Startseite > Security > Manager unterschätzen IT-Risiken

Studie zur Kluft zwischen Geschäftsleitung und IT

Manager unterschätzen IT-Risiken

19. April 2016, 7:01 Uhr | LANline/Dr. Wilhelm Greiner

Laut einer Studie, die The Economist im Auftrag von VMware durchgeführt hat, besteht zwischen Geschäftsführung und IT-Verantwortlichen eine gravierende Kluft bei der Einschätzung von IT-Risiken. In Deutschland ist der Unterschied nicht ganz so groß, aber dennoch in Teilen deutlich erkennbar.

Weltweit nennen IT- und Sicherheitsverantwortliche die IT-Sicherheit als oberste Priorität, so ein Ergebnis der Studie „The Cyber Chasm: How the Disconnect Between the C-Suite and Security Endangers the Enterprise“ (deutsch: „Die Cyberkluft: Wie die Entkopplung von Geschäftsleitung und Sicherheit das Unternehmen in Gefahr bringt“), erstellt Anfang 2016 durch die Economist Intelligence Unit (EIU) im Auftrag von VMware.

Die EIU hat für die Studie laut eigenen Angaben zur Hälfte Business-Führungskräfte befragt (CEOs, CFOs, COOs, Chief Sales Officers, Chief Strategy Officers und Managing Directors), zur Hälfte IT- und Sicherheitsverantwortliche (CIOs, Chief Security Officers und Chief Data Officers), und dies in Unternehmen mit Umsätzen zwischen 500 Millionen und 10 Milliarden Dollar, gleichmäßig verteilt in Nord- und Südamerika, der asiatisch-pazifischen Region sowie 16 europäischen Ländern. Die befragten Unternehmen seien in 20 Branchen tätig, keine Branche habe einen Anteil von mehr als 14 Prozent gehabt. Unabhängige Experten hätten die Antworten auf die 20 Fragen ausgewertet, so die EIU.

Während IT- und Sicherheitsverantwortliche den „Schutz vor Cyberangriffen“ als dringendste Unternehmensinitiative einstufen, teilen laut der Studie weltweit nur fünf Prozent der Geschäftsverantwortlichen diese Einschätzung: Hier rangiert die IT-Sicherheit weit abgeschlagen hinter Faktoren wie internationalem Wachstum und Neukundengewinn auf Platz neun (von zehn).

Der Blick für die immer stärker tragende Rolle der IT (und damit der IT-Sicherheit) fehlt oft, klassische Geschäftsziele wie Kostensenkung und Innovationsförderung haben Vorrang. Lediglich die „Einhaltung regulatorischer Compliance“ auf Rang vier kann als IT-relevantes Thema mit den Klassikern mithalten.

In Deutschland hingegen ist die Kluft zwischen Führungskräften und IT-Entscheidern nicht ganz so gravierend: Immerhin elf Prozent der Geschäftsverantwortlichen hierzulande gehen mit den IT-Verantwortlichen d’accord und stufen die IT-Sicherheit als oberste Priorität ein.

Unterschiedliche Risikobewertungen

Ein Grund für das Auseinanderklaffen der Bewertungen dürfte der Umstand sein, dass die Einschätzungen der IT-Risikolage weit divergieren: Über 30 Prozent der IT-Sicherheitsverantwortlichen weltweit erwarten einen großen, erfolgreichen Angriff innerhalb von 90 Tagen – aber nur zwölf Prozent ihrer Kollegen aus der Geschäftsleitung teilen diese Befürchtung.

In Deutschland herrscht hier mehr Einigkeit – allerdings vor dem Hintergrund, dass man sich allgemein recht sicher fühlt: Hier gehen 16 Prozent der Führungskräfte und 17 Prozent der IT-Leiter davon aus, dass innerhalb der nächsten drei Monate ein Angriff auf die hauseigene IT Erfolg haben wird.

Uneinigkeit zwischen beiden Lagern herrscht auch bei der Frage, welche Unternehmenswerte am dringendsten Schutz bedürfen: In der Geschäftsleitung konzentriert man sich auf strategische Werte wie den Ruf des Unternehmens, IT-Sicherheitsverantwortliche sorgen sich vorrangig um den Schutz von Daten und Anwendungen.

Deutschland bildet auch bei dieser Frage einen Sonderfall: Führungskräfte aus der Geschäftsleitung setzen den Schutz der Daten an die erste Stelle, die IT hingegen den der internen Kommunikation im Unternehmen.

Als größtes IT-Sicherheitsrisiko erachtet man in der Geschäftsleitung vorrangig „die Cloud-Architektur“ (40 Prozent der Antworten bei möglicher Mehrfachnennung). Seitens der IT hingegen liegt Sorge darüber an erster Stelle, dass sich Bedrohungen schneller weiterentwickeln als die Abwehrmaßnahmen.

Mehr Security-Budget? Wohl kaum

Vor diesem Hintergrund verwundert es nicht, dass auch die Erwartungen hinsichtlich des Security-Budgets zwischen Business- und IT-Verantwortlichen auseinanderdriften. Fast 30 Prozent der IT-Verantwortlichen erwarten in den kommenden zwei Jahren eine deutliche Erhöhung des Sicherheitsetats – aber nur acht Prozent der Unternehmenslenker prognostizieren hier einen Anstieg von über 25 Prozent – obwohl sie der Meinung sind, dass eine „unterfinanzierte IT-Sicherheit“ für ihr Unternehmen das drittgrößte Risiko darstellt.

In Deutschland hingegen planen immerhin 18 Prozent der Business-Verantwortlichen, das IT-Budget um mehr als 25 Prozent zu erhöhen. Hier liegt Deutschland im europäischen Vergleich auf dem zweiten Platz hinter den Niederlanden.

„In der IT-Sicherheitsbranche gibt es derzeit einen enormen Innovationsschub“, so VMware-CEO Pat Gelsigner. „Erforderlich ist jetzt ein ordnender Rahmen – eine echte Architektur, an der sich alle wichtigen Akteure orientieren können, sodass die IT-Sicherheit Teil der Architektur wird.“

Ein wesentliches Geschäftsrisiko führt die EIU-Studie per Zitat aus einer Studie von McKinsey für das World Economic Forum auf: „Allzu oft ist Sicherheit der Engpass für jegliche innovative Geschäftsinitiative.“ Die IT-Sicherheit müsse deshalb mit den Angriffen mitwachsen. Dabei müsse eine effektive Abwehr das gesamte Personal über alle „Silos“ hinweg umfassen und sich sogar auf Kunden und Lieferanten erstrecken.

Weitere Informationen finden Sie unter www.vmware.com/de.