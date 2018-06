Au ZH (ots) - Nicht einmal jedes zweite Schweizer Unternehmen

stuft seine eigenen kritischen Daten als "vollständig sicher" ein. So

lautet ein beunruhigendes Ergebnis des aktuellen Risk:Value-Reports

von NTT Security. Die Investitionen in die IT-Sicherheit bleiben aber

ungeachtet dessen weiterhin auf vergleichsweise niedrigem Niveau. Die

Unternehmen sind eher bereit, auf Lösegeldforderungen im Falle einer

Ransomware-Attacke einzugehen.



Den Risk:Value-Report erstellt jährlich das

Marktforschungsunternehmen Vanson Bourne im Auftrag von NTT Security,

dem auf Sicherheit spezialisierten Unternehmen und "Security Center

of Excellence" der NTT Group (NYSE: NTT). Dabei befragt es weltweit

Führungskräfte - in diesem Jahr waren es 1.800 - zu Themen rund um IT

und IT-Sicherheit.



Bei der aktuellen Untersuchung zeigt sich, dass mit 40% weniger

als die Hälfte der befragten Entscheidungsträger in Schweizer Firmen

alle unternehmenskritischen Daten als "komplett sicher"

klassifiziert. Im Vergleich zur vorjährigen Untersuchung bedeutet

dies einen Rückgang um 15 Prozentpunkte. Ein Grund hierfür sind die

nach wie vor niedrigen Investitionen in die IT-Sicherheit.



In der Schweiz wird nur gut 15% des IT-Budgets in

Informationssicherheit investiert. Das Investitionsvolumen ist

deutlich geringer als in etlichen anderen Unternehmensbereichen. Im

Hinblick auf die Segmente, in denen höhere Investitionen als in der

Informations- und Datensicherheit getätigt werden, nannten



- 46% Betrieb und Fertigung



- 46% Marketing



- 41% Vertrieb



- 41% Rechnungswesen und Controlling



- 32% Forschung und Entwicklung



- 25% Personalwesen.



Die mangelnde Investitionsbereitschaft korrespondiert mit einem

weiteren zentralen Untersuchungsergebnis. 23% der befragten Schweizer

Unternehmen würden im Fall einer Ransomware-Attacke eher Lösegeld

bezahlen, als stärker in die Informationssicherheit zu investieren,

da sie eine solche Vorgehensweise für kostengünstiger halten. Auf

globaler Ebene sind im Durchschnitt sogar 33% der Unternehmen bereit,

auf Zahlungsforderungen einzugehen.



"Dieses Ergebnis ist mehr als erschreckend, gerade auch angesichts

der nicht abebbenden Gefahr von Ransomware-Angriffen. Unser kürzlich

vorgestellter Global Threat Intelligence Report hat ergeben, dass der

Anteil von Ransomware an allen Malware-Angriffen in EMEA bei hohen

29% liegt", erklärt Kai Grunwitz, Senior Vice President EMEA bei NTT

Security. "Wenn sich Unternehmen nun von der Bezahlung von Lösegeld

Kostenvorteile versprechen, ist das in unseren Augen mehr als

trügerisch. Und das böse Erwachen wird früher oder später für viele

kommen."



Die geringe Investitionsbereitschaft ist umso erstaunlicher, als

96% der befragten Unternehmen in der Schweiz die Meinung vertreten,

dass ein Sicherheitsvorfall mit Datendiebstahl gravierende negative

Auswirkungen hat. Genannt wurden Verlust des Kundenvertrauens (52%),

Beeinträchtigung der Reputation (52%) und direkte finanzielle

Einbussen (45%). Die Befragten rechnen mit einem durchschnittlichen

Umsatzverlust von gut 7% und schätzen, dass die Behebung eines

entstandenen Schadens mehr als neun Wochen dauert und im Schnitt

Kosten in Höhe von mehr als 1,1 Millionen Schweizer Franken

verursacht. Die Kosten werden dabei von den Schweizer Unternehmen

deutlich niedriger veranschlagt als in anderen Ländern. Der

internationale Durchschnittswert liegt bei 1,5 Millionen Schweizer

Franken.



Das hohe Schadenspotenzial wirft die Frage auf, wie es um das

Thema Incident Response bestellt ist. Auch an diesem Punkt hat sich

im Vergleich zum Vorjahr nicht wirklich viel getan. In der Schweiz

verfügten 2017 nur 42% der Unternehmen über einen

Incident-Response-Plan. Allerdings befanden sich 21% bereits im

Implementierungsprozess und weitere 21% planten die Umsetzung

entsprechender Massnahmen in naher Zukunft. Die jetzigen Ergebnisse

spiegeln diese Entwicklung allerdings nicht wider, im Gegenteil. Nach

wie vor ist nur bei 42% der Unternehmen ein Incident-Response-Plan

vorhanden. "Das Ergebnis zeigt leider, dass es vielfach bei reinen

Absichtserklärungen geblieben ist und der Ernst der Lage immer noch

unzureichend erkannt wird, auch wenn zahlreiche Sicherheitsvorfälle

der letzten Zeit eigentlich gezeigt haben, dass an einem gelebten

Incident-Response-Plan kein Weg mehr vorbeiführt. Denn nur mit

dedizierten Ablauf- und Notfallplänen kann auf unterschiedliche

IT-Sicherheitsvorfälle entsprechend angemessen und vor allem auch

schnell reagiert werden. Idealerweise sollten spezialisierte

Incident-Response-Tools genutzt werden, beispielsweise eine zentrale

Incident-Response-Plattform zur systematischen und koordinierten

Bearbeitung von Sicherheitsvorfällen mit fertig ausgearbeiteten

Handlungsplänen", so Grunwitz.



Allerdings hat die Untersuchung aus Sicht von NTT Security auch

positive Ergebnisse gebracht. So hat sich verstärkt die Erkenntnis

durchgesetzt, dass Sicherheitsvorfälle nicht gänzlich auszuschliessen

sind. 57% der Befragten sind bereits Opfer eines solchen Vorfalls

geworden und weitere 14% zwar noch nicht, rechnen aber damit. Deshalb

gewinnen hinsichtlich der Umsetzung umfassender

Cyber-Security-Strategien auch Managed Security Services (MSS)

signifikant an Bedeutung. MSS werden derzeit zwar noch verhalten

genutzt, der Risk:Value-Report zeigt aber, dass sich gegenwärtig etwa

zwei Drittel der befragten Unternehmen der Schweiz aktiv mit

MSS-Lösungen auseinandersetzen beziehungsweise planen, es zeitnah zu

tun.



Das "Risk:Value Executive Summary" steht zum Download unter

https://www.nttsecurity.com/de-ch/risk-value-2018 zur Verfügung.



Methodologie



Die Risk:Value-Studie wurde vom Marktforschungsunternehmen Vanson

Bourne im Auftrag von NTT Security im Februar und März 2018

durchgeführt. Dabei wurden 1.800 Nicht-IT-Entscheider in Deutschland

und Österreich, Benelux, Frankreich, Grossbritannien, Norwegen,

Schweden, der Schweiz sowie in Australien, Hongkong, Singapur und den

USA befragt. Die befragten Unternehmen beschäftigen mehr als 500

Mitarbeiter.



Über NTT Security



NTT Security ist das auf Sicherheit spezialisierte Unternehmen und

"Security Center of Excellence" der NTT Group. Mit "Embedded

Security" bietet NTT Security Kunden zuverlässige Lösungen für ihre

Anforderungen in der digitalen Transformation. NTT Security verfügt

über 10 SOCs, sieben Zentren für Forschung und Entwicklung sowie mehr

als 1.500 Sicherheitsexperten und behandelt jährlich Hunderttausende

Sicherheitsvorfälle auf sechs Kontinenten.



NTT Security sichert eine effiziente Ressourcennutzung, indem

Kunden der richtige Mix an ganzheitlichen Managed Security Services,

Security Consulting Services und Security-Technologie zur Verfügung

gestellt wird - unter optimaler Kombination von lokalen und globalen

Ressourcen. NTT Security ist Teil der NTT Group (Nippon Telegraph and

Telephone Corporation), einem der grössten IKT-Unternehmen weltweit.

Weitere Informationen über NTT Security finden sich unter

www.nttsecurity.com/ch. Informationen zur globalen NTT Group finden

sich unter http://www.ntt.co.jp/index_e.html.





