Laut der kürzlich erschienen Umfrage „The Global State of Information Security Survey®“ der Wirtschaftsprüfungs- und Beratungsgesellschaft PwC hat sich die Zahl der Sicherheitsvorfälle in diesem Jahr im Vergleich zu 2013 um 48% erhöht. Das sollte Wirtschaftsakteuren einmal mehr verdeutlichen, wie wichtig es ist, sich mit der Sicherheit von sensiblen Daten auseinanderzusetzen und entsprechende Strategien und Policies innerhalb des Unternehmens zu implementieren.
Vom 27. März bis zum 25. Mai dieses Jahres hat PwC mehr als 9.700 Topmanager aus 154 verschiedenen Ländern zum Thema Informationssicherheit befragt. Die Ergebnisse sprechen dafür, dass das Bewusstsein für die Gefahren durchaus vorhanden ist, in Bezug auf die Umsetzung entsprechender Sicherheitsstrategien jedoch noch Aufholbedarf besteht.
Im Vergleich zu 2013 stieg die Anzahl von Sicherheitsvorfällen in diesem Jahr um 48% auf insgesamt 42,8 Millionen Vorfälle. Dass mit dieser Zunahme auch eine Steigerung der finanziellen Schäden einhergeht, ist nicht sonderlich verwunderlich. So hat sich die Zahl der Befragten, die Verluste von 20 Millionen Dollar oder mehr zu verzeichnen hatten, im Vergleich zum Vorjahr nahezu verdoppelt.
PwC vermutet allerdings, dass nicht allein die hohe Zahl an Vorfällen verantwortlich ist für die Steigerung der finanziellen Schäden. Hinzu kommt nämlich, dass die Beeinträchtigungen innerhalb des Informationssystems nicht mehr nur die IT-Abteilung betreffen, sondern sich auch auf andere Bereiche des Unternehmens auswirken. So erklärte William Boni, Corporate Information Security Officer bei T-Mobile US: „Finanzielle Verluste schließen nun auch Maßnahmen ein, um die externen Auswirkungen für Kunden zu überwachen, statt sich lediglich auf Betriebsstörungen innerhalb der Firewall einer Organisation zu beziehen.“
Umso erstaunlicher, dass die Umfrage zudem ergeben hat, dass die Ausgaben für Cyber-Sicherheit um 4% zurückgegangen sind. Fairerweise muss man jedoch darauf hinweisen, dass diese Zahl vor allem Kleinunternehmen mit einem Umsatz von weniger als 100 Millionen Dollar geschuldet ist. Hier haben sich die Ausgaben um 20% verringert, während mittlere und große Unternehmen ihre IT-Sicherheitsbudgets jeweils um 5% aufgestockt haben. Unabhängig von der Unternehmensgröße sind die Ausgaben in Relation zum gesamten IT-Budget allerdings sehr gering und stagnieren mehr oder weniger schon seit einigen Jahren.
Oftmals neigt man dazu, bei Sicherheitslücken mit den Fingern direkt in Richtung Hacker, kriminelle Gruppen oder gar staatliche Spionageeinrichtungen zu zeigen. Wie die Befragten erklärten, geht die Gefahr aber meistens vom Innern des Unternehmens aus – vor allem von gegenwärtigen oder ehemaligen Mitarbeitern. Diese haben oftmals gar keine bösen Absichten und gefährden die Daten unwissentlich durch Verlust eines Mobilgeräts oder aber zielgerichtete Phishing-Angriffe. Das ist vor allem deshalb besorgniserregend, weil diese internen Akteure den größten Schaden anrichten können.
Vor diesem Hintergrund wird deutlich, dass Unternehmen verstärkt an der Implementierung von Sicherheitsmaßnahmen jeglicher Art arbeiten müssen. Neben den notwendigen Technologien, um Netzwerke und sensible Unternehmensdaten zu schützen, müssen vor allem auch die Mitarbeiter in Bezug auf Datenschutzregeln und -praktiken geschult werden. Leider konnte PwC in der Umfrage feststellen, dass umfangreiche Sicherheitsstrategien und -policies offensichtlich noch immer nicht selbstverständlich sind. Positiv wird allerdings angemerkt, dass es in vereinzelten Bereichen Verbesserungen gab, z.B. bei der Sicherheit von Mobilgeräten. Für einen wirklich guten Schutz gegen Sicherheitsvorfälle kann dies aber nur ein erster Schritt sein.
