In aller Schärfe kritisiert die Unternehmensberatung A.T. Kearney den Umgang deutscher Großunternehmen mit der IT-Sicherheit. Nach Einschätzung der Berater investieren die hiesigen Konzerne zu wenig Geld, arbeiten konzeptlos und mit einem auf Tools verengten Blick und üben falsche Zurückhaltung bei der Veröffentlichung von Hacker-Angriffen. A.T. Kearney stützt seine Kritik auf eine Auswertung der Jahresberichte der 30 DAX-Konzerne.
Auch die gängige Organisation der Informationssicherheit ist den Beratern ein Dorn im Auge. „Derjenige, der sich um die Informationssicherheit kümmert, muss dem CIO auf Augenhöhe begegnen und kritische Fragen stellen können“, fordert Michael Römer, Partner bei A.T. Kearney.
Sicherheitsverantwortliche meist nur Sachbearbeiter
Die meisten Sicherheitsverantwortlichen seien heute noch Teil der IT-Abteilung und oft auch nur auf der Sachbearbeiter-Ebene angesiedelt. Die Berater empfehlen nach Vorbild der Compliance-Verantwortung eine Ansiedlung außerhalb der IT – beispielsweise neben dem Revisionswesen.
A.T. Kearney bemängelt überdies, dass die Unternehmen zwar insgesamt 72,4 Milliarden Euro für ihre IT ausgeben, davon aber nur 2,5 Milliarden auf die IT-Sicherheit entfallen – also deutlich weniger als 4 Prozent. Dabei beziffere das Bundesinnenministerium den jährlichen Schaden für deutsche Firmen durch Industriespionage auf 50 Milliarden Euro. 95 Prozent der Unternehmen weltweit seien eine Zielscheibe für Cyber-Kriminelle oder massiv verwundbar.
„Das Thema Informationssicherheit hat trotz der Zunahmen an Hacker und Wirtschaftsspionage-Angriffen noch nicht den Stellwert im Management“, fasst Römer die Quintessenz der Studie zusammen. 27 der 30 Firmen widmeten sich zwar explizit dem Thema Informationssicherheit. Die im Bericht genannten Schutzmaßnahmen deuteten aber auf ein veraltetes Sicherheitsverständnis hin.
Neckermann, Adidas und Nortel wurden Opfer
Meist seien technische Einzelmaßnahmen wie der Einsatz von Antiviren-Software oder der Aufbau redundanter Systeme dokumentiert. Ein durchgängiges und ganzheitliches Konzept lasse sich in den meisten Fällen nicht erkennen. Lediglich jeder zehnte Bericht sei dazu geeignet, wirkliches Vertrauen aufzubauen.
Vorsichtig geschätzt wurde laut A.T. Kearney schon jedes vierte Unternehmen Opfer eines Computerangriffs. Wirtschaftsspione hätten es auf Marketingpläne, Kundenlisten oder Entwicklungsdaten abgesehen. Die Berater nennen prominente Beispiele.
So erbeuteten Unbekannte im Mai 2011 1,2 Millionen Kundendatensätze des Reiseunternehmens Neckermann. Sportartikelhersteller Adidas musste im Herbst vergangenen Jahres seine Website nach einem Hackerangriff vom Netz nehmen. Bei Nortel Networks hatten Datendiebe unbemerkt zehn Jahre lang uneingeschränkten Zugang.
Firmen reden nicht über Vorfälle
Ein Problem ist nach Einschätzung der Berater, dass die Firmen bei derlei Vorfällen oft herumdrucksen und nicht offen darüber reden. „Weil sich Unternehmen aber nach wie vor scheuen, Fälle von Wirtschaftsspionage und Hackerangriffen publik zu machen, wirkt die Bedrohung kleiner als sie tatsächlich ist“, so die Berater. „Dadurch fehlt vielen Entscheidern insgesamt eine Sensibilität für die Größe des Problems.“
Die meisten Organisationen verfolgten keine ganzheitliche Strategie, um ihre Daten und ihr Know-how zu schützen. Stattdessen verließen sich die Verantwortlichen häufig auf technische Einzellösungen, die aber immer nur einen Teil der Gefahr abwehren können.
Rat: Assessment für wertvolle Daten durchführen
Als versierter stellen die Berater die Hacker und Spione dar, die ihre Angriffe individuell auf das Opfer zuschnitten und Methoden verwendeten, die mit den klassischen Werkzeugen nicht abgewehrt werden können. „Diese neue Realität erfordert, verstärkt auf Erkennung und Abwehr laufender Angriffe zu setzen“, so A.T. Kearney.
Die Berater empfehlen, in einem Assessment die wertvollen Daten im Unternehmen zu identifizieren. Die Frage nach ihrer Absicherung sei als strategisch und geschäftskritisch einzustufen. Informationssicherheit sollte als ganzheitliche Funktion betrachtet und über die Abteilungsgrenzen hinweg angegangen werden.