Erschreckend viele Unternehmen gehen Digitalisierung im Blindflug an

Sopra Steria Consulting hat im Rahmen der Potenzialanalyse „Digital Security“ IT-Entscheider zur Sicherheit in der digitalen Wirtschaft befragt. Dr. Gerald Spiegel, Leiter Information Security Solutions bei Sopra Steria Consulting, erläutert, wie es um die Informationssicherheit in deutschen Unternehmen steht.

Sopra Steria Consulting hat im Rahmen der Potenzialanalyse „Digital Security“ IT-Entscheider zur Sicherheit in der digitalen Wirtschaft befragt. Dr. Gerald Spiegel, Leiter Information Security Solutions bei Sopra Steria Consulting, erläutert, wie es um die Informationssicherheit in deutschen Unternehmen steht.


Herr Dr. SGerald Spiegelpiegel, das IT-Sicherheitsgesetz spaltet die Unternehmen. Mehr als 20 Prozent beurteilen die staatliche Regulierung als zu schwach, für über zehn Prozent ist das neue Gesetz zu umfangreich. Muss hier nachgebessert werden?
Bevor über eine noch strengere Regulierung oder eine Aufweichung nachgedacht wird, sollte das IT-Sicherheitsgesetz erst einmal in der heutigen Form umgesetzt werden. Betreiber kritischer Infrastrukturen, die den Vorgaben des IT-Sicherheitsgesetzes nicht nachkommen, müssen entsprechend sanktioniert werden. Allerdings sollte die Strenge der Sanktionierung noch einmal überdacht werden. Die Höhe des Bußgeldes und die finanziellen Folgen beim Ausfall kritischer Infrastrukturen stehen teilweise in keinem Verhältnis.

 

Gefahren lauern nicht nur bei kritischen Infrastrukturen. Wie die Studie belegt, führt ein Drittel aller deutschen IT-Entscheider neue Technologien sogar dann ein, wenn die IT-Risiken nicht bekannt sind. Bewegen sich Unternehmen da auf dünnem Eis?
Der Anteil von 30 Prozent ist tatsächlich erschreckend. Dass eine so hohe Zahl von IT-Entscheidern die Digitalisierung quasi im Blindflug angeht, stimmt bedenklich. Die Erfolgsaussichten der digitalisierten Wirtschaft werden wohl nicht oder nur zögernd eintreffen, wenn sich Unternehmen der Gefahr von Cyberangriffen schutzlos aussetzen. Besonders unvorsichtig ist das verarbeitende Gewerbe – und das, obwohl Industrieanlagen immer öfter Opfer von Cyberangriffen sind. Ich führe das vor allem auf die mangelnden Erfahrungen mit IT-Risiken in diesem Sektor zurück. Außerdem müssen dort hauptsächlich Maschinendaten geschützt werden, für die bisher im Vergleich zu personenbezogenen Daten keine gesetzlichen Regelungen vorlagen. Hier geht das IT-Sicherheitsgesetz sicher in die richtige Richtung.

Die Studie zeigt zudem, dass Unternehmen erhebliche Sicherheitsrisiken eingehen, weil sie keine mobile Sicherheitsstrategie verankern. Wo hapert es in punkto Mobility?
Mobiles Arbeiten bringt eine hohe Flexibilität mit sich. Davon profitieren sowohl die Mitarbeiter als auch die Unternehmen. Gerade wenn private Endgeräte ins Spiel kommen, die auch für berufliche Zwecke verwendet werden, drohen Risiken. 40 Prozent der Unternehmen, die in der Studie betrachtet wurden, besitzen keine Mobilgeräteverwaltung. Das heißt also, dass in diesen Unternehmen Sicherheits-Updates und -einstellungen nicht zentral durchführt werden. Ebenfalls fehlt einem Drittel der Firmen eine übergreifende Mobile Security Policy, die Sicherheitsrichtlinien für den Gebrauch mobiler Endgeräte vorgibt. Diese Unternehmen überlassen die Absicherung privater Geräte ausschließlich dem Anwender selbst. Da diese nicht notwendigerweise verlässlich Sicherheits-Updates durchführen oder Unternehmensdaten von den privaten Daten separieren, droht ein Verlust sensibler geschäftlicher Informationen.

Über die Hälfte der IT-Entscheider in deutschen Unternehmen spricht sich für eine Lockerung der Zweckbindung von personenbezogenen Daten aus, um auf Basis der daraus gewonnen Informationen fundierte Entscheidungen zu treffen. Ist eine solche Lockerung realistisch?
Die Regelung zur Zweckbindung ist in IT-Maßstäben gemessen, schon sehr alt – sie geht immerhin auf das Jahr 1983 zurück und wurde unter dem Eindruck der damaligen Volkszählung entworfen. Letztlich sagt sie aus, dass personenbezogene Daten nur dann gesammelt werden dürfen, wenn ihr Verwendungszweck vorab festgelegt wurde. Vor dem Hintergrund der heutigen technischen Möglichkeiten allerdings ist der Wunsch, personenbezogene Daten breiter verarbeiten zu dürfen, durchaus verständlich. Denn mit diesen Daten könnten Unternehmen neue Geschäftspotenziale jenseits ihres bisherigen Kerngeschäfts erschließen. Doch oft ergibt sich die gewinnbringende Art der Nutzung von Informationen erst nach der Erfassung der Daten.
Die Zweckbindung stellt hier ein generelles Hindernis für die Digitalisierung von Unternehmen dar, die vor allem durch die Entwicklung datengetriebener Geschäftsmodelle neue Potenziale erschließen wollen. Ein Beispiel: Automobilzulieferer könnten dank der Echtzeitüberwachung von Fahrzeugtechnik den Autofahrer vorab über Materialverschleiß informieren oder Ratschläge zum treibstoffsparenden Fahren liefern. Zulieferer würden damit die Möglichkeit erhalten, ihre Wertschöpfung, die bislang mit dem Verkauf der Technik an einen Automobilhersteller endete, zu erweitern.
Eine Lockerung der Zweckbindung wäre also durchaus zu begrüßen – dies bedeutet dabei auch nicht zwangsläufig die Abschaffung des Datenschutzes. Unternehmen könnten zum Beispiel ein Mindestmaß an Sicherheit gewährleisten, wenn sie garantieren müssten, dass Daten nicht an Dritte weitergegeben werden und dass jegliche Änderungen in der Datennutzung dokumentiert werden.