Nur 50 Prozent der befragten Entscheider sehen Business Resilience als einen essenziellen Bestandteil ihrer Unternehmensstrategie.
Unternehmen investieren zwar viel in Sicherheit, sind aber oft nicht widerstandsfähig gegen Störungen des Geschäftsbetriebes wie etwa Cyberbedrohungen. Diese mangelnde Business Resilience kann jedoch gravierende Folgen haben. Tanium hat zu diesem Thema eine weltweite Umfrage unter 4.000 Entscheidungsträgern in Deutschland, den USA, Großbritannien, Frankreich und Japan durchgeführt. Die Ergebnisse zeigen, dass den Verantwortlichen das Problem durchaus bewusst ist, jedoch nicht entsprechend gehandelt wird.
Während 96 Prozent der Befragten weltweit glauben, dass Business Resilience ein essenzieller Bestandteil der erweiterten Geschäftsstrategie ihres Unternehmens sein sollten, sieht es in der Realität ganz anders aus: Nur 54 Prozent der weltweit Befragten denken, dass dies in ihrem Unternehmen definitiv der Fall ist. Unter den 1.000 Befragten in Deutschland ist das Vertrauen in die eigene Geschäftsstrategie sogar noch geringer ausgeprägt: Hier glauben nur 50 Prozent, dass die Widerstandsfähigkeit gegen Geschäftsunterbrechungen, etwa durch Cyber-Bedrohungen, definitiv Teil ihrer Unternehmensstrategie ist.
Warum handeln die Verantwortlichen nicht?
Warum aber handeln Entscheidungsträger nicht entsprechend, um diese Lücke zu schließen und ihren Geschäftsbetrieb widerstandsfähiger zu gestalten? Die Arbeit der IT-Teams wird laut der Umfrage von Tanium durch die interne Unternehmensstruktur, zu geringem Budget und veralteter Technologie erschwert. Für 33 Prozent der deutschen Befragten ist die wachsende Komplexität ihres Unternehmens eines der größten Hindernisse für die Widerstandsfähigkeit gegen Geschäftsunterbrechungen. 32 Prozent der Entscheider denken zudem, dass Hacker mehr Kenntnisse besitzen als ihre eigenen IT-Teams. 29 Prozent geben an, unzureichend mit Budget und entsprechenden Tools ausgestattet zu sein, um ihren Job gut erledigen zu können. Und 19 Prozent nennen das Silo-Denken innerhalb der Abteilungen als Problem. Diese vielfältigen Herausforderungen zeigen: Um die Widerstandsfähigkeit eines Unternehmens zu verbessern, müssen nicht nur IT-Prozesse, sondern auch Geschäftsprozesse allgemein verändert werden. Das Konzept der Business Resilience beinhaltet wesentlich mehr als »nur« Cybersecurity. Ein widerstandsfähiges Unternehmen sollte vielmehr in der Lage sein, Störungen im Geschäftsbetrieb schnell und ohne größere Auswirkungen zu überwinden, und sich gleichzeitig flexibel an neue Herausforderungen im jeweiligen Geschäftsfeld anpassen.
Unklare Zuständigkeiten und zu geringe Verantwortung der Mitarbeiter
Unklare Zuständigkeiten verhindern dies leider zu oft: 37 Prozent der deutschen Befragten geben in der Tanium-Umfrage an, dass hauptsächlich der CIO oder der Leiter der IT-Abteilung dafür verantwortlich sei, einen widerstandsfähigen Geschäftsbetrieb zu gewährleisten. 19 Prozent denken hingegen, dies falle in die Zuständigkeit des CISOs. Und nur 17 Prozent sehen jeden einzelnen Mitarbeiter in der Verantwortung. Besonders die Befragten aus den USA haben hier eine ganz andere Meinung: Während nur 31 Prozent vor allem den CIO in die Pflicht nehmen, geben 33 Prozent an, dass jeder Mitarbeiter gleichermaßen verantwortlich ist.
Ein widerstandsfähiger Geschäftsbetrieb ist nur möglich, wenn jeder einzelne Mitarbeiter an diesem Ziel mitwirkt, und auch entsprechend geschult wird. Schließlich helfen auch die besten Sicherheitslösungen nichts, wenn Mitarbeiter schädliche E-Mail-Anhänge öffnen, weil sie sich der Gefahr nicht bewusst sind. Diese Denkweise scheint jedoch besonders unter deutschen IT-Experten noch nicht sehr verbreitet zu sein.
Finanzielle Verluste durch mangelhafte Business Resilience
Unternehmen können die Auswirkungen von IT-Sicherheitsverletzungen oft nicht genau berechnen – auch wenn diese Auswirkungen immens sein können. In der Tanium-Umfrage geben 21 Prozent der deutschen Befragten an, dass ihr Unternehmen die Kosten für ergriffene Gegenmaßnahmen nicht beziffern kann. 22 Prozent könnten ebenso wenig die indirekten Kosten eines Cyberangriffs berechnen, etwa Umsatzverluste und Produktivitätsrückgang. Ebenfalls 22 Prozent der Unternehmen wären nach Meinung der Befragten nicht fähig, die Auswirkungen eines Verlusts oder einer ungewollten Veröffentlichung geschützter Daten zu kalkulieren. Dies ist gerade hinsichtlich der europäischen Datenschutzgrundverordnung DSGVO sehr bedenklich. Ein Sicherheitsvorfall mit personenbezogenen Daten kann seit kurzem mit hohen Strafen belegt werden.
Matt Ellard, Managing Director EMEA bei Tanium, äußert sich zu den Umfrageergebnissen: »Durch die digitale Transformation gibt es in den Bereichen Sicherheit und IT-Betrieb ganz neue Herausforderungen. Um diese zu meistern, setzen Unternehmen immer mehr Technologien ein. Jedoch macht gerade diese Vielzahl an verwendeten Tools IT-Infrastrukturen verwundbar.
Business Resilience ist unerlässlich, wenn Unternehmen auf langfristiges Wachstum setzen. Für viele deutsche Unternehmen gibt es jedoch laut der Umfrage von Tanium noch einige Hindernisse zu überwinden, um widerstandsfähiger gegen Cyberbedrohungen zu werden. Unternehmen und Organisationen sollten das Thema Business Resilience deshalb strategisch angehen. Dazu benötigen sie zunächst einen genauen und schnellen Überblick über Bedrohungen im Netzwerk. Dies gilt besonders für die Endpunkte. Denn wie will man sich gegen Gefahren verteidigen, wenn man nicht deren Ursprungsort kennt?«
Resilienz statt Robustheit: Neues Sicherheitskonzept für die Energieversorgung
90 Prozent aller Unternehmen sind nicht bereit für die digitale Transformation
Sicherheit in der vernetzten Wirtschaft muss neu gedacht werden