz bei IT-Sicherheit, weitere elf Prozent planen in den nächsten zwölf Monaten den Aufbau strategischer Security-Konzepte. Darin zeichne sich eine engere Bindung an die Geschäftsführung ab. Denn Verantwortliche für Informationssicherheit seien in 48 Prozent der Firmen direkt dem Geschäftsführer unterstellt, bei kleinen Unternehmen sogar 93 Prozent.
Damit Security-Strategien dabei langfristig Bestand haben, forderten knapp 80 Prozent der Befragten mehr Geld für IT-Sicherheit, 30 Prozent erachteten eine Budgeterhöhung als unerlässlich. Aber nur rund 29 Prozent der Unternehmen würden in den nächsten zwölf Monaten sicher das Budget für IT-Sicherheit erhöhen – die übrigen zögerten oder planten keine Erhöhung.

IT-Sicherheit: Externe Dienstleister und interne Kompetenzen notwendig!

Fehlende Investitionsbereitschaft sei ein ernstzunehmendes Risiko für den Aufbau einer nachhaltigen Security-Infrastruktur, ebenso wie fehlendes Sicherheits-Know-How im Unternehmen selbst. Der Fachkräftemangel verlange nach Lösungen – etwa in Form von beratenden IT-Dienstleistern. Dabei entscheide die Unternehmensgröße über Art und Umfang der eingekauften Dienstleistung.
80 Prozent der befragten Unternehmen gäben an, externe IT-Dienstleister auf strategischer und personeller Ebene einzusetzen. Jedes vierte Unternehmen mit weniger als zehn Millionen Euro IT-Budget verzichteten dagegen auf externe Dienstleister und nehme die Security-Infrastruktur selbst in die Hand.
Insbesondere kleinere Unternehmen setzten daher beim Aufbau auf das interne Know-How. Dabei sähen die Befragten besonders bei der Erweiterung der personellen Ressourcen, dem Risikopotenzial durch eigene Mitarbeiter (jeweils 27%) sowie dem Fachkräftemangel im Markt (26%) Herausforderungen. Für ein Viertel der befragten Unternehmen seien daher die Aus- und Weiterbildung von Security-Mitarbeitern (25%) sowie der Kompetenzaufbau bei Sicherheits-Verantwortlichen (24%) entscheidende Investitionsfelder.

Ganzheitlicher IT-Sicherheits-Ansatz

Bei technischen Vorkehrungen stünden Zugangs- und Rechtekontrollen sowie das Passwortmanagement an erster Stelle, 55 Prozent der Unternehmen setzten auf diese Maßnahmen. Danach folgten die Endpoint-Kontrolle (54 Prozent) sowie ein besseres Daten-Backup-System (48 Prozent).
„Zusätzlich zu diesen Einzelmaßnahmen empfiehlt sich ein ganzheitlicher Sicherheitsansatz vom Netzwerk, über die Endpunkte bis hin zur Cloud“, so Lenssen. IT-Sicherheit könne nur dann den bestmöglichen Schutz bieten, wenn Bedrohungen vor, während und nach einem Angriff umfassend beobachtet, schnellstmöglich erkannt und effektiv bearbeitet würden.

Weitere Informationen zum Thema:

Cisco Blog Deutschland, 09.11.2016
Klaus Lenssen: „Security Summit: IT-Sicherheit entscheidet über den Erfolg – und kostet“

datensicherheit.de, 08.12.2016
IT-Sicherheit: Gründliche Planung ist Voraussetzung