In einem Punkt unterscheiden sich kleinere und grössere Unternehmen kaum: der Mensch ist mit Blick auf die ICT-Sicherheit ein grosser Risikofaktor. In beiden Segmenten sind aus Sicht der Unternehmen die Mitarbeitenden die schwächste Stelle in den Sicherheitskonzepten. (Kleine Unternehmen = bis 99 Mitarbeiter, grössere ab 100).
Die Unterschiede bei der Umsetzung und Abwehr von Cyberattacken fallen oft sehr unterschiedlich aus: während in kleinen Firmen oft lediglich einfache Antivirenprogramme auf PCs zur Abwehr eingesetzt werden, sind in grösseren Unternehmen beispielsweise gemanagte Security Operation Centers (SOC) im Einsatz. Natürlich spielen die zur Verfügung stehenden Mittel eine gewichtige Rolle bei der Umsetzung und Aufrechterhaltung entsprechender Sicherheitskonzepte. Während grössere Unternehmen ihre Ausgabenpläne fix in einem diesbezüglichen Budget festschreiben, so entscheidet knapp ein Drittel der kleineren Firmen adhoc und spontan über Anschaffungen und Ausgaben im Security Bereich. Es liegt hier nicht nur am Mangel an Mitteln, sondern oftmals daran, dass sie ihre Sicherheitsvorkehrungen besser einschätzen, als sie tatsächlich sind. Darauf zu hoffen, dass Cyberattacken nur die Grossen treffen, ist keine Strategie, Attacken werden auch gegen die kleineren Firmen gefahren.
Zurück zu den grösseren Unternehmen: hier rechnet deutlich mehr als die Hälfte in den kommenden 24 Monaten mit einer steigenden Anzahl der Angriffe auf ihre ICT. Erwartet werden insbesondere ein Anstieg an Ransomware sowie weitere böswillige Attacken. Mit Blick auf die Sicherheitsdispositive im Unternehmen stufen knapp zwei Drittel der befragten Unternehmen die fehlende Awareness der Mitarbeitenden als grösste Gefahr und Schwachstelle ein. Die Studie 2021 hat wiederholt deutlich gemacht, dass für die Unternehmen der menschliche Faktor in den Sicherheitskonzepten eine zentrale Rolle darstellt. Eine flächendeckende Sicherheit beinhaltet eben nicht nur die Sicht nach aussen und auf technologische Massnahmen, sondern bedarf auch Vorkehrungen auf der Basis einer kritischen Sicht auf die Organisation und den Faktor Mensch.
Ebenfalls mit Blick auf die kommenden 24 Monate wollen die Unternehmen mit höchster Priorität die folgenden Themen im Bereich der ICT-Sicherheit angehen: Mitarbeitersensibilisierung (Training und Awareness), Netzwerksicherheit (Firewall, IDS/IPS, Unified Threat Management) sowie Datenschutz und Privacy.
Um den steigenden Herausforderungen entsprechend begegnen zu können, arbeitet eine zunehmende Zahl von Unternehmen mit externen Dienstleistern zusammen. So nehmen bereits heute vier von fünf
Unternehmen Managed Security Services in Anspruch oder planen dies zu tun. Kommen externe Dienstleister zum Zug, setzen 57% auf spezialisierte ICT-Security Anbieter, 47% auf ihre angestammten
ICT-Dienstleister. So oder so, der Big Shift, die Verlagerung von bislang intern selbst erbrachten Services an externe Provider hat auch im Bereich der ICT-Sicherheit deutlich an Fahrt
aufgenommen.
Publikation Artikel: März 2022 Autor: Philipp A. Ziegler, CEO, MSM Research AG