Die Ergebnisse zeigen, dass Unternehmen branchenübergreifend unter enormen Digitalisierungsdruck stehen. Banken müssen sich mit Technologien wie Blockchain und Robo Advisory gegenüber Fintechs und Neobanken behaupten. Die Industrie verteidigt ihre Marktstellung durch eine vernetzte Produktion, und Energieversorger tüfteln an neuen Geschäftsmodellen durch den Einsatz intelligenter Netze und Stromzähler. Das führt dazu, dass Entscheider im Einzelfall digitale Projekte absegnen, ohne vorher alle Sicherheitsrisiken zu kennen. „Die IT-Entscheider wissen, dass sie die Entwicklung einer neuen App oder die Einführung einer Software nicht pauschal aufhalten dürfen. Das widerspricht den Erwartungen des Marktes an Agilität“, sagt Dr. Gerald Spiegel, Leiter Information Security Solutions bei Sopra Steria Consulting.
IT-Sicherheit und schnelle Produktentwicklung konkurrieren immer stärker
Umso wichtiger werden IT-Sicherheitsstrategien, die Cyber-Risiken wie WannaCry und Petya begegnen und dennoch die Geschwindigkeit einer digitalisierten Wirtschaft ermöglichen. „Wichtig ist, eine differenzierte Sicherheitsstrategie zu verfolgen. Der Umfang der im Rahmen einer Risikoanalyse ermittelten Maßnahmen hängt unter anderem vom möglichen Schaden ab, von der Wahrscheinlichkeit eines Angriffs sowie von der Wirksamkeit der Maßnahmen und der Dauer der Umsetzung“, sagt Gerald Spiegel. Die Unternehmen in Deutschland sind hier noch auf der Suche nach der richtigen Balance zwischen Risikobereitschaft bei Innovationen und der Sicherheit der betriebenen Lösung. Die Mehrheit startet Digitalprojekte und versucht, während der Umsetzung mögliche Sicherheitsrisiken zu adressieren.
In fast jedem zweiten Unternehmen (49 Prozent) muss vor Fertigstellung einer IT-Anwendung ein Sicherheitskonzept vorliegen. Elf Prozent der Entscheider geben an, dass die IT-Sicherheitsstrategien erst nach der Einführung einer App oder anderen Technologie erarbeitet werden. In der Automobil- und Energiebranche sowie der öffentlichen Verwaltung hat die Sicherheit am häufigsten Vorrang vor der schnellen Markteinführung. Jeder zweite Entscheider in dieser Branche gibt an, dass IT-Projekte nur gestartet werden dürfen, wenn Schutzbedarfsanalyse, Risikobewertung und Abwehrmaßnahmen vorliegen.
IT-Risikoanalyse häufig Handarbeit
Darüber hinaus gewinnen automatisierte Sicherheitsverfahren an Bedeutung. Die Erstellung von IT-Sicherheitskonzepten ist heute in der Mehrheit der Unternehmen Handarbeit und erfolgt aufgrund fehlender Ressourcen oft rudimentär. „Das Tempo für das Erkennen und Schließen realer und potenzieller Einfallstore für Cyberattacken muss sich dem der Digitalisierung stärker anpassen. Es braucht so etwas wie eine agile IT-Risikoaufklärung, die laufend mit Daten gefüttert, selbstständig IT-Sicherheitskonzepte und -maßnahmen für neue Technologien erstellt“, so Gerald Spiegel von Sopra Steria Consulting.
Links:
Zur Potenzialanalyse "Digital Security"
Zum Managementkompass Cyber Security
Zur Infografik Cyber Security
Über die Studie:
Für die „Potenzialanalyse Digital Security" wurden im Auftrag von Sopra Steria Consulting im April 2017 mehr als 200 (n=205) IT-Entscheider aus Unternehmen ab 500 Mitarbeitern aus den Branchen Banken, Versicherungen, sonstige Finanzdienstleister, Energieversorger, Automotive, sonstiges Verarbeitendes Gewerbe, Telekommunikation und Medien, Öffentliche Verwaltung befragt. Explizit ausgeschlossen wurden Beratungsunternehmen und Anbieter von IT-Lösungen.