Für den beauftragten Report „Security by Design – Die Rolle von IT-Sicherheitsstrategien in der Digitalisierung“ befragte Crisp Research, Kassel, im August und September 2017 insgesamt 107 Entscheider aus dem IT-Sicherheitsumfeld sowie Produktionsleiter deutscher Unternehmen (davon knapp 46 % Unternehmen aus der produzierenden Industrie). Dabei gaben nur knapp 8 % der befragten Unternehmen an, dass ihre internen IT-Sicherheitsvorschriften so strikt sind, dass auch bei Einbußen der Produkt-Performance und Bedienungsfreundlichkeit nicht an der IT-Sicherheit gespart wird. Bei 25 % der Unternehmen wird nur selten an der IT-Sicherheit gespart – wenn es nicht anders möglich ist. 49 % der Unternehmen gaben an, dass es häufig Konfliktfälle gibt, bei denen die IT-Sicherheit untergeordnet wird. Und bei fast 19 % der Unternehmen gehen Produkt-Performance und Bedienungsfreundlichkeit immer vor der IT-Sicherheit.
Einheitliche Sicherheitsstandards fehlen
Zugleich gaben fast zwei Drittel der Befragten an, dass sie ihre IT-Sicherheitsstrategien noch schärfen sowie einheitliche Standards und Anforderungen für alle Bereiche definieren müssen. Diese Aufgabe stellt sich laut der Untersuchung vor dem Hintergrund der aktuellen Digitalisierung immer dringlicher. So gehört der steigende Digitalisierungsgrad in den Augen von 33,6 % der befragten Unternehmen zu den drei größten Risikofaktoren und Gefahren für die IT- und Produktionssicherheit. Nur die eigenen Mitarbeiter (39,3 %) und Industriespionage (38,3 %) werden noch häufiger als Top-Sicherheitsrisiken eingestuft. Vor allem schaffe die Digitalisierung immer neue Einfallstore für potenzielle Angreifer sowie Sicherheitslecks. Mit dieser Herausforderung sehen sich 37,4 % der Befragten konfrontiert.
In Deutschland kommt der IT-Sicherheit des Internet of Things (IoT) eine besonders große Rolle zu. Als Grundregel gilt, dass die Produktions-IT von der Office-IT entkoppelt und nur notwendige sichere Schnittstellen zugelassen sind. Allerdings praktizieren dies nur ein Drittel der Unternehmen (34 %) mit mindestens 250 Mitarbeitern. Eine organisatorische Trennung nehmen 42 % der befragten Unternehmen vor. Doch betreiben gleichzeitig immer noch 24 % eine einheitliche IT für Produktion und Office, wo sie nur punktuell Sperren und andere Sicherheitsmaßnahmen an den Übergängen definiert haben.
Security by Design als Lösungsansatz
Um Prozess- und Produktinnovation sowie Time-to-Market einerseits mit IT-Sicherheit andererseits unter einen Hut zu bringen, sei Security by Design ein geeigneter Ansatz – so der Crisp-Report. Der Ansatz zeichne sich dadurch aus, das Thema IT-Sicherheit schon von Anfang an bei Planung und Entwicklung zu berücksichtigen, anstatt erst auf der Werkzeug- und Prozessebene. So sei Security by Design vor allem in der Banken- und Finanzbranche (43 %) und ganz besonders bei den sicherheitskritischen Versorgern (67 %) bereits angekommen.
Vor dem Hintergrund von Security by Design setzt etwa ein Viertel der befragten Unternehmen (26 %) auf die Etablierung und Zertifizierung eines Informationssicherheits-Managementsystems (ISMS) als standardisiertes Vorgehensmodell. Ebenso viele Unternehmen greifen auf die Beratung und andere Leistungen eines Managed Security Providers zurück. Darüber hinaus haben sich 22 % der Unternehmen für die praktische Umsetzung eines Security Operation Centers (SOC) entschieden.
„Security by Design ist sicher kein Allheilmittel in Sachen IT-Sicherheit“, kommentiert TÜViT-Geschäftsführer Dirk Kretzschmar die Ergebnisse des Crisp-Reports. „Die Transformation bestehender Unternehmensprozesse und IT-Architekturen ist ebenso wichtig. Doch stellt Security by Design auf jeden Fall ein ganzheitliches Konzept dar, mit dem sich die vielen Bestandteile erfolgreicher IT-Sicherheitsstrategien zusammenbringen lassen. So wie durch Privacy by Design beim Datenschutz lässt sich damit der notwendige Kulturwandel und das Change Management der Prozesse wirksam unterstützen.“
(dw)