Studie warnt vor Vorbehalten gegenüber externen Dienstleistern
Basierend auf einer Umfrage unter 300 leitenden IT- und IT-Security-Angestellten sowie 250 Mitarbeitern auf IT- und IT-Security-Team-Ebene warnt das Brandenburgische Institut für Gesellschaft und Sicherheit (BIGS) vor im Status quo lauernden Gefahren für deutsche Unternehmen. Die Umfrage, die vom Marktforschungsunternehmen Mindfacts bereits im September und Oktober 2022 im Auftrag des IT-Security-Schulungsanbieters Trend Micro durchgeführt wurde, zielte auf Unternehmen verschiedenen Branchen ab, wobei 30 Prozent der Teilnehmer aus dem Gesundheitswesen und aus Behörden stammten.
Da die Anforderungen an ein umfassendes IT-Sicherheitskonzept kontinuierlich steigen und Unternehmens-IT-Infrastrukturen stetig komplexer werden, Cyber-Kriminelle jedoch immer ausgeklügeltere Angriffsstrategien verfolgen, sind IT-Security-Teams, so äußerten sich die Mitarbeiter solcher Teams in der Befragung, zunehmend überlastet. Der globale Fachkräftemangel, der laut einer von der BIGS angeführten aktuellen (ISC)2-Studie in Bereich der Cyber-Sicherheit mit 3,4 Millionen fehlenden Experten beziffert wird, verstärkt die Überlastung außerdem, da frei werdende Stelen nicht oder nur mit erheblicher zeitlicher Verzögerung neu besetzt werden können.
Aufgrund aller dieser Faktoren halten es daher 56,9 Prozent der befragten Mitarbeiter auf IT-Team-Ebene für notwendig, zur Unterstützung der firmeneigenen IT die Expertise externer Cyber-Sicherheitsspezialisten heranzuziehen. Allerdings teilen lediglich 14,7 Prozent der IT-Security-Verantwortlichen diese Ansicht. Über die Hintergründe, warum viele CISOs externe Unterstützung ablehnen, können die BIGS-Autoren jedoch nur spekulieren. „Alle Unternehmensbereiche in der notwendigen Tiefe zu überblicken, fällt immer schwerer“, erläutert der Geschäftsführende Direktor des BIGS, Dr. Tim Stuchtey. „Für mich ist es offensichtlich, dass mittelständische Unternehmen nicht in allen Eventualfällen die notwendige Expertise im Haus haben können. Sollten sie aus wirtschaftlicher Vernunft heraus auch nicht. Vielmehr ist es wichtig, die Expertise zu besitzen, die richtigen Dienstleister für die anstehenden Herausforderungen zu identifizieren.“
Eine mögliche Erklärung für die Skepsis gegenüber externen Dienstleistern im Bereich der IT-Sicherheit sieht das BIGS darin, dass die Inhouse-IT-Sicherheitschefs ungern Verantwortung abgeben oder Einflüsse von außen in ihrem Arbeitsbereich nicht akzeptieren wollen. Außerdem können negative Erfahrungen eine Rolle spielen, etwa wenn kostspielige externe Berater einen Cyberangriff in der Vergangenheit nicht verhindern konnten. Zudem werden Unternehmen nach einem bekannt gewordenen Sicherheitsvorfall häufig mit Anfragen von IT-Sicherheitsdienstleistern überschwemmt, konstatiert das BIGS. Aufgrund der schieren Masse an Angeboten sei es für Unternehmen nicht einfach, den Überblick zu behalten, so dass sich eine gewisse Entscheidungsmüdigkeit einstelle. Da fast die Hälfte der befragten CISOs das Risiko als hoch oder sehr hoch einschätzt, dass innerhalb der nächsten zwölf Monate ein Cyberangriff auf ihr Unternehmen stattfindet, mahnen die Experten nichtsdestoweniger zu strategischen und proaktiven Investitionen in die IT-Sicherheit.
