Corporate Governance auf den Prüfstand
Nur 18 Prozent der Unternehmen geben an, dass die Informationssicherheit regelmäßig in die Geschäftsstrategie einfließt. Mehr als die Hälfte (55 Prozent) der Befragten in der EY-Studie berichten, dass Informationssicherheit nur bedingt oder gar nicht die Geschäftsstrategie Berücksichtigung findet. Im digitalen Zeitalter reicht dieser Ansatz nicht mehr aus. Digitales Geschäft geht zwangsläufig mit Risiken einher. Insofern sind Cybersicherheit und Geschäftsstrategie eng miteinander zu verzahnen und gehören regelmäßig auf die Tagesordnung in den Gremien.
Die Verantwortung für die Informationssicherheit wird zwar zunehmend auf den obersten Ebenen des Unternehmens wahrgenommen. Für 40 Prozent der Unternehmen übernimmt der Chief Information Officer (CIO) diese Verantwortung. Allerdings sagen 60 Prozent der Unternehmen, dass die Person, die direkt für die Informationssicherheit verantwortlich ist, kein Vorstandsmitglied ist.
Im Schnitt geben etwa 70 Prozent der Unternehmen an, dass ihre Führungskräfte ein umfassendes Verständnis von Sicherheit haben oder positive Schritte unternehmen, um ihr Verständnis zu verbessern. Da die Sicherheit zu einem Schlüsselfaktor für das Wachstum wird, dürfte dieser Anteil zunehmen. Laut den Studienergebnissen ist es jedoch wahrscheinlicher, dass kleinere Unternehmen die Verantwortung für die Informationssicherheit eher auf Vorstandsebene tragen als größere Unternehmen.
Größere Unternehmen haben hingegen weitere Fortschritte hinsichtlich des Security-Bewusstseins gemacht: 73 Prozent haben demnach zumindest ein begrenztes Verständnis für IT-Sicherheit, verglichen mit 68 Prozent der kleineren Unternehmen.
Schwachstellen ausmerzen
Weniger als jedes zehnte Unternehmen gibt an, dass ihre Informationssicherheitsfunktion derzeit ihren Bedürfnissen voll und ganz entspricht und viele sind besorgt, dass wichtige Verbesserungen noch nicht eingeleitet wurden.
Kleinere Unternehmen sind eher im Rückstand: Während 78 Prozent der größeren Unternehmen sagen, dass ihre Informationssicherheitsfunktion zumindest teilweise ihren Bedürfnissen entspricht, sind es nur 65 Prozent der kleineren Unternehmen.
Insgesamt sind 92 Prozent der Unternehmen besorgt über ihre Informationssicherheitsfunktion in Schlüsselbereichen. Ressourcen sind dabei ein zentrales Thema: 30 Prozent der Unternehmen kämpfen mit Fachkräftemangel, während 25 Prozent Budgetrestriktionen angeben.
Kleinere Unternehmen sind besonders besorgt: 28 Prozent geben an, dass ihre Informationssicherheitsfunktion derzeit nicht ihren Bedürfnissen entspricht oder verbessert werden soll und 56 Prozent sagen, dass sie an Fachkräftemangel oder Budgetbeschränkungen leiden.
Bei lediglich 15 Prozent der Unternehmen erfüllt der Informationssicherheitsbericht derzeit ihre Erwartungen vollständig.
Unter den Unternehmen, die im vergangenen Jahr von einem Vorfall betroffen waren, sagen weniger als ein Drittel, dass der Cyberangriff von ihrem Security Operations Center (SOC) entdeckt wurde.
Kleinere Unternehmen müssen besonders schnell handeln: Fast ein Viertel (23 Prozent) erstellt derzeit keine Berichte über Informationssicherheit, verglichen mit 16 Prozent bei größeren Unternehmen. Ebenso ist bedenklich, dass lediglich fünf Prozent aller Befragten die finanziellen Auswirkungen jeder Sicherheitsverletzung ermitteln. Die Dunkelziffer der tatsächlich entstandenen Schäden könnte damit weitaus höher liegen als vermutet. (jd)