[datensicherheit.de, 19.04.2020] In den wenigsten deutschen Unternehmen gibt es einen Leiter Digitalisierung oder einen Chief Digital Officer (CDO). Wo diese Position geschaffen wurde, ist sie allerdings ganz oben angesiedelt: auf Vorstands- bzw. Geschäftsführungsebene oder direkt darunter angesiedelt. Das ist das Ergebnis einer repräsentativen Umfrage unter 603 Unternehmen aller Branchen im Auftrag des Digitalverbands Bitkom. Demnach gibt nicht einmal jedes fünfte Unternehmen (19 Prozent) an, einen Leiter Digitalisierung oder CDO berufen zu haben. Damit steigt die Zahl gegenüber dem Vorjahr (15 Prozent) zwar leicht, vor allem kleine Unternehmen sind aber weiterhin sehr zurückhaltend. So geben nur 14 Prozent der Unternehmen mit 20 bis 99 Mitarbeiter an, dass sie eine entsprechende Position geschaffen haben. Bei jenen mit 100 bis 499 Mitarbeiter sind es dagegen 36 Prozent, bei 500 bis 1.999 Mitarbeiter 56 Prozent und bei Unternehmen mit 2.000 oder mehr Beschäftigten sogar 70 Prozent. „Digitalisierung ist nicht nur eine Frage von Soft- und Hardware, sondern vor allem von Ideen und Strategien. Klare Verantwortung und Konzentration von Know-how sind gerade auch für mittelständische Unternehmen wichtig“, sagt Bitkom-Präsident Achim Berg. „Alle sind gut beraten, in der aktuellen Corona-Krise konsequent auf Digitalisierung zu setzen.“

Bild: bitkom

Der Chief Digital Officer bleibt die Ausnahme

In 4 von 10 Fällen ist die Position auf Top-Ebene angesiedelt

Unternehmen mit einem Leiter Digitalisierung oder CDO haben die Funktion in 4 von 10 Fällen (43 Prozent) auf Vorstands- bzw. Geschäftsführungsebene angesiedelt. Noch etwas häufiger (50 Prozent) wurde die Rolle auf der Ebene direkt unter Vorstand- bzw. Geschäftsführung etabliert. Nur in 5 Prozent der Fälle ist der CDO Teil des mittleren Managements. „Wichtig ist, dass der CDO mit den erforderlichen Ressourcen ausgestattet und die Rückendeckung der Unternehmensleitung hat. Der CDO muss nicht nur disruptiv denken dürfen, sondern auch handeln können“, so Berg. „Es reicht nicht, digitale Konzepte zu entwerfen, man muss sie auch in die Praxis bringen.“

Hinweis zur Methodik: Grundlage der Angaben ist eine Umfrage, die Bitkom Research im Auftrag des Digitalverband Bitkom durchgeführt hat. Dabei wurden 603 Unternehmen mit 20 und mehr Beschäftigten telefonisch befragt. Die Umfrage ist repräsentativ für die Gesamtwirtschaft. Die Fragestellungen lauteten „Gibt es in Ihrem Unternehmen einen Chief Digital Officer (CDO) bzw. einen Leiter Digitalisierung? Hier ist nicht der IT-Leiter bzw. CIO (Chief Information Officer) gemeint“ und „Auf welcher Ebene ist dieser Chief Digital Officer (CDO) bzw. Leiter Digitalisierung in Ihrem Unternehmen angesiedelt?“

Weitere Informationen zum Thema:

Bitkom e.V.
Deutsche Unternehmen geben sich eine Drei im Fach „Digitales“

datensicherheit.de, 06.11.2019
Digitalisierung – die ersten gefährdeten Schritte im Cyberspace

datensicherheit.de, 03.08.2019
CEOs sollten Digitalisierung als Jahrhundertchance begreifen

datensicherheit.de, 04.07.2019
IT-Sicherheit als Beschleuniger der Digitalisierung

[datensicherheit.de, 18.05.2016] Penetrationstests gelten in der IT-Sicherheitsbranche als grundlegendes Instrument jeder nachhaltigen IT-Sicherheitsstrategie, deren Ziel es ist, Schwachstellen in IT-Infrastrukturen aufzudecken und Sicherheitslücken zu schließen, bevor diese von Angreifern ausgenutzt werden können. Als Momentaufnahme und zur Identifikation von Ad-hoc-Gefahren seien solche Maßnahmen wie „White-“, „Black-“ und „Grey-Box“-Tests heutzutage unabdingbar, aber es stelle sich die Frage, was zwischen den Penetrationstests geschieht, betont die secion GmbH in einer aktuellen Stellungnahme. Deren IT-Sicherheitsspezialisten gehen demnach einen Schritt weiter und bieten basierend auf ihrer Erfahrung ein Penetrationstest-Verfahren als ein Maßnahmenpaket an.

„Grey Box“-Test empfohlen

Ein Penetrationstest ist eine gezielte IT-Sicherheitsüberprüfung, um festzustellen, inwieweit die IT-Sicherheit eines Unternehmens durch externe oder interne Angriffe gefährdet ist und ob die bereits getroffenen Maßnahmen einen ausreichenden Schutz bieten. Als übliche Verfahren gelten sogenannte „White Box“- und „Black Box“-Audits.
Ein „White Box“-Test setzt eine bestimmte Grundlage an Informationen über IT-Systeme und interne Strukturen voraus, die vom Auftraggeber definiert werden. Bei der „Black Box“-Methode wird eine IT-Sicherheitsanalyse ohne Vorkenntnisse über die zu prüfenden Systeme durchgeführt. Hierbei wird das Vorgehen eines externen Angreifers simuliert, um die Möglichkeiten und Wege für einen realen Angriff zu analysieren.
secion bietet und empfiehlt nach eigenen Angaben einen „Grey Box“-Test, der die beiden genannten Verfahren kombiniert, um sowohl den „Black Box“- als auch den „White Box“-Ansatz zur Prüfung der Bedrohungen zu nutzen.

Praktische Empfehlungen für IT-Administration und Geschäftsführung

Nach einem solchen Test sollen die Kunden einen ausführlichen Report erhalten. Dieser umfasse Handlungsempfehlungen für Administratoren zum Schließen der gefundenen Sicherheitslücken sowie eine „Management Summary“. Dabei handele es sich um einen Report für die Geschäftsführung bzw. das Management, also weniger in die technische Tiefe gehend, sondern vielmehr einen umfassenden Überblick über die derzeitige Sicherheitslage des Unternehmens gebend. Die „Management Summary“ beinhalte nicht nur eine Priorisierung der gefundenen Sicherheitslücken, sondern gebe auch Empfehlungen zu deren Schließung innerhalb bestimmter Zeiträume.

Steigendes Risiko zwischen den Momentaufnahmen

Die Praxiserfahrung habe gezeigt, dass bereits im Zeitraum zwischen abgeschlossenem Penetrationstest und Durchführung des Re-Scan neue Sicherheitslücken auftauchen könnten.
Ganz gleich ob „White Box“-, „Black Box“- oder „Grey Box“-Tests – all diese Maßnahmen erfolgten zu einem bestimmten Zeitpunkt und stellten damit eine Momentaufnahme dar. Sei aber die Pause zwischen den Penetrationstest und dem anschließendem Re-Scan zu lang, erhöhe sich das Risiko für IT-Systeme wieder – bis zur Identifizierung und Behebung neue Schwachstellen durch das Unternehmen.

Stetiger valider Überblick über das Sicherheitsniveau

Daher möchte secion mit einem eigenen Ansatz das Sicherheitsniveau signifikant erhöhen und dieser Problematik mit seiner weiterführenden Penetrationtesting-Strategie entgegenwirken: Um einen zuverlässigen Schutz vor Hackerangriffen und Wirtschaftsspionage zu garantieren, empfehlen die Hamburger IT-Sicherheitsspezialisten, die gesamte IT-Infrastruktur im Anschluss an den abgeschlossenen Penetrationstest mittels einer kontinuierlichen Analyse auf neu auftauchende Schwachstellen zu scannen.
Mit der „Managed Vulnerability Scanning Platform“ (MVSP) komplettiert secion nach eigenen Angaben den Ansatz als umfassende „Security as a Service“-Lösung, die einen stetigen und validen Überblick über das aktuelle Sicherheitsniveau liefere. Diese Plattform prüfe die Unternehmens-IT kontinuierlich und proaktiv auf Schwachstellen. Entsprechende Sicherheitslücken priorisiere das System nach Dringlichkeit, so dass eine zeitnahe und angemessene Reaktion auf Bedrohungen möglich sei.

Regelmäßige Penetrationstests und kontinuierliches Schachstellenmanagement

„Nahezu täglich entstehen in Unternehmen neue Sicherheitslücken, die in der Masse und aufgrund ihrer unterschiedlichen Ausprägungen immer schwieriger zu erkennen sind. Wir empfehlen daher dringend, nach Durchführung des Penetrationstests auch das Schachstellenmanagement als laufenden und automatisierten Prozess in den Firmenalltag zu integrieren“, betont Patrick Jung, Leiter „Professional Services“ bei secion.