Jedes vierte Unternehmen in Deutschland kämpft mit dem Problem knapp bemessener Budgets für IT-Sicherheit. Bedarf besteht bei der Sensibilisierung der Mitarbeiter und bei der Rekrutierung von IT-Sicherheitsspezialisten. Das soll sich bis 2021 ändern. Mehr als die Hälfte der Entscheider (56 Prozent) erwarten für die kommenden drei Jahre eine Steigerung des Budgets. Jeder vierte Manager geht von konstanten Ausgaben für den Kampf gegen potenzielle Cyberattacken und für den Schutz von Kunden- und Unternehmensdaten aus. Das ergibt die Studie »Potenzialanalyse Unternehmen schützen, Risiken minimieren« von Sopra Steria Consulting und dem F.A.Z.-Institut [1].

Digitale Sorglosigkeit und wie ihr zu begegnen ist, bleibt für viele Geschäftsleitungen auf der Themenagenda 2019. 34 Prozent der befragten Unternehmen schätzen das Risiko, Opfer einer schwerwiegenden Cyberattacke zu werden, als sehr gering beziehungsweise gering ein. 59 Prozent haben zwar eine IT-Sicherheitsstrategie formuliert, dokumentiert und verabschiedet. 25 Prozent der befragten Manager beklagen allerdings finanzielle Schwierigkeiten bei der Umsetzung. 50 Prozent finden beispielsweise keine passenden IT-Sicherheitsspezialisten, auch weil zu wenig Budget für Rekrutierungskampagnen eingeplant ist.

Ein großer Investitionsbedarf besteht darüber hinaus beim Sicherheitsrisiko »Mensch«. In 57 Prozent der befragten Unternehmen wurde in den vergangenen drei Jahren ein zentrales Berechtigungsmanagement eingeführt, so die Studie. Gut ein Drittel setzt mittlerweile auf regelmäßige Sensibilisierungskampagnen für Mitarbeiter. Angesichts der wachsenden Zahl schwerwiegender Sicherheitsvorfälle ist allerdings davon auszugehen, dass die Anteile künftig steigen werden. Unerwünschte E-Mails sind für 68 Prozent der befragten Entscheider die Top-Bedrohung, die sie bis 2021 deutlich besser im Griff haben wollen.

Parallel dazu soll das Thema IT-Sicherheit stärker als bislang in die Unternehmensprozesse verankert werden. In 36 Prozent der befragten Unternehmen dürfen IT-Projekte nur bei Vorliegen eines IT-Sicherheitskonzepts gestartet werden. »Genauso wie ein Auto nicht ohne Bremsen vom Band läuft, sollten auch kritische Apps und digitalisierte Abläufe in einem Unternehmen nicht ohne Sicherheitskonzept live gehen«, sagt Dr. Gerald Spiegel, Leiter Information Security Solutions, von Sopra Steria Consulting. »Nötig hierfür sind allerdings abgestufte Konzepte je nach Risikolage, damit unkritische Projekte nicht durch unnötig scharfe Kontrollen zu teuer werden oder zu lange dauern«, so Spiegel.

Das Inkrafttreten der EU-DSGVO im Mai 2018 haben immerhin 72 Prozent der Unternehmen genutzt und ihre unternehmensinternen Strategien und Maßnahmen professionalisiert. Verstöße wie in Portugal – dort soll ein Krankenhaus jetzt aufgrund von Verstößen 400.000 Euro Strafe zahlen – rütteln auf.

[1] Für die Studie »Potenzialanalyse Unternehmen schützen, Risiken minimieren« hat das F.A.Z.-Institut im Auftrag von Sopra Steria Consulting im September 2018 eine Online-Befragung bei 308 Entscheidern und Fachkräften verschiedener Branchen (Banken, Versicherungen, sonstige Finanzdienstleistungen, Energie- und Wasserversorgung, Telekommunikation/Medien, öffentliche Verwaltung, Automotive, sonstiges verarbeitendes Gewerbe) durchgeführt. Die Teilnehmer wurden zu den Erfahrungen mit Cyber-Attacken, den IT-Sicherheitsstrategien sowie zu den Maßnahmen und Herausforderungen in ihren Unternehmen befragt.

