Studie: Digitalisierungsdruck gefährdet IT-Sicherheit deutscher Unternehmen
Unternehmen aller Branchen wollen sich digital transformieren – und stellen dabei mitunter die IT-Sicherheit weit hinten an. Ganze 32 Prozent von befragten deutschen IT-Entscheidern berichten, dass im eigenen Unternehmen neue Technologien in Einzelfällen auch dann eingeführt werden, wenn vorab noch nicht alle möglichen Sicherheitsrisiken bekannt und bewertet sind.
Das sind Ergebnisse der Studie „Potenzialanalyse Digital Security“ des europäischen Beratungsunternehmens Sopra Steria Consulting. Für die Untersuchung seien im April 2017 insgesamt 205 IT-Entscheider aus Unternehmen ab 500 Mitarbeitern befragt worden, heißt es. Sie kamen aus den Branchen Banken, Versicherungen, sonstige Finanzdienstleister, Energieversorger, Automotive, sonstiges Verarbeitendes Gewerbe, Telekommunikation und Medien sowie Öffentliche Verwaltung. Explizit ausgeschlossen worden seien Beratungsunternehmen und Anbieter von IT-Lösungen.
„Enormer Digitalisierungsdruck“
Die Ergebnisse zeigen, dass Unternehmen „branchenübergreifend unter enormen Digitalisierungsdruck stehen“, schreiben die Studienautoren. Banken müssten sich mit Technologien wie Blockchain und Robo Advisory gegenüber Fintechs und Neobanken behaupten. Die Industrie verteidige ihre Marktstellung durch eine vernetzte Produktion, und Energieversorger tüftelten an neuen Geschäftsmodellen durch den Einsatz intelligenter Netze und Stromzähler.
Das führe dazu, dass Entscheider im Einzelfall digitale Projekte absegnen – und zwar ohne vorher alle Sicherheitsrisiken zu kennen. „Die IT-Entscheider wissen, dass sie die Entwicklung einer neuen App oder die Einführung einer Software nicht pauschal aufhalten dürfen. Das widerspricht den Erwartungen des Marktes an Agilität“, interpretiert Gerald Spiegel, Leiter Information Security Solutions bei Sopra Steria Consulting.
„Auf der Suche nach der richtigen Balance“
Umso wichtiger würden deshalb IT-Sicherheitsstrategien, die Cyber-Risiken wie WannaCry und Petya begegnen und dennoch die Geschwindigkeit einer digitalisierten Wirtschaft ermöglichen. Die Unternehmen in Deutschland seien hier noch „auf der Suche nach der richtigen Balance zwischen Risikobereitschaft bei Innovationen und der Sicherheit der betriebenen Lösung“, heißt es in der Studie. Die Mehrheit starte Digitalprojekte und versuche, „während der Umsetzung mögliche Sicherheitsrisiken zu adressieren“.
Immerhin: In fast jedem zweiten Unternehmen (49 Prozent) müsse vor Fertigstellung einer IT-Anwendung ein Sicherheitskonzept vorliegen, heißt es. Elf Prozent der Entscheider hingegen hätten im Rahmen der Untersuchung angegeben, dass die IT-Sicherheitsstrategien „erst nach der Einführung einer App oder anderen Technologie erarbeitet werden“.
Automobilbranche verhältnismäßig sicher
In der Automobil- und Energiebranche sowie der öffentlichen Verwaltung habe die Sicherheit am häufigsten Vorrang vor der schnellen Markteinführung. Jeder zweite Entscheider in dieser Branche soll angegeben haben, dass IT-Projekte nur gestartet werden dürfen, „wenn Schutzbedarfsanalyse, Risikobewertung und Abwehrmaßnahmen vorliegen“.
Darüber hinaus würden automatisierte Sicherheitsverfahren an Bedeutung gewinnen. Die Erstellung von IT-Sicherheitskonzepten sei heute in der Mehrheit der Unternehmen Handarbeit und erfolge aufgrund fehlender Ressourcen „oft rudimentär“, wie die Studienautoren schreiben.
Schon deshalb sei es nötig, dass sich das Tempo für das Erkennen und Schließen realer und potenzieller Einfallstore für Cyberattacken jenem der Digitalisierung stärker anpasse, konstatiert Gerald Spiegel. Es brauche „so etwas wie eine agile IT-Risikoaufklärung“, die – laufend mit Daten gefüttert – selbstständig IT-Sicherheitskonzepte und -maßnahmen für neue Technologien erstellt, rät er.
Mehr zum Thema: Digitale Transformation – ein praktischer Leitfaden für Unternehmen