IT-Risiken bewerten – Mut zur Wahrheit

Stefan Sojer - metaMind
Experte für IT-Achtsamkeit
Mehr erfahren

Die Angriffe, Schadenssummen und Risiken durch Cyber-Attacken steigen rasant an. Viele Unternehmen setzen jedoch weiter auf das Prinzip Hoffnung. Automatisierte Scans, interne Offenheit und die Vernetzung von Betroffenen sind nötig, um Risiken zu erkennen und gezielt zu reduzieren.

„Durch Diebstahl, Spionage und Sabotage entsteht der deutschen Wirtschaft jährlich ein Gesamtschaden von 223 Milliarden Euro“, schrieb der Branchenverband BITKOM im Sommer 2021. Die Schadenssumme – ein neuer Rekord – sei mehr als doppelt so hoch wie in den Jahren 2018/2019. Knapp neun von zehn Unternehmen waren zuletzt von Angriffen betroffen.

Fehlende Risiko-Analysen, isolierte Maßnahmen und unzureichendes Budget haben dazu geführt, dass die Schadenssumme durch Diebstahl und Spionage einen neuen Rekord erreicht hat (Quelle: AdobeStock /Sunny studio).

Inzwischen ist der Punkt erreicht, an dem das St.-Florians-Prinzip eine riskante Wette ist: „Verschon‘ mein Netz, greif‘ andere an.“ Dennoch tun sich viele Organisationen schwer, offen und transparent über das Thema IT-Sicherheit zu reden – nach innen wie nach außen. Fehlende Risiko-Analysen, arglose Top-Manager und isolierte Maßnahmen schwächen die Verteidigung gegen eine professionelle und vernetzte Täterschaft, die nach Lust und Laune ihre Ziele auswählen kann. Zudem sind vielen IT-Security-Teams von Zeit zu Zeit die Hände gebunden, weil nur ein unzureichendes Budget bewilligt wurde. Eine Daumenregel der Angreifer: Die Schwächsten werden die Ersten sein.

IT-Sicherheit und Analysen

Risikoanalysen bedeuten heute nicht mehr, dass Legionen von Beratern und Pentestern das Security-Budget aufzehren. Zum Anfang reicht meist ein automatisierter Scan der Systeme, etwa mit Tools wie LocateRisk. In kurzer Zeit sucht die Software nach Schwachstellen, also Infektionen, Verschlüsselungen, offenen Ports, Konfigurationsfehlern und Datenpannen. Dies umfasst optional auch Geschäftspartner in den eigenen Lieferketten. Die daraus abgeleitete Schwachstellenanalyse zeigt die wichtigsten Baustellen und lässt sich zudem mit den Werten anderer Unternehmen vergleichen. Dadurch erkennen CISOs, wo ihr Team in der Security-Tabelle steht und ob es abstiegsbedroht ist.

IT-Sicherheit und Budgets

Budgets für Maßnahmen, deren Nutzen nicht direkt ersichtlich ist, werden nur zögerlich bewilligt. Wie in der Krankenversicherung gilt: Prophylaxe zur Erhaltung der Zahngesundheit hat im Gegensatz zur Schadensbehandlung nur eine geringe Priorität.

Laut BITKOM-Studie zeigt sich zwar: Als Reaktion auf die verschärfte Bedrohungslage haben Unternehmen ihre Investitionen in IT-Sicherheit aufgestockt: 24 Prozent haben sie deutlich erhöht, 39 Prozent etwas. In 33 Prozent der Unternehmen sind die Ausgaben jedoch unverändert geblieben. „Gemessen am gesamten IT-Budget sind die Aufwendungen für ein Mehr an Sicherheit aber weiter gering“, so der Verband. Durchschnittlich sieben Prozent ihrer IT-Mittel setzen Unternehmen für IT-Sicherheit ein.

Zwar wurde das Budget für IT-Sicherheit erhöht, dennoch gibt es noch zahlreiche Unternehmen, die ihre Mittel hierfür nicht einsetzen (Quelle: AdobeStock /Elnur).

IT-Sicherheit und Offenheit

Viele Führungskräfte lassen sich durch pauschale Aussagen ihrer Security-Manager oder von Prüfungsergebnissen namhafter Beratungshäuser besänftigen – „der jähliche Check der Wirtschaftsprüfer“. So entwickelt sich die Kultur der IT-Sicherheit von einem Weg zu einem Ziel, das indes unerreichbar ist. Neben der Transparenz nach innen ist es auch wichtig, sich zu vernetzen und mit anderen Unternehmen auszutauschen. Eine Initiative ist seit Jahren G4C – German Competence Centre against Cybercrime. Die Strategie ist, dass hochspezialisierte Teams interdisziplinär zusammenarbeiten – weil das technische Spezialwissen und die vernetzten Abläufe für viele Anwender allein nicht mehr komplett zu erfassen sind.

IT-Security braucht ehrliche Analysen

Eine ehrliche Analyse, die Optimierungen zulässt, ist in der IT-Security extrem wichtig (Quelle: AdobeStock/alphaspirit).

IT-Sicherheit darf kein Tabu-Thema sein. Nur Offenheit und Vernetzung der Verantwortlichen macht es möglich, den komplexen Angriffen zu widerstehen. Dazu gehört auch, die eigenen Kapazitäten ehrlich zu analysieren, um gezielt nachzuschärfen. Niemand wird zu 100 Prozent sicher sein, aber im Vergleich mit anderen Organisationen sieht man zumindest, wo man steht – und stehen könnte. Dazu gehört allerdings auch, dass das Top-Management seine Sorgfaltspflichten in Wertschöpfungsketten ernst nimmt und die Entwicklung aktiv vorantreibt, statt nur Berichte abzunicken.

Sie haben Fragen zu den Themen Risikoabschätzung und IT-Sicherheit? Wir helfen Ihnen gerne! Weitere Informationen und Ansprechpartner finden Sie auf unserer Website zu Risk & Security.

Quelle Titelbild: AdobeStock/Karin & Uwe Annas

Stefan Sojer - metaMind
Experte für IT-Achtsamkeit
Mehr erfahren

Weitere Beiträge

Risk & Security

Messenger-Security-Check: Wie sicher sind die täglichen Begleiter?

Weiterlesen
Human & Relations

Warum Meinungsvielfalt eine Chance ist

Weiterlesen
Agile & Organisation

Agiles Powerplay

Weiterlesen

Kommentieren

Diesen Beitrag teilen

Alle Beiträge von
Risk & Security