Das IT-Sicherheitsmanagement der Unternehmen in Deutschland unterscheidet sich je nach Branche. Banken und Versicherer achten stark auf die Mitarbeiterschulung. Öffentliche Verwaltungen und Energieversorger sind besonders vorsichtig beim Einführen neuer Technologien, dafür fehlt in diesen Branchen häufig ein ausgefeiltes Sicherheitsmanagement für Smartphones und Laptops. Die Automobilbranche ist führend beim Überprüfen von Zulieferern und Dienstleistern. Das sind Ergebnisse der Studie „Potenzialanalyse Digital Security“ von Sopra Steria Consulting.
61 Prozent der Unternehmen besitzen branchenübergreifend eine IT-Sicherheitsstrategie, 32 Prozent arbeiten daran. Bei der Umsetzung einzelner Konzepte und Maßnahmen sind die einzelnen Branchen im Durchschnitt unterschiedlich weit oder setzen verschiedene Schwerpunkte. Differenzen gibt es unter anderem beim Sicherheitsbaustein Mitarbeiter Awareness. Banken und Versicherer sind beispielsweise besonders penibel bei der Schulung ihres Personals. Fast sechs von zehn Finanzdienstleistern führen in regelmäßigen Abständen Trainings mit allen Mitarbeitern durch. Andere Branchen gehen hier dosierter vor. Im Durchschnitt beschränken 40 Prozent der Automobilhersteller und Telekommunikationsdienstleister regelmäßige Trainings auf eine ausgewählte Mitarbeitergruppe. Die komplette Belegschaft wird punktuell unterwiesen – zu Beispiel beim Einstieg in das Unternehmen, bei akuten Bedrohungen durch Cyberkriminelle sowie beim Erkennen neuer Sicherheitslücken durch die eigene IT-Abteilung.
Unterschiedliche personelle Bedingungen herrschen beim Aufbau von Kow-how und Kompetenzen in den IT-Abteilungen. Finanzdienstleister und öffentliche Verwaltungen sind mehr als andere Branchen auf das Rekrutieren von IT-Sicherheitsspezialisten angewiesen. Jede dritte Bank oder Versicherung (36 Prozent) sowie Behörde oder Ministerium (34 Prozent) sucht auf dem Arbeitsmarkt nach Experten für Cyber Security. In anderen Branchen setzen die Unternehmen deutlich häufiger auf interne Weiterbildung. Drei Viertel der verarbeitenden Industrie, Autohersteller und der Energieversorger qualifizieren ihre IT-Fach- und Führungskräfte für spezielle IT-Sicherheitsaufgaben, um künftig schneller auf Angriffe durch Erpressungstrojaner wie WannaCry und Petya zu reagieren.
« Sicherheit zuerst » gilt vor allem in drei Branchen
IT-Sicherheit gilt häufig als Bremser der Digitalisierung. Welche Prioritäten Unternehmen setzen, ist ebenfalls von Branche zu Branche unterschiedlich. Bei der Einführung neuer Technologien kennen Automobilhersteller keine Grauzone. 95 Prozent der IT-Entscheider melden zurück, in ihre Unternehmen wird keine neue digitale Technologie verbaut, ohne vorherige, genaue Kenntnis der IT-Risiken. Im Branchendurchschnitt berichtet jeder dritte Entscheider, dass mitunter Technologien auch dann genutzt werden, auch wenn IT-Risiken nicht zu 100 Prozent bekannt sind. Zudem ist der Automobilsektor besonders wachsam bei der Zusammenarbeit mit externen Zulieferern und Dienstleistern. 80 Prozent fordern von ihren Partnern ein Sicherheitszertifikat und vereinbaren Mindeststandards. 70 Prozent führen Lieferantenaudits durch.
Öffentliche Verwaltungen und Energieversorger ziehen eine ähnlich strikte Sicher-zuerst-Strategie durch. „Alle drei Branchen haben dazu guten Grund: Kein Hersteller kann es sich erlauben, dass vernetzte Fahrzeuge zum Sicherheitsrisiko werden“, sagt Gerald Spiegel, Senior Manager Information Security Solutions bei Sopra Steria Consulting. „Zudem gelten IT-Systeme öffentlicher Verwaltungen und Energieunternehmen als kritische Infrastrukturen (KRITIS) und müssen durch das IT-Sicherheitsgesetz besondere Auflagen erfüllen“, so Spiegel.
Lücken beim Schutz mobiler Endgeräte
Einige Branchen organisieren ihr IT-Sicherheitsmanagement noch zu aufwändig. Beim Umgang mit mobilen Endgeräten werden vorhandene Instrumente häufig nicht genutzt. 77 Prozent der Energieversorger besitzen zwar eine Mobile Security Policy, und 92 Prozent überprüfen die Einhaltung der Regelwerke regelmäßig. Nur 54 Prozent nutzen allerdings ein systematisches Mobile Device Management (MDM), das für die nötige Transparenz sorgt und damit Kontrollen signifikant erleichtert. Im Durchschnitt aller befragten IT-Entscheider meldeten zwei von drei zurück, in ihrem Unternehmen ein MDM einzusetzen.
Für die „Potenzialanalyse Digital Security“ wurden im Auftrag von Sopra Steria Consulting im April 2017 mehr als 200 (n=205) IT-Entscheider aus Unternehmen ab 500 Mitarbeitern aus den Branchen Banken, Versicherungen, sonstige Finanzdienstleister, Energieversorger, Automotive, sonstiges Verarbeitendes Gewerbe, Telekommunikation und Medien, Öffentliche Verwaltung befragt. Explizit ausgeschlossen wurden Beratungsunternehmen und Anbieter von IT-Lösungen.