Cybersicherheit: Gleichgültigkeit im Vorstand

Deutsche CIOs extrem in Sorge

14.05.2014 von Werner Kurzlechner
Wie eine Ponemon-Studie zeigt, fehlt es in den Vorständen an Problembewusstsein in Sachen Cyber-Security. Die deutschen Ergebnisse sind in mehrfacher Hinsicht extrem.
Fast die Hälfte der Befragten beklagen, dass Führungskräfte auf Vorstandsebene unterdurchschnittlich wenig Verständnis für Sicherheitsthemen haben.
Foto: Janina Dierks - Fotolia.com

Licht und Schatten gibt es hierzulande im internationalen Vergleich bei der Cybersicherheit. Das zeigt eine aktuelle Studie des Ponemon Institute, für die im Auftrag des Anbieters Websense 5.000 IT-Security-Verantwortliche in 15 Ländern befragt wurden. Die Einschätzungen aus Deutschland spiegeln in extremer Weise Vertrauen in die vorhandenen Sicherheitslösungen, aber auch Sorge wegen einer schwer greifbaren Bedrohungslage wider. Insgesamt zeigt die Studie, dass die Einblicke in cyberkriminelle Aktivitäten sehr beschränkt sind.

Umsatzverluste weithin ignoriert

So können nur 37 Prozent der Befragten mit Sicherheit sagen, wenn ihr Unternehmen vertrauliche Daten als Folge einer Cyberattacke verloren hat. Von den Opfern von Datenverlust weiß nur jedes dritte Unternehmen zu sagen, welchen Informationen genau gestohlen wurden.

Besonders ausgeprägt erscheint die Nonchalance im Top-Management der Firmen. Fast die Hälfte der Befragten - zwei Drittel davon übrigens CIOs - finden, dass Führungskräfte auf Vorstandsebene unterdurchschnittlich wenig Verständnis für Sicherheitsthemen haben. 80 Prozent bemängeln, dass von Business-Seite abhanden gekommene vertrauliche Daten nicht mit einem Umsatzverlust gleichsetzen. Die finanziellen Konsequenzen des Problems werden also weithin ignoriert.

Die Studie offenbart große Defizite bei den eingesetzten Sicherheitslösungen. Fast 70 Prozent gehen davon, dass Cyber-Angriffe manchmal unbemerkt durch ihr Security-Netz schlüpfen. Nur eine Minderheit von 43 Prozent wähnt sich vor fortgeschrittenen Cyber-Angriffen sicher. 63 Prozent zweifeln daran, den Abfluss vertraulicher Informationen stoppen zu können.

Die deutschen Ergebnisse sind wie angerissen höchst auffällig. Mehr als anderswo äußern sich die hiesigen Verantwortlichen zuversichtlich, dank ihrer IT-Lösungen über Angriffsversuche und ihre möglichen Folgen Bescheid zu wissen. 65 Prozent der deutschen Befragten sagen das. Die 60-Prozent-Marke wird sonst nur noch in den Niederlanden übertroffen. In Brasilien, Mexiko und Indien scheinen die Mängel hingegen extrem, beantworten doch nicht einmal 30 Prozent die Frage positiv.

Trotz des starken Vertrauens in die vorhandenen Lösungen ist den deutschen Verantwortlichen ebenso stark bewusst, dass es dennoch Schlupflöcher für Attacken gibt. 78 Prozent in der Bundesrepublik sagen, dass Cybersicherheitsbedrohungen manchmal durchs Raster der bestehenden Systeme fallen. Übertroffen wird dieser Wert nur in Frankreich und Italien (jeweils 82 Prozent) sowie in Singapur (79 Prozent). Im Vergleich recht unbesorgt äußert man sich in Kanada, Schweden, Australien und Mexiko mit Werten unter 60 Prozent.

Äußerst gering ist den Aussagen der Befragten zufolge in Deutschland das Verständnis der Bedrohungslandschaft, in der das eigene Unternehmen heute bestehen muss. Nur 34 Prozent sagen, dass sie diese Gefahren gut kennen - marginal unterboten wird dieser Wert nur noch in Hongkong. Zum Vergleich: In Italien meint eine Mehrheit von 52 Prozent, viel genug über die aktuellen Bedrohungen zu wissen.

Großes Vertrauen, große Bedenken

Zusammenfassend lässt sich speziell über die deutschen Antworten sagen, dass das Vertrauen in die eingesetzten Lösungen größer ist als im Rest der Welt. Im Grunde positiv stimmt, dass parallel dazu das Bewusstsein dafür vorhanden ist, dass sich Einfallstore für Angreifer sich auch bei größter Umsicht auftun können, und dass die sich rasch verändernde Welt Kriminellen bedrohlicher als anderswo wahrgenommen. Beides dürfte dafür sprechen, dass man nicht in Selbstzufriedenheit erstarrt.

Kernergebnisse der Ponemon-Studie
5.000 Befragte
Das Ponemon Institute hat im Auftrag von Websense mehr als 5.000 Security-Verantwortliche über Cybergefahren befragt. Unsere Bildergalerie zeigt die wichtigsten Ergebnisse.
Superlösung utopisch
Pessimismus herrscht vor: Nur 37 Prozent sind davon überzeugt, Kriminelle unter allen Umständen vom Datenklau abhalten zu können. An die Chance auf ein gegenüber allen gezielten Angriffen widerstandsfähiges Sicherheitssystem glaubt nur jeder Vierte.
Überdurchschnittlich löchrig
Rund 70 Prozent der Befragten halten ihr Sicherheitsnetz für nicht immer dicht genug. In Deutschland liegt dieser Anteil mit 78 Prozent deutlich über dem internationalen Durchschnitt.
Angreifer zielsicher
Mehr als zwei Fünftel der Firmen weltweit wurden im vergangenen Opfer von Cyberangriffen. Das Ponemon Institute meint, dass viele Verantwortliche nicht mit der Zielgerichtetheit der Attacken klarkommen.
Wenig Glaube an Warnsysteme
Es findet sich keine Mehrheit, die an ein immer funktionierendes Frühwarnsystem glaubt. Nicht anders ist das Meinungsbild über die Aufdeckung der Hintergründe von Angriffen.
Deutsches Grundvertrauen
In Deutschland zeigen sich die Befragten indes überdurchschnittlich vertrauensvoll in ihre Systeme. Befragt wurden übrigens zu zwei Dritteln CIOs.
Deutsche Skepsis
Umso ausgeprägter ist hierzulande die Sorge angesichts der schwer einzuschätzenden Bedrohungslandschaft. In der Bundesrepublik sind die Befragten um 7 Prozentpunkte pessimistischer als der weltweite Durchschnitt.
Zielscheibe Kundendaten
Die Befragten gehen davon aus, dass die Angreifer es vor allem auf Kundendaten abgesehen haben. Aber auch geistiges Eigentum erscheint gefährdet.

Gleichwohl stimmen die Studienergebnisse insgesamt eher nachdenklich. Immerhin 44 Prozent der teilnehmenden Unternehmen wurden im vergangenen Jahr ein- oder mehrmals angegriffen. Rund 60 Prozent der Firmen haben Baustellen in ihren Sicherheitssystemen oder Wissensdefizite über Attacken und ihre Konsequenzen.

"Setzen Sie auf eine alles umfassende Verteidigungsstrategie, die Web, E-Mail und mobile Kanäle beinhaltet", raten die Studienautoren. Der Fokus auf nur einen dieser Kanäle sei zu vermeiden. Daneben nennt die Studie die Schulung und Sensibilisierung der Mitarbeiter als wichtigen Baustein für mehr Cybersicherheit. Die Untersuchung "Exposing the Cybersecurity Cracks: A Global Perspective" ist bei Websense erhältlich. Aus Deutschland flossen 445 Antworten ein.