STUDIE
IT-Sicherheit im Rahmen der Digitalisierung Eine empirische Untersuchung in deutschen Unternehmen – Erstellt von der Bundesdruckerei GmbH in Zusammenarbeit mit Bitkom Research
Sichere Organisation
BUNDESDRUCKEREI STUDIE
IT-SICHERHEIT IM RAHMEN DER DIGITALISIERUNG
Inhalt
Vorwort
3
Methodik der Befragung
4
Management Summary IT-Sicherheit im Rahmen der Digitalisierung
5
1
Digitalisierung und IT-Sicherheit
6
1.1
Stellenwert von Digitalisierung und IT-Sicherheit 6
1.2
Zusammenspiel von Digitalisierung und IT-Sicherheit
7
1.2.1 Sicherheitsbedenken führen zu Umsatzeinbußen
8
1.2.2 Gut gerüstet für die digitale Transformation?
9
2
Risikoeinschätzung und IT-Sicherheitsvorfälle
10
2.1
Einschätzung des Risikos, durch einen IT-Angriff geschädigt zu werden
10
2.2
IT-Sicherheitsvorfälle in Unternehmen
11
3
IT-Sicherheitsstrategie und IT-Sicherheitsmaßnahmen
12
3.1
Definition und Umsetzung von IT-Sicherheitsstrategien
12
3.2
IT-Sicherheitsmaßnahmen
13
3.2.1 Technische IT-Sicherheitsmaßnahmen
13
3.2.2 Organisatorische IT-Sicherheitsmaßnahmen
15
3.2.3 Personelle IT-Sicherheitsmaßnahmen
16
3.3
Verbesserungsbedarf bei IT-Sicherheitsmaßnahmen
17
4
Herausforderungen und Investitionsabsichten
18
4.1
Hemmnisse bei der IT-Sicherheit
18
4.2
Überforderung mit gesetzlichen Regeln
19
4.3
Investitionsabsichten
20
4.4
Versicherung gegen IT-Schadensvorfälle
21
Fazit und Ausblick
22
2
BUNDESDRUCKEREI STUDIE
IT-SICHERHEIT IM RAHMEN DER DIGITALISIERUNG
Vorwort Vernetzte Maschinen, digitale Auswertung großer Datenmengen, automatisierte Verwaltungsworkflows: Digitalisierung und Vernetzung verändern Unternehmen weltweit und branchenübergreifend. Ob mit Kunden, Kollegen oder Partnern, die geschäftliche Kommunikation erfolgt mittlerweile größtenteils elektronisch. Immer mehr Informationen werden digital gespeichert, verschickt und verarbeitet. Dabei nimmt der Anteil der vertraulichen elektronischen Informationen stetig zu. Gleichzeitig erwarten Geschäftspartner und Kunden, dass Nachrichten, Dokumente und sensible Daten sicher abgelegt und übertragen werden. Mit der Digitalisierung wächst die Bedeutung der IT-Sicherheit. Beide Themen stellen für viele Unternehmen eine erhebliche Herausforderung dar. Mancher Betrieb fühlt sich überfordert. Wir sind überzeugt: Digitalisierung und IT-Sicherheit müssen und können gemeinsam und koordiniert angegangen werden. Dafür bedarf es zusätzlich zu entsprechenden technischen Lösungen und der Umsetzungsexpertise zunächst einmal detaillierter und verlässlicher Informationen. Die Bundesdruckerei hat sich deshalb entschieden, in Zusammenarbeit mit Bitkom Research eine umfassende, empirisch fundierte Untersuchung zu Fragen der IT-Sicherheit im Kontext der Digitalisierung durchzuführen. Mit der vorliegenden Studie wollen wir den Unternehmen, die sich aktuell mit diesen Themen befassen, eine Orientierungshilfe geben: etwa, um die bisherige Strategie zu überprüfen oder die nächsten Schritte gezielt vorbereiten zu können.
Ein Kernergebnis der vorliegenden Studie lautet: Die Unternehmen legen großen Wert darauf, dass die Digitalisierung nicht auf Kosten der IT-Sicherheit vorangetrieben wird. Gleichzeitig zeigt sich, dass insbesondere kleinere und mittelständische Betriebe Nachholbedarf bei der Umsetzung von IT-Sicherheitsmaßnahmen haben. Technischer Basisschutz ist zwar in allen Unternehmen vorhanden, allerdings fehlen oft Szenarien und Schutzmaßnahmen, die greifen, wenn ein konkreter Sicherheitsvorfall vorliegt. Auch bei den personellen und organisatorischen Sicherheitsmaßnahmen besteht Verbesserungspotenzial. Sollten Sie hierzu auch oder gerade nach der Lektüre dieser Studie noch Fragen haben, sprechen Sie uns gerne an, wir freuen uns auf den Austausch mit Ihnen.
Mit freundlichen Grüßen
Ulrich Hamann Vorsitzender der Geschäftsführung der Bundesdruckerei GmbH
3
BUNDESDRUCKEREI STUDIE
IT-SICHERHEIT IM RAHMEN DER DIGITALISIERUNG
Methodik der Befragung Mithilfe einer repräsentativen Unternehmensbefragung wurde im Frühjahr 2016 ermittelt, welche Ziele und Herausforderungen mit dem Thema IT-Sicherheit bei der Digitalisierung von deutschen Unternehmen verbunden sind. Dafür wurden insgesamt 556 nach Branchen und Größenklassen repräsentativ ausgewählte Betriebe mit mindestens 20 Mitarbeitern befragt. Die Befragung wurde in Zusammenarbeit mit Bitkom Research entwickelt, durchgeführt und ausgewertet. Die computergestützten telefonischen Interviews (CATI) erfolgten im März und April 2016. Bei den Befragten handelt es sich ausschließlich um Führungskräfte, die in ihrem Unternehmen für das Thema IT-Sicherheit verantwortlich sind. Dazu zählen Geschäftsführer und Mitglieder des Vorstands sowie leitende Kräfte aus den Bereichen digitale Technologien, Informationstechnik, operatives Geschäft oder IT-Sicherheit. Durch Schichtung der Zufallsstichprobe wurde gewährleistet, dass Unternehmen aus den verschiedenen Branchen und Größenklassen in für statistische Auswertungen ausreichender Anzahl vertreten sind. Die Aussagen der Befragungsteilnehmer wurden bei der Analyse gewichtet, so dass die Ergebnisse ein hinsichtlich Branchengruppen und Größenklassen repräsentatives Bild für alle Unternehmen ab 20 Mitarbeitern in Deutschland zeigen. Rundungsbedingt ergeben die Summen in den Grafiken nicht zwingend 100 Prozent.
Zusammensetzung der Stichprobe (Zahlen ungewichtet in %). 10
7
26
35
20
59
35
6 2
Größe der befragten Unternehmen 20 bis 99 Mitarbeiter 100 bis 499 Mitarbeiter 500 bis 1.999 Mitarbeiter 2.000 Mitarbeiter oder mehr
Funktion innerhalb der befragten Unternehmen Geschäftsführer bzw. Mitglieder des Vorstands Leiter Informationstechnik (CIO) Leiter operatives Geschäft (COO) Leiter IT-Sicherheit Leiter digitale Technologien (CDO)
BUNDESDRUCKEREI STUDIE
IT-SICHERHEIT IM RAHMEN DER DIGITALISIERUNG
Management Summary IT-Sicherheit im Rahmen der Digitalisierung
74 % der Unternehmen wollen die Digitalisierung nicht auf Kosten ihrer IT-Sicherheit vorantreiben.
21 %
37 %
der Unternehmen befürchten Umsatzeinbu-
der Unternehmen definieren und implemen-
ßen durch die Verzögerung der Digitalisie-
tieren ihre IT-Sicherheitsstrategie mithilfe
rung aufgrund von IT-Sicherheitsbedenken.
externer Dienstleister. Jeder fünfte Betrieb
29 % der Unternehmen fühlen sich gut gerüstet für die digitale Transformation.
39 % der Unternehmen sehen ein sehr hohes oder hohes Risiko, durch einen IT-Angriff geschädigt zu werden.
54 % der Unternehmen hatten in den vergangenen 24 Monaten einen konkreten IT-Sicherheitsvorfall. Am häufigsten handelte es sich um den Verlust oder Diebstahl von IT- und Telekommunikationsgeräten (41 Prozent).
100 % der Unternehmen haben mit Firewalls und Backups einen präventiven Basisschutz für ihre IT-Sicherheit etabliert. Erst wenige Un-
(18 Prozent) hat bisher noch keine IT-Sicherheitsstrategie definiert.
49 % der Unternehmen erkennen hohen Verbesserungsbedarf bei organisatorischen Sicherheitsmaßnahmen. Insbesondere gilt dies für größere Unternehmen, während kleinere ihre IT-Sicherheit verstärkt durch personelle Maßnahmen verbessern wollen.
61 % der Unternehmen sehen hohe Kosten als Hemmnis für die Gewährleistung und die Verbesserung ihrer IT-Sicherheit.
63 % der Unternehmen fühlen sich zumindest ab und zu von den gesetzlichen Regeln zu IT-Sicherheit und Datenschutz überfordert.
ternehmen sind bisher durch reaktive Maß-
60 %
nahmen wie Angriffserkennungssysteme
der Unternehmen gehen für dieses Jahr von
auf den Eintritt von IT-Sicherheitsvorfällen
steigenden Investitionen in ihre IT-Sicher-
vorbereitet.
heit aus.
5
BUNDESDRUCKEREI STUDIE
IT-SICHERHEIT IM RAHMEN DER DIGITALISIERUNG
1 Digitalisierung und IT-Sicherheit Zunächst wurden die IT-Sicherheitsverantwortlichen nach den Einstellungen ihrer Unternehmen zur Digitalisierung und zur IT-Sicherheit generell befragt. Danach sollten sie das Zusammenspiel dieser beiden Themen einschätzen.
1.1 Stellenwert von Digitalisierung und IT-Sicherheit Die meisten Unternehmen sind offen für das Thema Digitalisierung und räumen der IT-Sicherheit generell einen sehr hohen Stellenwert ein. Die überwiegende Mehrheit (86 Prozent) steht der Digitalisierung aufgeschlossen gegenüber. Dies gilt in besonderem Maße für die Unternehmen der ITK- und der Automobilbranche, von denen sich jeweils etwa neun von zehn (96 bzw. 93 Prozent) als aufgeschlossen oder sogar sehr aufgeschlossen bezeichnen. Auffallend skeptisch ist der Handel mit nur etwas mehr als zwei Dritteln aufgeschlossener Betriebe (67 Prozent) und einem von zehn Unternehmen (11 Prozent), das die Digitalisierung sogar ablehnt. Grundsätzlich gilt: Je mehr Mitarbeiter ein Betrieb hat, umso positiver sieht er die digitale Transformation. Dieser steht fast jedes dritte Unternehmen (29 Prozent) mit mehr als 2.000 Mitarbeitern sehr aufgeschlossen gegenüber. Im Rahmen der Digitalisierung stehen in vielen Unternehmen derzeit Fragen der IT-Sicherheit auf der Agenda. Nahezu acht von zehn Betrieben (79 Prozent) messen der IT-Sicherheit einen sehr hohen Stellenwert bei, weitere 14 Prozent einen hohen. Diese Ergebnisse gelten weitgehend unabhängig von Branche und Unternehmensgröße. IT-Sicherheit ist für die gesamte Wirtschaft ein zentrales Thema.
IT-, Elektronik- und TK-Branche sind bezüglich Digitalisierung besonders aufgeschlossen, Handelsunternehmen sind skeptischer. Automobilindustrie Maschinen- und Anlagenbau
9
84
7
73
Energie und Versorger
18
IT, Elektronik und TK
17
Banken und Versicherungen
11
12
56
16
7
77 20 %
40 %
3 2
73
9 0 %
3 4
79
11
Gesamt
13 67
9
Handel
4 4
3 3 5
7 60 %
80 %
Eher ablehnend
Sehr ablehnend
2 4 100 %
Ausgangsfrage: Wie steht Ihr Unternehmen generell zum Thema Digitalisierung?
Sehr aufgeschlossen
Eher aufgeschlossen
Unentschieden
Weiß nicht Keine Angabe
BUNDESDRUCKEREI STUDIE
IT-SICHERHEIT IM RAHMEN DER DIGITALISIERUNG
1.2 Zusammenspiel von Digitalisierung und IT-Sicherheit Für die Mehrheit der Unternehmen geht IT-Sicherheit eindeutig vor Schnelligkeit bei der digitalen Transformation. Einige befürchten dagegen Umsatzeinbußen durch zu viele Sicherheitsbedenken. Nur eine Minderheit fühlt sich gut vorbereitet auf die digitale Transformation. Der Großteil der Unternehmen sieht in der Digitalisierung nicht nur Chancen, sondern gerade in Hinblick auf die IT-Sicherheit auch Risiken. So gehen zwei von drei Betrieben (65 Prozent) davon aus, dass die IT-Sicherheitsrisiken im Zuge der Digitalisierung zunehmen werden. Drei von vier Unternehmen (74 Prozent) sind nicht bereit, die Digitalisierung auf Kosten der Sicherheit zu beschleunigen. Im Gegenteil, viele betrachten Maßnahmen zur Stärkung der IT-Sicherheit als Basis für die Digitalisierung. Fast jedes zweite Unternehmen (48 Prozent) sieht sich durch den Einsatz moderner IT-Sicherheitslösungen gut gewappnet, die weitere Digitalisierung voranzutreiben.
Unternehmen rechnen mit steigenden IT-Sicherheitsrisiken durch die Digitalisierung. Im Zuge der Digitalisierung werden IT-Sicherheitsrisiken zunehmen.
38
Durch den Einsatz moderner IT-Sicherheitslösungen haben wir die Grundlage für die weitere Digitalisierung geschaffen.
23
Die entscheidenden Herausforderungen der Digitalisierung liegen nicht im Bereich der IT-Sicherheit, sondern an anderer Stelle. Schnelligkeit bei der Digitalisierung geht uns vor Sicherheit.
27
10 3
25
21
31
9
10 19
12 20 %
8
37
25
0 %
19
14
62 40 %
60 %
80 %
Teils, teils
Trifft eher nicht zu
Trifft gar nicht zu
100 %
Ausgangsfrage: Inwieweit treffen die folgenden Aussagen zum Verhältnis von IT-Sicherheit und Digitalisierung für Ihr Unternehmen zu?
Trifft voll und ganz zu
Trifft eher zu
Weiß nicht Keine Angabe
Zwei Ergebnisse dieses Fragenkomplexes erscheinen besonders interessant und werden nun detaillierter nach Branchen und Unternehmensgröße vorgestellt.
7
BUNDESDRUCKEREI STUDIE
IT-SICHERHEIT IM RAHMEN DER DIGITALISIERUNG
1.2.1 Sicherheitsbedenken führen zu Umsatzeinbußen Sicherheitsbedenken – ob berechtigte, übertriebene oder vorgeschobene – führen zu einer Verzögerung von Digitalisierungsmaßnahmen und so zu Umsatzeinbußen. Ein Fünftel der Unternehmen (21 Prozent) befürchtet, auf diese Weise Umsatz zu verlieren. Vor dem Hintergrund der rasanten Entwicklung im Bereich Industrie 4.0 überrascht es nicht, dass diese Befürchtung überdurchschnittlich oft von Betrieben des Maschinen- und Anlagenbaus sowie von ITK-Unternehmen genannt wird. So sagt immerhin jeder sechste Maschinenund Anlagenbauer, diese Aussage träfe auf ihn voll und ganz zu.
Unternehmen befürchten, ihnen gehen Umsätze verloren, da sie die Digitalisierung aus Angst vor IT-Sicherheitsvorfällen nicht schnell genug vorantreiben. Gesamt
11
10
20 bis 99 Mitarbeiter
10
9
100 bis 499 Mitarbeiter
25
8
IT, Elektronik und TK
9
Banken und Versicherungen
9
27
12
Sonstige Dienstleistungen
16 0 %
25
21 25
8
37
31
20 %
18
17
31 2
13
17
34
11
15
26
34
27 7
16
32
18
2
15
41 24
Handel Sonstige Industrie
13
12 24
46
17
10
15 39
20
Energie und Versorger
20
49
9
Maschinen- und Anlagenbau
17
40
12
4
15
31
18
10
2.000 Mitarbeiter oder mehr
29
29
12
500 bis 1.999 Mitarbeiter
Automobilindustrie
32
13
29 40 %
18
60 %
80 %
Trifft eher nicht zu
Trifft gar nicht zu
100 %
Ausgangsfrage: Inwieweit trifft die Aussage „Uns geht Umsatz verloren, weil wir die Digitalisierung aus Angst vor IT-Sicherheitsvorfällen nicht schnell genug vorantreiben“ für Ihr Unternehmen zu?
Trifft voll und ganz zu
Trifft eher zu
Teils, teils
Weiß nicht Keine Angabe
8
BUNDESDRUCKEREI STUDIE
IT-SICHERHEIT IM RAHMEN DER DIGITALISIERUNG
1.2.2 Gut gerüstet für die digitale Transformation? Nur ein knappes Drittel (29 Prozent) der Unternehmen fühlt sich gut gerüstet für die digitale Transformation. Dabei gibt es einen klaren statistischen Zusammenhang: Je größer ein Unternehmen ist, umso eher bejaht es diese Aussage. Hingegen haben kleinere und mittlere Unternehmen hier große Sorgen. Im Branchenvergleich fällt auf, dass sich im Handel (19 Prozent) und in der Automobilindustrie (25 Prozent) unterdurchschnittlich wenige Betriebe gut gerüstet fühlen. Der Maschinenund Anlagenbau liegt hier im Schnitt, allerdings sehen sich nur 4 Prozent dieser für Deutschland so wichtigen Unternehmen uneingeschränkt gut aufgestellt.
„Wir fühlen uns gut gerüstet für die digitale Transformation.” Insbesondere Großunternehmen mit über 2.000 Mitarbeitern bestätigen diese Aussage. Gesamt
8
21
20 bis 99 Mitarbeiter
8
23
100 bis 499 Mitarbeiter
10
500 bis 1.999 Mitarbeiter
6
12
Banken und Versicherungen
Sonstige Dienstleistungen
3
35
17
16
10 0 %
23 %
21 22
14 18
22
27
34
12
20
27 30
23 20 %
10
28
43 20
8
29
23
8
23
40
17
10
18
11
28
16 13
22
30
25
IT, Elektronik und TK
19
59
13
4
21
21
20
Energie und Versorger
Sonstige Industrie
36
27
Automobilindustrie
Handel
28
9
2.000 Mitarbeiter oder mehr
Maschinen- und Anlagenbau
31
11
27 40 %
7 30
24
17
60 %
80 %
Trifft eher nicht zu
Trifft gar nicht zu
100 %
Ausgangsfrage: Inwieweit trifft die Aussage „Wir fühlen uns gut gerüstet für die digitale Transformation.“ für Ihr Unternehmen zu?
Trifft voll und ganz zu
Trifft eher zu
Teils, teils
Weiß nicht Keine Angabe
9
BUNDESDRUCKEREI STUDIE
IT-SICHERHEIT IM RAHMEN DER DIGITALISIERUNG
2 Risikoeinschätzung und IT-Sicherheitsvorfälle In diesem Kapitel steht die Frage im Mittelpunkt, wie die IT-Sicherheitsverantwortlichen die Sicherheitslage in ihren Unternehmen bewerten: Wie hoch schätzen sie die Gefahr ein, durch einen Angriff geschädigt zu werden, welche Vorfälle hat es tatsächlich in jüngster Vergangenheit gegeben und welcher Schaden ist daraus entstanden?
2.1 Einschätzung des Risikos, durch einen IT-Angriff geschädigt zu werden Mehr als ein Drittel der Unternehmen (39 Prozent) stuft das Risiko, durch einen IT-Angriff geschädigt zu werden, als hoch oder sogar sehr hoch ein. Größere Unternehmen sehen ein höheres Risiko als kleinere. Ein Fünftel der Unternehmen (20 Prozent) geht von einem sehr hohen Risiko aus, durch einen IT-Angriff geschädigt zu werden, ein weiteres Fünftel (19 Prozent) immerhin von einem hohen. Mit der Unternehmensgröße steigt die Einschätzung des Risikos: Während die Hälfte der Betriebe mit 2.000 oder mehr Mitarbeitern von einem hohen oder sehr hohen Risiko ausgeht, sind es bei Unternehmen mit 20 bis 99 Mitarbeitern lediglich 39 Prozent. Im Branchenvergleich sehen vor allem Banken und Versicherungen (54 Prozent) sowie Unternehmen aus der IT-, Elektronik- und TK-Branche (52 Prozent) ein erhöhtes Risiko, im Handel hingegen nur ein Drittel (33 Prozent).
GUT ZU WISSEN
51 Milliarden Euro Schaden pro Jahr Der Digitalverband Bitkom hat in einer eigenen, umfangreichen Studie im Jahr 2015 den Schaden für die deutsche Wirtschaft durch digitale Wirtschaftsspionage, Sabotage und Datendiebstahl auf rund 51 Milliarden Euro pro Jahr geschätzt. Fast ein Viertel davon entfallen auf Umsatzeinbußen durch Plagiate. Ähnliche Folgen haben Patentrechtsverletzungen. An dritter Stelle liegen Umsatzrückgänge durch den Verlust von Wettbewerbsvorteilen. Vierter Posten sind Kosten infolge des Diebstahls von ITK-Geräten sowie durch ausgefallene IT-Systeme oder gestörte Betriebsabläufe verursachte Ausgaben.
10
BUNDESDRUCKEREI STUDIE
IT-SICHERHEIT IM RAHMEN DER DIGITALISIERUNG
2.2 IT-Sicherheitsvorfälle in Unternehmen Mehr als die Hälfte der Unternehmen (54 Prozent) berichtet von konkreten ITSicherheitsvorfällen innerhalb der vergangenen 24 Monate. Am häufigsten kam es zu einem Verlust oder Diebstahl von IT- oder Telekommunikationsgeräten. Der Schaden lag meist zwischen 10.000 und 50.000 Euro. In den vergangenen zwei Jahren sind in vier von zehn Unternehmen (41 Prozent) Datenträger, Computer, Smartphones oder Tablets gestohlen worden. Ob es die Täter dabei primär auf das Gerät oder auf die darauf befindlichen Informationen abgesehen hatten, bleibt offen. Ein Viertel (26 Prozent) sah sich Angriffen auf die eigenen IT-Systeme von außen über das Internet ausgesetzt, beispielsweise sogenannten DDoS-Attacken. Ein Fünftel (21 Prozent) berichtet von IT-Sicherheitsvorfällen durch IT-Ausfälle, die beispielsweise durch Stromausfälle oder Sabotage entstanden sind. Lediglich ein Zehntel (11 Prozent) gibt an, dass Sicherheitsvorfälle durch eigene oder externe Mitarbeiter vor Ort verursacht wurden. Durch IT-Sicherheitsvorfälle entstand in neun von zehn betroffenen Unternehmen ein finanzieller Schaden. Ein Viertel dieser Betriebe schätzt die Schadenssumme auf bis zu 10.000 Euro, 42 Prozent rechnen mit 10.000 bis 50.000 Euro. Jedes zehnte Unternehmen (10 Prozent) verzeichnete Schäden in Höhe von mindestens 500.000 Euro. Das sind die kurz- bis mittelfristigen Einbußen. Datendiebstahl, Imageverlust und Produktpiraterie können zudem langfristige, gravierende Schäden verursachen.
Mehr als die Hälfte aller Unternehmen ist von IT-Sicherheitsvorfällen betroffen. IT-Sicherheitsvorfälle durch Verlust oder Diebstahl von IT- oder Telekommunikationsgeräten (Datenträger, PC, Laptop, Handy, Smartphone oder Tablet)
41
IT-Sicherheitsvorfälle auf unsere IT-Systeme durch Angriffe von außen über das Internet (z. B. gezielter Online-Einbruch in die IT-Systeme, DDos-Attacken)
26 insgesamt 54
IT-Sicherheitsvorfälle durch Ausfälle der IT (z. B. durch höhere Gewalt wie Stromausfall oder durch Sabotage)
21
IT-Sicherheitsvorfälle, die durch eigene oder externe Mitarbeiter vor Ort verursacht wurden (z. B. Einschleusen eines Virus über USB-Stick)
11
Es gab in unserem Unternehmen keine IT-Sicherheitsvorfälle in den vergangenen 24 Monaten. Weiß nicht / Keine Angabe Ausgangsfrage: Welche IT-Sicherheitsvorfälle gab es in Ihrem Unternehmen in den vergangenen 24 Monaten?
44 2 0 %
10 %
20 %
30 %
40 %
50 %
11
BUNDESDRUCKEREI STUDIE
IT-SICHERHEIT IM RAHMEN DER DIGITALISIERUNG
3 IT-Sicherheitsstrategie und IT-Sicherheitsmaßnahmen Dieses Kapitel gibt vor allem Antwort auf die Frage, wie die Unternehmen auf IT-Sicherheitsvorfälle vorbereitet sind: Wer definiert ihre IT-Sicherheitsstrategie und setzt sie um, welche konkreten Sicherheitsmaßnahmen haben sie bereits umgesetzt oder planen sie – und wo sehen sie den größten Verbesserungsbedarf?
3.1 Definition und Umsetzung von IT-Sicherheitsstrategien Die IT-Sicherheitsstrategie wird meist von unternehmensinternen IT-Abteilungen definiert und umgesetzt. Ein Drittel der Unternehmen beauftragt dafür externe Dienstleister. Jedes fünfte hat bislang keine IT-Sicherheitsstrategie definiert. Für die Definition der IT-Sicherheitsstrategie ist in vier von zehn Unternehmen (42 Prozent) die interne IT-Abteilung zuständig. Fast ebenso viele (37 Prozent) ziehen für diese zentrale Frage externe Dienstleister zu Rate. Eigene spezielle Abteilungen für Unternehmenssicherheit gibt es nur in größeren Betrieben ab 100 Mitarbeitern; in entsprechend wenigen Fällen (2 Prozent) definieren diese Abteilungen die IT-Sicherheitsstrategie. Bei der Strategieumsetzung vertrauen die Unternehmen stärker auf die eigene IT-Abteilung: In sechs von zehn Unternehmen (62 Prozent) werden die notwendigen Sicherheitsmaßnahmen intern durchgeführt. Etwas mehr als ein Drittel (38 Prozent) setzt bei der Umsetzung auf externe Dienstleister. Erstaunlicherweise verfügt knapp jedes fünfte Unternehmen (18 Prozent) über keine IT-Sicherheitsstrategie. Das betrifft fast ausschließlich die kleineren Betriebe mit unter 100 Mitarbeitern. Im Branchenvergleich fehlen IT-Sicherheitsstrategien vor allem im Handel (29 Prozent) sowie im Maschinen- und Anlagenbau (23 Prozent); vorbildlicher schneiden hier die ITKUnternehmen (11 Prozent) sowie Versicherungen und Banken (14 Prozent) ab.
12
BUNDESDRUCKEREI STUDIE
IT-SICHERHEIT IM RAHMEN DER DIGITALISIERUNG
3.2 IT-Sicherheitsmaßnahmen Die vielen möglichen konkreten IT-Sicherheitsmaßnahmen wurden für die Studie in drei Kategorien eingeteilt: in eher technische, eher organisatorische bzw. prozesstechnische sowie eher personelle Maßnahmen.
3.2.1 Technische IT-Sicherheitsmaßnahmen Bei den technischen IT-Sicherheitsmaßnahmen ist der Basisschutz zwar gewährleistet. Bei den weiterführenden Maßnahmen besteht allerdings Bedarf zum Nachrüsten. Grundlegende technische Sicherheitsmaßnahmen für die Datensicherheit wie Firewalls und regelmäßige Backups werden inzwischen flächendeckend eingesetzt. Die große Mehrheit der Unternehmen (79 Prozent) verschlüsselt außerdem ihre Netzwerkverbindungen. Dagegen schützt nur etwa die Hälfte ihre Daten durch Verschlüsselung auf physischen Datenträgern (52 Prozent) oder im E-Mail-Verkehr (45 Prozent). Und nur drei von zehn Unternehmen (29 Prozent) nutzen dafür zertifikatsbasierte Kryptografielösungen. Während die meisten Konzerne (70 Prozent) den Zugang zu ihren Gebäuden und Maschinen elektronisch bewachen lassen, wird der Zugang zu unternehmensinternen Daten deutlich seltener kontrolliert. Maßnahmen wie die Protokollierung von Zugriffen (48 Prozent) sowie sichere Authentifizierungsverfahren für Benutzer von außen (44 Prozent) oder innen (43 Prozent) werden von weniger als der Hälfte der Unternehmen genutzt. Sind die Hürden beim Zugriff auf Unternehmensdaten einmal überwunden, treffen Angreifer nur in wenigen Betrieben auf weitere Sicherheitsmaßnahmen: Systeme zur Erkennung von Einbrüchen (Intrusion-Detection-Systeme) werden nicht einmal von einem Viertel der Unternehmen (23 Prozent) angewendet. Gegen Datenabfluss von innen hat knapp die Hälfte (46 Prozent) Schutzmaßnahmen getroffen. Eine vollständige Absicherung gegen Datenabfluss von innen erfordert allerdings sehr komplexe Maßnahmen und wird nur in Ausnahmefällen erreicht. Ob die technischen IT-Sicherheitsmaßnahmen effektiv gegen Angriffe schützen, kann durch Penetrationstests verifiziert werden. Bisher führt allerdings erst jedes vierte Unternehmen (24 Prozent) solche Tests durch. Bei den aktuell geplanten Maßnahmen liegen die Protokollierung von Zugriffen, die Verschlüsselung des E-Mail-Verkehrs sowie Penetrationstests vorn: Jeweils 15 Prozent der Unternehmen wollen diese Technologien demnächst einsetzen.
13
BUNDESDRUCKEREI STUDIE
IT-SICHERHEIT IM RAHMEN DER DIGITALISIERUNG
Technische IT-Sicherheitsmaßnahmen: Basisschutz gewährleistet, Bedarf bei weiterführenden Maßnahmen. Firewalls
100
Regelmäßiges Erstellen von Backups für Daten
100
Verschlüsselung von Netzwerkverbindungen (z. B. über VPN-Technologie)
79
Elektronische Zugangskontrollen bei Gebäuden und Maschinen
12
70
Verschlüsselung von Daten auf Datenträgern (z. B. auf Laptops)
9
52
Protokollierung von Zugriffen
9
48
15
Absicherung des internen Firmennetzwerks gegen Datenabfluss von innen
46
Verschlüsselter E-Mail-Verkehr
45
Sichere Verfahren zur Authentifizierung organisationsfremder Anwender
44
9
Einsatz von erweiterten Verfahren zur Benutzeridentifikation
43
9
Zertifikatsbasierte Kryptografielösungen über eigene oder fremde PKI
9
24
Intrusion-Detection-Systeme
23 0 %
10
10 20 %
9
5
32
11
33
9
38 57
4
56
8 40 %
26 38
3
15
9
33
5
15
29
Penetrationstest zur Verifikation der Wirksamkeit von Schutzmaßnahmen
3
12
3
59 60 %
80 %
100 %
Ausgangsfrage: Welche der folgenden technischen IT-Sicherheitsmaßnahmen hat Ihr Unternehmen bereits umgesetzt bzw. plant Ihr Unternehmen in Zukunft umzusetzen, um sich gegen IT-Sicherheitsvorfälle zu schützen?
Maßnahme bereits umgesetzt
Maßnahme geplant
Maßnahme diskutiert
Maßnahme ist aktuell kein Thema
Weiß nicht Keine Angabe
14
BUNDESDRUCKEREI STUDIE
IT-SICHERHEIT IM RAHMEN DER DIGITALISIERUNG
3.2.2 Organisatorische IT-Sicherheitsmaßnahmen Organisatorische bzw. prozesstechnische Sicherheitsmaßnahmen sind in den meisten Unternehmen bislang erst unzureichend umgesetzt. Insbesondere umfassendere Maßnahmen wie Zertifizierungen sowie Beratung und Audits durch externe Spezialisten werden nur von einer Minderheit durchgeführt. Die große Mehrheit der Unternehmen ist sich des Schutzbedarfs von bestimmten Informationen bewusst. Einfache Schutzmaßnahmen wie die Festlegung von Zugriffsrechten (80 Prozent) und klare Regeln im Umgang mit schützenswerten Informationen (75 Prozent) sind weit verbreitet. Bereits der Zugang zu den Serverräumen wird hingegen nur in der Hälfte der Unternehmen durch Zutrittsrechte geregelt. Umfassende und daher aufwändigere Sicherheitsmaßnahmen werden seltener umgesetzt: Weniger als die Hälfte der Betriebe (45 Prozent) hat bisher IT-Sicherheitszertifizierungen durchgeführt. Ein Informationssicherheits-Management-System (ISMS) wurde bislang nur in gut jedem vierten Unternehmen (28 Prozent) eingerichtet. Nur eine Minderheit nimmt externe Expertise für die Sicherung von Daten und Informationen in Anspruch. Vor allem größere Unternehmen ziehen externe Spezialisten zu Rate. So haben bisher insgesamt nur knapp drei von zehn Betriebe eine Analyse ihres Schutzbedarfs durchführen lassen. Bei den Unternehmen mit 500 Mitarbeitern oder mehr trifft dies immerhin auf vier von zehn zu. Einem regelmäßigen Sicherheitsaudit unterziehen sich insgesamt nur etwas mehr als ein Viertel der Unternehmen (28 Prozent). Während sich bei den kleineren Betrieben mit unter 100 Beschäftigten lediglich 24 Prozent einem regelmäßigen Sicherheitsaudit stellen, sind es bei den größeren mit 500 Mitarbeitern oder mehr bereits zwei Drittel (66 Prozent).
Organisatorische Sicherheitsmaßnahmen: Beratung durch unabhängige Dritte und externe Spezialisten ist bisher bei der Mehrheit noch kein Thema. Festlegung von Zugriffsrechten für bestimmte Informationen
80
Klare Regeln für den Umgang mit schützenswerten Informationen
6
75
Eindeutige Klassifizierung/Kennzeichnung von Informationen und Daten
18
53
Festlegung von Zutrittsrechten für Serverräume im Unternehmen
4 50
Sicherheitszertifizierungen (z. B. ISO 27001, BSI-Grundschutz)
7
45
Analyse des eigenen Schutzbedarfs durch unabhängigen Dritten
29
Einführung eines Informationssicherheits-Management-Systems (ISMS)
28
Regelmäßige Sicherheitsaudits durch externe Spezialisten
28 0 %
4
11 6
30
8
35 12
9
28
58
14
20 %
11
14 2
4
18
36
14 40 %
54 60 %
80 %
100 %
Ausgangsfrage: Welche der folgenden organisatorischen bzw. prozesstechnischen Sicherheitsmaßnahmen hat Ihr Unternehmen bereits umgesetzt bzw. plant Ihr Unternehmen in Zukunft umzusetzen, um sich gegen IT-Sicherheitsvorfälle zu schützen?
Maßnahme bereits umgesetzt
Maßnahme geplant
Maßnahme diskutiert
Maßnahme ist aktuell kein Thema
Weiß nicht Keine Angabe
BUNDESDRUCKEREI STUDIE
IT-SICHERHEIT IM RAHMEN DER DIGITALISIERUNG
3.2.3 Personelle IT-Sicherheitsmaßnahmen Von den personellen IT-Sicherheitsmaßnahmen sind regelmäßige Mitarbeiterschulungen am weitesten verbreitet. Weitere Schritte wie Backgroundchecks und die Benennung von Sicherheitsverantwortlichen werden vor allem in größeren Unternehmen umgesetzt. Mehr als die Hälfte der Unternehmen (55 Prozent) versucht, durch regelmäßige Mitarbeiterschulungen ihre Daten und Informationen besser zu schützen. Einen Sicherheitsverantwortlichen haben insgesamt knapp vier von zehn Betrieben (38 Prozent) bestellt, unter den größeren Unternehmen mit 500 Mitarbeitern oder mehr ist es mehr als die Hälfte (55 Prozent). Im Branchenvergleich sind im Handel mit drei von zehn die wenigsten Unternehmen mit einem Sicherheitsverantwortlichen zu finden. Die Energie- und Versorgungsbranche liegt mit 51 Prozent an der Spitze. Backgroundchecks vor der Besetzung sensibler Positionen sind ebenfalls häufiger bei den größeren Unternehmen verbreitet. Während insgesamt knapp vier von zehn (38 Prozent) ihre Bewerber auf diese Weise überprüfen, führen bei größeren Unternehmen mit 500 oder mehr Mitarbeitern bereits knapp zwei Drittel (62 Prozent) solche Checks durch. Am wenigsten verbreitet unter den abgefragten personellen IT-Sicherheitsmaßnahmen ist ein anonymes Hinweis-System, über das verdächtiges Mitarbeiterverhalten angezeigt werden kann. Insgesamt gibt es dieses System in nur einem von acht Unternehmen (12 Prozent). Bei den größeren steigt dieser Anteil erheblich: Ein Viertel der Unternehmen mit 500 oder mehr Beschäftigten und mehr als die Hälfte der Unternehmen mit 2.000 oder mehr Mitarbeitern (51 Prozent) haben ein solches System für anonyme Hinweise eingeführt.
16
BUNDESDRUCKEREI STUDIE
IT-SICHERHEIT IM RAHMEN DER DIGITALISIERUNG
3.3 Verbesserungsbedarf bei IT-Sicherheitsmaßnahmen Nahezu jedes befragte Unternehmen erkennt bei der IT-Sicherheit einen Verbesserungsbedarf. Dieser wird insbesondere bei den eher organisatorischen bzw. prozesstechnischen sowie den personellen IT-Sicherheitsmaßnahmen gesehen. Knapp die Hälfte (49 Prozent) der Unternehmen gibt an, dass im organisatorischen Bereich ein hoher Verbesserungsbedarf besteht, bei den größeren mit 100 oder mehr Mitarbeitern sind es sogar zwei Drittel (66 Prozent). Fast genauso ausgeprägt ist aus Sicht der Befragten der Handlungsbedarf bei den bislang weniger verbreiteten personellen IT-Sicherheitsmaßnahmen. Hier sehen insgesamt 40 Prozent der Unternehmen einen hohen Verbesserungsbedarf, bei den größeren liegt der Wert mit 33 Prozent deutlich niedriger. Insbesondere kleinere Unternehmen mit unter 100 Mitarbeitern (42 Prozent) haben einen hohen Verbesserungsbedarf bei personellen IT-Sicherheitsmaßnahmen erkannt. Bei den technischen IT-Sicherheitsmaßnahmen besteht nach Ansicht von nur knapp einem Viertel der Unternehmen (23 Prozent) ein hoher Verbesserungsbedarf. Weitere zwei Drittel (66 Prozent) sehen zwar keinen hohen, aber doch normalen Bedarf für Verbesserung.
Befragte sehen vor allem bei organisatorischen IT-Sicherheitsmaßnahmen einen hohen Verbesserungsbedarf in ihrem Unternehmen. Organisatorische IT-Sicherheitsmaßnahmen (z. B. Governance, Richtlinien und Notfallpläne)
39
49
Personelle Sicherheitsmaßnahmen (z. B. Backgroundchecks, Fortbildungen, Schulungen)
40
Technische IT-Sicherheitsmaßnahmen (z. B. Firewalls, Verschlüsselungen, Passwortschutz)
52
23 0 %
7 2
66 20 %
40 %
Hoher Verbesse- Verbesserungsbedarf rungsbedarf
8 60 %
Geringer Verbesserungsbedarf
80 %
Kein Verbesserungsbedarf
100 %
Weiß nicht Keine Angabe
Ausgangsfrage: Inwiefern sehen Sie in Ihrem Unternehmen Verbesserungsbedarf in den folgenden Bereichen?
17
BUNDESDRUCKEREI STUDIE
IT-SICHERHEIT IM RAHMEN DER DIGITALISIERUNG
4 Herausforderungen und Investitionsabsichten In diesem Kapitel geht um die Probleme und Lösungen bei der IT-Sicherheit: Was sind die größten Hemmnisse derzeit und wie werden sich die Investitionen in diesem Bereich verändern?
4.1 Hemmnisse bei der IT-Sicherheit Für die Mehrheit der Unternehmen sind hohe Kosten ein Hemmnis bei der Gewährleistung und Verbesserung der IT-Sicherheit. Auch fehlendes Sicherheitsbewusstsein der Mitarbeiter, der hohe Zeitaufwand und ein Mangel an eigenen Fachexperten stellen relevante Hürden dar. Hohe Kosten sind in sechs von zehn Unternehmen (61 Prozent) ein Hemmnis für die Gewährleistung und Verbesserung der IT-Sicherheit. Die finanziellen Aufwendungen stellen damit am häufigsten eine Hürde für den Erhalt oder den Ausbau der IT-Sicherheit dar. Das gilt insbesondere für kleine Betriebe: Während 63 Prozent der Unternehmen mit bis zu 99 Mitarbeitern darin ein Hemmnis sehen, sind es bei denen mit 500 bis 1.999 Beschäftigten 57 Prozent. Bei Großunternehmen mit mindestens 2.000 Mitarbeitern sind die Kosten sogar nur für 44 Prozent eine Hürde. Darüber hinaus sehen vier von zehn Unternehmen (43 Prozent) ein mangelndes Sicherheitsbewusstsein der Mitarbeiter als Störfaktor für den Erhalt der IT-Sicherheit. Der notwendige Zeitaufwand stellt in knapp jedem dritten (30 Prozent), der Mangel an eigenen Fachexperten in jedem vierten Unternehmen (25 Prozent) eine Hürde für Verbesserungen der IT-Sicherheit dar. Gleichzeitig besteht in den Unternehmen ein großes Bewusstsein für die Bedeutung der IT-Sicherheit: Keines der befragten Unternehmen sieht einen mangelnden Nutzen als relevantes Hemmnis bei der Gewährleistung der IT-Sicherheit.
Hemmnisse: Hohe Kosten stehen einer verbesserten IT-Sicherheit entgegen. Hohe Kosten
61
Mangelndes Sicherheitsbewusstsein bei den Mitarbeitern
€€€
43
Hoher Zeitaufwand
30
Zu wenig eigene Fachexperten
25
Mangelnde Kenntnis der Sicherheitsrisiken
9
Mangelnde Kenntnis des Angebots an IT-Sicherheitslösg.
6
Keine geeigneten Lösungen verfügbar
5
Ausgangsfrage: Welche der folgenden möglichen Hürden gibt es in Ihrem Unternehmen bei der Gewährleistung bzw. Verbesserung der IT-Sicherheit?
Keine ganzheitliche Sicht auf das Thema
2 0 %
10 %
20 %
30 %
40 %
50 %
60 %
18
BUNDESDRUCKEREI STUDIE
IT-SICHERHEIT IM RAHMEN DER DIGITALISIERUNG
4.2 Überforderung mit gesetzlichen Regeln Die gesetzlichen Regelungen rund um IT-Sicherheit und Datenschutz stellen für die meisten Befragten in den Unternehmen eine Belastung dar. Fast zwei Drittel fühlen sich zumindest ab und zu von den gesetzlichen Regelungen überfordert. Die gesetzlichen Regelungen rund um IT-Sicherheit und Datenschutz sind für viele Unternehmen nicht leicht zu überschauen. Jeder neunte Befragte (11 Prozent) fühlt sich sehr häufig, jeder zweite (52 Prozent) zumindest ab und zu von den gesetzlichen Regeln überfordert. Damit empfinden insgesamt fast zwei von drei Befragten (63 Prozent) zumindest gelegentlich Überforderung. Ein weiteres Drittel (30 Prozent) sieht sich selten überfordert. Lediglich 4 Prozent geben an, nie überfordert zu sein. Den Großunternehmen mit mindestens 2.000 Mitarbeitern bereitet der Umgang mit den gesetzlichen Rahmenbedingungen vergleichsweise geringe Schwierigkeiten: Nur 1 Prozent gibt an, sehr häufig überfordert zu sein. Auch der Anteil der Befragten, die sich ab und zu überfordert fühlen, ist geringer als bei den kleineren Unternehmen. Im Branchenvergleich ist der Anteil der Befragten, die sich sehr häufig überfordert sehen, im Energiesektor und in der ITK-Branche mit 17 Prozent bzw. 14 Prozent überdurchschnittlich hoch. In der Automobilindustrie und im Maschinen- und Anlagenbau liegt der entsprechende Anteil jeweils nur bei 7 Prozent, bei Banken und Versicherungen lediglich bei 2 Prozent.
Zwei von drei Befragten fühlen sich regelmäßig von den gesetzlichen Regeln überfordert (Zahlen in Prozent). 4 3
Ich fühle mich sehr häufig überfordert
11
Ich fühle mich ab und zu überfordert Ich fühle mich selten überfordert Ich fühle mich nie überfordert
30
Weiß nicht / Keine Angabe 52
Ausgangsfrage: Fühlen Sie sich von den gesetzlichen Regeln rund um IT-Sicherheit und Datenschutz überfordert?
19
BUNDESDRUCKEREI STUDIE
IT-SICHERHEIT IM RAHMEN DER DIGITALISIERUNG
4.3 Investitionsabsichten Die Mehrheit der Unternehmen plant für dieses Jahr steigende Investitionen in ihre IT-Sicherheit. Jedes vierte geht sogar von einer starken Zunahme aus. Die größten Steigerungen erwarten Unternehmen aus dem Handel und dem Maschinen- und Anlagenbau. Sechs von zehn Unternehmen (60 Prozent) beabsichtigen, im Jahr 2016 mehr in IT-Sicherheit zu investieren als im Vorjahr. Jedes vierte (25 Prozent) plant sogar mit starken Investitionszuwächsen. Vier von zehn (39 Prozent) gehen von einem unveränderten Budget aus, weniger als 1 Prozent nimmt für das aktuelle Jahr eher sinkende Ausgaben an. Kleinunternehmen mit bis zu 99 Mitarbeitern (60 Prozent) und mittelständische Betriebe mit bis zu 499 Beschäftigten (62 Prozent) erwarten häufiger eine Ausgabensteigerung als große Konzerne mit bis zu 1.999 Mitarbeitern (55 Prozent) bzw. mit mindestens 2.000 Beschäftigten (54 Prozent). Die erhöhte Investitionsbereitschaft der Unternehmen dürfte zumindest teilweise darauf zurückzuführen sein, dass sie sich der zunehmenden Bedeutung der IT-Sicherheit im Zuge der Digitalisierung bewusst sind. Im Branchenvergleich erwarten vor allem Handelsunternehmen (73 Prozent) und Betriebe aus dem Maschinen- und Anlagenbau (69 Prozent) steigende Investitionen. Im Handel geht jedes dritte Unternehmen (33 Prozent) von einer starken Zunahme aus. Die Erwartungen der ITK-Branche sind zurückhaltender: Während knapp die Hälfte (48 Prozent) mit steigenden Investitionen plant, geht die andere Hälfte (50 Prozent) von unveränderten IT-SicherheitsBudgets aus.
Mehrheit der Unternehmen will im laufenden Jahr mehr in IT-Sicherheit investieren. Automobilindustrie
20
41
Maschinen- und Anlagenbau
29
Energie und Versorger
17
IT, Elektronik und TK
17
Banken und Versicherungen
41 39
31
Handel
50 37
33
23
38
44
28
Gesamt
40 40
17
Sonstige Dienstleistungen
26
40
21
Sonstige Industrie
31
25 0 %
20 %
30
42
35
39
40 %
60 %
80 %
100 %
Ausgangsfrage: Wie werden sich die Investitionen Ihres Unternehmens in die IT-Sicherheit im Jahr 2016 im Vergleich zu 2015 voraussichtlich entwickeln?
Werden stark zunehmen
Werden eher zunehmen
Bleiben unverändert
Werden eher abnehmen
Weiß nicht Keine Angabe
BUNDESDRUCKEREI STUDIE
IT-SICHERHEIT IM RAHMEN DER DIGITALISIERUNG
4.4 Versicherung gegen IT-Schadensvorfälle Nur jedes elfte Unternehmen hat bisher eine Versicherung gegen IT-Sicherheitsvorfälle. Darüber hinaus planen oder diskutieren vier von zehn Betrieben den Abschluss einer solchen Police. In deutschen Unternehmen sind Versicherungen gegen IT-Sicherheitsvorfälle bisher kaum verbreitet. Lediglich jedes elfte (9 Prozent) hat eine Versicherung gegen digitale Angriffe oder eigene Datenschutzverstöße abgeschlossen. Gerade einmal 6 Prozent haben konkrete Pläne für den Abschluss einer Versicherung, weitere 35 Prozent diskutieren darüber. Mehr als vier von zehn Unternehmen (43 Prozent) haben bisher keine Cybercrime-Police und ziehen dies aktuell auch nicht in Betracht. Am meisten verbreitet und diskutiert sind die Versicherungen bisher bei den Großunternehmen mit mindestens 2.000 Mitarbeitern, von denen jedes sechste (17 Prozent) bereits eine Police abgeschlossen hat und weitere 41 Prozent einen Abschluss konkret planen oder diskutieren. Der Anteil an Betrieben, für die eine Versicherung bisher kein Thema ist, ist mit 34 Prozent geringer als bei kleinen und mittleren Unternehmen. Betriebe aus dem Maschinen- und Anlagenbau (13 Prozent), Energieversorger (13 Prozent) sowie Banken und Versicherungen (12 Prozent) haben sich bisher am häufigsten für eine Versicherung entschieden. In der Automobilindustrie und im Handel (jeweils 7 Prozent) ist der Anteil an Unternehmen, die sich gegen digitale Angriffe oder eigene Datenschutzverstöße versichert haben, am geringsten.
Nur jedes elfte Unternehmen ist gegen IT-Sicherheitsvorfälle versichert (Zahlen in Prozent).
7
9
Ja Nein, aber wir planen konkret,
6
eine Versicherung abzuschließen Nein, aber wir diskutieren, eine Versicherung abzuschließen
43
35
Nein, eine Versicherung ist aktuell nicht angedacht Weiß nicht / Keine Angabe Ausgangsfrage: Hat Ihr Unternehmen bereits eine Versicherung gegen IT-Sicherheitsvorfälle abgeschlossen?
21
BUNDESDRUCKEREI STUDIE
IT-SICHERHEIT IM RAHMEN DER DIGITALISIERUNG
Fazit und Ausblick Aus der empirischen Untersuchung lassen sich insbesondere folgende Handlungsempfehlungen für die sichere Digitalisierung von Unternehmen ableiten:
Bereichsübergreifende IT-Sicherheitsstrategie erarbeiten Etwa jedes zweite Unternehmen (54 Prozent) hatte in den vergangenen 24 Monaten einen konkreten IT-Sicherheitsvorfall. Trotzdem mangelt es bei knapp einem Fünftel (18 Prozent) an einer IT-Sicherheitsstrategie, vor allem bei kleineren Betrieben. Externe Dienstleister können bei der Erarbeitung einer Strategie hilfreich sein. Mehr als ein Drittel der Unternehmen (37 Prozent) nimmt bereits externe Beratung für die Definition ihrer IT-Sicherheitsstrategie in Anspruch.
Mitarbeiter für IT-Sicherheit sensibilisieren Nahezu die Hälfte der Unternehmen (43 Prozent) beobachtet ein mangelndes Sicherheitsbewusstsein der eigenen Mitarbeiter als Hemmnis bei der Gewährleistung der IT-Sicherheit. Mehr als jedes zweite (55 Prozent) versucht bereits, dieses Problem durch regelmäßige Mitarbeiterschulungen zu lösen. Zur Sensibilisierung der Beschäftigten gehört auch, Aufmerksamkeit für verdächtige Situationen zu schaffen. Jeder Mitarbeiter im Unternehmen trägt zur IT-Sicherheit bei.
Outsourcing und Partnerschaften in Erwägung ziehen Hohe Kosten (61 Prozent), großer Zeitaufwand (30 Prozent) und ein Mangel an eigenen Fachexperten (25 Prozent) sind neben dem unzureichenden Sicherheitsbewusstsein der Mitarbeiter (43 Prozent) die am häufigsten genannten Hürden bei der Gewährleistung und Verbesserung der IT-Sicherheit. Externe Dienstleister können mit skalierbaren IT-Sicherheitslösungen kosteneffizient Abhilfe schaffen. Insbesondere kleinere Unternehmen mit begrenzten personellen Ressourcen sollten die Inanspruchnahme externer Expertise erwägen.
22
BUNDESDRUCKEREI STUDIE
IT-SICHERHEIT IM RAHMEN DER DIGITALISIERUNG
Präventive technische Maßnahmen durch reaktive ergänzen Präventiver technischer Basisschutz ist in allen Unternehmen vorhanden. Allerdings fehlen häufig reaktive Schutzmaßnahmen, die greifen, wenn ein konkreter Sicherheitsvorfall vorliegt. Sind die Angreifer in das Unternehmensnetzwerk eingedrungen, treffen sie nur in wenigen Unternehmen auf Angriffserkennungssysteme (Intrusion Detection). Diese analysieren die Datenströme und melden verdächtige Aktivitäten. Sie kommen vor allem dann zum Tragen, wenn Firewall und Virenscanner den Angriff nicht verhindern konnten.
Organisatorische und personelle Schutzmaßnahmen ausbauen Bisher greifen nur wenige Unternehmen für organisatorische Maßnahmen auf externe Spezialisten zurück. Eine Analyse des Schutzbedarfs, die Einführung eines Informations-Management-Systems oder Sicherheitsaudits werden von weniger als drei von zehn Unternehmen in Anspruch genommen. Vor allem kleinere und mittelständische Unternehmen sind bisher besonders zurückhaltend.
Externe Compliance-Berater einbinden Jeder neunte Befragte (11 Prozent) fühlt sich sehr häufig, jeder zweite (52 Prozent) ab und zu von den gesetzlichen Regeln überfordert. Die überwiegende Mehrheit der Unternehmen kann somit von der Einbindung externer Compliance-Berater profitieren.
Versicherungsbedarf prüfen Lediglich jedes elfte Unternehmen (9 Prozent) hat eine Versicherung gegen digitale Angriffe oder eigene Datenschutzverstöße abgeschlossen. Gerade einmal 6 Prozent haben konkrete Pläne für den Abschluss einer Versicherung, 35 Prozent diskutieren darüber – und 43 Prozent sagen, dass eine Versicherung aktuell nicht angedacht ist. Unternehmen ohne Versicherung sollten prüfen, inwiefern eine Cyberversicherung sinnvoll sein kann. Im Fall eines Angriffs übernimmt diese zum Beispiel die Kosten für die Reparatur von IT-Systemen oder die Wiederherstellung von Daten. Abgedeckt sind in der Regel auch Schäden, die bei einer Betriebsunterbrechung entstehen.
23
Kontakt Bundesdruckerei GmbH Kommandantenstraße 18 10969 Berlin Tel.: +49 (0) 30 – 25 98 – 28 10 Fax: +49 (0) 30 – 25 98 – 22 05
[email protected] www.bundesdruckerei.de