Die Budgets für IT-Sicherheit in Unternehmen sollen steigen, wünschen sich die zuständigen Manager. Das Geld wird vor allem für die Sensibilisierung der Mitarbeiter sowie für neue IT-Sicherheitsexperten benötigt, so eine aktuelle Befragung.
Für die Cyber Security in Unternehmen muss mehr getan werden. Den zuständigen Managern fehlt es aber oft an ausreichenden Budgets.
Oliver Berg/dpa
Ihre Organisation in der IT stärker auf Sicherheit zu trimmen, ist für viele Unternehmenslenker eine große Herausforderung. Dennoch schätzen zwei Drittel (34 Prozent) der Top-Manager das Risiko, Opfer einer schwerwiegenden Attacke aus dem Netz zu werden, als sehr gering beziehungsweise gering ein. Und jeder vierte rechnet daher mit gleichbleibenden Kosten für den Kampf gegen Cyber-Kriminalität und den Schutz von Kunden- und Unternehmensdaten. Zu diesem Ergebnis kommt die Studie "Potenzialanalyse Unternehmen schützen, Risiken minimieren" der Unternehmensberatung Sopra Steria Consulting und dem FAZ-Institut.
Geringe Budgets behindern effektive IT-Sicherheit
Obwohl laut Analyse fast 60 Prozent der Unternehmen über eine IT-Sicherheitsstrategie verfügen, klagt ein Viertel der befragten Manager über finanzielle Schwierigkeiten bei der Umsetzung entsprechender Maßnahmen. Für 50 Prozent mündet das zu geringe Budget etwa in ausbleibende Rekrutierungskampagnen für IT-Sicherheitsspezialisten. Zusätzlich müssen die Unternehmen auch in die Schulung ihrer Mitarbeiter investieren, so die Studien-Experten. So sei beispielsweise in 57 Prozent der Firmen in den vergangenen drei Jahren ein zentrales Berechtigungsmanagement eingeführt worden. Ein Drittel setze außerdem auf regelmäßige Sensibilisierungskampagnen. Vor dem Hintergrund einer wachsenden Zahl schwerwiegender Sicherheitsvorfälle sei aber davon auszugehen, dass der Bedarf künftig weiter steigt.
Die Studien-Experten raten deshalb, die IT-Sicherheit stärker als bislang in die Unternehmensprozesse zu verankern. Denn aktuell dürfen erst in 36 Prozent der befragten Unternehmen IT-Projekte nur bei Vorliegen eines IT-Sicherheitskonzepts gestartet werden. "Genauso wie ein Auto nicht ohne Bremsen vom Band läuft, sollten auch kritische Apps und digitalisierte Abläufe in einem Unternehmen nicht ohne Sicherheitskonzept live gehen", erläutert Gerald Spiegel, Leiter Information Security Solutions bei Sopra Steria Consulting, das Ergebnis. "Nötig hierfür sind allerdings abgestufte Konzepte je nach Risikolage, damit unkritische Projekte nicht durch unnötig scharfe Kontrollen zu teuer werden oder zu lange dauern."
Cyber-Sicherheit nicht als Kostenfaktor begreifen
Wer wissen wolle, wie es um die grundsätzliche Angreifbarkeit seines Unternehmens bestellt ist, könne sich durch reguläre Audits und Zertifizierungen, durch die Risikoermittlung im Vorfeld von Cyber-Versicherungen oder durch den Einsatz eines professionellen White Hacker ein klareres Bild davon verschaffen. "Voraussetzung für ein Höchstmaß an Schutz ist jedoch, Cyber Security nicht als Kostentreiber, sondern als existenzielle Notwendigkeit zu betrachten", lautet das Fazit der Analyse.