Das Internet reicht nicht, um Daten schnell und sicher zu teilen
Die Mitgliedschaft im eco bietet viele Vorteile. Gehört dazu auch ein Premium-Schutz vor Sicherheitsrisiken? Zu diesem Schluss könnte kommen, wer zwei aktuelle Studie zur IT-Sicherheit in Deutschland vergleicht. Die eine Studie, durchgeführt von EY kommt zu dem Ergebnis: „Jedes dritte Unternehmen ist trotzdem laut eigener Einschätzung nicht ausreichend geschützt.“ Die andere Studie kommt zu einem ganz anderen Ergebnis: „Nur jede und jeder Fünfte (19 Prozent) empfindet die Cybersicherheit im eigenen Unternehmen als unzureichend.“ Diese Studie wurde von eco durchgeführt.
Wie passt das zusammen?
Mein Bias als Hauptgeschäftsführer von eco flüstert mir ins Ohr, dass hier natürlich nur eine Erklärung möglich ist: eco hat die Daten für die Studie auf eigenen Events vor Ort und Online erhoben hat. Die befragten Unternehmen sind mithin eco Mitglieder (oder sollten es zügig werden). eco Mitglieder sind nicht nur, wie jeder weiß, der schon mal persönlich auf einem unserer Events war, besonders schön. Sie sind auch technisch immer auf dem neuesten Stand. Sie sind besonders wachsam, sie sind besonders gut aufgeklärt, sie sind daher besonders gut gewappnet im Kampf gegen Kriminelle im Internet. Logisch, dass 53 Prozent unserer der Befragten die Absicherung ihres Unternehmens als gut beziehungsweise sehr gut einschätzen. Wir sind nun mal einfach spitze.
Et hätt noch immer jot jejange? Sagt heute kein IT-Sicherheitsverantwortlicher mehr
Soweit unser Selbstverständnis. Ich will das auch gar nicht relativieren. Zwar bin ich lange genug dabei, um Zeuge von mehr als einem erfolgreichen Angriff geworden zu sein, darunter einige auf Unternehmen, die sich ebenfalls gut geschützt wähnten. Aber im Jahr 2023 gibt es in Deutschland bestimmt kein Unternehmen mehr, bei dem IT-Sicherheit eine bloße Frage des Vertrauens wäre. Et hätt noch immer jot jejange? Das hört man heute keinen IT-Sicherheitsverantwortlichen mehr sagen. Denn Angriffe und deren Abwehr sind Alltag. Wer sich auf seine IT-Security verlässt, tut das nicht blind, sondern gestützt auf Erfahrung und Daten. Und unterstützt durch unsere Mitglieder-Services.
Ich weiß aber auch, dass das, was gestern noch top war und heute vielleicht noch gut genug ist, morgen früh schon ungenügend sein kann. Das gilt vor allem, weil sich nicht nur die Technologie der Angreifer entwickelt, sondern weil, wie unsere Studie bescheinigt, in unsicheren Zeiten auch die kriminelle Energie zunimmt. Mein Kollege Oliver Dehning, Leiter der eco Kompetenzgruppe Sicherheit, formuliert es so: „Die IT-Landschaft wird immer komplexer, wodurch sich auch die Angriffsfläche von Unternehmen und Institutionen vergrößert. Gleichzeitig wächst stetig die Bedrohungslage durch zunehmend professioneller organisierte Formen von Cyberkriminalität. Viele mittelständische Unternehmen schätzen ihre Cyberresilienz zu optimisch ein. Vor dem Hintergrund globaler Krisen müssen diese Unternehmen besonders jetzt aktiv Sicherheitsmaßnahmen implementieren.“
Das Risiko ist deutlich gestiegen
Die Einschätzung teilen Oliver und ich mit der Mehrheit der Befragten in unserer eigenen Studie ebenso wie in der von EY, bei denen es heißt: „Fast drei von vier Unternehmen sagen, das Risiko, Opfer von Cyberangriffen beziehungsweise Datenklau zu werden, sei in den vergangenen zwei Jahren gestiegen. Alle Unternehmen gehen davon aus, dass die Zahl der Cyberattacken weiter steigen wird, die Hälfte der Befragten erwartet sogar eine starke Verschärfung des Problems.“
Es wundert mich nicht, dass die Teilnehmer unserer Studie, von denen 93 Prozent die Gefährdungslage als hoch einschätzen, sich auf die zugespitzte Lage vorbereiten: „71 Prozent von ihnen haben einen Notfallplan für IT-Angriffe und schulen oder sensibilisieren die Mitarbeitenden regelmäßig zum Thema IT-Sicherheit.“ Sie tun, was sie können – und dennoch wird das für manche von ihnen nicht genug sein.
Ein grundsätzliches Problem wird jedoch weder durch technologisches Aufrüsten, noch durch Schulungen, noch durch Notfallpläne gelöst: Die historisch bedingte Anfälligkeit des öffentlichen Internets. Das öffentliche Internet ist hervorragend dazu geeignet, Daten schnell zu teilen. Um Daten schnell und sicher zu teilen, reicht es nicht. Dafür braucht es ein besseres Internet. Das bestehende Internet einzustampfen und noch einmal von vorne anzufangen? Das wird nicht gehen. Was aber sehr wohl geht: Dass Unternehmen ihr eigenes, privates Internet bauen, bei dem das Thema Sicherheit von Anfang an eine zentrale Rolle spielt.
Bild © TU IS | iStockphoto.com