Sophos hat gemeinsam mit dem Ponemon Institut eine Studie zur Feststellung der Gefahreneinschätzung durch Onlineattacken bei kleinen und mittleren Unternehmen (KMU) erstellt. Alarmierendes Ergebnis: 58% der über 2000 befragten Personen sehen Cyberkriminalität nicht als bedeutendes Risiko für ihr Unternehmen. Diese fehlende Priorisierung führt dazu, dass Geschäftsführungen entsprechende IT-Sicherheitsvorkehrungen oftmals unzureichend oder sogar überhaupt nicht in die Wege leiten.
Weiter heruntergebrochen bestehen folgende drei Herausforderungen, die die Einrichtung eines effektiven IT-Sicherheitsplans untergraben: Fehlendes Gefahrenbewusstsein (44%), zu kleines Budget (42%) und fehlende Expertise im Unternehmen (33%). Die Umfrage ergab außerdem, dass die Unsicherheit in punkto Bedeutung potentieller Angriffe umso mehr zunahm, je höher der jeweilige Entscheidungsträger im Unternehmen angesiedelt ist. Zudem existiert in vielen KMUs kein klar definierter Entscheidungsträger in Sachen Cybersicherheit, sodass letztendlich der CIO verantwortlich ist.
„CIOs agieren in KMUs heutzutage oftmals als Only Information Officer. Sie müssen also auf sich allein gestellt vielfältige und immer komplexere Verantwortungen übernehmen”, so Gerhard Eschelbeck, Chief Technology Officer bei Sophos. „Dabei ist es unmöglich, dass diese ‚OIOs‘ alles alleine bewältigen können und in Anbetracht der Tatsache, dass Mitarbeiter immer häufiger Zugriff von immer mehr Geräten auf unternehmensinterne Systeme fordern, fehlt oft die Zeit für eine effiziente IT-Sicherheitsstrategie.”
Dabei scheint diese Problematik in Deutschland noch am wenigsten ausgeprägt zu sein. In einem sogenannten „Unsicherheitsindex”, den Ponemon auf Basis der Umfrage erstellt hat, schneidet der heimische Markt mit einem Wert von 3,8 auf einer Skala bis 10 am besten ab, sprich es besteht das beste Verständnis für IT-Sicherheitsrisiken.
Alarmierende Zahlen ergab der Report auch in Sachen Monitoring. Ein Drittel der Befragten gab an, sich nicht sicher zu sein, ob auf ihr Unternehmen in den letzten zwölf Monaten ein Cyberangriff ausgeübt wurde. Ein ähnliches Bild ergab sich bei der Einschätzung potentieller finanzieller Schäden. Viele Teilnehmer schätzen die Zusatzkosten aufgrund des gestörten Geschäftsbetriebs durch die Implementierung neuer Systeme als höher ein als die eines Cyberangriffs.
Die komplette Studie “The Risk of an Uncertain Security Strategy” kann hier heruntergeladen werden
Antwort hinterlassen