Management bagatellisiert Cybersicherheit

Eine aktuelle Sophos-Umfrage unter IT-Verantwortlichen förderte zutage, dass sie häufig mit Vorurteilen der Unternehmensleitung zu kämpfen haben. Viele müssen sich anhören, dass Cybersicherheit einfach sei und ihre Bedenken übertrieben sind.

Ein Bild, das draußen, Himmel, Wolke, Gras enthält. Automatisch generierte Beschreibung

Sophos-Headquarter im britischen Abdingdon

Die Befragung wurde im Spätsommer 2024 von Techconsult im Auftrag von Sophos unter 202 IT-Mitarbeitenden aus Industrie, Handel, Banken und Versicherungen, Öffentlicher Verwaltung, Telekommunikation, Dienstleistungen und Versorgungsunternehmen in kleinen und großen deutschen Betrieben durchgeführt. Der Untersuchung zufolge war bereits jeder vierte Verantwortliche für IT-Sicherheit in Unternehmen mit dem Vorwurf von Vorgesetzten konfrontiert, Cybersicherheit sei doch ganz einfach.

Security-Regeln werden umgangen

Tatsächlich zu kämpfen haben IT-Teams in Deutschlands Unternehmen hingegen mit dem Mangel an qualifizierten Sicherheitsexperten auf dem Jobmarkt und dem rasanten Tempo der Cyberbedrohungen. Mit jeweils 26,2 Prozent Nennungen kamen diese Einschätzungen sehr häufig vor. Während dieses Ergebnis wenig überraschend ist, kommt das Konfliktpotential mit dem Management eher unerwartet: Die IT-Experten bemängeln, dass ihnen die Einstellung der Firmenleitung vielfach das Leben schwer macht: Gut jeder Vierte (25,2 Prozent) teilt die Erfahrung, dass die Unternehmensführung davon ausgeht, dass Cybersicherheit einfach ist und die Bedenken übertrieben sind. 22,3 Prozent geben zudem an, dass die Unternehmensplanung ihrer Meinung nach der Cybersicherheit nicht konsequent die nötige Priorität einräumt. Und 18,8 Prozent fällt auf, dass einzelne Unternehmensbereiche immer wieder Wege finden, vorhandene Security-Regeln zu umgehen.

Immerhin 16,8 Prozent geben an, dass ihre Unternehmensführung zwar die existierende Cybersicherheit lobt, aber nicht wirklich an deren Wirksamkeit glaubt. In Betrieben mit 50 bis 249 Mitarbeitenden gibt das gut jeder Vierte an (23,5 Prozent) an, in Konzernen ist diese Haltung mit 5,1 Prozent kaum zu finden. Je größer das Unternehmen, desto genauer scheinen die Verantwortlichen die Ausgaben abzuwägen und dann auch an deren Wirksamkeit zu glauben. Allerdings nennen Mitarbeitende in der IT von Konzernen am stärksten (30,8 Prozent) die Sorge, mit dem Tempo der Cyberbedrohungen nicht mithalten zu können.

Keine einheitliche Sicherheitskultur

Große Unternehmen unterliegen anderen Arbeitsprozessen, und so ist hier die zweitwichtigste Nennung zu den Schwierigkeiten im Betrieb: "Es fällt schwer, eine einheitliche und starke Sicherheitskultur im Unternehmen zu schaffen." – 28,8 Prozent zum Mittel von 17,8 Prozent. Die Hindernisse der anderen Unternehmensgrößen sind in dieser Betriebsgröße kein Thema, nämlich, dass die Unternehmensführung Cybersicherheit für einfach hält und Bedenken übertrieben sind (5,1 Prozent zum Mittel 25,2 Prozent).

Auch der Fachkräftemangel macht sich bemerkbar. Kleine Firmen bis 49 Mitarbeiter leiden mit 33,3 Prozent mehr als der Durchschnitt (26,2 Prozent) darunter. Fehlendes Budget ist hier aber kein Hindernis und wird mit zehn Prozent unterdurchschnittlich (17,8 Prozent) genannt.

Externe für Schulungen und Sicherheitstools

Wie gehen Unternehmen unterschiedlicher Größen nun mit diesen Erfahrungen und Schwierigkeiten um? Angesichts der Komplexität und Schnelligkeit der heutigen Cyberbedrohungen holen sich viele Betriebe extern Unterstützung. So benennt fast jeder dritte Befragte (29,7 Prozent), dass das Unternehmen sich Spezialisten zu Kompetenzentwicklung, Schulung und Sensibilisierung der Mitarbeitenden im Bereich Cybersicherheit dazuholt. An zweiter Stelle kommen externe Dienste zu Sicherheitsmaßnahmen im Unternehmensnetzwerk (27,7 Prozent). Knapp ein Drittel aller Befragten über alle Unternehmensgrößen hinweg geben an, mittlerweile bei der Reaktion auf und Behebung nach Cyberattacken ein externes Team hinzuzuholen – was die hohen Wachstumszahlen in Sachen MDR und Incident Response untermauert.

Mittelstand setzt auf Unterstützung

Konzerne sind in Sachen Cybersicherheit naturgemäß autarker unterwegs – hier nennt jeder Dritte (33,3 Prozent, Platz 1 der Nennungen), dass keine der genannten Aufgaben an Externe herausgegeben werden. Allerdings arbeitet mit 23,3 Prozent auch fast ein Viertel der kleinen Firmen bis 49 Mitarbeitern nicht mit externen Spezialisten zusammen, während dieser Wert bei Unternehmen von 50 bis 1000 Mitarbeitern im Mittel nur bei rund sieben Prozent liegt. Mittelständler holen sich demnach am häufigsten externe Hilfe an Bord.