Wiederherstellung nach Sicherheitsvorfall: Österreichische Unternehmen im internationalen Vergleich weit abgeschlagen (FOTO)

Ismaning (ots) – Nach einem Sicherheitsvorfall ist schnelles Handeln unabdingbar, um Geschäftsunterbrechungen, Reputationsschäden und damit verbundene Kosten gering zu halten. Wie der aktuelle Risk:Value-Report von NTT-Security zeigt, haben österreichische Unternehmen diesbezüglich noch Nachholbedarf: Sie brauchen im Schnitt doppelt so lange für den Wiederherstellungsprozess wie Unternehmen weltweit.

Den jährlichen Risk:Value-Report erstellt das Marktforschungsunternehmen Jigsaw Research im Auftrag von NTT Security, dem auf Sicherheit spezialisierten Unternehmen und „Security Center of Excellence“ der NTT Group (NYSE: NTT). Dafür geben weltweit Führungskräfte – in diesem Jahr 2.256 – ihre Einschätzungen zu Themen rund um IT und IT-Sicherheit ab.

Bei der aktuellen Untersuchung zeigt sich, dass die Unternehmen in Österreich nach einem Sicherheitsvorfall am längsten benötigen, um die Betriebsumgebung wieder in den ursprünglichen Zustand zu bringen:
Im Schnitt sind rund 66 Tage notwendig, in Österreich sind es 134 Tage. Nicht überraschend ist daher, dass auch in diesem Jahr lediglich 40% der befragten Unternehmen, über einen Incident-Response-Plan verfügen; immerhin 42% stecken laut der Studie im Implementierungsprozess und weitere 17% planen die Umsetzung entsprechender Maßnahmen in naher Zukunft (Abbildung 1). „Die Vorgehensweise bei der Wiederherstellung des Systems hängt natürlich vom Ausmaß des Sicherheitsvorfalls ab. Unternehmen müssen gründlich vorgehen und sicherstellen, dass das System wieder fehlerfrei funktioniert. Durch die Downtime entstehen jedoch Kosten, etwa durch verringerte Produktivität, entgangene Gewinne oder das Ersetzen von Hard- und Software. Doch obwohl nur mit dedizierten Ablauf- und Notfallplänen angemessen und schnell auf die Sicherheitsvorfälle reagiert werden kann, hat sich in den vergangenen Jahren in den Unternehmen bezüglich des Incident-Response-Plans nicht viel geändert“, erklärt Kai Grunwitz, Senior Vice President EMEA bei NTT. „Auch die erfreulich hohe Zahl laufender Implementationen und Projekten in Planung ist bei genauer Betrachtung ernüchternd: Die vergangenen Studien machen deutlich, dass sie oft nur Compliance getrieben sind und reine Absichtserklärungen bleiben, die nicht zu einer signifikanten Verbesserung der Incident-Response-Readiness der Unternehmen im Folgejahr führen – nur wenige dieser Incident-Response-Projekte werden erfolgreich umgesetzt (Abbildung 2). Die Zusammenarbeit mit einem erfahrenen Incident-Response-Partner ist darum dringend zu empfehlen.“

Dabei bereitet den österreichischen Unternehmen nicht nur unzureichend gesicherte Technik Sorge: Laut den befragten Entscheidungsträgern stellen Cloud (15%), BYOD (21%), Ransomware (27%) und IoT (15%) in den nächsten zwölf Monaten zwar eine mögliche Bedrohung dar, über die Hälfte fürchtet jedoch, dass die Sicherheitslücke innerhalb des Unternehmens liegt: Böswillige Insider-Bedrohungen wie Datendiebstahl (31%), versehentliche oder fahrlässige Sicherheitslücken (27%), aber auch eine Schatten-IT (19%) stufen die Befragten als potentielles Sicherheitsrisiko ein.

Dennoch hat erst rund die Hälfte der Unternehmen (46%) vollständige Sicherheitsrichtlinien eingeführt. Allerdings nimmt Österreich im internationalen Ländervergleich in einem Bereich eine Vorreiterrolle ein: Alle Unternehmen, die laut Befragung über eine Information Security Policy verfügen, haben ihre Mitarbeiter auch aktiv darüber informiert. „Es ist unerlässlich, die Mitarbeiter ausreichend über die Gefahren und den richtigen Umgang mit ihnen zu schulen – vor allem da Social-Engineering-Angriffe immer beliebter werden. Jeder Mitarbeiter wird schnell zur Sicherheitslücke, wenn er keine sehr gute Security-Awareness besitzt. Unternehmensspezifische Awareness-Trainings können für die Thematik sensibilisieren und ihnen Sicherheit im Umgang mit entsprechenden Vorfällen bieten“, betont Grunwitz.

Der Austausch innerhalb des Unternehmens zum Thema Sicherheit muss überhaupt deutlich steigen: Nur knapp zwei Drittel der befragten Entscheidungsträger gaben an, auf dem aktuellen Stand bezüglich Attacken, potentiellen Attacken und der Compliance in ihrem Unternehmen zu sein. Das korreliert mit der Aussage, dass nur in 56% der Unternehmen Sicherheit ein regulärer Punkt bei der Vorstandssitzung ist. Dass zudem 63% schon von einem Sicherheitsvorfall betroffen waren, dennoch ein Drittel der Befragten davon ausgeht, nie in diese Situation zu kommen, unterstreicht, dass sie sich der Gefahr noch bewusster werden müssen. Über die gravierenden negativen Auswirkungen, die ein Sicherheitsvorfall mit Datendiebstahl hat, sind sich die befragten Unternehmen schließlich durchaus bewusst: Genannt wurden Beeinträchtigung der Reputation (44%), der Verlust des Kundenvertrauens (35%) und Disziplinarmaßnahmen gegen Mitarbeiter und das Management (35%).

Das „Risk:Value Executive Summary“ steht zum Download unter
https://www.nttsecurity.com/de-de/risk-value-report-2019 zur
Verfügung.

Methodologie

Die Risk:Value-Studie wurde im Auftrag von NTT Security zwischen Februar und März 2019 vom Marktforschungsunternehmen Jigsaw Research durchgeführt. Dabei wurden 2.256 Nicht-IT-Entscheider in Deutschland, Österreich, Großbritannien, Benelux, Frankreich, Italien, Norwegen, Spanien, Schweden, der Schweiz sowie in Chile, Brasilien, Australien, Hongkong, Indien, Japan, Singapur und den USA befragt. Die befragten Unternehmen sind unter anderem in den Bereichen Manufacturing, Handel, Healthcare, Logistik, Telekommunikation und Verwaltung tätig und beschäftigen mehr als 250 Mitarbeiter.

Über Jigsaw Research

Jigsaw Research ist ein internationales Marktforschungsinstitut, das sich zur Aufgabe gemacht hat, das menschliche Verhalten zu analysieren. Das erfahrene Team greift dafür auf Forschungstechniken zurück, die sowohl bewusstes als auch unbewusstes Verhalten beleuchten.

Über NTT Security

NTT Security ist das auf Sicherheit spezialisierte Unternehmen und „Security Center of Excellence“ der NTT Group. Mit „Embedded Security“ ermöglicht NTT Security den NTT-Group-Unternehmen (Dimension Data, NTT Communications und NTT DATA) die Bereitstellung zuverlässiger Business-Lösungen für Kundenanforderungen in der digitalen Transformation. NTT Security verfügt über 10 SOCs, sieben Zentren für Forschung und Entwicklung sowie mehr als 1.500 Sicherheitsexperten und behandelt jährlich Hunderttausende Sicherheitsvorfälle auf sechs Kontinenten.

NTT Security sichert eine effiziente Ressourcennutzung, indem den Unternehmen der NTT Group der richtige Mix an ganzheitlichen Managed Security Services, Security Consulting Services und Security-Technologie zur Verfügung gestellt wird – unter optimaler Kombination von lokalen und globalen Ressourcen. NTT Security ist Teil der NTT Group (Nippon Telegraph and Telephone Corporation), einem der größten IKT-Unternehmen weltweit. Weitere Informationen über NTT Security finden Sie auf: www.nttsecurity.com

Unsere Security Services können Sie über diese NTT Group-Unternehmen beziehen: Dimension Data, NTT Communications und NTT DATA