Die aktuelle Risk:Value-Studie [1] hat ergeben, dass zwei Drittel aller befragten Entscheidungsträger eine Verletzung der Datensicherheit in ihrem Unternehmen erwarten. Die Kosten für die Behebung der Schäden beziffern sie im Schnitt auf über 800.000 Euro. Die Untersuchung basiert auf einer globalen Umfrage unter 1.000 Führungskräften in Deutschland, Frankreich, Großbritannien, Norwegen, Schweden, der Schweiz und den USA, die vom Marktforschungsunternehmen Vanson Bourne im Auftrag von NTT Com Security im Oktober und November 2015 durchgeführt wurde.

54 % der Befragten stufen das Thema Informationssicherheit als essentiell für ihr Business ein und nahezu ein Fünftel (18 %) bestätigt, dass mangelhafte Datensicherheit die größte Gefahr für ihr Unternehmen darstellt. Damit hat das Thema »geringe Datensicherheit« deutlich an Bedeutung gewonnen. Bei der vorhergehenden von NTT Com Security im November 2014 durchgeführten Risk:Value-Studie vertraten weniger als ein Zehntel (9 %) die Meinung, dass dies das größte Unternehmensrisiko sei. Die Hauptrisiken sahen sie hingegen im Verlust von Marktanteilen, in mangelnder Mitarbeiterkompetenz und hinsichtlich möglicher Gewinneinbrüche.

Ein zentrales Ergebnis des Risk:Value-Reports ist, dass 65 % der befragten Unternehmen damit rechnen, in der Zukunft Opfer einer Sicherheitsverletzung zu werden. Sie schätzen, dass die Behebung des entstandenen Schadens rund neun Wochen dauert und durchschnittlich Kosten in Höhe von mehr als 800.000 Euro verursacht – ohne Berücksichtigung der Verluste, die aus dem Imageschaden oder entgangenen Umsätzen resultieren. Entscheider gehen dabei davon aus, dass rund ein Fünftel (19 %) der Kosten auf Anwaltskosten, 18 % auf Entschädigungszahlungen an Kunden, 15 % auf Unkosten Dritter und 15 % auf Strafzahlungen und Compliance-Kosten entfallen. Andere zu erwartende Kosten betreffen Bereiche wie PR und Kommunikation oder Entschädigungen an Lieferanten und Mitarbeiter.

Eine leichte Steigerung gibt es gemäß der Studie im Hinblick auf die Gewichtung des Themas Informationssicherheit innerhalb der IT. Bei der vorjährigen Untersuchung gaben die Befragten an, dass nur 10 % des IT-Budgets für Informationssicherheit verwendet wird, im aktuellen Report liegt dieser Wert immerhin bei 13 %. Auch die negativen Auswirkungen eines Sicherheitsvorfalls werden inzwischen gravierender eingeschätzt. Bezifferten 2014 die Befragten den daraus resultierenden Umsatzverlust auf 8 %, rechnen sie jetzt mit 13 %.

Nahezu alle Teilnehmer an der Untersuchung gehen davon aus, dass ein Datendiebstahl im Rahmen einer Sicherheitsverletzung externe und interne Auswirkungen hat. Genannt wurden hier vor allem Aspekte wie Verlust des Kundenvertrauens (69 %), Beeinträchtigung der Reputation (60 %) und finanzielle Schäden (54 %). Ein Drittel der Entscheider geht zudem davon aus, dass sie oder Kollegen aus dem Führungsgremium im Fall einer Sicherheitsverletzung ihr Amt niederlegen müssen.

Kai Grunwitz, Senior Vice President DACH von NTT Com Security, erklärt: »Die Studie hat gezeigt, dass sich die Einschätzung zur Bedeutung eines Sicherheitsvorfalls geändert hat, und das ist keine Überraschung im Rückblick auf das vergangene Jahr, das von zahlreichen Datendiebstählen gekennzeichnet war. Zudem hat die Studie ergeben, dass die Mehrheit der Unternehmen sich heute sicher ist, in der Zukunft zum Opfer einer Sicherheitsverletzung zu werden, die mit erheblichen negativen Folgen verbunden ist; zum Beispiel im Hinblick auf Wiederherstellungskosten, das Kundenvertrauen oder mögliche Geldstrafen. Andererseits wird aber nach wie vor zu wenig in den Bereich Informationssicherheit investiert. In Anbetracht der zu erwartenden Schäden sollte hier ein Umdenken einsetzen. An einer umfassenden Cyber-Defense-Strategie führt angesichts der aktuellen Bedrohungslage heute kein Weg mehr vorbei.«

Weitere Studienergebnisse im Überblick:

• Nur 22 % stufen alle Unternehmensdaten als »komplett sicher« ein

• Der größte Schutzbedarf wird bei den Daten von Endkunden (57 %) beziehungsweise Geschäftskunden (55 %) gesehen

• 30 % berichten, dass die Ausgaben im Bereich Human Resources (HR) höher sind als in der Informationssicherheit

• Nur 41 % der Unternehmen verfügen über einen Versicherungsschutz, der den finanziellen Schaden aus Datenverlusten und Sicherheitsverletzungen abdeckt

»Positive Ergebnisse der Untersuchung sind, dass in Deutschland 51 % aller befragten Unternehmen einen Disaster-Recovery-Plan und 55 % eine Richtlinie für Informationssicherheit haben«, so Kai Grunwitz. »Unsere Erfahrung zeigt aber auch, dass bei der Festlegung von internen Prozessen und Richtlinien oft der Faktor Mensch nicht ausreichend berücksichtigt wird. NTT Com Security steht Unternehmen zur Seite, um deren Business-Anforderungen mit der technischen Umsetzung ihrer Security-Pläne zu verbinden. Dabei werden gleichzeitig die Mitarbeiter aus unterschiedlichen funktionalen Bereichen eingebunden. Nur gelebte Prozesse stellen letztendlich die Basis für eine erfolgreiche Cyber-Defense-Strategie dar.«

[1] Risk:Value-Studie von NTT Com Security, Teil der NTT Group und Spezialist für Informationssicherheit und Risikomanagement. Die »Risk:Value Executive Summary« steht zum Download unter https://www.nttcomsecurity.com/de/landingpages/risk-value-2016/ zur Verfügung.

Die Risk:Value-Studie wurde vom Marktforschungsunternehmen Vanson Bourne im Auftrag von NTT Com Security im Oktober und November 2015 durchgeführt. Dabei wurden 1.000 Entscheider, die nicht im IT-Bereich tätig sind, in Deutschland, Großbritannien und den USA (jeweils 200 Teilnehmer) sowie in Frankreich, Norwegen, Schweden und der Schweiz (jeweils 100 Teilnehmer) befragt. Die befragten Unternehmen haben in Norwegen, Schweden und der Schweiz mindestens 250 Mitarbeiter, in den restlichen Ländern mehr als 500 Beschäftigte. In Deutschland, Frankreich, Großbritannien und den USA kamen jeweils mindestens 50 und in den anderen Ländern jeweils mindestens 30 Studienteilnehmer aus dem Bereich Finanzdienstleistungen. Foto: cc0 pixabay absmeier