Cybersecurity: 92 Prozent der IT-Entscheider gehen Kompromisse ein

Bedrohung der Cybersecurity durch -Kriminalität von einem Drittel der Befragten indes als größtes Sicherheitsrisiko erachtet

[datensicherheit.de, 16.11.2021] Trend Micro hat am 15. November 2021 eine neue Studie veröffentlicht – demnach geben in Deutschland 92 Prozent (weltweit 90%) der IT-Entscheidungsträger an, ihr Unternehmen gehe zugunsten der Digitalen Transformation, der Produktivität oder anderer Business-Ziele Kompromisse bei der Cyber-Sicherheit ein. Diese hohe Kompromissbereitschaft steht laut Trend Micro „im Widerspruch dazu, dass Cyber-Kriminalität von einem Drittel der Befragten als größtes Sicherheitsrisiko erachtet wird“. Für diese Studie habe Sapio Research insgesamt 5.321 IT- und Business-Entscheider aus Unternehmen mit mehr als 250 Mitarbeitern in 26 verschiedenen Ländern befragt – darunter 209 in Deutschland. Adressiert worden seien verschiedene Positionen: vom „Vice President“ (7%), über das „C-Level“ (20%) und die Geschäftsführung (18%) bis hin zum Management (55%).

Nur die Hälfte der Unternehmensvorstände mit ausreichendem Wissen im Bereich Cybersecurity

Der Studie des japanischen Sicherheitsanbieters zufolge vertrauten deutschlandweit nur die Hälfte der IT-Entscheider (weltweit ebenfalls 50%) und 29 Prozent der Business-Entscheider (weltweit 38%) darauf, „dass ihr Unternehmensvorstand ausreichendes Wissen im Bereich Cybersecurity hat“.
Dies liege nach Aussage der Befragten unter anderem an der Komplexität und Volatilität des Themas. 29 Prozent der deutschen Studienteilnehmer (weltweit 26%) seien darüber hinaus der Ansicht, dass der Vorstand sich nicht genug Mühe gebe, „das Thema zu verstehen oder es mitunter gar nicht verstehen will“. Von Letzterem gingen in Deutschland und weltweit ganze 20 Prozent aus.

Inkonsistente, schwankende Haltung zum Thema Cybersecurity

Uneinigkeit herrsche zwischen IT- und Business-Entscheidern darüber, „wer letztendlich für Risikomanagement und -optimierung verantwortlich ist“. IT-Entscheider verwiesen fast doppelt so häufig wie ihr Business-Counterpart auf das IT-Team und den sogenannten CISO (Chief Information Security Officer).
Mit 51 Prozent gebe mehr als die Hälfte der Befragten aus Deutschland (weltweit 49%) an, dass Cyber-Risiken immer noch als Sache der IT und nicht als Geschäftsrisiko angesehen würden. Diese Diskrepanz führe zu ernsten Problemen: 45 Prozent aller deutschen Befragten (weltweit 52%) beurteilten die Einstellung ihres Unternehmens zu Cyber-Risiken als „inkonsistent“ und „von Monat zu Monat schwankend“.

3 Impulse, um Cybersecurity auf Vorstandsebene präsenter zu machen

Dennoch sähen 33 Prozent der Studienteilnehmer in Deutschland (weltweit 31%) mangelnde Cyber-Sicherheit heute als „das bedeutendste Geschäftsrisiko“ an. Ganze 57 Prozent (weltweit 66%) erwarteten, dass Cyber-Angriffe von allen genannten Geschäftsrisiken die größten finanziellen Folgen nach sich ziehen könnten – gefolgt vom Diebstahl Geistigen Eigentums. „Dieses Ergebnis erscheint widersprüchlich, betrachtet man die vergleichsweise hohe Kompromissbereitschaft beim Thema Security.“
Die Befragten sähen mehrere Faktoren, die helfen würden, das Thema Cybersecurity auf Vorstandsebene präsenter zu machen:

• Ein Sicherheitsvorfall mit Datenabfluss im Unternehmen (Deutschland 64%, weltweit 62%).
• Eine ausführlichere Datenbasis, um besser über das Geschäftsrisiko durch Cyber-Bedrohungen berichten und das Thema leichter erklären zu können (Deutschland und weltweit 62%).
• Die Forderung der Kunden nach einem höheren Sicherheitsniveau (Deutschland 65%, weltweit 61%).

Teufelskreis: Führungsetage kennt tatsächliches Risiko für Cybersecurity nicht

„Ganze 80 Prozent der deutschen IT-Entscheidungsträger sprechen mit ihren Vorständen nicht offen über das Thema Sicherheit aus Angst, sich zu wiederholen oder zu negativ zu erscheinen“, berichtet Richard Werner, „Business Consultant“ bei Trend Micro. Fast ein Viertel gebe dabei an, dass dies einen konstanten Druck für sie darstelle. Werner kommentiert: „Diese Entwicklung führt jedoch zu einem Teufelskreis, in dem die Führungsetage das tatsächliche Cyber-Risiko, dem sie ausgesetzt ist, nicht erkennt.“
Als Fazit rät Werner: „Wir müssen über Sicherheitsrisiken auf eine Art und Weise sprechen, die das Thema als grundlegend für das Unternehmenswachstum anerkennt und darüber hinaus IT- und Unternehmensentscheider, die in Wirklichkeit für ein und dieselbe Sache kämpfen, miteinander ins Gespräch bringt.“

Weitere Informationen zum Thema:

TREND MICRO
A Global Study / BUSINESS FRICTION IS EXPOSING ORGANISATIONS TO CYBER THREATS