In der Befragung attestieren 80 Prozent der Arbeitnehmer in Deutschland ihrer IT-Abteilung oder den IT-Verantwortlichen in ihrer Firma große bis sehr große Kompetenzen. Was auf den ersten Blick positiv erscheint, birgt jedoch eine große Gefahr für die IT-Sicherheit im Unternehmen: Eine gut aufgestellte IT-Abteilung mit erstklassigen IT-Fachkräften bedeutet nicht, dass die IT-Verantwortlichen auch den Bereich IT-Sicherheit hinreichend abdecken können. Als Gründe dafür führen die Studienverantwortlichen eine zu hohe Arbeitsbelastung und den Fachkräftemangel an. Die Aufgaben von IT-Abteilungen in Unternehmen seien vielfältig und reichten von der Installation der Hardware, über die Einrichtung relevanter Software, dem Einspielen von Updates bis zur Sicherung von Backups. Die Umsetzung von IT-Sicherheitsmaßnahmen fällt ebenfalls in den Bereich der IT. Ist das Fachgebiet IT-Sicherheit jedoch nicht mit qualifizierten IT-Experten intern oder extern besetzt, kann eine gut aufgestellte IT-Abteilung einen Cyberangriff nicht verhindern, so die Studienautoren.
„Unternehmen müssen sich die Frage stellen, ob sie mit einer ausgezeichneten IT-Abteilung auch den Bereich IT-Sicherheit genügend abdecken können“, sagt Tim Berghoff, Security Evangelist bei G Data CyberDefense. „IT-Security ist mittlerweile ein eigenständiger Bereich, der neben dem notwendigen Knowhow auch viel Zeit in Anspruch nimmt. IT-Sicherheit lässt sich nicht nebenbei bewältigen. Diese Zeiten sind vorbei.“
Kompetenzwahrnehmung abhängig von eigenen Fähigkeiten und Abteilung
Hinzu kommt: Die Wahrnehmung der Kompetenzen der IT-Abteilung in Unternehmen unterscheidet sich bei den befragten Arbeitnehmerinnen und Arbeitnehmern deutlich von den eigenen Fähigkeiten und der Abteilungszugehörigkeit. Bei Personen, die selbst eine große IT-Sicherheitskompetenz haben oder aus der Geschäftsleitung stammen, sind in der Studie knapp 90 Prozent, die der IT-Abteilung großes Können zuschreiben. Genau hier liege das Problem, so die Security-Spezialisten: Sehen die Verantwortlichen keine Notwendigkeit mehr, Geld in die IT-Abteilung zu investieren, um mehr IT-Sicherheitsmaßnahmen umzusetzen oder den Sicherheitsstatus zu überprüfen, stellt dies eine große Gefahr dar – insbesondere für KMU. Verantwortliche könnten ihr Unternehmen nicht als Angriffsziel betrachten, da die IT-Abteilung gut aufgestellt sei, schreiben die Studienverantwortlichen. Doch Cyberkriminelle greifen auch kleinere Firmen an, die beispielsweise Teil einer Lieferkette sind, um große Unternehmen zu attackieren. Jedes Unternehmen sollte daher prüfen, ob die IT-Verantwortlichen in der Lage sind, den Bereich Cybersecurity abzudecken oder ob hier Unterstützung eines externen IT-Dienstleisters notwendig ist.
G Data CyberDefense