Insights.Now

IT-Sicherheit

Cyber Security: Wie sicher ist Ihre Unternehmens-IT?

Die Nachrichten über Cyber-Angriffe auf Unternehmen haben sich in den letzten Jahren gehäuft. Beispiele hierfür sind etwa die Attacken auf die Funke Mediengruppe im Februar 2022 oder den Pumpenhersteller KSB im April 2022. Auch in den Jahren zuvor waren sowohl Konzerne als auch mittelständische Unternehmen verstärkt im Visier von Hackerinnen und Hackern. Die Motive sind so unterschiedlich wie die Vorgehensweise und das Ausmaß des verursachten Schadens. Wie reagieren Unternehmen und IT-Verantwortliche auf diese neue Gefahrenlage?

29. Juni 2022

Tobias Ganowski

Bild von einer Frau, die in einem dunklen Büro über den Inhalt eines Computerbildschirms nachdenkt | Cyber Security: Wie sicher ist Ihre Unternehmens-IT? | Lünendonk

Cyber Security steht ganz oben auf der CIO-Agenda

Durch den zunehmenden Digitalisierungsgrad und den steigenden Einsatz softwarebasierter Lösungen – sei es für die Unternehmens-IT selbst, in Form smarter Produkte oder in Maschinen und Fahrzeugen (Embedded Systems) – entstehen neue potenzielle Angriffsflächen und Einfallstore für Hacking. Folglich muss die Cyber Security an Bedeutung gewinnen. Bereits in der Lünendonk®-Studie „Der Markt für IT-Beratung und IT-Service in Deutschland“ aus dem Sommer 2021 gaben 78 Prozent der befragten CIOs, CTOs und IT-Managerinnen und -Manager an, dass sie sich 2022 und 2023 intensiv mit der Cyber Security und Informationssicherheit beschäftigen werden. Kein anderes Thema, wie etwa der Digital Workplace oder Data Analytics, wurde höher gewichtet. Dieser Wert dürfte in diesem Jahr sogar noch weiter steigen, denn auch Analysen des Bundesamtes für Sicherheit in der Informationstechnologie (BSI) und des Bundeskriminalamtes (BKA) zeigen, dass die Risiken weiter zunehmen. So bewertet das BSI die IT-Sicherheitslage für das Jahr 2021 als „angespannt bis kritisch“ – eine Einschätzung, die man sehr ernst nehmen sollte.

Cyber Security ist mehr als nur ein notwendiges Übel

Sichere IT-Anwendungen, Systeme und Produkte lassen sich als Selbstverständlichkeit betrachten – sie sind es aber nicht. In vielen Gesprächen mit IT-Verantwortlichen stellt Lünendonk fest, dass sich das Bild der IT-Security wandelt – weg von einem Kostenfaktor hin zum Wertschöpfungstreiber und festen Bestandteil der digitalen Transformation an. Ohne IT-Sicherheit keine erfolgreiche Digitalisierung, so lautet vielerorts das Credo.

Reichen die aktuellen Abwehrmaßnahmen aus?

Laut BSI wurden 2021 144 Millionen neue Schadprogramm-Varianten registriert – ein Plus von 22 Prozent im Vergleich zu 2020. Doch nicht nur die Quantität, auch die Qualität der Angriffe und der Erfindungsreichtum der Cyber-Erpresser nahmen zu. Trotz dieser beachtlichen Entwicklung sehen 33 Prozent der Unternehmen laut Lünendonk-Analyse keine Notwendigkeit, Maßnahmen zu ergreifen, um das IT-Security-Niveau zu erhöhen, da bereits ein ausreichender Schutz vorhanden ist. Cyber-Risiken sind schließlich keine gänzliche Neuheit. Jedoch entwickelt sich der Bereich schnell weiter, sodass infolge der stärkeren Digitalisierung ein größeres Schadensausmaß möglich ist als früher.

Lünendonk Grafik | Cyber Security: Wie sicher ist Ihre Unternehmens-IT?
Frage: Ist Ihr Unternehmen aus Ihrer Sicht aktuell ausreichend auf Cyberattacken vorbereitet? n = 48; Quelle: Lünendonk®-Studie „IT im Wandel“, 2022

Die Hälfte der befragten CIOs, CISOs und IT-Mangerinnen und -Manager sieht immerhin einen geringen Handlungsbedarf, um sich besser vor Cyber-Attacken zu schützen, aber nur 8 Prozent haben große Lücken in der IT-Security ausgemacht. Ebenfalls 8 Prozent können ihr Cyber-Security-Niveau nicht beurteilen. Letztere beiden sollten dringend Maßnahmen ergreifen, um ein Bild der Ist-Situation zu erhalten und Verbesserungen einzuleiten.

Zur Diskussion bleibt die Frage, wie diese doch recht positive Selbsteinschätzung der Unternehmen einzuordnen sind. Einige Unternehmen scheinen sich in falscher Sicherheit zu wiegen – oft auch unter dem Gedanken, dass sich ein externer IT-Dienstleister, an den die IT ausgelagert ist, auch um deren Sicherheit kümmert. Dies ist jedoch zu kurz gedacht, denn durch die Digitalisierungsbestrebungen der Fachbereiche – auf die die IT oft gar keinen Einfluss mehr hat, bietet die Absicherung der IT-Infrastruktur nur einen Teilschutz. Vielmehr sind Security-by-Design-Konzepte gefragt, also die Berücksichtigung von Security-Aspekten direkt bei der Entwicklung digitaler Produkte und der Prozess-Digitalisierung. Externe IT-Dienstleister und -Beratungen können bei der Bestandsaufnahme und Entwicklung umfassender IT-Security-Lösungen helfen.

Auswirkungen der Cloud-Transformation vielen noch unklar

Großer Handlungsdruck besteht auch, weil die Cloud im Zuge der Digitalisierung enorm an Relevanz gewonnen hat. Gerade Konzerne, aber auch mittelständische Unternehmen arbeiten seit einigen Jahren mit den Hyperscalern AWS, Microsoft Azure und Google Cloud intensiver zusammen und verlagern immer mehr Teile der IT-Landschaft und der Prozesse in die Cloud. Dabei werden nicht mehr nur Infrastrukturen und Anwendungen via Lift & Shift in die Cloud verlagert, sondern es erfolgt vielmehr ein Umbau zu einer (hybriden) Cloud-Architektur oder ein kompletter Neubau (Cloud-native), um die Möglichkeiten der Skalierbarkeit, der Innovationsförderung und der Agilität optimal zu nutzen.

Die IT-Security muss sich entsprechend anpassen. Viele Unternehmen (34 %) sind sich heute jedoch noch nicht darüber im Klaren, was die Cloud-Transformation für ihre IT-Security bedeutet – etwa aufgrund fehlender Erfahrungen. Aber immerhin ein Viertel (26 %) geht bereits davon aus, dass die Cloud zu einer Erhöhung des IT-Sicherheitsniveaus führt. 40 Prozent sind jedoch der Meinung, dass dies nicht der Fall ist.

Lünendonk Grafik | Cyber Security: Wie sicher ist Ihre Unternehmens-IT?
Frage: Stellt die Cloud eine Erhöhung des Sicherheitsniveaus in Ihrem Unternehmen dar? n = 47; Quelle: Lünendonk®-Studie „IT im Wandel“, 2022

Die Ambivalenz der Antworten zeigt, dass noch ein gewisser Aufklärungs- und Beratungsbedarf besteht. Aus Sicht von Lünendonk hat die Cloud-Nutzung positive Effekte auf die IT-Security, da gerade die Hyperscaler massiv in ihre IT-Security und Technologien wie KI-gestützte Cyberabwehr investieren – auch durch Übernahmen. So hat Google vor Kurzem für 5 Milliarden Euro das Cyber-Security-Unternehmen Mandiant übernommen und dabei Microsoft ausgestochen – die Freigabe der US-Wettbewerbsbehörde vorausgesetzt. Microsoft akquirierte 2020 bereits CyberX und im letzten Jahr RiskIQ. Insgesamt investieren alle Hyperscaler pro Jahr mehrere Milliarden US-Dollar in die Absicherung ihrer Cloud-Rechenzentren – beispielsweise im Bereich der Anomalieerkennung durch Künstliche Intelligenz. In solche Innovationsthemen zu investieren ist für die Vielzahl mittelständischer Unternehmen beispielsweise gar nicht möglich.

Investitionen in Cyber Security steigen

86 Prozent der CIOs und IT-Verantwortlichen werden laut der Lünendonk®-IT-Marktstudie in den kommenden Jahren ihr Budget für die IT-Security erhöhen. Dabei geht es sowohl um die Absicherung der Produktion – insbesondere der Operational Technology (OT) bzw. der Verknüpfung der OT und IT – als auch um den Schutz der Kundenschnittstellen. Dabei wollen die CIOs auch stärker mit externen IT-Dienstleistern zusammenarbeiten – beispielsweise im Bereich von Managed Security Services. Vor allem in Themenfeldern wie E-Mail-Security, IAM (Identity & Access Management) oder Endpoint Security besteht laut Lünendonk hoher Bedarf an entsprechenden externen Services.

Alles neu oder doch nur neuer Wein in alten Schläuchen?

Ändert sich die Security-Welt nun wirklich so stark oder handelt es bei einigen Themen doch nur um kurzfristige Trenderscheinungen aufgrund der aktuellen Brisanz? Die Antwort ist nicht eindimensional. Schließlich findet Digitalisierung nicht erst seit gestern statt. Auch vor 20 Jahren galt es, die IT zu schützen. Doch Digitalisierung ist als kontinuierlicher Prozess zu verstehen – genauso wie Cyber Security. Es geht um die Weiterentwicklung von Security-Architekturen und -Anwendungen, die den heutigen Anforderungen gerecht werden. Im Vergleich zu den 2000er-Jahren ist der Digitalisierungsreifegrad aber stark fortgeschritten und es bestehen deutlich mehr Digitale Assets, die es zu schützen gilt. Ebenso haben die regulatorischen Anforderungen zugenommen. Wird die Cyber Security vernachlässigt, ist das Schadenspotenzial heutzutage deutlich größer als es früher.

Mehr zum Thema

Mockup zum Whitepaper "Katastrophenfall: Cyberangriff"

IT-Security Whitepaper

Zum Download

Verfasst von

Porträt von Tobias Ganowski, IT-Analyst und Junior Consultant beim Marktforschungs- und Analystenhaus Lünendonk & Hossenfelder

Tobias Ganowski

IT-Analyst und Junior Consultant bei Lünendonk & Hossenfelder

Tobias Ganowski ist IT-Analyst und Junior Consultant beim Marktforschungs- und Analystenhaus Lünendonk & Hossenfelder. Er untersucht die Märkte für IT-Beratung, IT-Services, IT-Sourcing-Beratung, Customer Experience Services und Engineering Services. Thematisch beschäftigt er sich unter anderem mit den Themen Customer Experience Management, Cloud Sourcing, Künstliche Intelligenz, IIoT, Softwareentwicklung, Agilität und digitale Transformation.