IT-Organisation muss mit den Anforderungen an die Sicherheit mitwachsen

In diesem Jahr (2018)  ist die EU-Datenschutz-Grundverordnung (EU-DSGVO / GDPR) wirksam geworden. Die bis dato weitreichendste und umfassendste Verordnung zum Datenschutz beziehungsweise zur Informationssicherheit gilt für alle Unternehmen, die mit einem der über 500 Millionen Einwohner der Europäischen Union (EU) Geschäfte machen. Nach einer Mischung aus Übersättigung auf der einen Seite und Aktionismus auf der anderen Seite, werden nun die Auswirkungen konkret diskutiert und die Anforderungen umgesetzt.

Tatsächlich rüsten europäische Unternehmen im Bereich IT-Sicherheit seit einigen Jahren ihre IT-Organisationen auf, um mit den wachsenden Compliance-Anforderungen Schritt zu halten. Unterdessen dauern in Europa und dem Rest der Welt die Berichte über größere Sicherheitsverletzungen unvermindert an. Und zwar trotz der weltweit steigenden Investitionen in IT-Sicherheit. Das legt zwei Vermutungen nahe. Entweder sind die Angreifer inklusive der organisierten Cyberkriminalität nach wie vor den entscheidenden Schritt voraus − oder schlimmer, die aufgestockten Mittel werden nicht effektiv genug eingesetzt.

Egal, was von beidem zutrifft, Firmen können nicht weitermachen wie in den letzten Jahrzehnten.

Mehr Geld für Datensicherheit

Beobachtungen in nationalen und vertikalen Märkten lassen darauf schließen, dass europäische Staaten planen, ihre diesjährigen Ausgaben für Datensicherheit im Vergleich zum Vorjahr zu erhöhen. Damit liegt Europa in Bezug auf geplante Erhöhungen der Sicherheitsausgaben jedoch insgesamt (72 %) sowohl unter dem weltweiten (78 %) als auch unter dem US-amerikanischen Durchschnitt (86 %). Und das obwohl die Zahl der schweren Datenschutzverletzungen weiter gestiegen ist.

Deutschland ist da keine Ausnahme, im Gegenteil. Im Vergleich zu Vorjahreszeitraum ist die Zahl der Datensicherheitsvorfälle von 22 % auf 33 % geklettert. Es überrascht dann nicht besonders, dass viele Unternehmen befürchten aufgrund von Schwachstellen sensible Daten zu verlieren. Wir drehen uns also ganz offensichtlich im Kreis. Das sind höhere Ausgaben und Investitionen in den Bereich IT-Sicherheit auf der einen Seite, und dennoch mehr Datenschutzvorfälle auf der anderen. Die eingesetzten Mittel zeitigen nicht die erhoffte Wirkung.

Die scheinbar endlose Flut an erfolgreichen Datenschutzverletzungen entfaltet noch eine zusätzliche psychologische Wirkung. Bei den von Thales im jüngsten Data Threat Report Befragten führt das zu einem Gefühl größerer Angreifbarkeit. Im Durchschnitt haben 41 % der Befragten in Europa den Eindruck „sehr“ oder „extrem“ angreifbar zu sein und fürchten entsprechende Datensicherheitsbedrohungen. Bei den europäischen Nachbarn ist dieses Gefühl erstaunlicherweise deutlich ausgeprägter als bei den Deutschen selbst. Zwar sind immer noch 36 % stark verunsichert, verglichen allerdings mit beispielsweise 50 % der Schweden. Das mutet für die als sicherheitsaffin geltenden Deutschen schon fast entspannt an.

Die Grundaussage aber bleibt: die Anstrengungen, die Firmen in Sachen Datenschutz und Datensicherheit unternehmen erreichen offensichtlich nicht das gewünschte Ziel. Daran wird auch die DSGVO als solche nichts ändern. Fehlt es uns also an den geeigneten Instrumenten um effizienter vorzugehen und Schäden zu minimieren?

Fehlinvestitionen

Ganz offensichtlich sind die Europäer im Allgemeinen und die Deutschen im Besonderen durchaus gewillt, mehr Budget und Ressourcen in Richtung IT-Sicherheit zu verschieben. Firmen schaffen, wenn auch unter „sanftem“ Druck der DSGVO, inzwischen die notwendigen Stellen und versuchen die Positionen zügig zu besetzen. Aber auf welche Technologien sollten CISOs, Datenschutzbeauftragte und IT-Administratoren setzen?

Lesen Sie den vollständigen Artikel auf www.datensicherheit.de.