Die IT-Sicherheitslage wird mit jedem Jahr schlechter, das bedeutet, dass das Risiko eines auftretenden Schadens für alle Unternehmen kontinuierlich größer wird.
Die Gründe die IT-Sicherheitslage sind komplex. Zum einen sind die IT-Systeme und -Infrastrukturen nicht sicher genug konzipiert, aufgebaut, konfiguriert und upgedatete, um gegen intelligente Angreifer wirkungsvoll zu sein.
Nicht sicher genug konzipiert und aufgebaut bedeutet, dass bei den meisten IT-Systemen mit sehr großen monolithischen Betriebssystemen arbeitet wird, die keine sichere und vertrauenswürdig Basis darstellen, weil sie viel zu komplex und fehleranfällig sind. Schlecht konfiguriert meint zum Beispiel, dass viel zu viel unnötige Software auf den IT-Systemen installiert sind, diese aber als Angriffspunkt von Angreifern verwendet wird. Nicht genug upgedatet drückt aus, dass zu oft nicht oder nicht schnell genug Updates einspielt werden, um Schwachstellen zu schließen, was das Risiko deutlich größer mach.
IT-Sicherheitslage: Die Krux mit der Komplexität
Ein weiterer Aspekt ist, dass die IT-Systeme und -Infrastrukturen mit der voranschreitenden Digitalisierung immer komplexer werden und damit die Angriffsfläche für Angreifer immer größer wird. Unsere IT-Lösungen binden im Sinne von Supply Change immer mehr andere Software und Dienstleistung ein.
Ein zusätzlicher Risiko-Faktor ist, dass die Angriffsmethoden der Angreifer immer ausgefeilter werden, weil die Angreifer als erfolgreiche kriminelle Ökosysteme organisiert sind. Diese Ökosysteme werden sehr professionell betrieben und sind sehr erfolgreich, das heißt erwirtschaften zurzeit sehr hohe Gewinne zum Beispiel mit Ransomware-Angriffen. Diese Gewinne investieren die kriminellen Ökosysteme in immer besser und automatisierte Angriffstools. Auch damit steigt die Erfolgswahrscheinlichkeit eines Angriffes. Mit mehr automatisierten Tool können kleiner Unternehmen zunehmend auch wirtschaftlicher angegriffen werden.
Da mit der zunehmenden Digitalisierung sind immer mehr digitale Werte auf den IT-Systeme vorhanden und dadurch werden die Angriffsziele kontinuierlich lukrativer, wodurch auch das Risiko eines Angriffes steigt. Wichtig ist festzuhalten, die Risiken steigen und wir brauchen daher deutlich wirkungsvollere IT-Sicherheitsmechanismen, um uns angemessen zu schützen.
IT-Budget – warum so sparsam?
Bezogen auf die beschriebene IT-Sicherheitslage müsste aber das Investment in IT-Sicherheit deutlich größer werden. Zurzeit geben wir in Deutschland nur sieben Prozent vom IT-Budget aus, was viel zu wenig ist, um uns besser und angemessen zu schützen. Die Amerikaner investieren teilweise bis zu 20 Prozent, also deutliche mehr.
Ein besonders wichtiger Aspekt ist, dass wir zusätzlichen und zukunftsorientierte IT-Sicherheitsmethoden einsetzen müssen, um unser Risiko deutlich zu reduzieren.
Aus diesem Grund sollten das Ziel eines Unternehmens sein, vorausschauend zu planen, ähnlich wie in der Bedarfsplanung im Einkaufsverhalten. Ist das Thema IT-Sicherheit immer noch so abstrakt, dass ein Unternehmen Opfer werden muss, um zu sehen, dass Prävention so wichtig ist?
Nein, die Entscheider in Unternehmen müssen Verantwortung übernehmen und sich um IT-Sicherheit kümmern, bevor der Schaden eintritt, sonst sind sie dafür verantwortlich.
