Blindes Vertrauen in die IT: Jedes zweite Unternehmen ohne Notfallplan


Stromausfall, Feuer im Rechenzentrum oder Hackerangriff: Deutsche Unternehmen sind organisatorisch häufig nicht auf Zwischenfälle dieser Art vorbereitet. Nur jedes zweite Unternehmen hat einen Notfallplan in der Schublade. Noch seltener sind darüber hinausgehende Vorkehrungen im Falle von Datendiebstahl, Systemabsturz, Einbruch oder Feuer. Rund jeder fünfte Entscheider räumt ein, dass in seinem Unternehmen noch große Sicherheitslücken vorhanden sind. Das sind die Ergebnisse der Studie "Managementkompass Sicherheitsstrategien" von Steria Mummert Consulting in Zusammenarbeit mit dem F.A.Z.-Institut.

Kommt es beispielsweise zu einem IT-Systemausfall durch einen Brand, können nur 28 Prozent  der Unternehmen auf ein externes Ausweichsystem zurückgreifen. In vielen Unternehmen passiert es zudem, dass die Belegschaft nicht ausreichend über vorhandene Notfallpläne informiert ist. In einem Fünftel der befragten Betriebe fehlen Informationen über mögliche Notfallvorkehrungen. Darüber hinaus mangelt es vielerorts an Servicevereinbarungen mit IT-Dienstleistern, wann ein Störfall spätestens behoben sein muss.

Nur knapp ein Viertel der befragten Unternehmen legt derartige Toleranzen für Ausfallzeiten vertraglich fest. In den vergangenen drei Jahren erlitt jedes fünfte  Unternehmen Schäden durch Sicherheitslücken. Neben bekannten Risiken wie Datenmissbrauch sind Unternehmen durch die Vernetzung weiteren Gefahren ausgesetzt. Diesen lässt sich nur mit einer umfassenden Sicherheitsstrategie begegnen. Im Vergleich zu anderen Branchen sind Finanzdienstleister sowie Unternehmen aus dem verarbeitenden Gewerbe relativ gut auf derartige Notfälle vorbereitet. Bei 72 Prozent  der befragten Banken und Versicherungsunternehmen gibt es beispielsweise einen Sicherheitsbeauftragten, 64 Prozent haben Sicherheitsrichtlinien. In ihnen ist festgelegt, wie sich beispielsweise die Mitarbeiter bei einem Totalausfall des IT-Netzes oder eine Stromausfall verhalten sollen.

Zur Achillesferse in Sachen Sicherheit geraten mobile Endgeräte. 85 Prozent  der befragten Unternehmen setzen Laptops oder PDAs im Geschäftsalltag ein. Nur 60 Prozent von ihnen haben sich allerdings technisch oder in Form von Betriebsvereinbarungen zum Umgang mit den mobilen Geräten abgesichert. Das trifft vor allem auf Betriebe ohne eigenen Sicherheitsbeauftragten zu. Von diesen Unternehmen achten nur 29 Prozent auf den Schutz mobiler Endgeräte.

Weltweite Vernetzung bildet idealen Nährboden für Viren, Trojaner und Spyware

Wissen wird mehr und mehr zum Produktionsfaktor für Unternehmen. Damit entwickelt sich die Informationstechnologie zunehmend zur empfindlichen Achillesferse. Polizeiliche Ermittlungsbehörden wie das Bundeskriminalamt (BKA) nennen die weltweite Vernetzung als Ursache. 84 Prozent  der Zwischenfälle in Firmennetzwerken werden von Viren oder Trojanern verursacht. Sie werden meistens von außen durch Hacker in die IT-Netze eingeschleust. Spionageprogramme, so genannte Spyware, stehen ebenfalls ganz oben auf der Liste der Störfaktoren. Für die Unternehmen bedeutet diese Bedrohungslage, dass sie noch stärker in engmaschige Sicherheitsnetze investieren und eine firmenweite IT-Sicherheitsstrategie implementieren müssen. Dies sind die Ergebnisse der Studie Managementkompass Sicherheitsstrategien von Steria Mummert Consulting in Zusammenarbeit mit dem F.A.Z.-Institut.

Rund 80 Prozent der Sicherheitsexperten rechnen damit, dass die Zahl der Angriffe durch Hacker weiter steigt. 60 Prozent  rechnen mit vermehrten Datenverlusten durch Diebstahl von Laptops, PDAs und Handys. Die Bedeutung der Kriminalität im Zusammenhang mit Informations- und Kommunikationstechnologie nimmt aufgrund der weltweiten Vernetzung von Computern über das Internet stetig zu. Die Investitionen in IT-Sicherheit werden infolgedessen ebenfalls anwachsen. Nachdem die befragten Großunternehmen in den vergangenen drei Jahren durchschnittlich 500.000 Euro pro Jahr für Sicherheit ausgegeben haben, werden es 2007 bis 2009 rund 700.000 Euro sein. Neun von zehn der befragten Firmen lagern bereits einzelne Sicherheitsaufgaben an Spezialisten aus.

"Die Ursachen für Störungen in der IT-Infrastruktur sind vor allem auf organisatorische und nicht auf technische Probleme zurückzuführen", so Wolfgang Nickel, IT-Security-Experte bei Steria Mummert Consulting. Investitionen in die IT zielen in der Regel auf das Senken von Kosten und die Entwicklung des Geschäfts. Sicherheit hat hier einen geringeren Stellenwert. Die Gründe sind vielschichtig. Auf der Ebene der Geschäftsführung herrscht aufgrund fehlender Transparenz von Kosten und Nutzen von Sicherheitslösungen oft kein ausgeprägtes Bewusstsein für die Notwendigkeit einer umfassenden IT-Sicherheitsstrategie. Zudem wird Sicherheit oft fälschlicherweise als technische Aufgabenstellung eingestuft. Zu knappe Budgets für IT-Sicherheitsmaßnahmen sind ein zusätzlicher Grund, an der Sicherheit zu sparen. Die Komplexität vorhandener Sicherheitslösungen stellt ein weiteres Hemmnis dar. Eine fortlaufende Weiterbildung des
zuständigen Personals ist für eine umfassende IT-Sicherheit somit essentiell.

Viele Unternehmen haben inzwischen erkannt: Sicherheit wird zunehmend zu einem Wettbewerbsfaktor. Firmen, die sich systematisch gegen Gefahren schützen und dies am Markt kommunizieren, bieten ihren Kunden, Mitarbeitern, Investoren und Partnern einen Mehrwert. Um sich systematisch gegen Gefahren abzusichern, bündeln viele Unternehmen ihre Sicherheitskompetenzen aus vormals getrennten Bereichen wie Werkschutz und IT in einer Hand. Konzerne haben dafür die Position des Chief Security Officers (CSO) geschaffen, der sich ein komplettes Bild von der Sicherheitslage des Unternehmens verschafft und das operative Gesamtrisiko mit geeigneten Kennziffern steuert.


 

Themengebiete
In Verbindung stehende Artikel
Mittelständler benötigen Wochen zur Daten-Wiederherstellung
Steigende IT-Risiken durch Berufsverbrecher und Hacker
Themenverwandte Artikel
Risk Academy

Die Intensiv-Seminare der RiskAcademy® konzentrieren sich auf Methoden und Instrumente für evolutionäre und revolutionäre Wege im Risikomanagement.

Seminare ansehen
Newsletter

Der Newsletter RiskNEWS informiert über Entwicklungen im Risikomanagement, aktuelle Buchveröffentlichungen sowie Kongresse und Veranstaltungen.

jetzt anmelden
Lösungsanbieter

Sie suchen eine Softwarelösung oder einen Dienstleister rund um die Themen Risikomanagement, GRC, IKS oder ISMS?

Partner finden
Ihre Daten werden selbstverständlich vertraulich behandelt und nicht an Dritte weitergegeben. Weitere Informationen finden Sie in unseren Datenschutzbestimmungen.