- Anzeigen -
Besuchen Sie auch unser Zeitschriftenportfolio im Bereich Governance, Risk, Compliance & Interne Revision

Gefahren durch Hacker und Wirtschaftsspione


In den meisten DAX-Firmen fehlt ein durchgängiges Konzept für die Informationssicherheit
Die Experten empfehlen, die für die Sicherheit Zuständigen ähnlich wie die Compliance-Verantwortlichen außerhalb der IT-Abteilung anzusiedeln – beispielsweise neben dem Revisionswesen

(11.07.12) - Die großen deutschen Unternehmen vernachlässigen das Thema Informationssicherheit, wie eine Studie der Unternehmensberatung A.T. Kearney zeigt. Die meisten Organisationen verfolgen keine ganzheitliche Strategie, um ihre Daten und ihr Know-how zu schützen. Stattdessen verlassen sich die Verantwortlichen häufig auf technische Einzellösungen, die aber immer nur einen Teil der Gefahr abwehren können. Daneben fehlen in vielen Unternehmen die organisatorischen Voraussetzungen für eine wirksame Informationssicherheit "Das Thema Informationssicherheit hat trotz der Zunahmen an Hacker und Wirtschaftsspionageangriffen noch nicht den Stellwert im Management", sagt Michael Römer, Partner bei A.T. Kearney und Experte für IT-Strategie.

A.T. Kearney untersuchte die Jahresberichte der 30 DAX-Unternehmen. Das Ergebnis: 27 Firmen widmen sich zwar explizit dem Thema Informationssicherheit. Die im Bericht genannten Schutzmaßnahmen deuten aber auf ein veraltetes Sicherheitsverständnis hin. Meist werden allein technische Einzelmaßnahmen dokumentiert – wie etwa der Einsatz von Antiviren-Software oder der Aufbau redundanter Systeme. Ein durchgängiges und ganzheitliches Konzept lässt sich in den meisten Fällen nicht erkennen. "Lediglich jeder zehnte Bericht ist dazu geeignet, wirkliches Vertrauen aufzubauen", sagt Dr. Boris Piwinger, Experte für Informationssicherheit bei A.T. Kearney.

Lesen Sie zum Thema "IT-Sicherheit" auch: IT SecCity.de (www.itseccity.de)

Dabei stehen Deutschlands Unternehmen zunehmend im Visier von Wirtschaftsspionen, die es auf Informationen wie Marketingpläne, Kundenlisten oder Entwicklungsdaten abgesehen haben. "Vorsichtige Schätzungen gehen davon aus, dass mindestens jedes vierte Unternehmen bereits Opfer eines Computerangriffs wurde. Aktuelle Untersuchungen zeigen, dass 95 Prozent aller Unternehmen weltweit gegenwärtig angegriffen werden oder massiv verwundbar sind", sagt Piwinger. Auf 50 Milliarden Euro beziffert das Bundesministerium des Inneren den jährlichen Schaden in Deutschland durch Industriespionage.

"Weil sich Unternehmen aber nach wie vor scheuen, Fälle von Wirtschaftsspionage und Hackerangriffen publik zu machen, wirkt die Bedrohung kleiner als sie tatsächlich ist", so Piwinger. "Dadurch fehlt vielen Entscheidern insgesamt eine Sensibilität für die Größe des Problems."

Das Internet dient laut BKA mittlerweile in einem Viertel aller Fälle den Wirtschaftskriminellen als Tatmittel. Dennoch investieren die Unternehmen kaum in die Abwehr von Cyberangriffen und Wirtschaftsspionen. Die Ausgaben, um IT-Systeme gegen Angriffe von außen abzusichern, summieren sich lediglich auf 2,5 Milliarden Euro in Deutschland – also nicht einmal vier Prozent der Gesamtausgaben für Informationstechnologie. "Heute sind die Angriffe individuell auf das Opfer zugeschnitten und verwenden Methoden, die mit den klassischen Werkzeugen nicht abgewehrt werden können. Diese neue Realität erfordert, verstärkt auf Erkennung und Abwehr laufender Angriffe zu setzen", beschreibt Piwinger die größte Schwachstelle.

Doch nicht nur auf der Technologieebene tun die Unternehmen zu wenig. Auch organisatorisch schaffen sie nicht die Vorrausetzungen dafür, Bedrohungen im Digitalzeitalter wirksam entgegenzutreten. "Die meisten Sicherheitsverantwortlichen sind heute noch Teil der IT-Abteilung und oft auch nur auf der Sachbearbeiter-Ebene angesiedelt", berichtet Michael Römer, Partner bei A.T. Kearney. Die Experten empfehlen, die für die Sicherheit Zuständigen ähnlich wie die Compliance-Verantwortlichen außerhalb der IT-Abteilung anzusiedeln – beispielsweise neben dem Revisionswesen. "Derjenige, der sich um die Informationssicherheit kümmert, muss dem CIO auf Augenhöhe begegnen und kritische Fragen stellen können", so Römer.

A.T. Kearney rät außerdem dazu, in einem Assessment die wertvollen Daten im Unternehmen zu identifizieren und die Frage, wie sie abgesichert werden können, als strategisch und geschäftskritisch einzustufen. Informationssicherheit sollte als ganzheitliche Funktion betrachtet und über die Abteilungsgrenzen hinweg angegangen werden. (A.T. Kearney: ra)

A.T. Kearney: Kontakt und Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.

- Anzeigen -




Kostenloser Compliance-Newsletter
Ihr Compliance-Magazin.de-Newsletter hier >>>>>>


Meldungen: Studien

  • Mehr als 27 Millionen Betroffene im Jahr 2019

    Bitglass hat ihren sechsten jährlichen "Healthcare Breach Report" veröffentlicht. Der aktuelle Bericht untersucht Datenschutzverletzungen im Jahr 2019, vergleicht sie mit denen früherer Jahre und gewährt Einblick in die wichtigsten Entwicklungen und Herausforderungen auf dem Gebiet der Cyber-Sicherheit im Gesundheitswesen. Wie jedes Jahr wertet Bitglass dafür Daten der "Wall of Shame" des Ministeriums für Gesundheitspflege und Soziale Dienste der Vereinigten Staaten aus. Dabei handelt es sich um eine Datenbank, in der Datenschutzverletzungen im Zusammenhang mit geschützten Gesundheitsinformationen erfasst sind. Wie aus dem Report hervorgeht, waren 2019 mehr als doppelt so viele Datensätze betroffen wie 2018. Bereits 2018 gab es eine derartige Steigerung gegenüber dem Vorjahr, womit der rasante Aufwärtstrend in den vergangenen Jahren anhält: 2017 waren noch 4,7 Millionen Datensätze betroffen, 2018 waren es bereits 11,5 Millionen. 2019 markiert mit insgesamt 27 Millionen gegenwärtig den Gipfel dieser Entwicklung.

  • Mehr als 100 Milliarden Euro Schaden pro Jahr

    Die deutsche Wirtschaft ist sich einig: Wenn es künftig um den Schutz vor Sabotage, Datendiebstahl oder Spionage geht, braucht es vor allem qualifizierte IT-Sicherheitsspezialisten. Praktisch alle Unternehmen (99 Prozent) sehen dies als geeignete Sicherheitsmaßnahme an, 69 Prozent halten sie sogar für sehr geeignet. Knapp dahinter rangieren Mitarbeiterschulungen zu Sicherheitsthemen. 97 Prozent finden dies geeignet, darunter drei Viertel (76 Prozent) sehr geeignet. Das ist das Ergebnis einer Studie des Digitalverbands Bitkom, für die mehr als 1.000 Geschäftsführer und Sicherheitsverantwortliche quer durch alle Branchen repräsentativ befragt wurden. "Das Know-how der eigenen Mitarbeiter entscheidet über das Sicherheitsniveau der Unternehmen", sagt Bitkom-Präsidiumsmitglied Ralf Wintergerst. "Beim Thema IT-Sicherheit macht sich der Fachkräftemangel besonders stark bemerkbar. Umso wichtiger ist es, in Weiterbildung und Schulungen zu investieren. Wer hier spart, ist leichter verwundbar."

  • Datenschutzverletzungen im Finanzwesen

    Bitglass hat ihren aktuellen Bericht zu Datenschutzverletzungen im Finanzwesen 2019 veröffentlicht. Jedes Jahr analysiert Bitglass die neuesten Trends, größten Verstöße und gravierendsten Bedrohungen bei Finanzdienstleistungsunternehmen. Der Studie zufolge gingen nur 6 Prozent aller Verstöße im Jahr 2019 zu Lasten von Finanzdienstleistern. Von diesen Verstößen waren jedoch - im Vergleich zu Angriffen in anderen Branchen - deutlich mehr Datensätze betroffen. Mehr als 60 Prozent aller offengelegten Datensätze entfielen 2019 auf Finanzdienstleistungsunternehmen. Dies liegt zumindest zum Teil im aufsehenerregenden Hackerangriff auf die US-Bank Capital One begründet, bei dem mehr als 100 Millionen Datensätze kompromittiert wurden. Doch auch abgesehen von diesem außergewöhnlichen Fall sind die Verstöße bei Finanzdienstleistern im Durchschnitt tendenziell gravierender als die Verstöße in anderen Sektoren. Glücklicherweise treten sie seltener auf.

  • Kampf von Unternehmen gegen Korruption

    Die digitale Revolution und neue Technologien stellen weltweit den Kampf von Unternehmen gegen Korruption in den eigenen Reihen vor immer größere Herausforderungen. In einer von der internationalen Wirtschaftskanzlei Hogan Lovells beauftragten Studie gaben fast zwei Drittel der befragten Compliance-Verantwortlichen an, dass beispielsweise Messenger-Apps wie WhatsApp mit ihrer Verschlüsselungstechnologie das Beobachten und Aufspüren von Korruption und Bestechung erschweren. Mehr als die Hälfte zeigten sich in der Erhebung darüber hinaus besorgt, dass Transaktionen mit Kryptowährungen zwar dokumentiert werden und verfolgbar sind, die Akteure dahinter aber oft anonym bleiben. Unwohl fühlt sich außerdem derselbe Anteil der Befragten dabei, dass Technologie zunehmend die Analyse durch Menschen ablöse.

  • Compliance- und Sicherheitspraktiken aufstellen

    Fast drei Viertel (71 Prozent) der Unternehmen, die spezifische Richtlinien für die Datennutzung von Partnern und Subunternehmern, mit denen regelmäßiger Datenaustausch besteht, nutzen, erhielten nach einem datenschutzrechtlichen Vorfall eine Entschädigung. Bei Firmen gleicher Größe, die nicht über solche Regularien verfügen, war dies lediglich bei 22 Prozent der Fall. Diese Ergebnisse gehen aus dem aktuellen Report IT Security Economics von Kaspersky hervor. Einer Gartner-Untersuchung zufolge, sind bei 71 Prozent der Unternehmen mehr Drittanbieter als noch vor drei Jahren Teil des eigenen Netzwerkes - Tendenz steigend. Damit diese Subunternehmer ihre Kooperationsverpflichtungen erfüllen können, gewähren Unternehmen ihnen häufig Zugang zu sensiblen Daten und internen IT-Ressourcen.