IT-Security und Risk Management

Transkript

1 Lünendonk -Trendstudie 2016 IT-Security und Risk Management Digitale Bedrohungsszenarien im Fokus von Business und IT Eine Publikation der Lünendonk GmbH überreicht von

2 L ü n e n d o n k - T r e n d s t u d i e Inhaltsverzeichnis VORWORT... 3 MANAGEMENT SUMMARY: RISIKEN FÜR DIE DIGITALE AGENDA... 5 STRATEGIEPERSPEKTIVE: AKTUELLE BUSINESS-TRENDS VERSUS BEDEUTUNG VON IT- SECURITY UND RISK MANAGEMENT... 8 IT-SECURITY UND RISK MANAGEMENT: STATUS QUO UND AKTUELLE HERAUSFORDERUNGEN REALITÄTSCHECK: IT-SECURITY UND RISK MANAGEMENT IM PROJEKTVERLAUF ORGANISATION UND RECHT: ROLLE DES CISO, IT-SICHERHEITSGESETZ UND GDPR SOURCINGSTRATEGIE: BEDEUTUNG DES EXTERNEN PARTNERÖKOSYSTEMS FAZIT UND AUSBLICK METHODIK UND STATISTISCHE DATEN UNTERNEHMENSPROFILE Open Systems Lünendonk

3 I T - S e c u r i t y u n d R i s k M a n a g e m e n t Vorwort den Projekten, bei denen die Fachbereiche mit der IT eng zusammenarbeitet, frühzeitig und umfassend? Liebe Leserinnen, liebe Leser, Hartmut Lüerßen, Partner Lünendonk GmbH Unternehmen sind durch Cyber-Risks wie Ransomware, andere Malware oder direkte Hackerangriffe zunehmend bedroht. Daran gibt es keinen Zweifel. Prominente Fälle von Datenverlusten durch Hackerangriffe wie bei Visa oder Dropbox haben die Gefahr auch für Business-Verantwortliche deutlich gemacht, die keine IT- oder Security-Experten sind. Gleichzeitig steht die Digitale Transformation ganz oben auf der strategischen Agenda vieler Unternehmen. Die Digitale Agenda ist Chefsache oder sie sollte es zumindest sein. Damit steigt die Aufmerksamkeit für die Projekte in den Unternehmen. Auch der Erfolgsdruck nimmt zu. In vielen Unternehmen führt die Digitale Transformation zu einer noch engeren Zusammenarbeit zwischen den Fachbereichen und der IT. Dieser Trend ist aus der Marktperspektive als sehr positiv zu bewerten, denn viele Geschäftsmodelle verändern sich durch die Verfügbarkeit neuer geschäftsrelevanter Daten massiv. Die Zahl der Datenquellen nimmt durch das Internet of Things zu, ebenso die Zahl der Unternehmen in der verlängerten digitalen Wertschöpfungskette. Doch welche Rolle und welcher Stellenwert kommt dabei dem wichtigen Thema Information-Security und Risk Management zu? Werden Methoden wie Security by Design in der Anwendungsentwicklung eingesetzt? Erfolgt die Berücksichtigung der Security-Themen in Aus technischer Perspektive gibt es umfassende Empfehlungen, wie sich Unternehmen strategisch und organisatorisch auf diese Bedrohungsszenarien einstellen können. Diese Themen sind vielfältig untersucht worden. Die vorliegende Trendstudie, die von Lünendonk in fachlicher Zusammenarbeit mit den Unternehmen Hewlett Packard Enterprise, KPMG, NTT Security, Open Systems und Unisys durchgeführt wurde, untersucht daher den Business-Aspekt der Herausforderungen im Zusammenhang mit IT-Security und Risk Management. Im Mittelpunkt der Analyse steht die Frage, wie sich die Anforderungen an IT-Security und Risk Management im Zusammenhang mit der digitalen Transformation entwickeln, wie die Unternehmen bisher darauf vorbereitet sind und welche notwendigen Handlungsfelder sich ergeben. WERTVOLLE DATEN UND PROZESSE SCHÜTZEN Im Zusammenhang mit der digitalen Transformation wird eine integrierte Betrachtung des Value at Risk aus technischer und geschäftlicher Perspektive immer wichtiger. Denn mit der zunehmenden Digitalisierung der Wertschöpfungsketten müssen Sicherheitskonzepte durchgängig wirken. Die Durchsetzung von Sicherheitsstandards im eigenen Unternehmen allein reicht dann nicht mehr aus. Wie sind die Unternehmen also aufgestellt, wenn es darum geht, die Bedrohungsszenarien aus einer Business-Perspektive zu bewerten? Werden die Fachbereiche bei der Risikobewertung mit einbezogen? Sind die Unternehmen in der Lage, bei festgestellten Attacken die Auswirkungen über die Geschäftsprozesse hinweg schnell zu erkennen? 3

4 L ü n e n d o n k - T r e n d s t u d i e Der These folgend, dass IT-Security und Risk Management nicht nur aus der IT-Perspektive betrachtet werden sollten, wurden bei der Studie jeweils zur Hälfte IT-Entscheider und Business-Entscheider von Unternehmen des gehobenen Mittelstands und Großunternehmen in Deutschland, Österreich und der Schweiz befragt. Unternehmen dieser Größenordnung sind in den meisten Fällen international aktiv, sind häufig Teil komplexer Wertschöpfungsketten und stehen damit exemplarisch für die Herausforderungen, die es im Zusammenhang mit der digitalen Transformation zu bewältigen gilt. Wir wünschen Ihnen eine interessante Lektüre. Herzliche Grüße, Hartmut Lüerßen Partner Lünendonk GmbH 4

5 I T - S e c u r i t y u n d R i s k M a n a g e m e n t Management Summary: Risiken für die digitale Agenda Die Themen Information-Security und Risk Management dürfen kein blinder Fleck auf der digitalen Agenda sein. In der vorliegenden Trendstudie wurde untersucht, wie Unternehmen des gehobenen Mittelstands und große Unternehmen mit den Herausforderungen im Zusammenhang mit IT-Security und Risk Management umgehen. Wie arbeiten IT-Organisation und Fachbereiche zusammen? Wie bereiten sich die Unternehmen auf die digitale Transformation vor? Wird beim IT-Security- Management bereits die Business-Perspektive berücksichtigt oder erfolgt das Risk Management allein aus technischer Perspektive? Das Gesamtbild der Ergebnisse zeigt eine hohe Übereinstimmung in der Bewertung zwischen IT und Fachbereichen. Das ist positiv zu bewerten. Es zeigt sich jedoch auch eine ganze Reihe von Herausforderungen und Handlungsfeldern, damit aus der digitalen Transformation mehr Chancen als Risiken entstehen. 2. GRÖßTE SECURITY-HERAUSFORDERUNGEN: DURCHSETZUNG VON SICHERHEITSSTANDARDS UND SECURITY-BEWUSSTSEIN DER ANWENDER Für 81 Prozent der IT-Verantwortlichen ist das Durchsetzen von Sicherheitsstandards im Unternehmen (auch länderübergreifend) aktuell die größte Security- Herausforderung. An zweiter Stelle steht das fehlende Security-Bewusstsein der Anwender im Unternehmen, das für 75 Prozent der IT-Verantwortlichen ein Problem darstellt. 3. DIGITALE TRANSFORMATION ERZEUGT HANDLUNGSBEDARF: ERKENNEN RELEVANTER ANGRIFFE SCHON HEUTE EIN GROßES PROBLEM Zwei Drittel der befragten IT- und IT-Security- Verantwortlichen sehen aktuell in dem Thema relevante Angriffe und Schwachstellen in der Informationsflut frühzeitig zu erkennen eine Herausforderung. Diese Aufgabe wird mit steigender Zahl externer Partner in der digitalen Wertschöpfungskette umso komplexer. 1. VERÄNDERUNGEN DER WERTSCHÖPFUNGS- KETTEN UND DIGITALE TRANSFORMATION SIND WICHTIGSTER BUSINESS-TREND Für die befragten IT- und Business-Entscheider stehen die Themen Veränderungen der Wertschöpfungsketten (Bewertung 7,6 von 10) und digitale Transformation (7,5 von 10) strategisch an erster Stelle, gefolgt vom Mobilen Internet (7,3 von 10). Viele der Unternehmen haben mit der digitalen Transformation ihres Unternehmens begonnen. Das zeigt sich anhand der Umsetzungsquoten von Projekten zur Einführung wichtiger Basistechnologien wie Mobiles Internet (46 Prozent Umsetzungsquote) oder Cloud (39 Prozent). Mit der sehr technisch ausgerichteten IT-Security- Strategie gelingt es den Unternehmen kaum, die Zusammenhänge zwischen technischen Events und realer Bedrohung für das Unternehmen herzustellen. Ein Beispiel: Wenn Mitarbeiter versuchen, auf Systeme zuzugreifen, für die sie keine Berechtigung haben, ist dies leicht erkennbar und ein Standardvorfall. Dieser wird protokolliert und ist leicht nachvollziehbar. Ob dieser versuchte Zugriff versehentlich oder mit krimineller Energie erfolgte, ist wiederum ein nachgelagerter Prüfungsprozess. Oft sind externe und interne Angriffe jedoch nur über die Verknüpfung verschiedener Informationsquellen und Rollenprofile erkennbar. 5

6 L ü n e n d o n k - T r e n d s t u d i e BEDEUTUNG VON IT-SECURITY UND RISK MANAGEMENT UNTERNEHMENSKRITISCH, TENDENZ WEITER STEIGEND Insgesamt wird die Bedeutung von IT-Security und Risk Management anhand einer Skala von 1 = untergeordnete Bedeutung bis 10 = unternehmenskritische Bedeutung mit 9,2 bewertet. Dabei bewerten 58 Prozent der IT-Entscheider die Themen mit der Höchstnote. Bei den Non-IT-Entscheidern sind es immerhin 45 Prozent. Dass die Bedeutung von IT-Security und Risk Management aus geschäftlicher Perspektive weiter zunimmt, ist für die Studienteilnehmer ebenfalls klar. 5. UMSETZUNGSDEFIZIT (1): 63 PROZENT DER UNTERNEHMEN BERÜCKSICHTIGEN IT-SECURITY UND RISK MANAGEMENT ZU SPÄT IM PROJEKT Anders als die hohe strategische und geschäftskritische Bedeutung vermuten ließe, findet eine frühzeitige und umfassende Berücksichtigung im Projektverlauf lediglich bei 37 Prozent der analysierten Unternehmen statt. Hier besteht ein offensichtlicher Widerspruch zwischen Anspruch und Wirklichkeit. Analysiert man die Ergebnisse im Detail, so zeigen sich anhand der Größenklassen der Unternehmen keine besonderen Unterschiede. 6. UMSETZUNGSDEFIZIT (2): MANGELNDES VERSTÄNDNIS UND ZEITDRUCK VERHINDERN IT- SECURITY UND RISK MANAGEMENT Zumindest vordergründig werden IT-Security und Risk Management nicht aus Kostengründen hinten angestellt. Insgesamt sind es nur drei Prozent der Unternehmen, bei denen die Kosten für Security- Anforderungen tendenziell unterschätzt und als zu hoch erachtet werden. Die Hauptgründe, warum Unternehmen diese wichtigen Themen im Projektverlauf aufschieben, sind fehlendes Verständnis sowie Zeitdruck. 7. RISK-MANAGEMENT-PERSPEKTIVE ZU TECHNISCH: NUR 27 PROZENT DER UNTERNEHMEN BEZIEHEN FACHBEREICHE AKTIV MIT EIN Bei 92 Prozent der Unternehmen erfolgen die Informationswertanalyse und die Risikobewertung aus der IT- Perspektive. Nur 27 Prozent der Unternehmen beziehen die Fachbereiche in diesen Prozess aktiv mit ein. Dass ohne die aktive Zusammenarbeit mit den Fachbereichen die verknüpfte Sicht von technischen Incidents und der tatsächlichen Gefährdungslage für wertvolle Unternehmensprozesse und Daten nicht gelingen kann, liegt auf der Hand. 8. VERKNÜPFUNG DER SECURITY INCIDENTS MIT BUSINESS: 57 PROZENT DER UNTERNEHMEN FEHLEN INFORMATIONEN ÜBER VALUE AT RISK Obwohl bei deutlich mehr als der Hälfte Informationen über den Wert der sogenannten Kronjuwelen fehlen, planen mehr als 70 Prozent der Unternehmen vor allem operative Maßnahmen. Lediglich 38 Prozent der Unternehmen planen tiefer gehende Audits, um die Investitionen in Information Security und Risk Management zielgerichteter einsetzen zu können. Diese Fakten lassen ein Strategiedefizit erkennen: Die Verknüpfung der technischen Perspektive mit der Business-Perspektive ist bei der Mehrheit der Unternehmen ungelöst. Dieses Problem lässt sich mit der Einführung neuer Tools allein nicht lösen. Klar ist: Moderne Tools sind wichtig, weil sie den Wirkungsgrad des operativen IT-Security-Managements erhöhen. Doch gerade weil es derzeit noch keine Blaupausen gibt, um die technische Sicherheitsbewertung automatisch mit der Business-Perspektive zu verknüpfen, kommt dieser strategischen Aufgabe eine besondere Bedeutung zu. 9. ORGANISATION UND RECHT: ROLLE DES CISO, IT- SICHERHEITSGESETZ UND GDPR Von den befragten Unternehmen haben 43 Prozent einen Chief Information Security Officer (CISO) etabliert. Bei der Detailanalyse bestätigt sich, dass diese Funktion bei den großen Unternehmen häufiger existiert. So verfügen mit durchschnittlich 52 Prozent mehr als die Hälfte der befragten Unternehmen mit mehr als 5 Milliarden Euro Umsatz über einen CISO. In Bezug 6

7 I T - S e c u r i t y u n d R i s k M a n a g e m e n t auf das IT-Sicherheitsgesetz befinden sich 34 Prozent noch in der Evaluierungsphase. Die Datenschutz- Grundverordnung (GDPR, General Data Protection Regulation), die ab dem 25. Mai 2018 gelten soll, wird derzeit noch von 39 Prozent der Unternehmen bewertet. 10. TECHNISCHER REIFEGRAD FÜHRT ZU WEITER SO -PLANUNG Die Unternehmen stellen sich selbst ein gutes Zeugnis aus, was den Reifegrad der IT-Security-Operations und das Risk Management angeht. Dementsprechend planen sie, vor allem die Themen zu intensivieren, die schon bisher eine hohe Priorität aufweisen: mehr Schulungen, mehr Tools, mehr Budget, mehr externe Security-Services. Aus der Analystenperspektive betrachtet scheint der klare Auftrag zu fehlen, die Fachbereiche stärker in die Entwicklung der IT-Security-Strategie und die Evaluierung des Risk Managements einzubeziehen. Dies ist jedoch zwingend erforderlich, um die steigende Komplexität im Zusammenhang mit der digitalen Transformation und den Veränderungen der Wertschöpfungsketten kontrollierbar zu halten. 7

8 L ü n e n d o n k - T r e n d s t u d i e Strategieperspektive: Aktuelle Business- Trends versus Bedeutung von IT-Security und Risk Management Um die Bedeutung von IT-Security und Risk Management zu analysieren, ist es wichtig zu wissen, welche Business-Trends für die Unternehmen von strategischer Bedeutung sind. Die Interviewpartner wurden daher gebeten, eine Liste von aktuellen Business- Trends anhand einer Skala von 1 = keine strategische Bedeutung bis 10 = sehr hohe strategische Bedeutung zu bewerten. den Filialen, auch die Preisgestaltung ist teilweise nicht einheitlich. Hier besteht aus der Kundenperspektive betrachtet noch viel Verbesserungspotenzial. Gleichzeitig hat Amazon in ausgesuchten Städten mit der Auslieferung innerhalb einer Stunde begonnen. Im Vergleich mit dem Handel gehören die meisten Sektoren der Industrie zu den Nachzüglern der Digitalisierung. Wie vermutet, haben die Veränderungen der Wertschöpfungsketten (durchschnittliche Bewertung 7,6) im Zusammenhang mit der digitalen Transformation (durchschnittliche Bewertung 7,5) strategisch die größte Bedeutung. An dritter Stelle folgt das Mobile Internet, das von den Teilnehmern durchschnittlich mit 7,3 bewertet wird. Die Art und Weise, wie die digitale Transformation die Geschäftsmodelle in Branchen verändert, ist sehr unterschiedlich. Beispiel Einzelhandel: Der Einzelhandel gehört zu den Branchen, die sich durch die digitale Transformation bereits sehr stark verändert haben. Der Onlinehandel hat die Wettbewerbslandschaft verändert. Unternehmen wie Amazon oder Zalando machen klassischen stationären Häusern das Leben schwer. Technologisch entwickelt sich der Handel vom E- Commerce über den derzeit besonders stark wachsenden Mobile-Commerce hin zum sogenannten Multichannel-Commerce, bei dem die Kunden über die verschiedenen Verkaufs- und Interaktionskanäle hinweg nach Belieben einkaufen, bewerten, reklamieren und umtauschen. Wie schwierig es teilweise ist, die Mechanismen des Kundenverhaltens in solchen Multichannel-Strategien abzubilden, zeigt sich nicht nur an unterschiedlichen Sortimenten im Onlineshop und in Auch die Ausprägung der digitalen Transformation unterscheidet sich stark vom Handel. Zwar verändern sich im Handel auch viele Logistikprozesse im Hintergrund. Sichtbar werden die Veränderungen jedoch vor allem an der Schnittstelle zum Kunden, etwa durch Apps oder mobile-optimierte Webshops. Dementsprechend bewerten die Studienteilnehmer aus dem Handel auch das Thema Mobiles Internet durchschnittlich mit 7,4, während bei den Industrieunternehmen die Gewichtung der Themen deutlich anders ausfällt. Hier steht die Veränderung der Wertschöpfungsketten zwar mit einer Bewertung von 7,5 ebenfalls an erster Stelle. An zweiter Stelle folgt jedoch das Thema Industrie 4.0 mit einer durchschnittlichen Bewertung von 7,2. Industrie 4.0 steht als Begriff für die Ausprägung der digitalen Transformation dieser Branchen. Die Industrieunternehmen bewerten den aus ihrer Sicht allgemeineren Begriff der digitalen Transformation durchschnittlich mit 7,2. Das Mobile Internet (durchschnittliche Bewertung 6,7) ist für die Industrie eine wichtige Schlüsseltechnologie, um Sensor- und Maschinendaten zu übertragen. Auf vergleichbarem Niveau von 6,6 liegt die Bewertung von Machine-to-Machine- Communication (M2M). Von Handelsunternehmen wird dieses Trendthema lediglich mit 5,9 bewertet. 8

9 I T - S e c u r i t y u n d R i s k M a n a g e m e n t VERÄNDERTE WERTSCHÖPFUNGSKETTE UND DIGITALE TRANSFORMATION IM FOKUS Veränderungen der Wertschöpfungsketten 7,5 7,6 Digitale Transformation 7,2 7,5 Mobiles Internet 6,7 7,3 Big Data/Analytics 6,2 6,5 Cloud Services 5,5 6,1 Gesamt Industrie Machine-to-Machine-Communication (M2M Communication) 5,9 6,6 Mittelwert gesamt Industrie 4.0 5,9 7,3 Internet of Things (IoT) 5,2 5,7 4,0 5,4 Mobile Commerce Abbildung 1: Aktuelle Business-Trends in Bezug auf die strategische Bedeutung; gesamt: n = 251; Industrie: n = 53 Frage: Wie bewerten Sie diese aktuellen Business-Trends in Bezug auf die strategische Bedeutung für Ihr Unternehmen? Skala von 1 = keine strategische Bedeutung bis 10 = sehr hohe strategische Bedeutung PROJEKTSTATUS DER BUSINESS-TRENDS Zusätzlich zur strategischen Bedeutung der Business- Trends ist es wichtig zu analysieren, wie weit die Unternehmen mit konkreten Umsetzungsprojekten sind und ob sie überhaupt Projekte in den verschiedenen Trendthemen planen. Über alle befragten Business-Trends hinweg zeigt sich der höchste Umsetzungsgrad beim Thema Mobiles Internet, bei dem 46 Prozent der befragten Unternehmen die Projekte bereits abgeschlossen haben. Dabei sollte berücksichtigt werden, dass die Komplexität der Projekte sehr unterschiedlich ausfallen kann. An zweiter Stelle folgen Projekte im Zusammenhang mit Cloud Services, die bei 39 Prozent der Unternehmen bereits umgesetzt sind. Dass Machine-to-Machine-Communication in Bezug auf bereits umgesetzte Projekte an dritter Stelle steht (14 Prozent Umsetzungsquote, 42 Prozent der Unternehmen sind in der Umsetzungsphase), verwundert insofern nicht, als auch Methoden der Fernwartung zu diesem Themenbereich hinzugezählt werden und diese Methoden in vielen Branchen Anwendung finden vom Bankautomaten bis zur Sensorik bei Produktionsmaschinen in der Industrie. WAHRNEHMUNG VON IT-SECURITY UND RISK MANAGEMENT AUS GESCHÄFTLICHER SICHT Mit der Analyse der Wahrnehmung von IT-Security und Risk Management bestätigt sich die Ausgangsthese dieser Trendstudie, dass diese Themen auch von Business-Entscheidern ohne spezifischen IT- Background für sehr relevant erachtet werden. Insgesamt wird die Bedeutung von IT-Security und Risk Management anhand einer Skala von 1 = untergeordnete Bedeutung bis 10 = unternehmenskritische Bedeutung mit 9,2 bewertet. Dabei bewerten 58 Prozent der IT-Entscheider die Themen mit der Höchstnote. Bei den Non-IT-Entscheidern sind es immerhin 45 Prozent. 9

10 L ü n e n d o n k - T r e n d s t u d i e PROJEKTSTATUS WICHTIGER BASISTECHNOLOGIEN ALS INDIKATOR FÜR DIGITALISIERUNG Mobile Internet 46% 21% 14% 19% Cloud Services 39% 12% 14% 35% Machine-to-Machine-Communication (M2M Communication) 14% 42% 15% 29% Internet of Things (IoT) gesamt 13% 22% 11% 54% Internet of Things (IoT) Handel 19% 21% 19% 41% Digitale Transformation 12% 57% 9% 23% Mobile Commerce Industrie 4.0 2% 11% 37% 31% 6% 13% 52% 48% Big Data/Analytics 40% 28% 32% Veränderung der Wertschöpfungsketten 34% 18% 48% 0% 20% 40% 60% 80% 100% Projekt abgeschlossen Projekt in der Umsetzung Projekt geplant keine Projekte geplant Abbildung 2: Projektstatus Business-Trends; n = 258 Frage: Wie ist der aktuelle Projektstatus bei diesen Business-Trends in Ihrem Unternehmen? Dass die Bedeutung von IT-Security und Risk Management aus geschäftlicher Perspektive weiter zunimmt, ist für die Studienteilnehmer ebenfalls klar. Auf der Skala von 1 = Bedeutung geht stark zurück bis 10 = Bedeutung steigt stark an liegt die Bewertung bei durchschnittlich 8,9. Insgesamt 42 Prozent der Teilnehmer vergeben hier den Höchstwert der Skala. INFORMATION-SECURITY & RISK MANAGEMENT ALS GESCHÄFTSKRITISCH ERKANNT Mittelwert Gesamt 52% 24% 24% 1% 9,2 IT 58% 20% 20% 2% 9,3 Non-IT 45% 28% 27% 9,2 0% 20% 40% 60% 80% 100% 10=unternehmenskritische Bedeutung =untergeordnete Bedeutung Abbildung 3: Bedeutung IT-Security und Risk Management aus geschäftlicher Perspektive; n = 254 Frage: Wie wichtig ist das Thema Information Security und Risk Management aus geschäftlicher Perspektive heute? Skala 1 = untergeordnete Bedeutung bis 10 = unternehmenskritische Bedeutung 10

11 I T - S e c u r i t y u n d R i s k M a n a g e m e n t IT-Security und Risk Management: Status quo und aktuelle Herausforderungen Die befragten Unternehmen des gehobenen Mittelstands und die großen Unternehmen sehen eine ausgeprägte Bedrohungslage. Das verwundert aufgrund der häufigen Meldungen über Datenverluste und Hackerangriffe nicht. Auf einer Skala von 1 = keine Bedrohung bis 10 = sehr große Bedrohung bewerten die Teilnehmer die Bedrohungslage für Unternehmen ihrer Branche durchschnittlich mit 8,4. Dabei sehen die Industrieunternehmen die Bedrohungslage besonders groß. Die durchschnittliche Bewertung liegt hier bei 8,7. Von den 54 befragten Industrieunternehmen vergaben 46 Prozent die Höchstnote der Skala. Über alle Branchen hinweg liegt der Anteil der Höchstnoten hingegen nur bei 35 Prozent. Zusätzlich wurden die Unternehmen befragt, wie sie den eigenen Reifegrad bei IT-Security und Risk Management im Vergleich zu anderen Unternehmen vergleichbarer Größe bewerten. Die Bewertung erfolgte anhand einer Skala von 1 = viel schlechter aufgestellt bis 10 = viel besser aufgestellt. Das Selbstzeugnis, das sich die Unternehmen geben, fällt mit einer durchschnittlichen Bewertung von 7,9 recht positiv aus. Die Studienteilnehmer sind überwiegend der Meinung, besser zu sein als vergleichbare Unternehmen. Dabei legt die Bewertung beim Vergleich der IT- Verantwortlichen mit den Business-Verantwortlichen sehr nahe beieinander. So vergeben die Business- Verantwortlichen für den Reifegrad des eigenen Unternehmens eine 7,8, die IT-Verantwortlichen bewerten ihn mit 8,0 und damit nur unwesentlich besser als die Kollegen aus dem Business. UNTERNEHMEN SEHEN GROßE BEDROHUNGEN Mittelwert Gesamt 35% 22% 15% 12% 7% 9% 8,4 Industrie 46% 13% 19% 15% 2% 6% 8,7 0% 20% 40% 60% 80% 100% 10 = sehr große Bedrohung = keine Bedrohung Abbildung 4: Bedrohung für Unternehmen; n = 256; Frage: Wie schätzen Sie die Bedrohung für Unternehmen in Ihrer Branche in Deutschland ein? Skala von 1 = keine Bedrohung bis 10 = sehr große Bedrohung 11

12 L ü n e n d o n k - T r e n d s t u d i e REIFEGRAD IT-SECURITY & RISK MANAGEMENT IM VERGLEICH ZU ANDEREN UNTERNEHMEN Mittelwert 9% 17% 41% 26% 4% 3% 7,9 0% 20% 40% 60% 80% 100% 10 = viel besser aufgestellt = viel schlechter aufgestellt Abbildung 5: Reifegrad Verteilung Gesamt und Durchschnittswert; n = 252 Frage: Wie schätzen Sie Ihr Unternehmen im Vergleich zu anderen in der Größe vergleichbaren Unternehmen in Bezug auf den Reifegrad von Information Security und Risk Management ein? Skala 1 = viel schlechter aufgestellt bis 10 = viel besser aufgestellt Diese hohe Übereinstimmung in der Wahrnehmung ist aus der Marktperspektive betrachtet positiv. So bestätigt sich einerseits ein gewachsenes Verständnis für die Bedeutung der IT und der Sicherheit der Umgebungen. Andererseits deutet diese Übereinstimmung in der Wahrnehmung der Leistungsfähigkeit und des Reifegrads von IT-Security und Risk Management darauf hin, dass die IT intern insgesamt besser kommuniziert als in der Vergangenheit. Gleichzeitig muss jedoch auch hinterfragt werden, inwieweit diese Wahrnehmung die gelebte Wirklichkeit in den Unternehmen widerspiegelt: Werden die Fachbereiche in die Risikobewertung mit einbezogen? Werden Fragen im Zusammenhang mit IT-Security frühzeitig und umfassend in Projekten berücksichtigt? Sind die Methoden des IT-Security- Managements schon auf die Business-Prozesse ausgerichtet? der Unternehmen zu. Methodisch gehen die Unternehmen dabei sehr strukturiert vor. Das erklärt auch den hohen Wert bei der Bewertung des eigenen Reifegrads. So erfolgt bei 67 Prozent der Unternehmen regelmäßig eine Analyse und Risikobewertung der technischen Infrastruktur und 63 Prozent der Unternehmen haben strukturierte Prozesse, die definieren, welche Prozesse und Daten schützenswert sind. Allerdings werden die Fachbereiche bei der Informationswertanalyse und Risikobewertung, die eine wesentliche Grundlage für die IT-Security-Strategie und die Investitionsentscheidungen darstellt, nur bei 27 Prozent der Unternehmen aktiv mit einbezogen. Diese Quote ist viel zu gering und entspricht nicht den Herausforderungen, die sich durch die digitale Transformation ergeben. STATUS-QUO BEI IT-SECURITY UND RISK MANAGEMENT IST DIE TECHNISCHE PERSPEKTIVE Es zeigt sich, dass die Unternehmen nach heutigem Stand die IT-Security und auch die Risikobewertung überwiegend aus der technischen Perspektive steuern. Das trifft bei den Studienteilnehmern auf 92 Prozent An dieser Stelle zeigt sich zudem ein deutlicher Unterschied in der Wahrnehmung der IT-Verantwortlichen und der Business-Verantwortlichen. Während 34 Prozent der IT-Verantwortlichen angeben, dass die Fachbereiche aktiv mit einbezogen werden, sind es bei den Business-Verantwortlichen lediglich 20 Prozent. 12

13 I T - S e c u r i t y u n d R i s k M a n a g e m e n t RISIKOBEWERTUNG UND INFORMATIONSWERTANALYSE IT VS. NON-IT Die Informationswertanalyse und Risikobewertung erfolgen überwiegend aus der IT-Perspektive. 90% 92% Es erfolgt regelmäßig eine Analyse und Risikobewertung der technischen Infrastruktur. Es gibt strukturierte Prozesse, die definieren, welche Prozesse und Daten schützenswert sind. 69% 67% 64% 63% IT Non-IT Die Fachbereiche werden bei der Informationswertanalyse und Risikobewertung aktiv mit einbezogen. 20% 34% Abbildung 6: Risikobewertung und Informationswertanalyse IT vs. Non-IT 0% 20% 40% 60% 80% 100% Frage: Wie erfolgen die Risikobewertung und die Informationswertanalyse in Ihrem Unternehmen? n = 255 Die Folge dieser geringen Einbeziehung der Fachbereiche bei der Informationswertanalyse und Risikobewertung ist, dass deutlich mehr als die Hälfte der Unternehmen (57 Prozent) über fehlende Informationen über den Wert bedrohter Daten und Prozesse klagen. Überspitzt formuliert wissen diese Unternehmen gar nicht genau, welche Werte sie schützen sollen beziehungsweise wo diese Werte in den Prozessen und Datenbanken verarbeitet und gespeichert werden. es den Unternehmen kaum, die Zusammenhänge zwischen technischen Events und realer Bedrohung für das Unternehmen herzustellen. Ein Beispiel: Wenn Mitarbeiter versuchen, auf Systeme zuzugreifen, für die sie keine Berechtigung haben, ist dies anhand der Benutzerdaten und Berechtigungen erkennbar und ein Standardvorfall. Dieser wird protokolliert und ist leicht nachvollziehbar. Die Unternehmen fühlen sich gut in dem, was sie beim IT-Security-Management tun, laufen aber Gefahr, nicht immer das richtige zu tun. Denn an dem sogenannten Value at Risk müssen sich die zukünftigen Investitionen und strategischen Überlegungen ausrichten. Ob dieser versuchte Zugriff versehentlich oder mit krimineller Energie erfolgte, ist wiederum ein nachgelagerter Prüfungsprozess. Oft sind externe und interne Angriffe jedoch nur über die Verknüpfung verschiedener Informationsquellen und Rollenprofile erkennbar. Noch deutlicher wird der Zusammenhang, wenn man berücksichtigt, dass zwei Drittel der befragten IT- und IT-Security-Verantwortlichen die Herausforderung sehen, relevante Angriffe und Schwachstellen in der Informationsflut frühzeitig zu erkennen. Mit der sehr technisch ausgerichteten IT-Security-Strategie gelingt Dazu zählen beispielsweise Zugriffsmuster nach Tageszeiten, am Wochenende oder im Urlaub. Das macht die Forensik von Angriffen auch so aufwendig und komplex. Denn, wenn ein Zugriff erlaubt ist, ist es umso schwerer, zu beantworten: Wann ist er auffällig? 13

14 L ü n e n d o n k - T r e n d s t u d i e HERAUSFORDERUNGEN, BEDROHUNGSSZENARIEN & CYBER-RISK Durchsetzten von Sicherheitsstandards im Unternehmen (auch länderübergreifend) 81% Fehlendes Security-Bewusstsein der Anwender im Unternehmen 75% Frühzeitiges Erkennen relevanter Angriffe und Schwachstellen in der Informationsflut 66% Fehlende Informationen über den Wert bedrohter Daten und Prozesse (Value at risk) 57% Fachkräftemangel 42% Zu geringe Budgets für Information Security und Risk Management 20% 0% 20% 40% 60% 80% 100% Abbildung 7: Herausforderungen Bedrohungsszenarien & Cyber-Risk Frage: Was sind aus Ihrer Sicht derzeit die größten Herausforderungen in der Abwehr der aktuellen Bedrohungsszenarien und Cyber- Risks? n = 123 Interessant ist auch die Tatsache, dass für 80 Prozent der Unternehmen die Budgets für Information Security und Risk Management kein limitierender Faktor sind. Auch der Fachkräftemangel, der von 42 Prozent der IT-Entscheider genannt wird, scheint die Unternehmen nicht stark zu beschränken. DURCHSETZUNG VON SICHERHEITSSTANDARDS Die frühzeitige Erkennung relevanter Angriffe und Schwachstellen in der Informationsflut ist aktuell jedoch nicht einmal die größte Herausforderung der Unternehmen: An erster Stelle mit 81 Prozent Zustimmungsquote steht das Durchsetzen von Sicherheitsstandards im Unternehmen (auch länderübergreifend), gefolgt vom fehlenden Security- Bewusstsein der Anwender im Unternehmen, das für 75 Prozent der IT-Verantwortlichen ein Problem darstellt. Beide Themen sind sehr operativ geprägt und ausgerichtet. In Verbindung mit den Investitionsplanungen für Security-Maßnahmen, Beratung und Services lässt sich eine Weiter-so-Tendenz erkennen. Denn die beiden am häufigsten genannten Maßnahmen, die die befragten Unternehmen zukünftig planen, sind Mitarbeiterschulungen und Trainings (77 Prozent) und ein Stärken der IT-Sicherheits-Architektur durch neue Lösungen (mehr Tools) (73 Prozent). Den strategischen Ansatz mit tiefer gehenden Audits, um die Investitionen in Information Security und Risk Management zielgerichteter einsetzen zu können, planen hingegen nur 38 Prozent der Unternehmen. Nur 20 Prozent der Unternehmen planen, neue IT- Security-Experten einzustellen und setzen stärker auf verstärkte Zusammenarbeit mit Anbietern von Managed-Security-Services (45 Prozent). Die befragten Banken fokussieren noch stärker auf den Einsatz von mehr Tools. Hier sind es 79 Prozent der Unternehmen, die die IT-Sicherheits-Architektur mit Tools stärken wollen. Gleichzeitig planen nur 9 Prozent der Banken, neue IT-Security-Experten einzustellen. Zudem zeigt sich anhand der Planungen die Bereitschaft, mehr Budget für IT-Security und Risk Management bereitzustellen. Dies planen durchschnittlich 53 Prozent der Unternehmen. 14

15 I T - S e c u r i t y u n d R i s k M a n a g e m e n t REAKTIONEN AUF STEIGENDE SECURITY-ANFORDERUNGEN Mitarbeiterschulungen und Trainings IT-Sicherheitsarchitektur durch neue Lösungen stärken (mehr Tools) Bereitstellung von mehr Budget 53% 77% 73% 79% Verstärkte Zusammenarbeit mit Anbietern von Managed-Security- Services (punktuelle Services) Tiefergehende Audits, um die Investitionen in Information Security und Risk Management zielgerichteter einsetzen zu können Zusätzliche Investitionen in IT-Security-Zertifizierungen 29% 38% 45% Gesamt Banken Einstellung neuer IT-Security-Experten Verstärktes Outsourcing von IT-Security-Services 9% 17% 20% Abbildung 8: Reaktionen auf steigende Security-Anforderungen Frage: Wie reagiert Ihr Unternehmen auf die steigenden Security-Anforderungen? n = ,2 0,4 0,6 0,8 1 STRATEGIEDEFIZIT WIRD ERKENNBAR Bei 92 Prozent der Unternehmen erfolgen die Informationswertanalyse und die Risikobewertung überwiegend aus der IT-Perspektive. Nur 27 Prozent der Unternehmen beziehen die Fachbereiche aktiv mit ein. Bei 57 Prozent der Unternehmen fehlen Informationen über den Value at Risk. Gleichzeitig planen mehr als 70 Prozent der Unternehmen vor allem operative Maßnahmen. Lediglich 38 Prozent der Unternehmen planen tiefer gehende Audits, um die Investitionen in Information Security und Risk Management zielgerichteter einsetzen zu können. Diese Fakten lassen ein Strategiedefizit erkennen: Die Verknüpfung der technischen Perspektive mit der Business-Perspektive ist bei der Mehrheit der Unternehmen ungelöst. Dieses Problem lässt sich mit der Einführung neuer Tools allein nicht lösen. Klar ist: Moderne Tools sind wichtig, weil sie den Wirkungsgrad des operativen IT-Security- Managements erhöhen. Doch gerade weil es derzeit noch keine Blaupausen gibt, um die technische Sicherheitsbewertung automatisch mit der Business- Perspektive zu verknüpfen, kommt dieser strategischen Aufgabe eine besondere Bedeutung zu. Die Fachbereiche müssen aktiv in die Informationswertanalyse und die Risikobewertung einbezogen werden. Das gilt umso mehr, je stärker die Unternehmen ihre Prozesse und Prüfmechanismen digitalisieren und Datenflüsse über Schnittstellen an Partnerunternehmen oder Kunden herstellen. Dies sind logische Folgen der digitalen Transformation. 15

16 L ü n e n d o n k - T r e n d s t u d i e Realitätscheck: IT-Security und Risk Management im Projektverlauf Die Unternehmen messen den Themen IT-Security und Risk Management eine sehr hohe Bedeutung bei. Um zu analysieren, wie sich diese grundsätzliche Einschätzung in der Projektrealität widerspiegelt, wurden die Unternehmen gefragt, ob diese Themen bei Projekten gemeinsam zwischen der IT und den Fachbereichen frühzeitig und umfassend berücksichtigt werden. Anders als die hohe strategische und geschäftskritische Bedeutung vermuten ließe, findet eine frühzeitige und umfassende Berücksichtigung im Projektverlauf lediglich bei 37 Prozent der analysierten Unternehmen statt. Hier besteht ein offensichtlicher Widerspruch zwischen Anspruch und Wirklichkeit. Analysiert man die Ergebnisse im Detail, so zeigen sich anhand der Größenklassen der Unternehmen keine besonderen Unterschiede. Die Abweichung zwischen den Unternehmen mit 500 bis Mitarbeitern sowie den Unternehmen mit und mehr Mitarbeitern beträgt lediglich zwei Prozentpunkte. Eine gewisse Abweichung zeigt sich in der Einschätzung zwischen den IT-Entscheidern und den Non- IT-Entscheidern. So sind immerhin 39 Prozent der Non-IT-Entscheider der Auffassung, dass die Themen IT-Security und Risk Management frühzeitig berücksichtigt werden. Bei den IT-Entscheidern sind es lediglich 35 Prozent, die dem zustimmen. Noch deutlicher fallen die Unterschiede bei der Auswertung nach Branchen aus. Im Vergleich sind die Banken hier weiter fortgeschritten. Der Anteil der Banken, bei denen die Themen frühzeitig und umfassend im Projekt berücksichtigt werden, liegt bei 47 Prozent. Aufgrund der hohen regulatorischen Anforderungen und der Tatsache, dass die IT für Banken vergleichbar ist mit der für Produktionen in Industrieunternehmen, verwundert weniger die Tatsache, dass die Banken hier Vorreiter sind als vielmehr, dass der Security-Aspekt nicht noch stärker berücksichtigt wird. Nachzügler in Sachen frühzeitiger Berücksichtigung von IT-Security und Risk Management sind die Branchen Handel (29 Prozent) und Industrie (30 Prozent). Bei Versicherungen liegt der frühzeitige Berücksichtigungsanteil bei 39 Prozent, bei den Befragten Dienstleistungsunternehmen sind es 43 Prozent. 16

17 I T - S e c u r i t y u n d R i s k M a n a g e m e n t FRÜHZEITIGE UND UMFASSENDE BERÜCKSICHTIGUNG IT-SECURITY & RISK MANAGEMENT Nein 63% Ja 37% Banken 47% Dienstleistung 43% Versicherungen 39% Industrie 30% Handel 29% Abbildung 9: Frühzeitige & umfassende Berücksichtigung IT-Security & Risk Management Frage: Werden die Themen Information Security und Risk Management bei IT-relevanten Projekten von den Fachbereichen aus Ihrer Sicht frühzeitig und umfassend genug berücksichtigt? n = 255 FEHLENDES VERSTÄNDNIS UND ZEITDRUCK ALS HEMMNISSE Dass nur vergleichsweise wenige Unternehmen ihren eigenen Ansprüchen in Bezug auf IT-Security und Risk Management in der Projektpraxis gerecht werden, muss kritisch hinterfragt werden. Dabei wurden die Unternehmen, bei denen die Berücksichtigung nicht frühzeitig und umfassend erfolgt, gebeten, die Gründe dafür zu nennen. Es zeigt sich, dass IT-Security und Risk Management zumindest vordergründig nicht aus Kostengründen hinten angestellt werden. Insgesamt sind es nur drei Prozent der Unternehmen, bei denen die Kosten für Security-Anforderungen tendenziell unterschätzt und als zu hoch erachtet werden. Die Hauptgründe, warum Unternehmen diese wichtigen Themen im Projektverlauf aufschieben, sind fehlendes Verständnis sowie Zeitdruck. NICHT FRÜHZEITIGE UND UMFASSENDE BERÜCKSICHTIGUNG WORAN LIEGT DAS IHRER MEINUNG NACH? Die Security-Anforderungen werden vom Fachbereich nicht tief greifend genug verstanden. 33% 34% 32% Die Security-Anforderungen werden tendenziell für nicht relevant erachtet. Die Security-Anforderungen werden als hohe Hürden für ein schnelles Go-to-Market betrachtet. 33% 30% 35% 30% 30% 30% Gesamt IT Non-IT Die Kosten für Security-Anforderungen werden tendenziell unterschätzt und als zu hoch erachtet. 3% 4% 3% Abbildung 10: Falls nein Woran liegt das Ihrer Meinung nach? 0% 20% 40% Frage: Bei nein: Woran liegt das Ihrer Meinung nach? Gesamt: n = 156; IT: n = 79; Non-IT: n = 77 17

18 L ü n e n d o n k - T r e n d s t u d i e Mit 33 Prozent werden die beiden Begründungen die Security-Anforderungen werden vom Fachbereich nicht tief greifend genug verstanden sowie die Security-Anforderungen werden tendenziell für nicht relevant erachtet am häufigsten genannt. 30 Prozent der Nennungen erhält die Begründung die Security-Anforderungen werden als hohe Hürden für ein schnelles Go-to-Market betrachtet. Auch wenn die Begründung Security- Anforderungen werden tendenziell für nicht relevant erachtet (33 Prozent) eine Bewertung der Fakten impliziert, spricht doch einiges dafür, dass in dieser Antwortkategorie zusätzliche Fälle von fehlendem Verständnis enthalten sind. Insofern ist eine Detailanalyse nach den Funktionen IT- Entscheider/Non-IT-Entscheider interessant. Es zeigt sich jedoch: Die Unterschiede in der Einschätzung sind nicht besonders groß. So sind 32 Prozent der Non-IT-Entscheider der Auffassung, dass die Security-Anforderungen vom Fachbereich nicht tief greifend genug verstanden werden. Die Zustimmungsquote bei den IT- Entscheidern liegt bei 34 Prozent. Der Aussage die Security-Anforderungen werden tendenziell für nicht relevant erachtet stimmen 35 Prozent der Non-IT-Entscheider und 30 Prozent der IT- Entscheider zu. Bei der Zustimmung zu der Aussage die Security- Anforderungen werden als hohe Hürden für ein schnelles Go-to-Market erachtet liegen die beiden Vergleichsgruppen mit 30 Prozent sogar gleichauf. Dieses Stimmungsbild ist insofern interessant, als die Wahrnehmung der Non-IT-Entscheider und der IT-Entscheider sehr ähnlich ist. Damit darf zumindest teilweise ein Kommunikationsdefizit unterstellt werden: Wenn in beiden Gruppen die Bedeutung von IT-Security und Risk Management klar ist und beide Gruppen ein fehlendes Verständnis diagnostizieren, ist es Aufgabe der CISOs, für Aufklärung zu sorgen und ein Grundwissen zu fördern, das es erlaubt, erforderliche Entscheidungen frühzeitig anzugehen, anstatt sie zu vertagen. Das Argument, dass Security-Anforderungen als hohe Hürden für ein schnelles Go-to-Market erachtet werden, spiegelt den Konflikt wider, den die Projektteams und das Management aus der Steuerungsverantwortung heraus lösen müssen. Denn nachträglich erforderliche Änderungen an der Architektur führen viel häufiger zu Verspätung, als wenn wichtige Security-Anforderungen von Beginn an berücksichtigt werden. Die Zusammenhänge lauten hier: Verschieben führt zu Scheingeschwindigkeit und Ignorieren führt zu unkalkulierbaren Risiken. 18

19 I T - S e c u r i t y u n d R i s k M a n a g e m e n t Organisation und Recht: Rolle des CISO, IT- Sicherheitsgesetz und GDPR Neben der Frage, ob die Unternehmen die Funktion eines Chief Information Security Officers (CISO) geschaffen haben, ist auch die organisatorische Einbindung von großer Bedeutung dafür, wie ein Unternehmen mit den Herausforderungen im Zusammenhang mit Information Security und Risk Management umgeht. Die Unternehmen wurden daher einerseits befragt, ob sie einen CISO etabliert haben und an wen der CISO berichtet. Diese Frage wurde, ebenso wie stärker technisch ausgeprägte Fragen auch, ausschließlich den IT- Verantwortlichen gestellt. Insgesamt haben von den befragten Unternehmen 43 Prozent einen CISO etabliert. Bei der Detailanalyse bestätigt sich, dass diese Funktion bei den großen Unternehmen häufiger existiert. So haben mit durchschnittlich 52 Prozent mehr als die Hälfte der befragten Unternehmen mit mehr als 5 Milliarden Euro Umsatz einen CISO. Was den Berichtsweg angeht, überwiegt das Reporting an den CIO mit durchschnittlich 69 Prozent der Fälle deutlich gegenüber dem Berichtsweg an den Vorstand beziehungsweise die Geschäftsführung (30 Prozent). Der Anteil der Berichtswege von CISO zu CIO erscheint dabei aus der Marktperspektive betrachtet hoch. Denn eine direkte Berichtslinie an den CIO für den CISO ist durchaus problematisch zu sehen, können auf diese Weise doch leicht Interessenkonflikte entstehen. Eine organisatorische Unabhängigkeit des CISOs ist auf diese Weise nicht gegeben. Das Konfliktpotenzial besteht in der resultierenden Selbstprüfung der IT-Organisation. Angesichts der Tatsache, dass sich die CIOs und IT-Abteilungen sinnvollerweise immer stärker an den Business- Anforderungen ausrichten, nimmt der Druck auf die Umsetzungsgeschwindigkeit zu. FUNKTION CISO & BERICHTSWEGE DES CISO Gesamt An wen berichtet der CISO? Nein 57% Ja 43% An den CIO An den Vorstand/Geschäftsführung 30% 32% 64% 69% Nein 48% Umsatz > 5 Mrd. Euro Ja 52% Sonstiger Berichtsweg Abbildung 11: Funktion CISO vorhanden, Berichtswege des CISO, Umsatz >5 Mrd. Euro Frage: Gibt es in Ihrem Unternehmen einen Chief Information Security Officer (CISO)? n = 125; an wen berichtet der CISO? n = 54 CDO 2% 2% 5% 5% Gesamt Umsatz > 5 Mrd. 0% 20% 40% 60% 80% 19

20 L ü n e n d o n k - T r e n d s t u d i e In diesem Zusammenhang sind eine effektive Qualitätssicherung sowie eine unabhängige Information- Security-Organisation umso wichtiger. Denn gerade an diesen Stellen entstehen in der Praxis bei hohem Zeitdruck Fehler und Nachlässigkeiten. Daher wird diese Trennung sowohl in der Methodik nach IT- Grundschutz gefordert als auch regulatorisch bei den Mindestanforderungen an das Risikomanagement (MaRisk) durch die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin). BEWERTUNG IT-SICHERHEITSGESETZ UND GDPR Im Rahmen der Befragung zur Trendstudie wurden die Unternehmen gebeten, auch zu den rechtlichen Rahmenbedingungen Auskunft zu geben. So stehen mit dem IT-Sicherheitsgesetz und der Datenschutz- Grundverordnung (GDPR, General Data Protection Regulation) wichtige gesetzliche Regelungen vor der Umsetzung durch die Unternehmen. Das IT-Sicherheitsgesetz, das seit Juli 2015 gilt und im Bereich der Kritischen Infrastrukturen (KRITIS) um branchenspezifische KRITIS-Verordnungen ergänzt wird, zielt darauf ab, die IT-Systeme und digitalen Infrastrukturen in Deutschland sicherer zu machen. Für die Sektoren Energie, Informationstechnik, Telekommunikation, Wasser sowie Ernährung ist der erste Teil der KRITIS-Verordnung am 3. Mai 2016 in Kraft getreten. Der zweite Teil der KRITIS- Verordnung für Finanzen, Transport und Verkehr sowie Gesundheit wird bis Frühjahr 2017 erwartet. In Bezug auf das IT-Sicherheitsgesetz befinden sich 34 Prozent der Unternehmen noch in der Evaluierungsphase. Es darf davon ausgegangen werden, dass diese Unternehmen nicht zu der Gruppe der kritischen Infrastrukturen gezählt werden. Bei 32 Prozent der Unternehmen führt das IT- Sicherheitsgesetz zu Veränderungen im Umgang mit Daten und im Information Security Management System (ISMS). Die Datenschutz-Grundverordnung, die ab dem 25. Mai 2018 europaweit gelten soll, wird derzeit noch von 39 Prozent der Unternehmen bewertet. RECHTLICHE RAHMENBEDINGUNGEN UNTER DER LUPE: IT-SICHERHEITSGESETZ UND GDPR Unser Unternehmen ist noch in der Bewertungsphase zum IT- Sicherheitsgesetz. 34% Unser Unternehmen ist noch in der Bewertungsphase zur GDPR. 39% Das IT-Sicherheitsgesetz führt zu notwendigen Veränderungen im Umgang mit Daten und im Information Security Management System (ISMS). 32% Die GDPR führt zu notwendigen Veränderungen im Umgang mit Daten und im Information Security Management System (ISMS). 35% Das IT-Sicherheitsgesetz hat keine Auswirkungen für unser Unternehmen. 25% Die GDPR hat keine Auswirkungen für unser Unternehmen. 18% Mit dem Thema hat sich unser Unternehmen noch nicht befasst. 8% Mit dem Thema hat sich unser Unternehmen noch nicht befasst. 7% 0% 20% 40% 0% 20% 40% Abbildung 12: Bewertung IT-Sicherheitsgesetz und GDPR Wie werden das IT-Sicherheitsgesetz und die neue europäische Datenschutz-Grundverordnung (GDPR) von Ihrem Unternehmen bewertet? n =

21 I T - S e c u r i t y u n d R i s k M a n a g e m e n t Sourcingstrategie: Bedeutung des externen Partnerökosystems Für Unternehmen des gehobenen Mittelstands und für große Unternehmen ist die Zusammenarbeit mit externen Beratungs- und Dienstleistungsunternehmen fester Bestandteil der Unternehmensstrategie. Das gilt auch für die IT-Organisation und die IT- Security. Dabei hat die Bedeutung des externen Partnerökosystems für die IT-Security in den vergangenen Jahren stark zugenommen. Hintergrund dieser Entwicklung ist nicht nur die steigende Menge an Bedrohungen durch Hackerangriffe, Malware oder Wirtschaftsspionage, sondern auch die zunehmende Professionalität der Angriffe. Zudem hat die Komplexität der zu schützenden ITund Prozessarchitekturen durch neue mobilfähige Prozesse, mobile Geräteklassen und die App- Economy stark zugenommen. Gleichzeitig müssen die Schwachstellen in Zeiten von Zero-Day-Exploits immer schneller erkannt und behoben werden und das bei steigender Internationalisierung der Angriffe. MEHR EXTERNE OPERATIVE UNTERSTÜTZUNG ALS STRATEGIEBERATUNG Um die Zusammenarbeit mit externen Beratungsund Dienstleistungsunternehmen zu analysieren, wurden die Teilnehmer gebeten, die Leistungsfelder zu nennen, in denen sie externe Leistungen beziehen. In einem zweiten Schritt wurden die Interviewpartner dann gebeten, die Bereiche zu nennen, in denen sie die Zusammenarbeit ausweiten wollen. Diese Fragen wurden ausschließlich IT- Verantwortlichen gestellt, da diese Themen den Business-Verantwortlichen nicht immer bekannt sein können. Es zeigt sich, dass vor allem operative Unterstützungsleistungen extern vergeben werden. Am häufigsten unterziehen sich die Unternehmen Security- Zertifizierungen und Audits (62 Prozent), die auch die internen Security-Prozesse untersuchen, gefolgt von Security-Überprüfungen für externe Sicherheit (52 Prozent). An dritter Stelle der Leistungen, die am häufigsten an externe Dienstleister vergeben werden, steht der Betrieb von Sicherheitssystemen. Hier sind es 44 Prozent, die auf externe Unterstützung zurückgreifen. Für die Entwicklung der Security-Strategie nutzen durchschnittlich 35 Prozent der Unternehmen externe Beratungsleistungen. Die Unternehmen mit 500 bis unter Mitarbeitern nutzen externe Security-Strategieberatung etwas seltener. Der Anteil liegt hier bei 28 Prozent. Managed Services werden durchschnittlich von 27 Prozent der Unternehmen genutzt. Dazu gehören Themen wie Managed Firewalls, Managed VPN oder auch Angebote für ein Managed Security Operation Center (Managed SOC) mit dem Betrieb von Lösungen für Sicherheitsinformations- und Eventmanagement (SIEM). Diese umfangreichen Managed SOC Services werden insbesondere von international aufgestellten großen Unternehmen in Anspruch genommen, um relevante Ereignisse oder Bedrohungen weltweit beobachten und schnell reagieren zu können. Von den Unternehmen mit mehr als 10 Milliarden Euro Umsatz nutzen bereit 38 Prozent Managed-Security-Services. 21

22 L ü n e n d o n k - T r e n d s t u d i e DER ANTEIL EXTERNER SECURITY-SERVICES NIMMT ZU Security-Zertifizierungen, -Audits 62% Security-Überprüfung externe Sicherheit 52% Betrieb von Sicherheitssystemen 44% Security-Strategieberatung Security-Managed-Service 27% 35% 38% 38% Gesamt Umsatz > 10 Mrd. Security-Projektmanagement und -Begleitung Implementierung von Sicherheitssystem 17% 19% 0% 20% 40% 60% 80% 100% Abbildung 13: Zusammenarbeit mit externen Dienstleistungsunternehmen Frage: In welchen Bereichen arbeitet Ihr Unternehmen mit externen Beratungs- und Dienstleistungsunternehmen für Information Security und Risk Management zusammen? n = 93 AUSBAU DER EXTERNEN SERVICES GEPLANT Von den 93 Unternehmen, die konkrete Angaben gemacht haben, in welchen Leistungsfeldern sie mit externen Beratungs- und Dienstleistungsunternehmen zusammenarbeiten, planen 60 Unternehmen, die externen Leistungen auszubauen. Am häufigsten wollen die Unternehmen die Leistungen in den drei Leistungsfeldern ausbauen, die auch heute schon besonders intensiv genutzt werden: Security-Überprüfungen für externe Sicherheit (85 Prozent, die diese externen Leistungen ausbauen wollen), Security-Zertifizierungen und Audits (77 Prozent) sowie Betrieb von Sicherheitssystemen (54 Prozent). Eine besonders starke Zunahme der externen Vergabe ist bei der Implementierung von Sicherheitssystemen zu erwarten. Im Vergleich zur derzeitigen Nutzungsquote von externer Implementierung von Sicherheitssystemen (18 Prozent) wollen die Unternehmen diese Leistung zukünftig deutlich häufiger extern vergeben: 44 Prozent planen, die externe Vergabequote zu erhöhen. 22

23 I T - S e c u r i t y u n d R i s k M a n a g e m e n t PLANUNG ZUSAMMENARBEIT MIT EXTERNEN DIENSTLEISTUNGSUNTERNEHMEN Security-Überprüfungen externe Sicherheit 85% Security-Zertifizierung, -Audits 77% Betreib von Sicherheitssystemen 54% Implementierung von Sicherheitssystemen 44% Security-Strategieberatung 33% Security-Managed-Services 18% Security-Projektmanagement und -Begleitung 7% Sonstige Bereiche 3% 0% 20% 40% 60% 80% 100% Abbildung 14: Planung Zusammenarbeit mit externen Dienstleistungsunternehmen; n = 60 Frage: In welchen Bereichen planen Sie, die Zusammenarbeit mit externen Beratungs- und Dienstleistungsunternehmen auszubauen? Die Unternehmen planen demnach, die externen Aufgaben vor allem in den operativen Leistungsfeldern stärker an externe Beratungs- und Dienstleistungsunternehmen zu vergeben. Und das insbesondere bei den Themen, bei denen sie über die meisten Erfahrungswerte in der Zusammenarbeit verfügen. Die Tendenz der Planungen lautet mehr davon und weiter so. Zwar planen auch 33 Prozent der Unternehmen, mehr Security-Strategieberatung von extern zu beziehen. Doch wird diese Weiter-so -Tendenz den bevorstehenden Anforderungen an IT-Security und Risk Management gerecht? Im Zuge der digitalen Transformation wird eine integrierte Sicht im Security Operation Center (SOC) von der Technologieebene bis in die Business- Prozesse erforderlich verbunden mit einem höheren Automatisierungsgrad. Ein zentrales Element sind dabei die SIEM-Lösungen (technologisches Sicherheitsinformations- und Eventmanagement). Ohne mehr Automatisierung und den Einsatz von Analytics-Werkzeugen gerät die Komplexität schnell außer Kontrolle. Angesichts der Tatsache, dass die Unternehmen nach heutigem Stand die Security-Operations überwiegend aus der technischen Perspektive steuern, sind strategische Impulse erforderlich, um die integrierte Sicht zu erarbeiten. Dies geht nur in enger Zusammenarbeit mit den Fachbereichen. Aus der Marktperspektive betrachtet weisen die Planungsschwerpunkte der Unternehmen auf ein Strategiedefizit hin. 23