Die IT- und Informationssicherheit ist das ewig ungeliebte Stiefkind in vielen Unternehmen! Das könnte eine Erklärung dafür sein, warum in der DXC-Studie „Digitale Agenda – Ein Reisebericht für Deutschland, Österreich und Schweiz“ ganze 70 Prozent der 600 Dach-Manager grundsätzlich zustimmen, dass die klassische IT-Sicherheit die neuen Bedrohungen digitaler Vernetzung nicht abdeckt – 42 Prozent sind von diesem Defizit sogar fest überzeugt. Dabei sollte die Sicherheit bei der Nutzung von Cloud-Lösungen oder dem Internet der Dinge (IoT) von Anfang an miteinbezogen werden, leider ist dem nicht so. Knapp 70 Prozent der Experten bestätigen, dass es in der eigenen Firma an einer konsequenten Cyber-Security-Strategie fehlt, die ihre digitalen Projekte begleitet.

Doch so langsam zeichnet sich ein Umdenken ab: Sicherheit wird ernster genommen – bereits 65 Prozent der Entscheider drängen zur Eile und halten das Thema im eigenen Unternehmen für unterbewertet. IT-Sicherheitsexperten hatten für die stagnierenden Ambitionen in Sachen Sicherheit einen passenden Vergleich: Diese Zurückhaltung war in etwa so gefährlich wie Bluthochdruck – man spürt ihn nicht und wägt sich in Sicherheit bis die ernsten Folgen schlagartig eintreten. Dann ist es jedoch bereits zu spät!

Im Ländervergleich fällt auf, dass einzig die Schweiz die Frage „Welche technologischen Themen sollten bei der digitalen Transformation Ihres Unternehmens fokussiert werden?“ mit „Cyber Security & Data Protection“ (31 %) beantwortet hat. Mögen das manche als ein Zeichen für das übersteigerte Sicherheitsempfinden der Schweizer interpretieren – völlig unbegründet ist die Präferenz nicht und es ist allemal eine gute Herangehensweise, zunächst Sicherheitsstrategien und -prozesse zu klären, bevor Unmengen von vielleicht sensiblen Daten in die Cloud hochgeladen werden oder KI´s mit Hilfe von Algorithmen diese analysieren.

 

Risikobewusstsein der Mitarbeiter

Jeder sollte sich darüber im Klaren sein, dass mit dem Ausbau digitaler Netzwerke die Möglichkeiten für Cyberangreifer vielfältiger werden, ebenso wie immer mehr Mitarbeiter hinzukommen, die über sicherheitsrelevante Geräte verfügen. Dem scheint endlich eine Mehrzahl von 65 Prozent (Sicherheit wird unterbewertet) der Befragten Rechnung zu tragen. Diese Werte korrespondieren auch mit den 68 Prozent, die davon ausgehen, dass die eigene Belegschaft mit ihrem Verhalten auf die neuen digitalen Risiken nicht vorbereitet ist. Jeder Dritte sogar rechnet mit gravierenden Versäumnissen und so überrascht es auch nicht, dass kaum 15 Prozent von den Sicherheitsmaßnahmen für ihre Belegschaft überzeugt sind.

Betrachtet man nun, dass 72 Prozent der Manager angeben, die Mitarbeiter würden von der eigenen Firma unterstützt werden, sich dem digitalen Wandel anzupassen, eröffnet sich ein Spannungsfeld, das eine wichtige Erkenntnis liefert. Es zeigt sich eine etwas widersprüchliche Haltung der Manager. Die Mehrzahl (72 %) gibt an, die Mitarbeiter bei dem digitalen Wandel zu unterstützen aber eine fast ebenso große Anzahl (67 %) geht davon aus, dass die eigene Belegschaft auf die neuen Risiken nicht vorbereitet ist. Die Cyber-Security ist tatsächlich ein unliebsames Stiefkind – niemand will ihm mehr Aufmerksamkeit schenken als unbedingt notwendig.

 

Digital-Projekte werden ausgebremst

Gleichzeitig werden jedoch Sicherheits- und Regulationsbedenken ins Feld geführt, wenn es um die Frage geht, was einer aktiven digitalen Transformation im Wege steht. So stimmen gut 60 Prozent dem Befund zu, dass wegen Unsicherheiten in diesen Fragen die Erfassung und Nutzung von Daten unterbleibt. Ein ebenso großer Teil macht interne Wissenslücken für eine zaghafte Digital-Roadmap verantwortlich. Eine mögliche Lösungsstrategie zur erfolgreichen Umsetzung der Sicherheit in der Cloud verrät unser digitaler Reisebericht “Cybersecurity in der Cloud”.

Wenn sich die Technologie und die Arbeitsweise wandelt, müssen sich die Menschen und auch die Unternehmenskultur diesen geänderten Gegebenheiten anpassen. Und das ruft vor allem diejenigen auf den Plan, die für die Sicherheit zuständig sind – die CISOs und Sicherheitsbeauftragten. In deutschsprachigen Ländern ist IT- und Informationssicherheit eher technikorientiert und zum Sicherheitsbeauftragten werden mehrheitlich Techniker und Ingenieure verdonnert. Zu spät geduckt, heißt es dann öfters, weil es die ISO 27001 oder die Regulatoren so einfordern. Das ist deswegen problematisch, da die geänderten Anforderungen ein Niveau an Kommunikationsstärke und sozialer Kompetenz erfordern, über das die Mehrzahl oft nicht verfügt. Schließlich müssen sie in der Lage sein, den Mitarbeitern klar und deutlich die neuen Risiken zu erklären und sie mit ihnen vertraut zu machen. Was noch schwieriger ist, sie müssen dem Management schlüssig darlegen können, wieso große Summen in die Sicherheit investiert werden müssen, obwohl man mit der klassischen Sicherheitsstrategie bis jetzt gut gefahren ist.

Und zu guter Letzt, müssen sie anfangen lösungsorientierter zu denken und zu arbeiten – es müssen Wege gefunden werden, wie digitale Projekte sicher umgesetzt werden können, statt sie nur zu blockieren. In Zukunft wird die Datenverfügbarkeit ebenso wichtig sein wie die Datensicherheit, somit bekommt das Business-Continuity-Management im Unternehmen einen höheren Stellenwert. Es muss sich dann auch mit der Frage beschäftigen, wie vernetzte Partner künftig sicher in die Netzwerke eingebunden werden und was der Gesetzesgeber fordert – wie beispielsweise mit der Datenschutzgrundverordnung (DSGVO). Doch um all diese Anforderungen zu erfüllen und die neuen Probleme pragmatisch zu lösen, ist ein größeres Budget und vor allem der Aufbau personeller Ressourcen von Nöten.

 

Sicherheit ist Chefsache

Die Umfrageergebnisse zeigen, dass die Fragen der IT- und Informationssicherheit in den gesamten digitalen Veränderungsprozess miteinbezogen werden müssen – bis jetzt geschieht das nicht, obwohl von der digitalen Reise die gesamte Organisation betroffen ist. Um das Sicherheitsrisiko zu minimieren, ist es eminent wichtig, dass die Sicherheitsrelevanz aller Personen, Prozesse, Geräte, Anwendungen und Daten definiert, klassifiziert und risikoadäquat geschützt wird. Damit der Mensch weniger als Stolperstein und vielmehr als unverzichtbarer und verantwortungsbewusster Akteur und Umsetzer der Digitalisierung wahrgenommen wird, müssen ihm nicht nur digitale Verhaltensregeln zur Verfügung gestellt, sie müssen ihm mit aller Deutlichkeit erklärt werden, damit keine Unklarheit besteht, wie man sich in sicherheitsrelevanten Fragen zu verhalten hat – hier wird eine neue Generation von Sicherheitsbeauftragten benötigt, die diese Stelle nicht nur zu Alibizwecken zugeschoben bekommen.

Cyber-Security – Zögernde Haltung kann zu verpassten Chancen führen