IBM Studie: Chefetage wiegt sich häufig zu sehr in IT-Sicherheit

Das obere Management – in der sogenannten C-Suite – sollen ja die Geschicke des Unternehmens bestimmen, müsste also auch die vorhandene IT-Sicherheit realistisch einschätzen können. Gestern hatte ich im Artikel Erpressungs-Software auf dem Vormarsch ja schon einen Ausflug in die Welt der Industrie und des Managements unternommen. Heute mal ein Blick in eine IBM-Studie zur Einschätzung der IT-Sicherheit in Firmen durch deren oberes Management.


Werbung



IBM hat im Rahmen der Studie mehr als 700 Führungskräfte aus 28 Ländern in 18 Branchen befragt. Die Studie befasst sich mit Cybersicherheit und die Befragung fand im C-Suite-Management statt. C-Suite steht für die Manager, die das C im Titel tragen: Also CEO (Chief Executive Officer) oder der CFO (Chief Financial Officer) – Angehörige des Top-Managements im Unternehmen. Einzig CISOs (Chief Information Security Officer) wurden nicht befragt, da es diese häufig noch nicht gibt – und wenn ja, wissen die meist, wie es wirklich um die Sicherheit steht.

Wir sind sicher, weil der CEO das denkt …

Kurzexcerpt der Befragten: Rund zwei Drittel (65%) der Befragten sind sich sehr sicher, ihr Unternehmen sei gut gegen IT-Sicherheitsrisiken aufgestellt. Bei näherem Hinsehen stellt sich heraus, dass weniger als ein Fünftel (17%) nachweisen können, alles Nötige zu tun, um sich etwa vor Cyberangriffen zu schützen. Und das ist nicht der einzige Irrtum, dem die Chefetagen laut der Studie erliegen. Die Studie kommt zum Schluss, dass eine intensivere Abstimmung zwischen C-Suite und CISOs zur Bedrohungslage bei Unternehmen erforderlich sei. Denn die meisten Manager behaupten beim Thema Cybersicherheit, dass ihre IT sei sicher – wirklich nachweisen können das die wenigsten.

Details aus der Studie

Naiv wie ich bin, hatte ich mal gedacht: Wissen ist Macht. Aber im Management herrscht wohl eher “Glauben” vor. Aber mit dem Glauben ist das so eine Sache. “Unsere aktuelle C-Suite-Studie schlägt die Brücke zwischen Wahrnehmung und Wahrheit beim Thema IT-Sicherheit in Unternehmen“, sagt Gerd Rademann, Business Unit Executive, IBM Security Systems DACH. “So glauben etwa 70 Prozent der von uns befragten Top-Führungskräfte, dass wie einsame Wölfe agierende Hacker die größte Bedrohung für ihre Organisation darstellen. Dabei wissen wir, dass 80 Prozent der Cyberattacken von ausgezeichnet organisierten Banden ausgehen.“

Für ihre aktuelle C-Suite-Studie hat IBM mehr als 700 Führungskräfte aus 28 Ländern in 18 Branchen befragt. Zu diesen zählen etwa der CEO (Chief Executive Officer) oder der CFO (Chief Financial Officer), also alle Chefs mit „C“ im Titel. Einzig CISOs (Chief Information Security Officer) wurden nicht befragt. Zum einen, weil noch nicht jedes Unternehmen diese Rolle etabliert hat und zum anderen, weil die CISOs die Lage ihrer Organisationen beim Thema IT-Sicherheit kennen dürften – was bei den Leitern der einzelnen Bereiche wie Marketing, Personal oder Vertrieb oft nicht der Fall ist.

Die Wenigsten sind „cybergesichert“

Selbst die obersten Chefs tappen oft im Dunkeln: So glauben über die Hälfte (55%) der befragten CEOs und sogar drei Viertel (76%) der CIOs (Chief Information Officer), ihre Organisation sei beim Thema Cybersicherheit sehr gut aufgestellt. Insgesamt meinen das rund zwei Drittel aller Top-Führungskräfte.

Dabei stellte IBM fest, dass diese Behauptung bei gezieltem Nachfragen nur bei 17 Prozent der Unternehmen haltbar ist. Solche Unternehmen bezeichnet die C-Suite-Studie als „cybergesichert“ („cybersecured“). Sie unterscheiden sich vom Rest zunächst dadurch, dass sie bereits einen CISO etabliert haben. Zudem verfügen diese Unternehmen über einen Plan, wie sie Top-Führungskräfte beim Thema IT-Sicherheit einbeziehen und tun dies auch, indem sie mehr Transparenz schaffen.

Nur die Bad Guys arbeiten zusammen

Auch beim Thema Kollaboration klaffen Anspruch und Wirklichkeit auseinander. So ist zwar über die Hälfte (55%) aller befragten CEOs davon überzeugt, eine stärkere Zusammenarbeit der Wirtschaft sei dringend notwendig, um Cyberkriminalität effektiv zu bekämpfen. Doch sind nur ein Drittel (32%) der Geschäftsführer auch bereit, relevante Informationen mit anderen außerhalb ihrer Organisation zu teilen.

Ganz anders die Bad Guys: Bei Cyberkriminellen ist Sharing in Echtzeit an der Tagesordnung – etwa über Kanäle im Dark Web, einem nicht über Suchmaschinen auffindbaren Teil des Internets.

Um auch den Good Guys beim Datenaustausch auf die Sprünge zu helfen, hat IBM im Jahr 2015 das X-Force-Exchange-Netzwerk gegründet. Die soziale Plattform in der Cloud erlaubt den offenen Zugang zu historischen und Echtzeit-Daten-Aufzeichnungen von Sicherheitsbedrohungen, einschließlich Life-Reports des weltweiten Threat-Monitoring-Netzwerks der IBM. Damit können sich Unternehmen effektiver und gezielter gegen Cyberattacken wehren. Mir war das aber unbekannt – gut, ich gehöre ja auch nicht zur C-Suite Mafia Zwinkerndes Smiley.

Marketing-, Personal- und Finanzdaten begehrt

Aufpassen sollten vor allem Chefs von Marketing, Personal oder der Finanzabteilung. Hier liegen die Daten, auf die es Cyberkriminelle besonders abgesehen haben, wie Kunden- und Mitarbeiterdaten, Bilanzen oder gar Zugänge zu Bankkonten. Immerhin haben CMOs (Chief Marketing Officer), CHROs (Chief Human Ressources Officer) und CFOs den Handlungsbedarf erkannt: 60 Prozent von ihnen bestätigen in der C-Suite-Studie, dass sie und ihre Abteilungen keine aktive Rolle in der Planung und Ausführung der IT-Security-Strategie in ihrem Unternehmen spielen. So haben etwa nur 57 Prozent der CHROs Mitarbeiterschulungen zur Cybersicherheit eingeführt.


Werbung

Die komplette IBM C-Suite-Studie samt Infografiken auf Englisch kann unter folgendem Link heruntergeladen werden.


Werbung

Dieser Beitrag wurde unter Allgemein, Sicherheit abgelegt und mit , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

2 Kommentare zu IBM Studie: Chefetage wiegt sich häufig zu sehr in IT-Sicherheit

  1. Ralf sagt:

    Dabei sollte man aber nicht vergessen, dass IBM als Dienstleister nicht neutral ist und neben Sicherheits-Auditoring auch gerne das komplette Outsourcing von IT-Abteilungen übernimmt. Jeder festgestellte Missstand ist daher auch ein Argument, auf eine eigene IT zu verzichten und es lieber den Profis (wie IBM) zu überlassen oder teure Sicherheitssoftware samt Dienstleistung einzukaufen. Deshalb sollte man solche Studien immer kritisch unter dem Blickwinkel betrachten, mit welcher Intention eine solche Erhebung durchgeführt wurde. Sätze wie “Aber im Management herrscht wohl eher “Glauben” vor.” könnten vielleicht unter diesem Gesichtspunkt doch ein wenig vorschnell sein. Man wird einem externen Dienstleister, der Aufträge haben will, nun auch nicht alle Interna offenlegen (und auch nicht müssen).

  2. Herr IngoW sagt:

    Es gibt ja Firmen die absolut Beratungsresistent sind, die arbeiten mit WinXP/2000 und mit allerlei Freeware-Programmen (wenigstens haben sie “AVIRA-Pro”). Also an der IT wird nur gespart, externe IT-Firma (die müssen ja machen was vorgegeben wird, am Ende sind sie ja sowieso schuld) keine eigenen Leute die für IT-Sicherheit zuständig sind, von Schulungen ganz zu schweigen usw..
    Ich bin gespannt wann der ganze sch…….. zusammenbricht und die Daten alle weg sind (schon mal teilweise passiert, es wurden dann uralte Sicherungen eingespielt, so halbes Jahr oder älter).
    Das ist bei vielen Unternehmen so. Die Ignoranz bei den Chefs ist sehr weit verbreitet, sparen ist das wichtigste vor allem am Personal an der Infrastruktur und natürlich an der IT aber nicht am eigenen Gehalt da kann es nicht genug sein!
    Da fällt einem nichts mehr zu ein.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.