Wie leben Unternehmen verschiedener Größe IT-Sicherheit?

Cyberangriffe sind längst als ernstzunehmende Bedrohung im Bewusstsein deutscher Unternehmen angekommen. Doch die Intensität, mit der gegen diese Angriffe vorgegangen wird, unterscheidet sich je nach Branche und Unternehmensgröße. Das haben wir mit Unterstützung der techconsult in einer Studie ermittelt.

Die Eckdaten

Befragt wurden über 200 Unternehmen mit bis zu 1.000 Mitarbeitern aus verschiedenen Branchen: 33% aus dem Dienstleistungssektor, 27% aus der Industrie, 13% aus dem Handel, 10% aus dem öffentlichen Sektor sowie 8% aus der Finanzbranche. Den größten Anteil mit 38% hatten dabei Unternehmen mit 50-249 Mitarbeiter, gefolgt von Unternehmen mit 250-499 (24%) und unter 50 Mitarbeitern (23%). Großunternehmen mit einer Belegschaft von 500-999 Personen machten 15% aus. Knapp die Hälfte der Befragten waren IT-Leiter und CIOs sowie IT-Mitarbeiter, -Administratoren und -Spezialisten. Die zweite Hälfte setzte sich zusammen aus weiteren C-Level-Positionen – CISOs eingeschlossen – Compliance-Spezialisten und Sicherheits- und Datenschutzbeauftragten.

Zuständigkeiten, Stellenwert und Umsetzung

Der IT-Leiter ist in fast allen Unternehmen haupt- oder mitverantwortlich für die IT-Sicherheit (83%). In 64% der Fälle ist es der IT-Security-Leiter. 27% der Unternehmen besetzen diese Position nicht einmal. Ähnlich schwach vertreten sind Compliance- und Governance-Verantwortliche. Die Position ist bei mehr als zwei Drittel der Unternehmen nicht vorhanden. Falls doch, haben sie im Vergleich den geringsten Einfluss (40%) auf Prozesse der IT-Sicherheit.

Die Studienergebnisse zum Thema Stellenwert sind leider wenig überraschend: Je kleiner die Unternehmen, umso seltener ist IT-Sicherheit Teil der Unternehmensstrategie. 50% bzw. 42% der Unternehmen mit weniger als 50 bzw. 50-249 Mitarbeitern setzen Security-Maßnahmen proaktiv nur punktuell um, z.B. im Rahmen von Gesetzesvorgaben oder erst nach einem Sicherheitsvorfall.

Selbst bei Großunternehmen mit über 500 Mitarbeitern liegt dieser Wert noch bei 32%. Die verbleibenden 68% Prozent der Unternehmen in dieser Größenordnung sehen IT-Sicherheit als einen zentralen Bestandteil ihrer Unternehmensstrategie. Ein Grund für den hohen Anteil an punktuellen Maßnahmen ist sicherlich, dass beim Großteil der Unternehmen der IT-Leiter neben seinen zahlreichen anderen Pflichten auch für Security zuständig ist. Da ist es wenig erstaunlich, dass Cybersicherheit nur dann Beachtung findet, wenn unbedingt erforderlich wie bei der DSGVO.

In Sachen Umsetzung setzen die Unternehmen größtenteils immer noch auf die Klassiker: Lösungen wie Firewall (67%), Spamfilter (63%) und Antivirus (62%) führen die Liste an. Auch das zeigt, dass Security häufig nebenbei gehandhabt wird. Viele Unternehmen setzen einfach auf diese drei Basics bei der Umsetzung ihrer IT-Sicherheit. Dahinter folgen Schulungen (57%) und Sensibilisierungskampagnen (50%) für die eigenen Mitarbeiter – noch vor Verschlüsselungstechnologien (ca. 49%).

Das Management durch externe Dienstleister ist besonders bei der kleinsten Unternehmensgröße mit 50% (Gesamt 35%) eine der wichtigsten Eigenschaften bei der Wahl von Security-Leistungen. Generell sind externe Security Provider für Unternehmen, die sich nicht selbst um ihre Sicherheitsstrategie kümmern können bzw. wollen, am sinnvollsten. Das ist besonders dann der Fall, wenn es Unternehmen an Ressourcen mangelt wie Security-Fachkräfte oder -Know-how.

Erfahren Sie in unserem nächsten Blogbeitrag Zahlen und Fakten zum aktuellen Status Quo der IT-Sicherheit in den befragten Unternehmen – von Security-Budgets bis hin zu Herausforderungen wie Personalmangel!