Laut der Studie „Security as a Service 2023“ herrscht in Sachen Cybersicherheit oft eine trügerische Selbsteinschätzung vor.

A deceptive self-assessment often prevails when it comes to cybersecurity according to the „Security as a Service 2023“ study.

Nachholbedarf bei Cybersecurity: Laut der Studie „Security as a Service 2023“ von A1 Digital zum Stand der IT-Sicherheit in der DACH-Region 2023 fühlen sich mehr als 70 Prozent der Unternehmen in Deutschland, Österreich und der Schweiz gut gegen Angriffe auf das Unternehmen, die Daten und die Infrastruktur gewappnet.

Demgegenüber berichten 48 Prozent der Verantwortlichen von nennenswerten Schäden nach Cyberattacken. Im Ernstfall vergehen nach eigenen Angaben von der Erkennung und Bewertung bis zur Auslösung des Krisenmanagements bei 62 Prozent der befragten Unternehmen Stunden und Tage oder, schlimmer noch, die Betroffenen können die Lage gar nicht einschätzen. Die fatale Erkenntnis: Ein umfassendes Abwehrkonzept existiert in den betroffenen Unternehmen nicht.

Risikofaktor Selbsteinschätzung

In der Befragung zeichnen die Unternehmen ein positives Selbstbild ihrer Sicherheitskompetenz. Insgesamt bewerten 73 Prozent der Unternehmen ihre Fähigkeiten zur Erkennung von Cyber-Risiken und Cyber-Angriffen als „gut“ oder „sehr gut“. Besonders selbstbewusst sind sogenannte KRITIS-Betreiber, also Unternehmen, die kritische Infrastrukturen betreiben: Von ihnen schätzen 79 Prozent ihre Fähigkeiten als mindestens „gut“ ein, bei den Nicht-KRITIS-Unternehmen sind es rund 60 Prozent.

Größere Unterschiede gibt es bei der Selbsteinschätzung innerhalb der verschiedenen Unternehmensbereiche. 81 Prozent der IT-Entscheider fühlen sich in der Lage, Cyber-Angriffe zu erkennen. Weniger zuversichtlich sind die Fachabteilungen (50 Prozent) und die Geschäftsführung (66 Prozent). Aber selbst nach größeren Schadensfällen bewerten 80 Prozent der betroffenen Unternehmen ihre Abwehr als „gut“ oder „sehr gut“. Die größten technischen Herausforderungen sehen die Unternehmen in der wachsenden Bedrohung durch immer komplexere Cyber-Angriffe sowie in fehlenden Informationen über den Wert der gefährdeten Daten und Prozesse (jeweils 45 Prozent).

 

„Wie die Studie zeigt, ist die Selbstwahrnehmung in der Welt der Cybersicherheit oft trügerisch und kann zu einem falschen Sicherheitsgefühl führen“, erläutert Thomas Snor, Leiter Cybersecurity bei A1 Digital. „Unternehmen müssen die Komplexität und Vielschichtigkeit der Bedrohungen erkennen. Es reicht nicht aus, sich auf vergangenen Erfolge auszuruhen. Stattdessen ist es entscheidend, proaktiv zu handeln, Strategien regelmäßig anzupassen und sich auf die sich ständig verändernde Landschaft der Cyberbedrohungen einzustellen.“

CISO oder IT?

Überraschenderweise haben nicht die CISOs (11,5 Prozent), sondern die CIOs (22 Prozent) den größeren Einfluss auf Sicherheitsentscheidungen. Die Entscheidungsgewalt der CIOs über Sicherheitsdienstleistungen steigt mit der Unternehmensgröße.

„Nur 12 Prozent der CISOs treffen tatsächlich Security-Entscheidungen; meist werden diese vom CIO getroffen“, so Snor. „Der CISO wäre meines Erachten besser in der Organisation des CFOs aufgehoben, da dort die Expertise für Risiko-Management und -bewertung sitzt. Hier kann die brennende Frage nach dem Wert der Daten im Kontext des Gesamtrisikos des Unternehmens am kompetentesten beantwortet werden.“

Der Faktor Mensch als Schwachstelle und als Mangelware

Nachlässige Mitarbeiter werden von knapp 37 Prozent als Ursache für erfolgreiche Angriffe genannt. Auf der anderen Seite werden selbstkritisch die Ausbildung und mangelnde IT-Sicherheitserfahrung der Mitarbeiter mit 36,7 Prozent unter den Top drei der größten Herausforderungen genannt. Fast jeder fünfte Befragte beklagt im Zusammenhang mit organisatorischen Herausforderungen in der Zukunft einen Mangel an Fachkräften aus dem IT-Security Bereich.

Eine Frage der Organisation

Die größte organisatorische Herausforderung im Bereich der IT-Sicherheit sehen Unternehmen in der Umsetzung von Sicherheitsstandards (44 Prozent) und der Überwachung ihrer Einhaltung (39 Prozent). Die Budgets sind nur für ein Viertel ein großes Hindernis.

Die Unternehmensgröße beeinflusst die Wahrnehmung: Bei großen Unternehmen mit mehr als 1.000 Mitarbeitern sieht knapp die Hälfte die Umsetzung von Standards als Herausforderung, bei Unternehmen mit weniger als 500 Mitarbeitern sind es 44 Prozent. KRITIS-Organisationen bewerten die Herausforderung durch Standards mit 43 Prozent geringer als Nicht-KRITIS-Betreiber (48 Prozent).

Aus technischer Sicht sind komplexe Cyber-Angriffe (45 Prozent), fehlende Informationen über Bedrohungen (45 Prozent) und Datensicherung in der Cloud (43 Prozent) die drei größten Herausforderungen. Bemerkenswert ist auch, dass nur drei Prozent der Unternehmen keinen Dienstleister für ihre IT-Sicherheit nutzen. 28 Prozent setzen auf die Unterstützung wenigstens eines Dienstleisters, mehr als die Hälfte der Unternehmen nutzt sogar zwei bis fünf Dienstleister. Insgesamt lagern Unternehmen IT-Sicherheitsaufgaben zunehmend aus. Knapp 40 Prozent vertrauen auf Dienstleister für die Überwachung von Sicherheitsrichtlinien, die Umsetzung von Sicherheitsprozessen und technischer Systeme. Wichtig ist in diesem Zusammenhang die Vertrauenswürdigkeit des Serviceanbieters, und 47 Prozent der Befragten erwarten, dass das Unternehmen seinen Sitz in Deutschland hat.

There is a need to catch up in cybersecurity: according to the „Security as a Service 2023“ study by A1 Digital on the state of IT security in the DACH region in 2023, more than 70 percent of companies in Germany, Austria and Switzerland feel well armed against attacks on the company, data and infrastructure.

In contrast, 48 percent of those responsible report significant damage following cyberattacks. In the event of an emergency, 62 percent of the companies surveyed say that it takes hours and days from detection and assessment to the triggering of crisis management or, even worse, the affected parties are unable to assess the situation at all. The fatal finding is that a comprehensive defense concept does not exist in the affected companies.

Self-assessment as a risk factor

In the survey, the companies paint a positive self-image of their security competence. Overall, 73 percent of companies rate their ability to detect cyber risks and cyber attacks as „good“ or „very good“. So-called CRITIS operators, i.e. companies that operate critical infrastructures, are particularly self-confident: Of them, 79 percent rate their capabilities as at least „good,“ compared with around 60 percent of non-CRITIS companies.

There are greater differences in self-assessment within the various corporate divisions. 81 percent of IT decision-makers feel able to recognize cyber attacks. The specialist departments (50 percent) and management (66 percent) are less confident. But even after major incidents of damage, 80 percent of the companies affected rate their defenses as „good“ or „very good“. Companies see the greatest technical challenges in the growing threat of increasingly complex cyber attacks and a lack of information about the value of the data and processes at risk (45 percent each).

„As the study shows, self-perception in the world of cybersecurity is often deceptive and can lead to a false sense of security,“ explains Thomas Snor, Head of Cybersecurity at A1 Digital. „Companies need to recognize the complexity and multi-layered nature of threats. It is not enough to rest on past successes. Instead, it’s critical to be proactive, adjust strategies regularly and adapt to the ever-changing landscape of cyber threats.“

CISO or IT?

Surprisingly, CIOs (22 percent), not CISOs (11.5 percent), have the greater influence on security decisions. CIOs‘ decision-making power over security services increases with company size.

„Only 12 percent of CISOs actually make security decisions; mostly those are made by the CIO,“ Snor said. „The CISO, in my opinion, would be better off in the CFO’s organization, since that’s where the expertise for risk management and assessment sits. That’s where the burning question of the value of data in the context of the overall risk of the business can be most competently answered.“

The human factor as a weak point and a scarce commodity

Negligent employees are cited by nearly 37 percent as the cause of successful attacks. On the other hand, self-critical employee training and lack of IT security experience are named among the top three biggest challenges by 36.7 percent. Almost one in five respondents complain about a shortage of IT security professionals in the future in connection with organizational challenges.

A question of organization

Companies see the greatest organizational challenge in the area of IT security as the implementation of security standards (44 percent) and the monitoring of their compliance (39 percent). Budgets are a major obstacle for only a quarter.
Company size influences perceptions: for large companies with more than 1,000 employees, just under half see the implementation of standards as a challenge, compared to 44 percent for companies with fewer than 500 employees. KRITIS organizations rate the challenge of standards lower than non-KRITIS operators (43 percent).
From a technical perspective, complex cyber attacks (45 percent), lack of threat intelligence (45 percent) and cloud data protection (43 percent) are the top three challenges. It is also worth noting that only three percent of companies do not use a service provider for their IT security. 28 percent rely on the support of at least one service provider, and more than half of the companies even use two to five service providers. Overall, companies are increasingly outsourcing IT security tasks. Just under 40 percent rely on service providers for monitoring security policies, implementing security processes and technical systems. The trustworthiness of the service provider is important in this context, and 47 percent of respondents expect the company to be based in Germany.

Von Jakob Jung

Dr. Jakob Jung ist Chefredakteur Security Storage und Channel Germany. Er ist seit mehr als 20 Jahren im IT-Journalismus tätig. Zu seinen beruflichen Stationen gehören Computer Reseller News, Heise Resale, Informationweek, Techtarget (Storage und Datacenter) sowie ChannelBiz. Darüber hinaus ist er für zahlreiche IT-Publikationen freiberuflich tätig, darunter Computerwoche, Channelpartner, IT-Business, Storage-Insider und ZDnet. Seine Themenschwerpunkte sind Channel, Storage, Security, Datacenter, ERP und CRM. Dr. Jakob Jung is Editor-in-Chief of Security Storage and Channel Germany. He has been working in IT journalism for more than 20 years. His career includes Computer Reseller News, Heise Resale, Informationweek, Techtarget (storage and data center) and ChannelBiz. He also freelances for numerous IT publications, including Computerwoche, Channelpartner, IT-Business, Storage-Insider and ZDnet. His main topics are channel, storage, security, data center, ERP and CRM. Kontakt – Contact via Mail: jakob.jung@security-storage-und-channel-germany.de

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

WordPress Cookie Hinweis von Real Cookie Banner