Schweizer Unternehmen investieren zu wenig IT-Budget in Sicherheit und bezahlen eher Lösegeldforderungen bei Ransomware-Attacken

Montag, 11. Juni 2018

Nicht einmal jedes zweite Schweizer Unternehmen stuft seine eigenen kritischen Daten als „vollständig sicher“ ein. So lautet ein beunruhigendes Ergebnis des aktuellen Risk:Value-Reports von NTT Security. Die Investitionen in die IT-Sicherheit bleiben aber ungeachtet dessen weiterhin auf vergleichsweise niedrigem Niveau. Die Unternehmen sind eher bereit, auf Lösegeldforderungen im Falle einer Ransomware-Attacke einzugehen. 

Den Risk:Value-Report erstellt jährlich das Marktforschungsunternehmen Vanson Bourne im Auftrag von NTT Security, dem auf Sicherheit spezialisierten Unternehmen und „Security Center of Excellence“ der NTT Group (NYSE: NTT). Dabei befragt es weltweit Führungskräfte – in diesem Jahr waren es 1.800 – zu Themen rund um IT und IT-Sicherheit. 

Bei der aktuellen Untersuchung zeigt sich, dass mit 40% weniger als die Hälfte der befragten Entscheidungsträger in Schweizer Firmen alle unternehmenskritischen Daten als „komplett sicher“ klassifiziert. Im Vergleich zur vorjährigen Untersuchung bedeutet dies einen Rückgang um 15 Prozentpunkte. Ein Grund hierfür sind die nach wie vor niedrigen Investitionen in die IT-Sicherheit.

In der Schweiz wird nur gut 15% des IT-Budgets in Informationssicherheit investiert. Das Investitionsvolumen ist deutlich geringer als in etlichen anderen Unternehmensbereichen. Im Hinblick auf die Segmente, in denen höhere Investitionen als in der Informations- und Datensicherheit getätigt werden, nannten

• 46% Betrieb und Fertigung
• 46% Marketing
• 41% Vertrieb
• 41% Rechnungswesen und Controlling
• 32% Forschung und Entwicklung
• 25% Personalwesen

Die mangelnde Investitionsbereitschaft korrespondiert mit einem weiteren zentralen Untersuchungsergebnis. 23% der befragten Schweizer Unternehmen würden im Fall einer Ransomware-Attacke eher Lösegeld bezahlen, als stärker in die Informationssicherheit zu investieren, da sie eine solche Vorgehensweise für kostengünstiger halten. Auf globaler Ebene sind im Durchschnitt sogar 33% der Unternehmen bereit, auf Zahlungsforderungen einzugehen.

„Dieses Ergebnis ist mehr als erschreckend, gerade auch angesichts der nicht abebbenden Gefahr von Ransomware-Angriffen. Unser kürzlich vorgestellter Global Threat Intelligence Report hat ergeben, dass der Anteil von Ransomware an allen Malware-Angriffen in EMEA bei hohen 29% liegt“, erklärt Kai Grunwitz, Senior Vice President EMEA bei NTT Security. „Wenn sich Unternehmen nun von der Bezahlung von Lösegeld Kostenvorteile versprechen, ist das in unseren Augen mehr als trügerisch. Und das böse Erwachen wird früher oder später für viele kommen.“
 
Die geringe Investitionsbereitschaft ist umso erstaunlicher, als 96% der befragten Unternehmen in der Schweiz die Meinung vertreten, dass ein Sicherheitsvorfall mit Datendiebstahl gravierende negative Auswirkungen hat. Genannt wurden Verlust des Kundenvertrauens (52%), Beeinträchtigung der Reputation (52%) und direkte finanzielle Einbussen (45%). Die Befragten rechnen mit einem durchschnittlichen Umsatzverlust von gut 7% und schätzen, dass die Behebung eines entstandenen Schadens mehr als neun Wochen dauert und im Schnitt Kosten in Höhe von mehr als 1,1 Millionen Schweizer Franken verursacht. Die Kosten werden dabei von den Schweizer Unternehmen deutlich niedriger veranschlagt als in anderen Ländern. Der internationale Durchschnittswert liegt bei 1,5 Millionen Schweizer Franken.

Das hohe Schadenspotenzial wirft die Frage auf, wie es um das Thema Incident Response bestellt ist. Auch an diesem Punkt hat sich im Vergleich zum Vorjahr nicht wirklich viel getan. In der Schweiz verfügten 2017 nur 42% der Unternehmen über einen Incident-Response-Plan. Allerdings befanden sich 21% bereits im Implementierungsprozess und weitere 21% planten die Umsetzung entsprechender Massnahmen in naher Zukunft. Die jetzigen Ergebnisse spiegeln diese Entwicklung allerdings nicht wider, im Gegenteil. Nach wie vor ist nur bei 42 Prozent der Unternehmen ein Incident-Response-Plan vorhanden. „Das Ergebnis zeigt leider, dass es vielfach bei reinen Absichtserklärungen geblieben ist und der Ernst der Lage immer noch unzureichend erkannt wird, auch wenn zahlreiche Sicherheitsvorfälle der letzten Zeit eigentlich gezeigt haben, dass an einem gelebten Incident-Response-Plan kein Weg mehr vorbeiführt. Denn nur mit dedizierten Ablauf- und Notfallplänen kann auf unterschiedliche IT-Sicherheitsvorfälle entsprechend angemessen und vor allem auch schnell reagiert werden. Idealerweise sollten spezialisierte Incident-Response-Tools genutzt werden, beispielsweise eine zentrale Incident-Response-Plattform zur systematischen und koordinierten Bearbeitung von Sicherheitsvorfällen mit fertig ausgearbeiteten Handlungsplänen“, so Grunwitz.

Allerdings hat die Untersuchung aus Sicht von NTT Security auch positive Ergebnisse gebracht. So hat sich verstärkt die Erkenntnis durchgesetzt, dass Sicherheitsvorfälle nicht gänzlich auszuschliessen sind. 57% der Befragten sind bereits Opfer eines solchen Vorfalls geworden und weitere 14% zwar noch nicht, rechnen aber damit. Deshalb gewinnen hinsichtlich der Umsetzung umfassender Cyber-Security-Strategien auch Managed Security Services (MSS) signifikant an Bedeutung. MSS werden derzeit zwar noch verhalten genutzt, der Risk:Value-Report zeigt aber, dass sich gegenwärtig etwa zwei Drittel der befragten Unternehmen der Schweiz aktiv mit MSS-Lösungen auseinandersetzen beziehungsweise planen, es zeitnah zu tun. 
 
Das „Risk:Value Executive Summary“ steht zum Download unter https://www.nttsecurity.com/de-ch/risk-value-2018 zur Verfügung. 

Methodologie

Die Risk:Value-Studie wurde vom Marktforschungsunternehmen Vanson Bourne im Auftrag von NTT Security im Februar und März 2018 durchgeführt. Dabei wurden 1.800 Nicht-IT-Entscheider in Deutschland und Österreich, Benelux, Frankreich, Grossbritannien, Norwegen, Schweden, der Schweiz sowie in Australien, Hongkong, Singapur und den USA befragt. Die befragten Unternehmen beschäftigen mehr als 500 Mitarbeiter.

Über NTT Security

NTT Security ist das auf Sicherheit spezialisierte Unternehmen und „Security Center of Excellence“ der NTT Group. Mit „Embedded Security“ bietet NTT Security Kunden zuverlässige Lösungen für ihre Anforderungen in der digitalen Transformation. NTT Security verfügt über 10 SOCs, sieben Zentren für Forschung und Entwicklung sowie mehr als 1.500 Sicherheitsexperten und behandelt jährlich Hunderttausende Sicherheitsvorfälle auf sechs Kontinenten.

NTT Security sichert eine effiziente Ressourcennutzung, indem Kunden der richtige Mix an ganzheitlichen Managed Security Services, Security Consulting Services und Security-Technologie zur Verfügung gestellt wird – unter optimaler Kombination von lokalen und globalen Ressourcen. NTT Security ist Teil der NTT Group (Nippon Telegraph and Telephone Corporation), einem der grössten IKT-Unternehmen weltweit. Weitere Informationen über NTT Security finden sich unter www.nttsecurity.com/ch. Informationen zur globalen NTT Group finden sich unter www.ntt.global.com.
 
Bei Rückfragen wenden Sie sich bitte an:

NTT Security
NTT Security (Switzerland) AG
Romy Däweritz
Marketing Manager 
T +41 43 477 70 10
[email protected] 

PR-COM GmbH
Hanna Greve
Account Director
Tel.: +49 89 59997 756
[email protected]