Incident-Response nach wie vor Fehlanzeige

Wenig überraschend ist, dass lediglich 42 Prozent der Unternehmen bereits über einen Incident-Response-Plan verfügen; immerhin 38 Prozent stecken laut Studie im Implementierungsprozess und weitere 10 Prozent planen die Umsetzung entsprechender Massnahmen in naher Zukunft. «In den vergangenen Jahren hat sich in den Unternehmen bezüglich des Incidet-Response-Plans trotz zahlreicher bekannt gewordener Sicherheitsvorfälle und ständig zunehmendem Schadenspotential nicht viel geändert. Obwohl nur mit dedizierten Ablauf- und Notfallplänen angemessen und schnell auf IT-Sicherheitsvorfälle reagiert werden kann, verfügt noch immer nicht mal die Hälfte der befragten Unternehmen über einen Incident-Response-Plan», fasst Grunwitz zusammen. «Auch die erfreulich hohe Zahl laufender Implementationen und Projekten in Planung ist bei genauer Betrachtung ernüchternd: die vergangenen Studien machen deutlich, dass sie oft nur Compliance getrieben sind und reine Absichtserklärungen bleiben, die nicht zu einer signifikanten Verbesserung der Incident-Response-Readiness der Unternehmen im Folgejahr führen – nur wenige dieser Incident-Response-Projekte werden erfolgreich umgesetzt», ergänzt er.

Auch bezüglich der Sicherheitsrichtlinien sieht es nicht besser aus. Erst rund die Hälfte der Unternehmen (48 Prozent) haben vollständige Sicherheitsrichtlinien eingeführt. 21 Prozent haben ihre Mitarbeiter allerdings nicht aktiv über die Richtlinien informiert. «Es ist unerlässlich, die Mitarbeiter ausreichend über die Gefahren und den richtigen Umgang mit ihnen zu schulen – vor allem da Social-Engineering-Angriffe immer beliebter werden. Jeder Mitarbeiter wird schnell zur Sicherheitslücke, wenn er keine sehr gute Security-Awareness besitzt. Unternehmensspezifische Awareness-Trainings können für die Thematik sensibilisieren und ihnen Sicherheit im Umgang mit entsprechenden Vorfällen bieten», betont Grunwitz.

Der Austausch innerhalb des Unternehmens zum Thema Sicherheit muss überhaupt deutlich steigen: Nur 66 Prozent der befragten Entscheidungsträger gaben an, auf dem aktuellen Stand bezüglich Attacken, potentiellen Attacken und der Compliance in ihrem Unternehmen zu sein. Das korreliert mit der Aussage, dass nur in 68 Prozent der Unternehmen Sicherheit ein regulärer Punkt bei der Vorstandssitzung ist. Dass zudem 46 Prozent schon von einem Sicherheitsvorfall betroffen waren, dennoch 42 Prozent der Befragten davon ausgehen, nie in diese Situation zu kommen, unterstreicht, dass sie sich der Gefahr noch bewusster werden müssen.

Über die gravierenden negativen Auswirkungen, die ein Sicherheitsvorfall mit Datendiebstahl hat, sind sich die befragten Unternehmen schliesslich durchaus bewusst: Genannt wurden Verlust des Kundenvertrauens (42 Prozent) Beeinträchtigung der Reputation (38 Prozent) und finanzielle Einbussen (36 Prozent).