Viele Teilnehmer einer aktuellen Studie haben großes Vertrauen in die eigene Cybersicherheitsstrategie. Verfolgt man dagegen die Berichte über neue Datenschutzpannen, hat man schnell den Eindruck, dass dieses Vertrauen nicht angebracht ist. Es gibt allerdings Hoffnung: Das Sicherheitsbewusstsein gerade bei Großunternehmen hat deutlich, wenn auch nicht konsistent, zugenommen.
Im Rahmen einer Studie mit dem Titel Building Confidence - The Cybersecurity Conundrum , hat Accenture eine Umfrage unter 2000 Sicherheitsverantwortlichen durchgeführt, in der sie zur Wahrnehmung des Cybersicherheitskonzeptes ihrer Firmen befragt wurde. Bemerkenswert ist hierbei die hohe Anzahl an Befragten, die überzeugt von ihrer Sicherheitsstrategie sind. Die Mehrheit der Befragten gab an, ihre Unternehmenskultur erfolgreich angepasst und um den Aspekt "Sicherheit" erweitert zu haben.
Compliance vs Sicherheit
Aller Verbesserungen zum Trotz steigt die Anzahl an Datenschutzpannen in alarmierender Weise an und hat einen kritischen Wert erreicht. Diese Diskrepanz zwischen empfundener Sicherheit auf der einen und der tatsächlichen Reaktionsfähigkeit eines Unternehmens auf der anderen Seite dürfte ihre Ursache in einer fehlerhaften Umsetzung eine Sicherheitskonzeptes und Fehlern in der Budgetierung haben. In diesem Zusammenhang sind die Fragen "Was steht auf dem Spiel?" und "Wo muss man investieren?" zu beantworten, und zwar unter Einbeziehung der Sicherheit. Am Ende des Tages zeigen die Ergebnisse eines ganz deutlich: Es ist für Unternehmen sehr schwer, bösartige Aktivitäten zu unterbinden und eine Datenpanne zu verhindern. Der Studie zu Folge ist im Schnitt einer von drei gezielten Kompromittierungsversuchen erfolgreich. Oft liegen die Ursache auch in der Investment-Strategie des Betriebs und den daraus resultierenden Sicherheitsbemühungen: Aus unternehmerischer Sicht ist es meist wichtiger, Compliance-Richtlinien zu erfüllen. Dies steht häufig in Konflikt mit Bemühungen zur Minimierung von Risiken, die das Geschäft negativ beeinflussen. Compliance nimmt in der Planung der finanziellen und organisatorischen Ressourcen eine Schlüsselstellung ein. Compliance allein bietet jedoch keinen Schutz für ein Unternehmen.
Wirksame Strategien
Was kann ein Unternehmen also tun, wenn es sich diesen Herausforderungen gegenüber sieht? Wir haben bereits deutlich gemacht, dass "Flickschusterei" im Bereich der IT-Sicherheit nichts verloren hat. Eine umfassende Analyse und Bewertung der Risiken ist der einzige Weg zu einer wirksamen Strategie. Das steht im Gegensatz zu einer Arbeitsweise, in der man lediglich mit Einzellösungen an individuellen Punkten in einem Gesamtkonstrukt arbeitet. Erstaunlicherweise wissen die meisten Firmen aber nicht einmal, welchen Wert ihre Assets wirklich haben und was daher in besonderer Weise zu schützen ist. In einer Kultur, in der Risikomanagement aktiv betrieben wird, könnten Sicherheitsverantwortliche in einer einfachen Kosten/Nutzen-Rechnung ermitteln, ob eine bestimmte Maßnahme im Gesamtzusammenhang zielführend ist oder nicht.
Was uns wirklich zu Denken gibt, ist das Fehlen ernsthafter Trainingsinitiativen. Cybersicherheit muss als tragende Säule betrachtet werden und als ein Bereich, in dem wesentlich mehr investiert werden muss, um das Sicherheitsbewusstsein bei Angestellten zu schärfen. Ein gut geschulter Mitarbeiter kann das für die Sicherheit zuständige Team wirkungsvoll ergänzen und dazu beitragen, das Vertrauen innerhalb der Firma zu stärken. Sind die Mitarbeiter ausreichend geschult und können bestimmte Indikatoren erkennen, so können sie auch dazu beitragen, sicherheitsrelevante Vorfälle aufzudecken und zu verhindern. Sich aktiv mit dem Thema "Sicherheit" zu befassen, führt fast unweigerlich dazu, die Sicherheit unternehmensweit zu stärken.
Letzten Endes ist Vertrauen in die Sicherheit eine gute Sache, solange ein Unternehmen bereit ist, sich aktuellen Bedrohungen wirkungsvoll zu stellen und auch an ihnen zu wachsen.
