Im Vergleich zum Vorjahr ist bei Schweizer Unternehmen die Bereitschaft gestiegen, im Falle eines Sicherheitsvorfalls lieber Lösegeld an Hacker zu zahlen, als stärker in die Informationssicherheit zu investieren, da sie ein solches Vorgehen für kostengünstiger halten. Dies geht aus dem diesjährigen "Risk:Value-Report" hervor, den das Marktforschungsunternehmen Jigsaw Research im Auftrag von NTT Security erstellt hat.
Gemäss dem Report gaben im vergangenen Jahr 23 Prozent der befragten Entscheidungsträger an, bei einer Ransomware-Attacke lieber auf die Forderungen der Angreifer einzugehen, in diesem Jahr sind es sogar 40 Prozent. Dies korreliere mit der Aussage, dass 44 Prozent der Schweizer Unternehmen eher Lösegeld als eine Strafe dafür zahlen würden, dass sie nicht die geltenden Gesetze und Richtlinien eingehalten haben. "Dieses Ergebnis ist mehr als erschreckend, gerade auch angesichts der nicht abebbenden Gefahr von Ransomware-Angriffen", meint Kai Grunwitz, Senior Vice President Emea bei NTT Security.
Dabei seien sich die Unternehmen der drohenden Gefahr durchaus bewusst: Laut den befragten Entscheidungsträgern stellen Cloud (24 Prozent), Byod (20 Prozent), Ransomware (18 Prozent) und IoT (12 Prozent) in den nächsten 12 Monaten eine mögliche Bedrohung dar. Fast zwei Drittel fürchte jedoch, dass die Sicherheitslücke innerhalb des Unternehmens liege: Böswillige Insider-Bedrohungen wie Datendiebstahl (30 Prozent), versehentliche oder fahrlässige Sicherheitslücken (28 Prozent), aber auch eine Schatten-IT (16 Prozent) und Phishing (36 Prozent) stufen die Befragten als potentielles Sicherheitsrisiko ein.
Wenig überraschend sei, dass lediglich 42 Prozent der Unternehmen bereits über einen Incident-Response-Plan verfügen; immerhin 38 Prozent stecken laut Studie im Implementierungsprozess und weitere 10 Prozent planen die Umsetzung entsprechender Maßnahmen in naher Zukunft. "In den vergangenen Jahren hat sich in den Unternehmen bezüglich des Incidet-Response-Plans trotz zahlreicher bekannt gewordener Sicherheitsvorfälle und ständig zunehmendem Schadenspotential nicht viel geändert. Obwohl nur mit dedizierten Ablauf- und Notfallplänen angemessen und schnell auf IT-Sicherheitsvorfälle reagiert werden kann, verfügt noch immer nicht mal die Hälfte der befragten Unternehmen über einen Incident-Response-Plan", fasst Grunwitz zusammen. "Auch die erfreulich hohe Zahl laufender Implementationen und Projekten in Planung ist bei genauer Betrachtung ernüchternd: die vergangenen Studien machen deutlich, dass sie oft nur Compliance getrieben sind und reine Absichtserklärungen bleiben, die nicht zu einer signifikanten Verbesserung der Incident-Response-Readiness der Unternehmen im Folgejahr führen – nur wenige dieser Incident-Response-Projekte werden erfolgreich umgesetzt."
Auch bezüglich der Sicherheitsrichtlinien sehe es nicht besser aus. Erst rund die Hälfte der Unternehmen (48 Prozent) hätten vollständige Sicherheitsrichtlinien eingeführt, so die Studie. 21 Prozent haben ihre Mitarbeiter demnach allerdings nicht aktiv über die Richtlinien informiert.
Nur 66 Prozent der befragten Entscheidungsträger gaben darüber hinaus an, auf dem aktuellen Stand bezüglich Attacken, potentiellen Attacken und der Compliance in ihrem Unternehmen zu sein. Das korreliere mit der Aussage, dass nur in 68 Prozent der Unternehmen Sicherheit ein regulärer Punkt bei der Vorstandssitzung sei. Dass zudem 46 Prozent schon von einem Sicherheitsvorfall betroffen waren, dennoch 42 Prozent der Befragten davon ausgehen, nie in diese Situation zu kommen, unterstreicht, dass sie sich der Gefahr noch bewusster werden müssen. Über die gravierenden negativen Auswirkungen, die ein Sicherheitsvorfall mit Datendiebstahl hat, seien sich die befragten Unternehmen schliesslich durchaus bewusst: Genannt wurden demnach Verlust des Kundenvertrauens (42 Prozent) Beeinträchtigung der Reputation (38 Prozent) und finanzielle Einbussen (36 Prozent).
Das "Risk:Value Executive Summary" steht hier zum Download bereit! zur Verfügung.
Methodologie:
Die Risk:Value-Studie wurde im Auftrag von NTT Security zwischen Februar und März 2019 vom Marktforschungsunternehmen Jigsaw Research durchgeführt. Dabei wurden 2.256 Nicht-IT-Entscheider in Deutschland, Österreich, Grossbritannien, Benelux, Frankreich, Italien, Norwegen, Spanien, Schweden, der Schweiz sowie in Chile, Brasilien, Australien, Hongkong, Indien, Japan, Singapur und den USA befragt. Die befragten Unternehmen sind unter anderem in den Bereichen Manufacturing, Handel, Healthcare, Logistik, Telekommunikation und Verwaltung tätig und beschäftigen mehr als 250 Mitarbeiter.
