Daten sind nicht sicher

Nicht einmal jeder vierte Befragte der Studie (22 Prozent) war der Meinung, dass die Gesamtheit der Daten in seinem Unternehmen „vollständig sicher“ gespeichert sei. Im Umkehrschluss heißt das ja wohl, dass die große Mehrheit der Befragten davon ausgeht, Daten seien in ihrem Unternehmen zumindest teilweise nicht ausreichend geschützt.

Gleichzeitig erwarten rund zwei Drittel der befragten Entscheider (65 Prozent) in absehbarer Zeit einen Einbruch, der die IT-Sicherheit kompromittiert und das Unternehmen eine Menge Geld kostet. Die Befragten schätzen den Verlust im Schnitt auf rund 900.000 Dollar.

Wenn der Einbruch auch Außenstehenden bekannt wird, kommt höchstwahrscheinlich weiterer Schaden hinzu: Kunden verlieren ihr Vertrauen in das Unternehmen und die Reputation am Markt leidet. So etwas kann schnell zu einem empfindlichen Umsatzeinbruch führen, der sich aber nur schwer quantifizieren lässt.

Es gibt weitere irritierende Ergebnisse in der Studie. Für 73 Prozent der Manager in der Vorstandsetage oder in der Geschäftsleitung, so erklären die Befragten, hat die Einhaltung der IT-Sicherheit eine „vorrangige“ Priorität. Spätestens seit der NSA-Affäre ist IT-Security offensichtlich ins Bewusstsein auch derjenigen Unternehmenslenker gerückt, die sich nicht primär mit IT beschäftigen. Doch dieses Bewusstsein spiegelt sich nicht in den Budgets wider.

Für IT-Sicherheit geben Unternehmen nicht nur deutlich weniger aus als für Marketing, Vertrieb, Entwicklung, Human Resources oder andere Bereiche. Die Gelder für IT-Sicherheit stammen auch aus unterschiedlichen Bereichen – sowohl aus dem IT-Gesamtetat als auch aus dem operativen Betrieb. Diese unterschiedlichen Geldquellen sind gleichzeitig ein Indiz für eine altbekannte, aber unglückliche Organisationsstruktur: IT-Sicherheit wird in vielen Unternehmen nämlich nicht zentral organisiert, sondern ist getrennt in den unterschiedlichen, historisch gewachsenen IT-Subbereichen wie Netzwerke, CRM oder ERP beheimatet, wo die jeweiligen Bereichsverantwortlichen ihre eigene, isolierte IT-Sicherheitsstrategie verfolgen. Es ist auch ein offenes Geheimnis, dass sie sich nur ungern untereinander abstimmen und oft isolierte Inseln wie zum Beispiel SAP-Umgebungen existieren. Das führt dazu, dass die Sicht von oben fehlt und eine allumfassende IT-Sicherheitsstrategie kaum durchführbar ist.

Zwar verbessert die Mehrzahl der Unternehmen ständig die Features und Prozesse ihrer IT-Sicherheit. Angesichts des verbreiteten Sicherheits-Silodenkens in den Unternehmen ist allerdings davon auszugehen, dass wohl an vielen Sicherheitsstellschrauben in den einzelnen IT-Bereichen gedreht wird, die nicht miteinander verbunden sind.

Nach Effizienzwunder klingt das nicht gerade. So ist es auch nicht überraschend, dass die überwiegende Anzahl der Unternehmen, mit denen NTT Security regelmäßig spricht, davon ausgeht, dass unentdeckte Schwachstellen in der IT-Sicherheit lauern, die IT-Sicherheit also nicht auf dem neuesten Stand ist. Angesichts hoch professioneller Angreifer mit flexiblen und gezielten Strategien ist das alarmierend.