IT-Sicherheit: Unternehmen planen Budgetoffensive gegen digitale Sorglosigkeit

Jedes vierte Unternehmen in Deutschland kämpft mit dem Problem knapp bemessener Budgets für IT-Sicherheit. Bedarf besteht bei der Sensibilisierung der Mitarbeiter und bei der Rekrutierung von IT-Sicherheitsspezialisten. Das soll sich ändern. Mehr als die Hälfte der Entscheider (56 Prozent) erwarten laut einer Studie von Sopra Steria und dem F.A.Z.-Institut für die kommenden drei Jahre eine Steigerung des Budgets.

Digitale Sorglosigkeit und wie ihr zu begegnen ist, bleibt für viele Geschäftsleitungen auf der Themenagenda 2019. Nur 34 Prozent der befragten Unternehmen schätzen das Risiko, Opfer einer schwerwiegenden Cyber-Attacke zu werden, als sehr gering beziehungsweise gering ein. 59 Prozent haben zwar eine IT-Sicherheitsstrategie formuliert, dokumentiert und verabschiedet. Jedoch beklagen 25 Prozent der befragten Manager finanzielle Schwierigkeiten bei der Umsetzung. 50 Prozent finden beispielsweise keine passenden IT-Sicherheitsspezialisten, auch weil zu wenig Budget für Rekrutierungskampagnen eingeplant ist.

Laut der Studie „Potenzialanalyse Unternehmen schützen, Risiken minimieren“ von Sopra Steria Consulting und dem F.A.Z.-Institut besteht ein großer Investitionsbedarf auch beim Sicherheitsrisiko „Mensch“. In 57 Prozent der befragten Unternehmen wurde in den vergangenen drei Jahren ein zentrales Berechtigungsmanagement eingeführt, so die Studie. Gut ein Drittel setzt mittlerweile auf regelmäßige Sensibilisierungskampagnen für Mitarbeiter. Angesichts der wachsenden Zahl schwerwiegender Sicherheitsvorfälle ist allerdings davon auszugehen, dass die Anteile künftig steigen werden. Unerwünschte E-Mails sind für 68 Prozent der befragten Entscheider die Top-Bedrohung, die sie bis 2021 deutlich besser im Griff haben wollen.

Parallel dazu soll das Thema IT-Sicherheit stärker als bislang in die Unternehmensprozesse verankert werden. In 36 Prozent der befragten Unternehmen dürfen IT-Projekte nur bei Vorliegen eines IT-Sicherheitskonzepts gestartet werden. „Genauso wie ein Auto nicht ohne Bremsen vom Band läuft, sollten auch kritische Apps und digitalisierte Abläufe in einem Unternehmen nicht ohne Sicherheitskonzept live gehen“, sagt Dr. Gerald Spiegel, Leiter Information Security Solutions, von Sopra Steria Consulting. „Nötig hierfür sind allerdings abgestufte Konzepte je nach Risikolage, damit unkritische Projekte nicht durch unnötig scharfe Kontrollen zu teuer werden oder zu lange dauern“, so Spiegel.

Das Inkrafttreten der EU-DSGVO im Mai 2018 haben immerhin 72 Prozent der Unternehmen genutzt und ihre unternehmensinternen Strategien und Maßnahmen professionalisiert. Verstöße wie in Portugal – dort soll ein Krankenhaus jetzt aufgrund von Verstößen 400.000 Euro Strafe zahlen – rütteln auf.

Über die Studie

Für die Studie „Potenzialanalyse Unternehmen schützen, Risiken minimieren“ hat das F.A.Z.-Institut im Auftrag von Sopra Steria Consulting im September 2018 eine Online-Befragung bei 308 Entscheidern und Fachkräften verschiedener Branchen (Banken, Versicherungen, sonstige Finanzdienstleistungen, Energie- und Wasserversorgung, Telekommunikation/Medien, öffentliche Verwaltung, Automotive, sonstiges verarbeitendes Gewerbe) durchgeführt. Die Teilnehmer wurden zu den Erfahrungen mit Cyber-Attacken, den IT-Sicherheitsstrategien sowie zu den Maßnahmen und Herausforderungen in ihren Unternehmen befragt.