Risiko Cyber-Angriff – bei der Vorsorge hapert es noch

Risiko Cyber-Angriff – bei der Vorsorge hapert es noch

11. Dezember 2017 Marktbeobachtung

Die Themen IT-Sicherheit und Datenschutz dürften in den nächsten Jahren deutlich mehr Aufmerksamkeit erhalten. Die Zahl erfolgreicher Cyber-Angriffe steigt stetig. Und damit auch das Risiko missbräuchlicher Verwendung personenbezogener Daten.
Nach Einschätzung des Bundesamtes für Informationssicherheit (BI) sind Unternehmen und Behörden derzeit deutlich verwundbarer als noch vor einigen Jahren. Grund sei die zunehmende Digitalisierung, die zusätzliche Risiken mit sich bringt. Das diese sehr konkret sind, zeigt die jüngst vom Branchenverband Bitkom veröffentlichte Studie “IT-Angriffe 2017”. Danach wurden in 2017 “zwei Drittel der Unternehmen Opfer von IT-Vorfällen”.

Gestiegenes Risikobewusstsein
Das Risiko für Unternehmen und Behörden, Ziel eines Cyber-Angriffes zu werden, ist heute bereits sehr hoch und dürfte vermutlich in Zunkunft weiter steigen. Die Bedrohungslage wird aktuell auch von den IT-Verantwortlichen deutlich höher eingeschätzt als noch vor einem Jahr. Das zeigen die von ama durchgeführten Trendumfragen zu diesem Thema. Im Frühjahr 2016 gingen noch rund 50 Prozent der Befragten – mit Blick auf den eigenen IT-Standort – von einer aktuell “hohen” bis “sehr hohen Bedrohungslage” aus. Im Sommer 2017 sind bereits rund 62 Prozent der Befragten dieser Meinung (siehe Grafik 1). Die Autoren der vorgenannten Bitkom-Studie weisen für 2017 einen ähnlichen Wert aus: “61 Prozent der Unternehmen geben an, dass sie das Risiko, Opfer von Hackern oder Cyberkriminellen werden, für sehr groß halten”, so die Autoren in einer Presseinformation.

Mehrheit hält Risiken für nur bedingt beherrschbar
Die Auswirkungen von Hacker-Angriffen können erheblich sein. Gestohlene Kundendaten schaden nicht nur der Reputation sondern können auch erhebliche Regressforderungen auslösen. Künftig kommt noch das Risiko hoher Bußgelder hinzu (siehe Punkt EU-Datenschutz).

Vor diesem Hintergrund fragte das ama Research-Team die IT-Entscheider danach, für wie beherrschbar sie die Lage einschätzen und inwieweit der eigene IT-Standort auf den konkreten Fall einer Attacke vorbereitet ist. Ein weiterer Aspekt war, in welchem Umfang organisatorische Maßnahmen zur Schadensbegrenzung ergriffen wurden.

Das Ergebnis: Derzeit geht eine deutliche Mehrheit (rund 57 %) der befragten IT-Verantwortlichen davon aus, dass die von externen Cyber-Attacken ausgehenden Risiken “nur bedingt beherrschbar sind” (Grafik 2). Dennoch verfügen etwa nur 39 Prozent der befragten IT-Standorten über ein schriftlich formuliertes Notfallmanagement (siehe Grafik 3). Rund 44 Prozent der befragten IT-Standorte befinden sich bei dieser Fragestellung noch mehr oder weniger in einer Informations- und Planungsphase: Lediglich 11,3 Prozent planen konkret die Implementierung eines Notfallmanagements und 32,6 % prüfen erst noch das vorhandene Sicherheitskonzept. Während 17 Prozent explizite Maßnahmen dieser Art nicht für erforderlich halten.


Nur eine Minderheit bereitet sich auf strengeren EU-Datenschutz vor
Der Handlungsdruck, mehr in die IT-Sicherheit und Datenschutz zu investieren, dürfte im nächsten Jahr allerdings deutlich zunehmen. Bereits im Juli 2016 verstärkte die EU ihre Anstrengungen zur IT-Sicherheit. Das EU-Parlament verabschiedete mit großer Mehrheit neue Vorschriften zur Verbesserung der Sicherheit von Netzwerk- und Informationssystemen. Unter anderem bedeutet dies für bestimmte Unternehmen, die “essenzielle Dienste” anbieten, wie Wasser- oder Energieversorger, dass diese IT-Angriffe auf eigene Systeme melden müssen. Eine weitere Gesetzesinitiative der EU, die “EU-Datenschutzgrundverordnung (DSGVO)” betrifft einen weit größeren Kreis von Unternehmen. Die vom 25. Mai 2018 an geltenden Regeln müssen nun, nach einer zwei Jahre lang gewährten Übergangsfrist, fast alle Unternehmen einhalten, die in irgendeiner Form Kundendaten speichern oder verwalten. Andernfalls drohen Bußgelder in Millionenhöhe.
Demnach sollte das Thema bei den IT-Verantwortlichen in allen mittelständischen und größeren Unternehmen eigentlich höchste Priorität haben. Schließlich betrifft die jüngste EU-Verordnung sowohl die IT-Infrastruktur als auch IT-gestützte Prozesse. Die von ama im Oktober/November 2017 durchgeführte Umfrage offenbart jedoch, dass nur knapp jeder dritte IT-Standort (28 %) konkrete Maßnahmen einleitete bzw. bereits umsetzte (Grafik 4). Knapp jeder fünfte Befragte erkennt “keinen Handlungsbedarf” (22,0 %). Jeder zweite bereitet sich mehr oder weniger konkret auf mögliche Anpassungen oder Maßnahmen vor.

Nur geringer Einfluss der EU-Verordnung auf Cloud-Anbieter?
Ausserhalb der EU ansässige IT-Anbieter müssen sich ab Mai 2018 ebenfalls an die EU-Datenschutzgrundverordnung halten. Das ama-Research-Team ging der Frage nach, inwieweit diese Vorgabe Auswirkungen auf die außereuropäischen Anbieter von externen Cloud-Diensten haben wird. Wie die Auswertung der Antworten zeigt, konnte die neue DSGVO bisher noch nicht alle Bedenken seitens der IT-Entscheider ausräumen. Rund 70 Prozent der Befragten sind derzeit davon überzeugt, dass die IT-Entscheider weiterhin einen Cloud-Anbieter mit europäischen Standorten favorisieren (siehe Grafik 5). Cloud-Anbieter mit Sitz außerhalb Europas werden demnach noch längere Zeit mit Vorbehalten deutscher Entscheider leben müssen, jedenfalls was die Einhaltung der europäischen Datenschutzvorgaben betrifft.

Fazit
Unternehmen und Behörden treffen, trotz erhöhter Bedrohungslage und Zweifel an der Beherrschbarkeit von Cyber-Risiken, offenbar nicht ausreichend Vorsorge für eine angemessene Schadensbegrenzung. Auch dürfte es nur eine Minderheit der Unternehmen schaffen, die Vorgaben der EU-Datenschutzgrundverordnung fristgerecht umzusetzen. Für die Mehrheit der Unternehmen wächst jedenfalls der Handlungsdruck – angesichts der bisher eher unzureichenden Vorbereitung auf die Verordnung und angesichts der darin enthaltenen, massiven Strafandrohungen.



Teile den Beitrag







ama im Blick
×

 

    Mit dem Absenden des Kontaktformulars, erklären Sie sich damit einverstanden, dass Ihre Daten zur Bearbeitung Ihres Anliegens verwendet werden (Weitere Informationen und Widerrufshinweise finden Sie in der Datenschutzerklärung). Weitere Details über unser Unternehmen finden Sie im vollständigen Impressum
  • Dieses Feld dient zur Validierung und sollte nicht verändert werden.
×
DAS NEUE AMA WHITEPAPER
Jetzt kostenlos das Whitepaper mit Handlungsempfehlungen
der EMIG und Rechtsexperten als PDF downloaden
Ich habe die Datenschutzerklärung gelesen und bin mit der Verarbeitung meiner personenbezogenen Daten einverstanden.
Ich bin damit einverstanden neben den angeforderten Informationen weitere Informationen von ama per E-Mail zu erhalten. (z.B. Newsletter, E-Books, Webinare)