Informationssicherheit steht auf der Gefährdungsliste vieler Unternehmen ganz weit unten. Weniger als zehn Prozent der Führungskräfte stufen schwache IT-Sicherheit als größtes Risiko für ihr Unternehmen ein. Dies zeigt eine aktuelle Studie des Informationssicherheits- und Risikomanagement-Unternehmens NTT Com Security, die auf einer weltweiten Umfrage unter 800 Führungskräften außerhalb einer IT-Funktion basiert. Fast zwei Drittel (63 Prozent) der Befragten erwarten demnach zukünftig Sicherheitsverletzungen, jedoch stuft weniger als ein Zehntel (9 Prozent) "geringe Datensicherheit" als das größte Risiko für ihr Unternehmen ein. Den Befragten zufolge sind der Verlust von Marktanteilen, mangelnde Mitarbeiterkompetenz und Gewinneinbrüche die Hauptrisiken.
Führungskräfte erkennen zudem oft die langfristigen Schäden nicht – weder im Hinblick auf die Zeit, die eine Wiederherstellung kostet, noch im Hinblick auf die finanziellen Verluste, die eine Verletzung der Datensicherheit für ihr Unternehmen mit sich bringen würde. Über die Hälfte (59 Prozent) meint, dass nur ein minimaler Langzeitschaden zu befürchten ist. Die meisten Befragten gehen jedoch davon aus, dass der Ruf ihres Unternehmens Schaden nehmen würde (60 Prozent) und das Vertrauen der Kunden verloren ginge (56 Prozent), wenn Daten bei einem Angriff gestohlen würden. Den durchschnittlichen Umsatzrückgang schätzen sie auf acht Prozent. 17 Prozent erwarten keinerlei Auswirkung auf den Umsatz, während ein Viertel zugibt, nicht zu wissen, welchen Rahmen finanzielle Auswirkungen einnehmen würden.
Der Risk:Value-Bericht beleuchtet vier Hauptbereiche: Datenrichtlinien, Datensicherheit, Auswirkung einer Datensicherheitsverletzung und persönliche Kenntnisse/Verhalten:
Datenrichtlinien im Unternehmen
- Durchschnittlich werden zehn Prozent des IT-Budgets eines Unternehmens für Daten-/Informationssicherheit ausgegeben, obwohl 16 Prozent der Befragten die aufgewendete Summe nicht kennen.
- Über die Hälfte (57 Prozent) unterhält eine formelle Datensicherheitsrichtlinie, doch weniger als die Hälfte (47 Prozent) hat einen Geschäfts- oder Disaster-Recovery-Plan für den Fall einer Verletzung.
- Weniger als die Hälfte (44 Prozent) berichtet, dass ihre kritischen Daten "völlig sicher" sind.
- 55 Prozent der Befragten berichten, dass (Verbraucher-) Kundendaten für den Erfolg ihres Unternehmens von wesentlicher Bedeutung sind, doch nur 38 Prozent berichten, dass alle Kundendaten "völlig sicher" sind.
- 45 Prozent berichten, dass die Leistungsdaten des Unternehmens von wesentlicher Bedeutung für ihre Unternehmen sind, doch nur 31 Prozent räumen ein, dass all diese Daten "völlig sicher" sind.
Auswirkungen einer Verletzung der Datensicherheit
- Rund drei Viertel (72 Prozent) sagen, dass es für ihr Unternehmen essentiell ist, gegen Sicherheitsverletzungen versichert zu sein.
- Weniger als die Hälfte (48 Prozent) gibt an, sie seien sowohl bei Datenverlust als auch bei einer Sicherheitsverletzung abgesichert.
- Ein Viertel weiß hingegen nicht, wogegen sie im Falle einer Verletzung der Datensicherheit versichert sind.
Persönliche Kenntnisse und Verhalten
- Weniger als die Hälfte (41 Prozent) wird vom IT-Sicherheitsteam nicht über Datenangriffe und potentielle Bedrohungen informiert.
- 28 Prozent verlassen sich auf ihr eigenes Urteil, was "sicheres Verhalten" bei der Nutzung/dem Zugriff auf arbeitsbezogene Daten bedeutet. Ein Fünftel (21 Prozent) gibt allerdings an, dass Datensicherheit eine gemeinsame Verantwortung der Mitarbeiter und des IT-Teams sei.
