Schweizer Unternehmen investieren zu wenig in IT-Sicherheit
Quelle: Pixabay/Tumisu

Schweizer Unternehmen investieren zu wenig in IT-Sicherheit

Schweizer Unternehmen investieren zu wenig IT-Budget in Sicherheit und bezahlen eher Lösegeldforderungen bei Ransomware-Attacken, so die Ergebnisse des im Auftrag von NTT Security durchgeführten Risk:Value-Reports.
11. Juni 2018

     

Das Marktforschungsunternehmen Vanson Bourne erstellt jährlich im Auftrag von NTT Security den Risk:Value-Report, wozu weltweit Führungskräfte zu Themen rund um IT und IT-Sicherheit befragt werden. Die aktuelle Untersuchung, für die insgesamt rund 1800 Führungskräfte weltweit befragt wurden, zeigt, dass mit 40 Prozent weniger als die Hälfte der befragten Entscheidungsträger in Schweizer Firmen alle unternehmenskritischen Daten als komplett sicher einstufen – ein Rückgang um 15 Prozent im Vergleich zum Vorjahr. Grund hierfür seien die nach wie vor niedrigen Investitionen in die IT-Sicherheit.


In der Schweiz werden gemäss der Untersuchung nur gut 15 Prozent des IT-Budgets in Informationssicherheit investiert. 23 Prozent der befragten Schweizer Unternehmen würde im Fall einer Ransomware-Attacke zudem eher das geforderte Lösegeld bezahlen, als stärker in die IT-Sicherheit zu investieren, da ein solches Vorgehen als günstiger eingestuft werde.

"Dieses Ergebnis ist mehr als erschreckend, gerade auch angesichts der nicht abebbenden Gefahr von Ransomware-Angriffen. Unser kürzlich vorgestellter Global Threat Intelligence Report hat ergeben, dass der Anteil von Ransomware an allen Malware-Angriffen in EMEA bei hohen 29 Prozent liegt", erklärt Kai Grunwitz, Senior Vice President EMEA bei NTT Security. "Wenn sich Unternehmen nun von der Bezahlung von Lösegeld Kostenvorteile versprechen, ist das in unseren Augen mehr als trügerisch. Und das böse Erwachen wird früher oder später für viele kommen."

Die geringe Investitionsbereitschaft sei umso erstaunlicher, als 96 Prozent der befragten Unternehmen in der Schweiz glauben, dass ein Sicherheitsvorfall mit Datendiebstahl schwerwiegende negative Auswirkungen haben würde. Vertrauensverlust der Kunden (52%), Reputationsschäden (52%) und direkte finanzielle Verluste (45%) werden dabei genannt. Die Befragten erwarten einen durchschnittlichen Umsatzverlust von gut 7 Prozent und schätzen, dass die Reparatur von Schäden mehr als neun Wochen dauert und durchschnittlich mehr als 1,1 Millionen Franken kostet. Schweizer Unternehmen schätzen die Kosten deutlich niedriger ein als in anderen Ländern. Der internationale Durchschnitt liegt bei 1,5 Millionen Franken.


Das hohe Schadenspotenzial wirft die Frage auf, wie die Situation in Bezug auf die Reaktion auf Vorfälle aussieht. Auch an dieser Stelle ist im Vergleich zum Vorjahr nicht viel passiert. In der Schweiz hatten 2017 nur 42 Prozent der Unternehmen einen Incident-Response-Plan. Allerdings befanden sich 21 Prozent bereits im Umsetzungsprozess und weitere 21 Prozent planten, in naher Zukunft entsprechende Massnahmen umzusetzen. Die aktuellen Ergebnisse spiegeln diese Entwicklung jedoch nicht wider, im Gegenteil. Nur noch 42 Prozent der Unternehmen haben einen Incident-Response-Plan.

"Das Ergebnis zeigt leider, dass es vielfach bei reinen Absichtserklärungen geblieben ist und der Ernst der Lage immer noch unzureichend erkannt wird, auch wenn zahlreiche Sicherheitsvorfälle der letzten Zeit eigentlich gezeigt haben, dass an einem gelebten Incident-Response-Plan kein Weg mehr vorbeiführt. Denn nur mit dedizierten Ablauf- und Notfallplänen kann auf unterschiedliche IT-Sicherheitsvorfälle entsprechend angemessen und vor allem auch schnell reagiert werden. Idealerweise sollten spezialisierte Incident-Response-Tools genutzt werden, beispielsweise eine zentrale Incident-Response-Plattform zur systematischen und koordinierten Bearbeitung von Sicherheitsvorfällen mit fertig ausgearbeiteten Handlungsplänen", so Grunwitz.

Aus Sicht von NTT Security brachte die Untersuchung aber auch positive Ergebnisse. So ist zum Beispiel immer deutlicher geworden, dass Sicherheitsvorfälle nicht völlig auszuschliessen sind. 57 Prozent der Befragten sind bereits Opfer eines solchen Vorfalls und weitere 14 Prozent noch nicht, erwarten es aber. Deshalb gewinnen Managed Security Services (MSS) auch für die Umsetzung umfassender Cyber-Sicherheitsstrategien deutlich an Bedeutung. Obwohl MSS derzeit noch zurückhaltend eingesetzt wird, zeigt der Risk:Value-Report, dass rund zwei Drittel der befragten Schweizer Unternehmen derzeit aktiv über MSS-Lösungen nachdenken oder dies in naher Zukunft planen.


Das Risk:Value Executive Summary steht zum Download unter https://www.nttsecurity.com/de-ch/risk-value-2018 zur Verfügung. (swe)



Weitere Artikel zum Thema

Neues eidgenössisches Diplom als ICT Security Expert

6. Juni 2018 - ICT-Berufsbildung Schweiz kündigt auf den November den neuen, anerkannten Berufstitel ICT Security Expert mit eidgenössischem Diplom an.

Security Report 2018: Intelligente Angreifer, intelligente Verteidiger

22. Mai 2018 - Der Security Report von Swisscom untersucht die digitale Sicherheitslage der Schweiz und stellt einen starken Anstieg beim Einsatz von intelligenten Technologien fest, sowohl bei den Angreifern wie auch bei der Verteidigung gegen Malware und Co.

Mitarbeiter weiterhin grösster Risikofaktor für IT-Sicherheit

5. Oktober 2017 - Eine Studie von NTT Security hat das wenig überraschende Ergebnis zutage gefördert, dass die eigenen Mitarbeiter der grösste Risikofaktor für die IT-Security eines Unternehmens sind, dicht gefolgt von Drittparteien.


Artikel kommentieren
Kommentare werden vor der Freischaltung durch die Redaktion geprüft.

Anti-Spam-Frage: Welche Farbe hatte Rotkäppchens Kappe?
GOLD SPONSOREN
SPONSOREN & PARTNER