Am vergangenen Freitag saß ich wieder einmal virtuell mit den werten Kolleg*innen von IDC Deutschland zusammen, um mir die neuesten Erkenntnisse der hiesigen Cybersecurity zu Gemüte zu führen. Und ich muss sagen: Gut war es. Und lehrreich. Und die Technik spielte ebenfalls mit.
Erkenntnis #1: Wirtschaftlicher Schaden steht vor Imageverlust
Die erste wichtige Erkenntnis ergab sich gleich am Anfang des virtuellen Events:
Interessant, dass im Falle eines Cyberangriffs das Risiko der "digitalen Erosion" relativ gering bewertet wird. @IDC_Deutschland #idccybersec20 pic.twitter.com/8uNHAPueEw
— Michael Hülskötter (@mhuelskoetter) October 9, 2020
So zeigte die Auswertung der aktuellen Umfrage zur Sicherheitslage in D, in welche Richtung sich die Diskussion immer noch bewegt. Denn auf die Frage nach den möglichen wirtschaftlichen Schäden, die aus einer Cyberattacke resultieren, gaben gerade einmal 10 Prozent an, dass das digitale Vertrauen in das angegriffene Unternehmen leiden könnte. Dementgegen stehen die 24 Prozent (also fast ein Viertel aller Probanden), die dieselbe Frage mit der Antwort „finanzieller Schaden“ kommentiert haben.
Erkenntnis #2: Unternehmen werden immer noch ungestört angegriffen
Die Antworten auf diese Frage erstaunen umso mehr, wenn man sich vergegenwärtigt, dass die relative Zahl der nicht verhinderten Cyberattacken von 67 Prozent (vor zwei Jahren) auf 78 Prozent gestiegen ist. Da fragt man sich: Warum wird diese reale Gefahr nicht ernster genommen? Oder ist das Vertrauen in die eigene Technik (immer noch) so groß, dass ein möglicher Schaden seitens eines Malware-Angriffs nahezu ausgeschlossen wird?
Wenn Matthias Zacher von @IDC sagt, dass es in Sachen Cybersicherheit noch einiges zu tun gibt, dann klingt das ziemlich euphemistisch. #idccybersec20 pic.twitter.com/XYa8Pb4sOp
— Michael Hülskötter (@mhuelskoetter) October 9, 2020
Erkenntnis #3: Cyber-Gefahren werden durchaus wahrgenommen
Immerhin zeigt die Studie, dass die realen Gefahren wahrgenommen werden. So liegen die Themen Netzwerk-Security, Datensicherheit, Backup und Datenschutz sowie die Cloud-Security etwa gleich auf, was deren Wichtigkeit betrifft.
Die Themen liegen doch recht nah beieinander. Die Erkenntnis, dass unterschiedliche Bereiche eines Unternehmens angreifbar sind, ist immerhin vorhanden. Allein an der Umsetzung hapert es, wie aktuelle Meldungen regelmäßig zeigen. @IDC_Deutschland #idccybersec20 pic.twitter.com/rAbNjKbmae
— Michael Hülskötter (@mhuelskoetter) October 9, 2020
Erkenntnis #4: Covid19 als Homeoffice-Beschleuniger
Was die Studie ebenfalls belegt (wenngleich es keine wirkliche Überraschung darstellt): die Covid19-Pandemie hat das Thema Homeoffices massiv vorangetrieben, mit all seinen Auswirkungen, was die Sicherheit betrifft. Da stellt sich nur die Frage, warum die notwendigen Schulungen, die für eine erhöhte Sensibilisierung sorgen sollen, budget-technisch vernachlässigt werden.
Schön: Das Homeoffice soll/muss sicherer werden. Weniger schön: An Schulungen, die zu einer erhöhten Awareness führen können, soll gespart werden. Widersprüchlich, oder? @IDC_Deutschland #idccybersec20 pic.twitter.com/8C63hcBiMr
— Michael Hülskötter (@mhuelskoetter) October 9, 2020
Erkenntnis #5: Die IT-Security hemmt mehr als dass sie beflügelt
Was mich während der Präsentation so richtig erschreckt hat war die Erkenntnis, dass die IT-Sicherheit in vielen Unternehmen nach wie vor als Hemmschuh wahrgenommen wird. Dabei ist doch das Gegenteil der Fall: Nur die richtigen Sicherheitsmaßnahmen halten ein Unternehmen „am Laufen“. Woher kommt dann so eine Bewertung?
What?! IT-Security gilt als Bremser?! Was sind dann Malware-Attacken aus der Sicht der befragten Unternehmen? Beschleuniger etwa?! @IDC_Deutschland #idccybersec20 pic.twitter.com/N0CmvJNbdV
— Michael Hülskötter (@mhuelskoetter) October 9, 2020
Erkenntnis #6: Cloud-Sicherheit kommt zu kurz
Interessant fand ich dann noch die Folie zum Thema Cloud-Security. Denn auch hier ist man sich einer gewissen Wichtigkeit des Themas bewusst, betrachtet man die Antworten auf die Frage, was zur Cloud-Sicherheit dazu gehört. Alleine: Steht das Thema tatsächlich auf der Agenda von Unternehmen? Wenn ich mir die Sorglosigkeit vieler Firmen beispielsweise zum Thema Microsoft Teams und Datenschutz ansehe, beschleicht mich das Gefühl, dass auch hier eine gewisse Uneinsichtigkeit vorherrscht.
Zum Thema Cloud Security habe ich erst etwas für @eperi aufgeschrieben. Dabei geht es vor allem um die datenschutzkonforme Nutzung von @Microsoft Teams. Spannendes Thema. @IDC_Deutschland #idccybersec20 https://t.co/OCInZA9oLZ pic.twitter.com/yElkXMop5l
— Michael Hülskötter (@mhuelskoetter) October 9, 2020
Erkenntnis #7: Cyberattacken gibt es weiterhin, wappnet euch am besten dagegen
Zusammenfassend kann man also sagen: Cyberangriffe wird es immer geben. Die Frage ist nur, ob und inwieweit sich Unternehmen dagegen wappnen wollen und können.
Schöne Zusammenfassung der aktuellen Cybersecurity-Studie von @IDC_Deutschland. #idccybersec20 pic.twitter.com/2sRRjy890N
— Michael Hülskötter (@mhuelskoetter) October 9, 2020