STUDIE

IT-Sicherheit im Rahmen der Digitalisierung Eine empirische Untersuchung in deutschen Unternehmen – Erstellt von der Bundesdruckerei GmbH in Zusammenarbeit mit Bitkom Research

Sichere Organisation

BUNDESDRUCKEREI STUDIE

IT-SICHERHEIT IM RAHMEN DER DIGITALISIERUNG

Inhalt



Vorwort

3



Methodik der Befragung

4



Management Summary IT-Sicherheit im Rahmen der Digitalisierung

5

1

Digitalisierung und IT-Sicherheit

6

1.1

Stellenwert von Digitalisierung und IT-Sicherheit 6

1.2

Zusammenspiel von Digitalisierung und IT-Sicherheit

7

1.2.1 Sicherheitsbedenken führen zu Umsatzeinbußen

8

1.2.2 Gut gerüstet für die digitale Transformation?

9

2

Risikoeinschätzung und IT-Sicherheitsvorfälle

10

2.1

Einschätzung des Risikos, durch einen IT-Angriff geschädigt zu werden

10

2.2

IT-Sicherheitsvorfälle in Unternehmen

11

3

IT-Sicherheitsstrategie und IT-Sicherheitsmaßnahmen

12

3.1

Definition und Umsetzung von IT-Sicherheitsstrategien

12

3.2

IT-Sicherheitsmaßnahmen

13

3.2.1 Technische IT-Sicherheitsmaßnahmen

13

3.2.2 Organisatorische IT-Sicherheitsmaßnahmen

15

3.2.3 Personelle IT-Sicherheitsmaßnahmen

16

3.3

Verbesserungsbedarf bei IT-Sicherheitsmaßnahmen

17

4

Herausforderungen und Investitionsabsichten

18

4.1

Hemmnisse bei der IT-Sicherheit

18

4.2

Überforderung mit gesetzlichen Regeln

19

4.3

Investitionsabsichten

20

4.4

Versicherung gegen IT-Schadensvorfälle

21



Fazit und Ausblick

22

2

BUNDESDRUCKEREI STUDIE

IT-SICHERHEIT IM RAHMEN DER DIGITALISIERUNG

Vorwort Vernetzte Maschinen, digitale Auswertung großer Datenmengen, automatisierte Verwaltungsworkflows: Digitalisierung und Vernetzung verändern Unternehmen weltweit und branchenübergreifend. Ob mit Kunden, Kollegen oder Partnern, die geschäftliche Kommunikation erfolgt mittlerweile größtenteils elektronisch. Immer mehr Informationen werden digital gespeichert, verschickt und verarbeitet. Dabei nimmt der Anteil der vertraulichen elektronischen Informationen stetig zu. Gleichzeitig erwarten Geschäftspartner und Kunden, dass Nachrichten, Dokumente und sensible Daten sicher abgelegt und übertragen werden. Mit der Digitalisierung wächst die Bedeutung der IT-Sicherheit. Beide Themen stellen für viele Unternehmen eine erhebliche Herausforderung dar. Mancher Betrieb fühlt sich überfordert. Wir sind überzeugt: Digitalisierung und IT-Sicherheit müssen und können gemeinsam und koordiniert angegangen werden. Dafür bedarf es zusätzlich zu entsprechenden technischen Lösungen und der Umsetzungsexpertise zunächst einmal detaillierter und verlässlicher Informationen. Die Bundesdruckerei hat sich deshalb entschieden, in Zusammenarbeit mit Bitkom Research eine umfassende, empirisch fundierte Untersuchung zu Fragen der IT-Sicherheit im Kontext der Digitalisierung durchzuführen. Mit der vorliegenden Studie wollen wir den Unternehmen, die sich aktuell mit diesen Themen befassen, eine Orientierungshilfe geben: etwa, um die bisherige Strategie zu überprüfen oder die nächsten Schritte gezielt vorbereiten zu können.

Ein Kernergebnis der vorliegenden Studie lautet: Die Unternehmen legen großen Wert darauf, dass die Digitalisierung nicht auf Kosten der IT-Sicherheit vorangetrieben wird. Gleichzeitig zeigt sich, dass insbesondere kleinere und mittelständische Betriebe Nachholbedarf bei der Umsetzung von IT-Sicherheitsmaßnahmen haben. Technischer Basisschutz ist zwar in allen Unternehmen vorhanden, allerdings fehlen oft Szenarien und Schutzmaßnahmen, die greifen, wenn ein konkreter Sicherheitsvorfall vorliegt. Auch bei den personellen und organisatorischen Sicherheitsmaßnahmen besteht Verbesserungspotenzial. Sollten Sie hierzu auch oder gerade nach der Lektüre dieser Studie noch Fragen haben, sprechen Sie uns gerne an, wir freuen uns auf den Austausch mit Ihnen.

Mit freundlichen Grüßen

Ulrich Hamann Vorsitzender der Geschäftsführung der Bundesdruckerei GmbH

3

BUNDESDRUCKEREI STUDIE

IT-SICHERHEIT IM RAHMEN DER DIGITALISIERUNG

Methodik der Befragung Mithilfe einer repräsentativen Unternehmensbefragung wurde im Frühjahr 2016 ermittelt, welche Ziele und Herausforderungen mit dem Thema IT-Sicherheit bei der Digitalisierung von deutschen Unternehmen verbunden sind. Dafür wurden insgesamt 556 nach Branchen und Größenklassen repräsentativ ausgewählte Betriebe mit mindestens 20 Mitarbeitern befragt. Die Befragung wurde in Zusammenarbeit mit Bitkom Research entwickelt, durchgeführt und ausgewertet. Die computergestützten telefonischen Interviews (CATI) erfolgten im März und April 2016. Bei den Befragten handelt es sich ausschließlich um Führungskräfte, die in ihrem Unternehmen für das Thema IT-Sicherheit verantwortlich sind. Dazu zählen Geschäftsführer und Mitglieder des Vorstands sowie leitende Kräfte aus den Bereichen digitale Technologien, Informationstechnik, operatives Geschäft oder IT-Sicherheit. Durch Schichtung der Zufallsstichprobe wurde gewährleistet, dass Unternehmen aus den verschiedenen Branchen und Größenklassen in für statistische Auswertungen ausreichender Anzahl vertreten sind. Die Aussagen der Befragungsteilnehmer wurden bei der Analyse gewichtet, so dass die Ergebnisse ein hinsichtlich Branchengruppen und Größenklassen repräsentatives Bild für alle Unternehmen ab 20 Mitarbeitern in Deutschland zeigen. Rundungsbedingt ergeben die Summen in den Grafiken nicht zwingend 100 Prozent.

Zusammensetzung der Stichprobe (Zahlen ungewichtet in %). 10

7

26

35

20

59

35



6 2

Größe der befragten Unternehmen 20 bis 99 Mitarbeiter 100 bis 499 Mitarbeiter 500 bis 1.999 Mitarbeiter 2.000 Mitarbeiter oder mehr



Funktion innerhalb der befragten Unternehmen Geschäftsführer bzw. Mitglieder des Vorstands Leiter Informationstechnik (CIO) Leiter operatives Geschäft (COO) Leiter IT-Sicherheit Leiter digitale Technologien (CDO)

BUNDESDRUCKEREI STUDIE

IT-SICHERHEIT IM RAHMEN DER DIGITALISIERUNG

Management Summary IT-Sicherheit im Rahmen der Digitalisierung

74 % der Unternehmen wollen die Digitalisierung nicht auf Kosten ihrer IT-Sicherheit vorantreiben.

21 %

37 %

der Unternehmen befürchten Umsatzeinbu-

der Unternehmen definieren und implemen-

ßen durch die Verzögerung der Digitalisie-

tieren ihre IT-Sicherheitsstrategie mithilfe

rung aufgrund von IT-Sicherheitsbedenken.

externer Dienstleister. Jeder fünfte Betrieb

29 % der Unternehmen fühlen sich gut gerüstet für die digitale Transformation.

39 % der Unternehmen sehen ein sehr hohes oder hohes Risiko, durch einen IT-Angriff geschädigt zu werden.

54 % der Unternehmen hatten in den vergangenen 24 Monaten einen konkreten IT-Sicherheitsvorfall. Am häufigsten handelte es sich um den Verlust oder Diebstahl von IT- und Telekommunikationsgeräten (41 Prozent).

100 % der Unternehmen haben mit Firewalls und Backups einen präventiven Basisschutz für ihre IT-Sicherheit etabliert. Erst wenige Un-

(18 Prozent) hat bisher noch keine IT-Sicherheitsstrategie definiert.

49 % der Unternehmen erkennen hohen Verbesserungsbedarf bei organisatorischen Sicherheitsmaßnahmen. Insbesondere gilt dies für größere Unternehmen, während kleinere ihre IT-Sicherheit verstärkt durch personelle Maßnahmen verbessern wollen.

61 % der Unternehmen sehen hohe Kosten als Hemmnis für die Gewährleistung und die Verbesserung ihrer IT-Sicherheit.

63 % der Unternehmen fühlen sich zumindest ab und zu von den gesetzlichen Regeln zu IT-Sicherheit und Datenschutz überfordert.

ternehmen sind bisher durch reaktive Maß-

60 %

nahmen wie Angriffserkennungssysteme

der Unternehmen gehen für dieses Jahr von

auf den Eintritt von IT-Sicherheitsvorfällen

steigenden Investitionen in ihre IT-Sicher-

vorbereitet.

heit aus.

5

BUNDESDRUCKEREI STUDIE

IT-SICHERHEIT IM RAHMEN DER DIGITALISIERUNG

1 Digitalisierung und IT-Sicherheit Zunächst wurden die IT-Sicherheitsverantwortlichen nach den Einstellungen ihrer Unternehmen zur Digitalisierung und zur IT-Sicherheit generell befragt. Danach sollten sie das Zusammenspiel dieser beiden Themen einschätzen.

1.1 Stellenwert von Digitalisierung und IT-Sicherheit Die meisten Unternehmen sind offen für das Thema Digitalisierung und räumen der IT-Sicherheit generell einen sehr hohen Stellenwert ein. Die überwiegende Mehrheit (86 Prozent) steht der Digitalisierung aufgeschlossen gegenüber. Dies gilt in besonderem Maße für die Unternehmen der ITK- und der Automobilbranche, von denen sich jeweils etwa neun von zehn (96 bzw. 93 Prozent) als aufgeschlossen oder sogar sehr aufgeschlossen bezeichnen. Auffallend skeptisch ist der Handel mit nur etwas mehr als zwei Dritteln aufgeschlossener Betriebe (67 Prozent) und einem von zehn Unternehmen (11 Prozent), das die Digitalisierung sogar ablehnt. Grundsätzlich gilt: Je mehr Mitarbeiter ein Betrieb hat, umso positiver sieht er die digitale Transformation. Dieser steht fast jedes dritte Unternehmen (29 Prozent) mit mehr als 2.000 Mitarbeitern sehr aufgeschlossen gegenüber. Im Rahmen der Digitalisierung stehen in vielen Unternehmen derzeit Fragen der IT-Sicherheit auf der Agenda. Nahezu acht von zehn Betrieben (79 Prozent) messen der IT-Sicherheit einen sehr hohen Stellenwert bei, weitere 14 Prozent einen hohen. Diese Ergebnisse gelten weitgehend unabhängig von Branche und Unternehmensgröße. IT-Sicherheit ist für die gesamte Wirtschaft ein zentrales Thema.

IT-, Elektronik- und TK-Branche sind bezüglich Digitalisierung besonders aufgeschlossen, Handelsunternehmen sind skeptischer. Automobilindustrie Maschinen- und Anlagenbau

9

84

7

73

Energie und Versorger

18

IT, Elektronik und TK

17

Banken und Versicherungen

11

12

56

16

7

77 20 %

40 %

3 2

73

9 0 %

3 4

79

11

Gesamt

13 67

9

Handel

4 4

3 3 5

7 60 %

80 %

Eher ablehnend

Sehr ablehnend

2 4 100 %

Ausgangsfrage: Wie steht Ihr Unternehmen generell zum Thema Digitalisierung?

Sehr aufgeschlossen

Eher aufgeschlossen

Unentschieden

Weiß nicht Keine Angabe

BUNDESDRUCKEREI STUDIE

IT-SICHERHEIT IM RAHMEN DER DIGITALISIERUNG

1.2 Zusammenspiel von Digitalisierung und IT-Sicherheit Für die Mehrheit der Unternehmen geht IT-Sicherheit eindeutig vor Schnelligkeit bei der digitalen Transformation. Einige befürchten dagegen Umsatzeinbußen durch zu viele Sicherheitsbedenken. Nur eine Minderheit fühlt sich gut vorbereitet auf die digitale Transformation. Der Großteil der Unternehmen sieht in der Digitalisierung nicht nur Chancen, sondern gerade in Hinblick auf die IT-Sicherheit auch Risiken. So gehen zwei von drei Betrieben (65 Prozent) davon aus, dass die IT-Sicherheitsrisiken im Zuge der Digitalisierung zunehmen werden. Drei von vier Unternehmen (74 Prozent) sind nicht bereit, die Digitalisierung auf Kosten der Sicherheit zu beschleunigen. Im Gegenteil, viele betrachten Maßnahmen zur Stärkung der IT-Sicherheit als Basis für die Digitalisierung. Fast jedes zweite Unternehmen (48 Prozent) sieht sich durch den Einsatz moderner IT-Sicherheitslösungen gut gewappnet, die weitere Digitalisierung voranzutreiben.

Unternehmen rechnen mit steigenden IT-Sicherheitsrisiken durch die Digitalisierung. Im Zuge der Digitalisierung werden IT-Sicherheitsrisiken zunehmen.

38

Durch den Einsatz moderner IT-Sicherheitslösungen haben wir die Grundlage für die weitere Digitalisierung geschaffen.

23

Die entscheidenden Herausforderungen der Digitalisierung liegen nicht im Bereich der IT-Sicherheit, sondern an anderer Stelle. Schnelligkeit bei der Digitalisierung geht uns vor Sicherheit.

27

10 3

25

21

31

9

10 19

12 20 %

8

37

25

0 %

19

14

62 40 %

60 %

80 %

Teils, teils

Trifft eher nicht zu

Trifft gar nicht zu

100 %

Ausgangsfrage: Inwieweit treffen die folgenden Aussagen zum Verhältnis von IT-Sicherheit und Digitalisierung für Ihr Unternehmen zu?

Trifft voll und ganz zu

Trifft eher zu

Weiß nicht Keine Angabe

Zwei Ergebnisse dieses Fragenkomplexes erscheinen besonders interessant und werden nun detaillierter nach Branchen und Unternehmensgröße vorgestellt.

7

BUNDESDRUCKEREI STUDIE

IT-SICHERHEIT IM RAHMEN DER DIGITALISIERUNG

1.2.1 Sicherheitsbedenken führen zu Umsatzeinbußen Sicherheitsbedenken – ob berechtigte, übertriebene oder vorgeschobene – führen zu einer Verzögerung von Digitalisierungsmaßnahmen und so zu Umsatzeinbußen. Ein Fünftel der Unternehmen (21 Prozent) befürchtet, auf diese Weise Umsatz zu verlieren. Vor dem Hintergrund der rasanten Entwicklung im Bereich Industrie 4.0 überrascht es nicht, dass diese Befürchtung überdurchschnittlich oft von Betrieben des Maschinen- und Anlagenbaus sowie von ITK-Unternehmen genannt wird. So sagt immerhin jeder sechste Maschinenund Anlagenbauer, diese Aussage träfe auf ihn voll und ganz zu.

Unternehmen befürchten, ihnen gehen Umsätze verloren, da sie die Digitalisierung aus Angst vor IT-Sicherheitsvorfällen nicht schnell genug vorantreiben. Gesamt

11

10

20 bis 99 Mitarbeiter

10

9

100 bis 499 Mitarbeiter

25

8

IT, Elektronik und TK

9

Banken und Versicherungen

9

27

12

Sonstige Dienstleistungen

16 0 %

25

21 25

8

37

31

20 %

18

17

31 2

13

17

34

11

15

26

34

27 7

16

32

18

2

15

41 24

Handel Sonstige Industrie

13

12 24

46

17

10

15 39

20

Energie und Versorger

20

49

9

Maschinen- und Anlagenbau

17

40

12

4

15

31

18

10

2.000 Mitarbeiter oder mehr

29

29

12

500 bis 1.999 Mitarbeiter

Automobilindustrie

32

13 

29 40 %

18

60 %

80 %

Trifft eher nicht zu

Trifft gar nicht zu

100 %

Ausgangsfrage: Inwieweit trifft die Aussage „Uns geht Umsatz verloren, weil wir die Digitalisierung aus Angst vor IT-Sicherheitsvorfällen nicht schnell genug vorantreiben“ für Ihr Unternehmen zu?

Trifft voll und ganz zu

Trifft eher zu

Teils, teils

Weiß nicht Keine Angabe

8

BUNDESDRUCKEREI STUDIE

IT-SICHERHEIT IM RAHMEN DER DIGITALISIERUNG

1.2.2 Gut gerüstet für die digitale Transformation? Nur ein knappes Drittel (29 Prozent) der Unternehmen fühlt sich gut gerüstet für die digitale Transformation. Dabei gibt es einen klaren statistischen Zusammenhang: Je größer ein Unternehmen ist, umso eher bejaht es diese Aussage. Hingegen haben kleinere und mittlere Unternehmen hier große Sorgen. Im Branchenvergleich fällt auf, dass sich im Handel (19 Prozent) und in der Automobilindustrie (25 Prozent) unterdurchschnittlich wenige Betriebe gut gerüstet fühlen. Der Maschinenund Anlagenbau liegt hier im Schnitt, allerdings sehen sich nur 4 Prozent dieser für Deutschland so wichtigen Unternehmen uneingeschränkt gut aufgestellt.

„Wir fühlen uns gut gerüstet für die digitale Transformation.” Insbesondere Großunternehmen mit über 2.000 Mitarbeitern bestätigen diese Aussage. Gesamt

8 

21

20 bis 99 Mitarbeiter

8 

23

100 bis 499 Mitarbeiter

10

500 bis 1.999 Mitarbeiter

6

12

Banken und Versicherungen

Sonstige Dienstleistungen

3

35

17

16

10 0 %

23 %

21 22

14 18

22

27

34

12

20

27 30

23 20 %

10

28

43 20

8 

29

23

8

23

40

17

10

18

11

28

16 13

22

30

25

IT, Elektronik und TK

19

59

13

4

21

21

20

Energie und Versorger

Sonstige Industrie

36

27 

Automobilindustrie

Handel

28

9 

2.000 Mitarbeiter oder mehr

Maschinen- und Anlagenbau

31

11

27 40 %

7  30

24

17

60 %

80 %

Trifft eher nicht zu

Trifft gar nicht zu

100 %

Ausgangsfrage: Inwieweit trifft die Aussage „Wir fühlen uns gut gerüstet für die digitale Transformation.“ für Ihr Unternehmen zu?

Trifft voll und ganz zu

Trifft eher zu

Teils, teils

Weiß nicht Keine Angabe

9

BUNDESDRUCKEREI STUDIE

IT-SICHERHEIT IM RAHMEN DER DIGITALISIERUNG

2 Risikoeinschätzung und IT-Sicherheitsvorfälle In diesem Kapitel steht die Frage im Mittelpunkt, wie die IT-Sicherheitsverantwortlichen die Sicherheitslage in ihren Unternehmen bewerten: Wie hoch schätzen sie die Gefahr ein, durch einen Angriff geschädigt zu werden, welche Vorfälle hat es tatsächlich in jüngster Vergangenheit gegeben und welcher Schaden ist daraus entstanden?

2.1 Einschätzung des Risikos, durch einen IT-Angriff geschädigt zu werden Mehr als ein Drittel der Unternehmen (39 Prozent) stuft das Risiko, durch einen IT-Angriff geschädigt zu werden, als hoch oder sogar sehr hoch ein. Größere Unternehmen sehen ein höheres Risiko als kleinere. Ein Fünftel der Unternehmen (20 Prozent) geht von einem sehr hohen Risiko aus, durch einen IT-Angriff geschädigt zu werden, ein weiteres Fünftel (19 Prozent) immerhin von einem hohen. Mit der Unternehmensgröße steigt die Einschätzung des Risikos: Während die Hälfte der Betriebe mit 2.000 oder mehr Mitarbeitern von einem hohen oder sehr hohen Risiko ausgeht, sind es bei Unternehmen mit 20 bis 99 Mitarbeitern lediglich 39 Prozent. Im Branchenvergleich sehen vor allem Banken und Versicherungen (54 Prozent) sowie Unternehmen aus der IT-, Elektronik- und TK-Branche (52 Prozent) ein erhöhtes Risiko, im Handel hingegen nur ein Drittel (33 Prozent).

GUT ZU WISSEN

51 Milliarden Euro Schaden pro Jahr Der Digitalverband Bitkom hat in einer eigenen, umfangreichen Studie im Jahr 2015 den Schaden für die deutsche Wirtschaft durch digitale Wirtschaftsspionage, Sabotage und Datendiebstahl auf rund 51 Milliarden Euro pro Jahr geschätzt. Fast ein Viertel davon entfallen auf Umsatzeinbußen durch Plagiate. Ähnliche Folgen haben Patentrechtsverletzungen. An dritter Stelle liegen Umsatzrückgänge durch den Verlust von Wettbewerbsvorteilen. Vierter Posten sind Kosten infolge des Diebstahls von ITK-Geräten sowie durch ausgefallene IT-Systeme oder gestörte Betriebsabläufe verursachte Ausgaben.

10

BUNDESDRUCKEREI STUDIE

IT-SICHERHEIT IM RAHMEN DER DIGITALISIERUNG

2.2 IT-Sicherheitsvorfälle in Unternehmen Mehr als die Hälfte der Unternehmen (54 Prozent) berichtet von konkreten ITSicherheitsvorfällen innerhalb der vergangenen 24 Monate. Am häufigsten kam es zu einem Verlust oder Diebstahl von IT- oder Telekommunikationsgeräten. Der Schaden lag meist zwischen 10.000 und 50.000 Euro. In den vergangenen zwei Jahren sind in vier von zehn Unternehmen (41 Prozent) Datenträger, Computer, Smartphones oder Tablets gestohlen worden. Ob es die Täter dabei primär auf das Gerät oder auf die darauf befindlichen Informationen abgesehen hatten, bleibt offen. Ein Viertel (26 Prozent) sah sich Angriffen auf die eigenen IT-Systeme von außen über das Internet ausgesetzt, beispielsweise sogenannten DDoS-Attacken. Ein Fünftel (21 Prozent) berichtet von IT-Sicherheitsvorfällen durch IT-Ausfälle, die beispielsweise durch Stromausfälle oder Sabotage entstanden sind. Lediglich ein Zehntel (11 Prozent) gibt an, dass Sicherheitsvorfälle durch eigene oder externe Mitarbeiter vor Ort verursacht wurden. Durch IT-Sicherheitsvorfälle entstand in neun von zehn betroffenen Unternehmen ein finanzieller Schaden. Ein Viertel dieser Betriebe schätzt die Schadenssumme auf bis zu 10.000 Euro, 42 Prozent rechnen mit 10.000 bis 50.000 Euro. Jedes zehnte Unternehmen (10 Prozent) verzeichnete Schäden in Höhe von mindestens 500.000 Euro. Das sind die kurz- bis mittelfristigen Einbußen. Datendiebstahl, Imageverlust und Produktpiraterie können zudem langfristige, gravierende Schäden verursachen.

Mehr als die Hälfte aller Unternehmen ist von IT-Sicherheitsvorfällen betroffen. IT-Sicherheitsvorfälle durch Verlust oder Diebstahl von IT- oder Telekommunikationsgeräten (Datenträger, PC, Laptop, Handy, Smartphone oder Tablet)

41

IT-Sicherheitsvorfälle auf unsere IT-Systeme durch Angriffe von außen über das Internet (z. B. gezielter Online-Einbruch in die IT-Systeme, DDos-Attacken)

26 insgesamt 54

IT-Sicherheitsvorfälle durch Ausfälle der IT (z. B. durch höhere Gewalt wie Stromausfall oder durch Sabotage)

21

IT-Sicherheitsvorfälle, die durch eigene oder externe Mitarbeiter vor Ort verursacht wurden (z. B. Einschleusen eines Virus über USB-Stick)

11

Es gab in unserem Unternehmen keine IT-Sicherheitsvorfälle in den vergangenen 24 Monaten. Weiß nicht / Keine Angabe Ausgangsfrage: Welche IT-Sicherheitsvorfälle gab es in Ihrem Unternehmen in den vergangenen 24 Monaten?

44 2 0 %

10 %

20 %

30 %

40 %

50 %

11

BUNDESDRUCKEREI STUDIE

IT-SICHERHEIT IM RAHMEN DER DIGITALISIERUNG

3 IT-Sicherheitsstrategie und IT-Sicherheitsmaßnahmen Dieses Kapitel gibt vor allem Antwort auf die Frage, wie die Unternehmen auf IT-Sicherheitsvorfälle vorbereitet sind: Wer definiert ihre IT-Sicherheitsstrategie und setzt sie um, welche konkreten Sicherheitsmaßnahmen haben sie bereits umgesetzt oder planen sie – und wo sehen sie den größten Verbesserungsbedarf?

3.1 Definition und Umsetzung von IT-Sicherheitsstrategien Die IT-Sicherheitsstrategie wird meist von unternehmensinternen IT-Abteilungen definiert und umgesetzt. Ein Drittel der Unternehmen beauftragt dafür externe Dienstleister. Jedes fünfte hat bislang keine IT-Sicherheitsstrategie definiert. Für die Definition der IT-Sicherheitsstrategie ist in vier von zehn Unternehmen (42 Prozent) die interne IT-Abteilung zuständig. Fast ebenso viele (37 Prozent) ziehen für diese zentrale Frage externe Dienstleister zu Rate. Eigene spezielle Abteilungen für Unternehmenssicherheit gibt es nur in größeren Betrieben ab 100 Mitarbeitern; in entsprechend wenigen Fällen (2 Prozent) definieren diese Abteilungen die IT-Sicherheitsstrategie. Bei der Strategieumsetzung vertrauen die Unternehmen stärker auf die eigene IT-Abteilung: In sechs von zehn Unternehmen (62 Prozent) werden die notwendigen Sicherheitsmaßnahmen intern durchgeführt. Etwas mehr als ein Drittel (38 Prozent) setzt bei der Umsetzung auf externe Dienstleister. Erstaunlicherweise verfügt knapp jedes fünfte Unternehmen (18 Prozent) über keine IT-Sicherheitsstrategie. Das betrifft fast ausschließlich die kleineren Betriebe mit unter 100 Mitarbeitern. Im Branchenvergleich fehlen IT-Sicherheitsstrategien vor allem im Handel (29 Prozent) sowie im Maschinen- und Anlagenbau (23 Prozent); vorbildlicher schneiden hier die ITKUnternehmen (11 Prozent) sowie Versicherungen und Banken (14 Prozent) ab.

12

BUNDESDRUCKEREI STUDIE

IT-SICHERHEIT IM RAHMEN DER DIGITALISIERUNG

3.2 IT-Sicherheitsmaßnahmen Die vielen möglichen konkreten IT-Sicherheitsmaßnahmen wurden für die Studie in drei Kategorien eingeteilt: in eher technische, eher organisatorische bzw. prozesstechnische sowie eher personelle Maßnahmen.

3.2.1 Technische IT-Sicherheitsmaßnahmen Bei den technischen IT-Sicherheitsmaßnahmen ist der Basisschutz zwar gewährleistet. Bei den weiterführenden Maßnahmen besteht allerdings Bedarf zum Nachrüsten. Grundlegende technische Sicherheitsmaßnahmen für die Datensicherheit wie Firewalls und regelmäßige Backups werden inzwischen flächendeckend eingesetzt. Die große Mehrheit der Unternehmen (79 Prozent) verschlüsselt außerdem ihre Netzwerkverbindungen. Dagegen schützt nur etwa die Hälfte ihre Daten durch Verschlüsselung auf physischen Datenträgern (52 Prozent) oder im E-Mail-Verkehr (45 Prozent). Und nur drei von zehn Unternehmen (29 Prozent) nutzen dafür zertifikatsbasierte Kryptografielösungen. Während die meisten Konzerne (70 Prozent) den Zugang zu ihren Gebäuden und Maschinen elektronisch bewachen lassen, wird der Zugang zu unternehmensinternen Daten deutlich seltener kontrolliert. Maßnahmen wie die Protokollierung von Zugriffen (48 Prozent) sowie sichere Authentifizierungsverfahren für Benutzer von außen (44 Prozent) oder innen (43 Prozent) werden von weniger als der Hälfte der Unternehmen genutzt. Sind die Hürden beim Zugriff auf Unternehmensdaten einmal überwunden, treffen Angreifer nur in wenigen Betrieben auf weitere Sicherheitsmaßnahmen: Systeme zur Erkennung von Einbrüchen (Intrusion-Detection-Systeme) werden nicht einmal von einem Viertel der Unternehmen (23 Prozent) angewendet. Gegen Datenabfluss von innen hat knapp die Hälfte (46 Prozent) Schutzmaßnahmen getroffen. Eine vollständige Absicherung gegen Datenabfluss von innen erfordert allerdings sehr komplexe Maßnahmen und wird nur in Ausnahmefällen erreicht. Ob die technischen IT-Sicherheitsmaßnahmen effektiv gegen Angriffe schützen, kann durch Penetrationstests verifiziert werden. Bisher führt allerdings erst jedes vierte Unternehmen (24 Prozent) solche Tests durch. Bei den aktuell geplanten Maßnahmen liegen die Protokollierung von Zugriffen, die Verschlüsselung des E-Mail-Verkehrs sowie Penetrationstests vorn: Jeweils 15 Prozent der Unternehmen wollen diese Technologien demnächst einsetzen.

13

BUNDESDRUCKEREI STUDIE

IT-SICHERHEIT IM RAHMEN DER DIGITALISIERUNG

Technische IT-Sicherheitsmaßnahmen: Basisschutz gewährleistet, Bedarf bei weiterführenden Maßnahmen. Firewalls

100

Regelmäßiges Erstellen von Backups für Daten

100

Verschlüsselung von Netzwerkverbindungen (z. B. über VPN-Technologie)

79

Elektronische Zugangskontrollen bei Gebäuden und Maschinen

12

70

Verschlüsselung von Daten auf Datenträgern (z. B. auf Laptops)

9

52

Protokollierung von Zugriffen

9 

48

15 

Absicherung des internen Firmennetzwerks gegen Datenabfluss von innen

46

Verschlüsselter E-Mail-Verkehr

45

Sichere Verfahren zur Authentifizierung organisationsfremder Anwender

44

9

Einsatz von erweiterten Verfahren zur Benutzeridentifikation

43

9

Zertifikatsbasierte Kryptografielösungen über eigene oder fremde PKI

9

24

Intrusion-Detection-Systeme

23 0 %

10

10 20 %

9

5

32

11

33

9

38 57

4

56

8 40 %

26 38

3

15

9

33 

5

15

29

Penetrationstest zur Verifikation der Wirksamkeit von Schutzmaßnahmen

3

12

3

59 60 %

80 %

100 %

Ausgangsfrage: Welche der folgenden technischen IT-Sicherheitsmaßnahmen hat Ihr Unternehmen bereits umgesetzt bzw. plant Ihr Unternehmen in Zukunft umzusetzen, um sich gegen IT-Sicherheitsvorfälle zu schützen?

Maßnahme bereits umgesetzt

Maßnahme geplant

Maßnahme diskutiert

Maßnahme ist aktuell kein Thema

Weiß nicht Keine Angabe

14

BUNDESDRUCKEREI STUDIE

IT-SICHERHEIT IM RAHMEN DER DIGITALISIERUNG

3.2.2 Organisatorische IT-Sicherheitsmaßnahmen Organisatorische bzw. prozesstechnische Sicherheitsmaßnahmen sind in den meisten Unternehmen bislang erst unzureichend umgesetzt. Insbesondere umfassendere Maßnahmen wie Zertifizierungen sowie Beratung und Audits durch externe Spezialisten werden nur von einer Minderheit durchgeführt. Die große Mehrheit der Unternehmen ist sich des Schutzbedarfs von bestimmten Informationen bewusst. Einfache Schutzmaßnahmen wie die Festlegung von Zugriffsrechten (80 Prozent) und klare Regeln im Umgang mit schützenswerten Informationen (75 Prozent) sind weit verbreitet. Bereits der Zugang zu den Serverräumen wird hingegen nur in der Hälfte der Unternehmen durch Zutrittsrechte geregelt. Umfassende und daher aufwändigere Sicherheitsmaßnahmen werden seltener umgesetzt: Weniger als die Hälfte der Betriebe (45 Prozent) hat bisher IT-Sicherheitszertifizierungen durchgeführt. Ein Informationssicherheits-Management-System (ISMS) wurde bislang nur in gut jedem vierten Unternehmen (28 Prozent) eingerichtet. Nur eine Minderheit nimmt externe Expertise für die Sicherung von Daten und Informationen in Anspruch. Vor allem größere Unternehmen ziehen externe Spezialisten zu Rate. So haben bisher insgesamt nur knapp drei von zehn Betriebe eine Analyse ihres Schutzbedarfs durchführen lassen. Bei den Unternehmen mit 500 Mitarbeitern oder mehr trifft dies immerhin auf vier von zehn zu. Einem regelmäßigen Sicherheitsaudit unterziehen sich insgesamt nur etwas mehr als ein Viertel der Unternehmen (28 Prozent). Während sich bei den kleineren Betrieben mit unter 100 Beschäftigten lediglich 24 Prozent einem regelmäßigen Sicherheitsaudit stellen, sind es bei den größeren mit 500 Mitarbeitern oder mehr bereits zwei Drittel (66 Prozent).

Organisatorische Sicherheitsmaßnahmen: Beratung durch unabhängige Dritte und externe Spezialisten ist bisher bei der Mehrheit noch kein Thema. Festlegung von Zugriffsrechten für bestimmte Informationen

80

Klare Regeln für den Umgang mit schützenswerten Informationen

6

75

Eindeutige Klassifizierung/Kennzeichnung von Informationen und Daten

18

53

Festlegung von Zutrittsrechten für Serverräume im Unternehmen

4 50

Sicherheitszertifizierungen (z. B. ISO 27001, BSI-Grundschutz)

7 

45

Analyse des eigenen Schutzbedarfs durch unabhängigen Dritten

29

Einführung eines Informationssicherheits-Management-Systems (ISMS)

28

Regelmäßige Sicherheitsaudits durch externe Spezialisten

28 0 %

4

11 6

30 

8

35 12

9

28

58

14

20 %

11 

14 2

4

18

36

14 40 %

54 60 %

80 %

100 %

Ausgangsfrage: Welche der folgenden organisatorischen bzw. prozesstechnischen Sicherheitsmaßnahmen hat Ihr Unternehmen bereits umgesetzt bzw. plant Ihr Unternehmen in Zukunft umzusetzen, um sich gegen IT-Sicherheitsvorfälle zu schützen?

Maßnahme bereits umgesetzt

Maßnahme geplant

Maßnahme diskutiert

Maßnahme ist aktuell kein Thema

Weiß nicht Keine Angabe

BUNDESDRUCKEREI STUDIE

IT-SICHERHEIT IM RAHMEN DER DIGITALISIERUNG

3.2.3 Personelle IT-Sicherheitsmaßnahmen Von den personellen IT-Sicherheitsmaßnahmen sind regelmäßige Mitarbeiterschulungen am weitesten verbreitet. Weitere Schritte wie Backgroundchecks und die Benennung von Sicherheitsverantwortlichen werden vor allem in größeren Unternehmen umgesetzt. Mehr als die Hälfte der Unternehmen (55 Prozent) versucht, durch regelmäßige Mitarbeiterschulungen ihre Daten und Informationen besser zu schützen. Einen Sicherheitsverantwortlichen haben insgesamt knapp vier von zehn Betrieben (38 Prozent) bestellt, unter den größeren Unternehmen mit 500 Mitarbeitern oder mehr ist es mehr als die Hälfte (55 Prozent). Im Branchenvergleich sind im Handel mit drei von zehn die wenigsten Unternehmen mit einem Sicherheitsverantwortlichen zu finden. Die Energie- und Versorgungsbranche liegt mit 51 Prozent an der Spitze. Backgroundchecks vor der Besetzung sensibler Positionen sind ebenfalls häufiger bei den größeren Unternehmen verbreitet. Während insgesamt knapp vier von zehn (38 Prozent) ihre Bewerber auf diese Weise überprüfen, führen bei größeren Unternehmen mit 500 oder mehr Mitarbeitern bereits knapp zwei Drittel (62 Prozent) solche Checks durch. Am wenigsten verbreitet unter den abgefragten personellen IT-Sicherheitsmaßnahmen ist ein anonymes Hinweis-System, über das verdächtiges Mitarbeiterverhalten angezeigt werden kann. Insgesamt gibt es dieses System in nur einem von acht Unternehmen (12 Prozent). Bei den größeren steigt dieser Anteil erheblich: Ein Viertel der Unternehmen mit 500 oder mehr Beschäftigten und mehr als die Hälfte der Unternehmen mit 2.000 oder mehr Mitarbeitern (51 Prozent) haben ein solches System für anonyme Hinweise eingeführt.

16

BUNDESDRUCKEREI STUDIE

IT-SICHERHEIT IM RAHMEN DER DIGITALISIERUNG

3.3 Verbesserungsbedarf bei IT-Sicherheitsmaßnahmen Nahezu jedes befragte Unternehmen erkennt bei der IT-Sicherheit einen Verbesserungsbedarf. Dieser wird insbesondere bei den eher organisatorischen bzw. prozesstechnischen sowie den personellen IT-Sicherheitsmaßnahmen gesehen. Knapp die Hälfte (49 Prozent) der Unternehmen gibt an, dass im organisatorischen Bereich ein hoher Verbesserungsbedarf besteht, bei den größeren mit 100 oder mehr Mitarbeitern sind es sogar zwei Drittel (66 Prozent). Fast genauso ausgeprägt ist aus Sicht der Befragten der Handlungsbedarf bei den bislang weniger verbreiteten personellen IT-Sicherheitsmaßnahmen. Hier sehen insgesamt 40 Prozent der Unternehmen einen hohen Verbesserungsbedarf, bei den größeren liegt der Wert mit 33 Prozent deutlich niedriger. Insbesondere kleinere Unternehmen mit unter 100 Mitarbeitern (42 Prozent) haben einen hohen Verbesserungsbedarf bei personellen IT-Sicherheitsmaßnahmen erkannt. Bei den technischen IT-Sicherheitsmaßnahmen besteht nach Ansicht von nur knapp einem Viertel der Unternehmen (23 Prozent) ein hoher Verbesserungsbedarf. Weitere zwei Drittel (66 Prozent) sehen zwar keinen hohen, aber doch normalen Bedarf für Verbesserung.

Befragte sehen vor allem bei organisatorischen IT-Sicherheitsmaßnahmen einen hohen Verbesserungsbedarf in ihrem Unternehmen. Organisatorische IT-Sicherheitsmaßnahmen (z. B. Governance, Richtlinien und Notfallpläne)

39

49

Personelle Sicherheitsmaßnahmen (z. B. Backgroundchecks, Fortbildungen, Schulungen)

40

Technische IT-Sicherheitsmaßnahmen (z. B. Firewalls, Verschlüsselungen, Passwortschutz)

52

23 0 %

7 2

66 20 %

40 %

Hoher Verbesse- Verbesserungsbedarf rungsbedarf

8 60 %

Geringer Verbesserungsbedarf

80 %

Kein Verbesserungsbedarf

100 %

Weiß nicht Keine Angabe

Ausgangsfrage: Inwiefern sehen Sie in Ihrem Unternehmen Verbesserungsbedarf in den folgenden Bereichen?

17

BUNDESDRUCKEREI STUDIE

IT-SICHERHEIT IM RAHMEN DER DIGITALISIERUNG

4 Herausforderungen und Investitionsabsichten In diesem Kapitel geht um die Probleme und Lösungen bei der IT-Sicherheit: Was sind die größten Hemmnisse derzeit und wie werden sich die Investitionen in diesem Bereich verändern?

4.1 Hemmnisse bei der IT-Sicherheit Für die Mehrheit der Unternehmen sind hohe Kosten ein Hemmnis bei der Gewährleistung und Verbesserung der IT-Sicherheit. Auch fehlendes Sicherheitsbewusstsein der Mitarbeiter, der hohe Zeitaufwand und ein Mangel an eigenen Fachexperten stellen relevante Hürden dar. Hohe Kosten sind in sechs von zehn Unternehmen (61 Prozent) ein Hemmnis für die Gewährleistung und Verbesserung der IT-Sicherheit. Die finanziellen Aufwendungen stellen damit am häufigsten eine Hürde für den Erhalt oder den Ausbau der IT-Sicherheit dar. Das gilt insbesondere für kleine Betriebe: Während 63 Prozent der Unternehmen mit bis zu 99 Mitarbeitern darin ein Hemmnis sehen, sind es bei denen mit 500 bis 1.999 Beschäftigten 57 Prozent. Bei Großunternehmen mit mindestens 2.000 Mitarbeitern sind die Kosten sogar nur für 44 Prozent eine Hürde. Darüber hinaus sehen vier von zehn Unternehmen (43 Prozent) ein mangelndes Sicherheitsbewusstsein der Mitarbeiter als Störfaktor für den Erhalt der IT-Sicherheit. Der notwendige Zeitaufwand stellt in knapp jedem dritten (30 Prozent), der Mangel an eigenen Fachexperten in jedem vierten Unternehmen (25 Prozent) eine Hürde für Verbesserungen der IT-Sicherheit dar. Gleichzeitig besteht in den Unternehmen ein großes Bewusstsein für die Bedeutung der IT-Sicherheit: Keines der befragten Unternehmen sieht einen mangelnden Nutzen als relevantes Hemmnis bei der Gewährleistung der IT-Sicherheit.

Hemmnisse: Hohe Kosten stehen einer verbesserten IT-Sicherheit entgegen. Hohe Kosten

61

Mangelndes Sicherheitsbewusstsein bei den Mitarbeitern

€€€

43

Hoher Zeitaufwand

30

Zu wenig eigene Fachexperten

25

Mangelnde Kenntnis der Sicherheitsrisiken

9

Mangelnde Kenntnis des Angebots an IT-Sicherheitslösg.

6

Keine geeigneten Lösungen verfügbar

5

Ausgangsfrage: Welche der folgenden möglichen Hürden gibt es in Ihrem Unternehmen bei der Gewährleistung bzw. Verbesserung der IT-Sicherheit?

Keine ganzheitliche Sicht auf das Thema

2 0 %

10 %

20 %

30 %

40 %

50 %

60 %

18

BUNDESDRUCKEREI STUDIE

IT-SICHERHEIT IM RAHMEN DER DIGITALISIERUNG

4.2 Überforderung mit gesetzlichen Regeln Die gesetzlichen Regelungen rund um IT-Sicherheit und Datenschutz stellen für die meisten Befragten in den Unternehmen eine Belastung dar. Fast zwei Drittel fühlen sich zumindest ab und zu von den gesetzlichen Regelungen überfordert. Die gesetzlichen Regelungen rund um IT-Sicherheit und Datenschutz sind für viele Unternehmen nicht leicht zu überschauen. Jeder neunte Befragte (11 Prozent) fühlt sich sehr häufig, jeder zweite (52 Prozent) zumindest ab und zu von den gesetzlichen Regeln überfordert. Damit empfinden insgesamt fast zwei von drei Befragten (63 Prozent) zumindest gelegentlich Überforderung. Ein weiteres Drittel (30 Prozent) sieht sich selten überfordert. Lediglich 4 Prozent geben an, nie überfordert zu sein. Den Großunternehmen mit mindestens 2.000 Mitarbeitern bereitet der Umgang mit den gesetzlichen Rahmenbedingungen vergleichsweise geringe Schwierigkeiten: Nur 1 Prozent gibt an, sehr häufig überfordert zu sein. Auch der Anteil der Befragten, die sich ab und zu überfordert fühlen, ist geringer als bei den kleineren Unternehmen. Im Branchenvergleich ist der Anteil der Befragten, die sich sehr häufig überfordert sehen, im Energiesektor und in der ITK-Branche mit 17 Prozent bzw. 14 Prozent überdurchschnittlich hoch. In der Automobilindustrie und im Maschinen- und Anlagenbau liegt der entsprechende Anteil jeweils nur bei 7 Prozent, bei Banken und Versicherungen lediglich bei 2 Prozent.

Zwei von drei Befragten fühlen sich regelmäßig von den gesetzlichen Regeln überfordert (Zahlen in Prozent). 4 3

Ich fühle mich sehr häufig überfordert

11

Ich fühle mich ab und zu überfordert Ich fühle mich selten überfordert Ich fühle mich nie überfordert

30

Weiß nicht / Keine Angabe 52

Ausgangsfrage: Fühlen Sie sich von den gesetzlichen Regeln rund um IT-Sicherheit und Datenschutz überfordert?

19

BUNDESDRUCKEREI STUDIE

IT-SICHERHEIT IM RAHMEN DER DIGITALISIERUNG

4.3 Investitionsabsichten Die Mehrheit der Unternehmen plant für dieses Jahr steigende Investitionen in ihre IT-Sicherheit. Jedes vierte geht sogar von einer starken Zunahme aus. Die größten Steigerungen erwarten Unternehmen aus dem Handel und dem Maschinen- und Anlagenbau. Sechs von zehn Unternehmen (60 Prozent) beabsichtigen, im Jahr 2016 mehr in IT-Sicherheit zu investieren als im Vorjahr. Jedes vierte (25 Prozent) plant sogar mit starken Investitionszuwächsen. Vier von zehn (39 Prozent) gehen von einem unveränderten Budget aus, weniger als 1 Prozent nimmt für das aktuelle Jahr eher sinkende Ausgaben an. Kleinunternehmen mit bis zu 99 Mitarbeitern (60 Prozent) und mittelständische Betriebe mit bis zu 499 Beschäftigten (62 Prozent) erwarten häufiger eine Ausgabensteigerung als große Konzerne mit bis zu 1.999 Mitarbeitern (55 Prozent) bzw. mit mindestens 2.000 Beschäftigten (54 Prozent). Die erhöhte Investitionsbereitschaft der Unternehmen dürfte zumindest teilweise darauf zurückzuführen sein, dass sie sich der zunehmenden Bedeutung der IT-Sicherheit im Zuge der Digitalisierung bewusst sind. Im Branchenvergleich erwarten vor allem Handelsunternehmen (73 Prozent) und Betriebe aus dem Maschinen- und Anlagenbau (69 Prozent) steigende Investitionen. Im Handel geht jedes dritte Unternehmen (33 Prozent) von einer starken Zunahme aus. Die Erwartungen der ITK-Branche sind zurückhaltender: Während knapp die Hälfte (48 Prozent) mit steigenden Investitionen plant, geht die andere Hälfte (50 Prozent) von unveränderten IT-SicherheitsBudgets aus.

Mehrheit der Unternehmen will im laufenden Jahr mehr in IT-Sicherheit investieren. Automobilindustrie

20

41

Maschinen- und Anlagenbau

29

Energie und Versorger

17

IT, Elektronik und TK

17

Banken und Versicherungen

41 39

31

Handel

50 37

33

23

38

44

28

Gesamt

40 40

17

Sonstige Dienstleistungen

26

40

21

Sonstige Industrie

31

25 0 %

20 %

30

42

35

39

40 %

60 %

80 %

100 %

Ausgangsfrage: Wie werden sich die Investitionen Ihres Unternehmens in die IT-Sicherheit im Jahr 2016 im Vergleich zu 2015 voraussichtlich entwickeln?

Werden stark zunehmen

Werden eher zunehmen

Bleiben unverändert

Werden eher abnehmen

Weiß nicht Keine Angabe

BUNDESDRUCKEREI STUDIE

IT-SICHERHEIT IM RAHMEN DER DIGITALISIERUNG

4.4 Versicherung gegen IT-Schadensvorfälle Nur jedes elfte Unternehmen hat bisher eine Versicherung gegen IT-Sicherheitsvorfälle. Darüber hinaus planen oder diskutieren vier von zehn Betrieben den Abschluss einer solchen Police. In deutschen Unternehmen sind Versicherungen gegen IT-Sicherheitsvorfälle bisher kaum verbreitet. Lediglich jedes elfte (9 Prozent) hat eine Versicherung gegen digitale Angriffe oder eigene Datenschutzverstöße abgeschlossen. Gerade einmal 6 Prozent haben konkrete Pläne für den Abschluss einer Versicherung, weitere 35 Prozent diskutieren darüber. Mehr als vier von zehn Unternehmen (43 Prozent) haben bisher keine Cybercrime-Police und ziehen dies aktuell auch nicht in Betracht. Am meisten verbreitet und diskutiert sind die Versicherungen bisher bei den Großunternehmen mit mindestens 2.000 Mitarbeitern, von denen jedes sechste (17 Prozent) bereits eine Police abgeschlossen hat und weitere 41 Prozent einen Abschluss konkret planen oder diskutieren. Der Anteil an Betrieben, für die eine Versicherung bisher kein Thema ist, ist mit 34 Prozent geringer als bei kleinen und mittleren Unternehmen. Betriebe aus dem Maschinen- und Anlagenbau (13 Prozent), Energieversorger (13 Prozent) sowie Banken und Versicherungen (12 Prozent) haben sich bisher am häufigsten für eine Versicherung entschieden. In der Automobilindustrie und im Handel (jeweils 7 Prozent) ist der Anteil an Unternehmen, die sich gegen digitale Angriffe oder eigene Datenschutzverstöße versichert haben, am geringsten.

Nur jedes elfte Unternehmen ist gegen IT-Sicherheitsvorfälle versichert (Zahlen in Prozent).

7

9

Ja Nein, aber wir planen konkret,

6

eine Versicherung abzuschließen Nein, aber wir diskutieren, eine Versicherung abzuschließen

43

35

Nein, eine Versicherung ist aktuell nicht angedacht Weiß nicht / Keine Angabe Ausgangsfrage: Hat Ihr Unternehmen bereits eine Versicherung gegen IT-Sicherheitsvorfälle abgeschlossen?

21

BUNDESDRUCKEREI STUDIE

IT-SICHERHEIT IM RAHMEN DER DIGITALISIERUNG

Fazit und Ausblick Aus der empirischen Untersuchung lassen sich insbesondere folgende Handlungsempfehlungen für die sichere Digitalisierung von Unternehmen ableiten:

Bereichsübergreifende IT-Sicherheitsstrategie erarbeiten Etwa jedes zweite Unternehmen (54 Prozent) hatte in den vergangenen 24 Monaten einen konkreten IT-Sicherheitsvorfall. Trotzdem mangelt es bei knapp einem Fünftel (18 Prozent) an einer IT-Sicherheitsstrategie, vor allem bei kleineren Betrieben. Externe Dienstleister können bei der Erarbeitung einer Strategie hilfreich sein. Mehr als ein Drittel der Unternehmen (37 Prozent) nimmt bereits externe Beratung für die Definition ihrer IT-Sicherheitsstrategie in Anspruch.

Mitarbeiter für IT-Sicherheit sensibilisieren Nahezu die Hälfte der Unternehmen (43 Prozent) beobachtet ein mangelndes Sicherheitsbewusstsein der eigenen Mitarbeiter als Hemmnis bei der Gewährleistung der IT-Sicherheit. Mehr als jedes zweite (55 Prozent) versucht bereits, dieses Problem durch regelmäßige Mitarbeiterschulungen zu lösen. Zur Sensibilisierung der Beschäftigten gehört auch, Aufmerksamkeit für verdächtige Situationen zu schaffen. Jeder Mitarbeiter im Unternehmen trägt zur IT-Sicherheit bei.

Outsourcing und Partnerschaften in Erwägung ziehen Hohe Kosten (61 Prozent), großer Zeitaufwand (30 Prozent) und ein Mangel an eigenen Fachexperten (25 Prozent) sind neben dem unzureichenden Sicherheitsbewusstsein der Mitarbeiter (43 Prozent) die am häufigsten genannten Hürden bei der Gewährleistung und Verbesserung der IT-Sicherheit. Externe Dienstleister können mit skalierbaren IT-Sicherheitslösungen kosteneffizient Abhilfe schaffen. Insbesondere kleinere Unternehmen mit begrenzten personellen Ressourcen sollten die Inanspruchnahme externer Expertise erwägen.

22

BUNDESDRUCKEREI STUDIE

IT-SICHERHEIT IM RAHMEN DER DIGITALISIERUNG

Präventive technische Maßnahmen durch reaktive ergänzen Präventiver technischer Basisschutz ist in allen Unternehmen vorhanden. Allerdings fehlen häufig reaktive Schutzmaßnahmen, die greifen, wenn ein konkreter Sicherheitsvorfall vorliegt. Sind die Angreifer in das Unternehmensnetzwerk eingedrungen, treffen sie nur in wenigen Unternehmen auf Angriffserkennungssysteme (Intrusion Detection). Diese analysieren die Datenströme und melden verdächtige Aktivitäten. Sie kommen vor allem dann zum Tragen, wenn Firewall und Virenscanner den Angriff nicht verhindern konnten.

Organisatorische und personelle Schutzmaßnahmen ausbauen Bisher greifen nur wenige Unternehmen für organisatorische Maßnahmen auf externe Spezialisten zurück. Eine Analyse des Schutzbedarfs, die Einführung eines Informations-Management-Systems oder Sicherheitsaudits werden von weniger als drei von zehn Unternehmen in Anspruch genommen. Vor allem kleinere und mittelständische Unternehmen sind bisher besonders zurückhaltend.

Externe Compliance-Berater einbinden Jeder neunte Befragte (11 Prozent) fühlt sich sehr häufig, jeder zweite (52 Prozent) ab und zu von den gesetzlichen Regeln überfordert. Die überwiegende Mehrheit der Unternehmen kann somit von der Einbindung externer Compliance-Berater profitieren.

Versicherungsbedarf prüfen Lediglich jedes elfte Unternehmen (9 Prozent) hat eine Versicherung gegen digitale Angriffe oder eigene Datenschutzverstöße abgeschlossen. Gerade einmal 6 Prozent haben konkrete Pläne für den Abschluss einer Versicherung, 35 Prozent diskutieren darüber – und 43 Prozent sagen, dass eine Versicherung aktuell nicht angedacht ist. Unternehmen ohne Versicherung sollten prüfen, inwiefern eine Cyberversicherung sinnvoll sein kann. Im Fall eines Angriffs übernimmt diese zum Beispiel die Kosten für die Reparatur von IT-Systemen oder die Wiederherstellung von Daten. Abgedeckt sind in der Regel auch Schäden, die bei einer Betriebsunterbrechung entstehen.

23

Kontakt Bundesdruckerei GmbH Kommandantenstraße 18 10969 Berlin Tel.: +49 (0) 30 – 25 98 – 28 10 Fax: +49 (0) 30 – 25 98 – 22 05 [email protected] www.bundesdruckerei.de