Finanzbranche geizt bei den Investitionen in die Informationssicherheit

Die Informationssicherheit der deutschen Firmen tritt seit letztem Jahr auf der Stelle und weist unverändert hohe Defizite auf. Zu diesem ernüchternden Ergebnis kommt der Business Information Risk Index 2018 von CARMAO auf Basis einer Befragung von über 2.000 Führungskräften. Mit Ausnahme des Finanzsektors befindet sich das Sicherheitsniveau aller weiteren neun untersuchten Branchen tief im roten Bereich. Trotzdem lassen sich auch bei den Banken und Versicherungen erhebliche Defizite feststellen.

Obwohl die Cyber-Risiken immer offensichtlicher geworden sind und gesetzliche Maßnahmen einen Handlungsdruck erzeugt haben, hat sich am Niveau der Informationssicherheit seit letztem Jahr aus der Perspektive der Business Manager nicht viel geändert. Zu diesen Erkenntnissen kommt der Business Information Risk-Index (BIR-I) branchenübergreifend mit lediglich 65,91 von maximal 100 Punkten. Er liegt damit deutlich in dem unterhalb von 75 Punkten beginnenden kritischen Bereich. Letztes Jahr hatte er noch leicht darunter gelegen.

Etwas günstiger sieht es im Finanzsektor aus. Sein BIR-I hat einen Spitzenwert und liegt mit einem Wert von 77,01 sogar leicht über der kritischen Grenze von 75,0 Punkten. Das bedeutet eine leichte Steigerung im Vorjahresvergleich. Bemerkenswert ist jedoch, dass die aktuellen Ergebnisse zu verschiedenen Parametern der Untersuchung teilweise eine negative Entwicklung zeigen. Dies gilt insbesondere für das von den befragten Business Managern empfundene Niveau der Informationssicherheit und des internen Risikobewusstseins, auch wenn die Werte dieser Aspekte deutlich über dem Branchendurchschnitt liegen. „Insofern darf der Branchenvergleich nicht überbewertet werden und nicht darüber hinweg täuschen, dass auch die Finanzunternehmen bei ihrem Level in der Informationssicherheit noch längst keinen Grund haben, sich zufrieden zurückzulehnen“, betont CARMAO-Geschäftsführer Ulrich Heun. „Dafür zeigt der Index noch zu viel Luft nach oben, zumal regulative Anforderungen ein höheres Niveau verlangen.“

Dass noch ein erheblicher Handlungsbedarf besteht, zeigt auch die negative Tendenz der registrierten Sicherheitsvorfälle gegenüber 2017. Und dies, obwohl mehr Geld für die Informationssicherheit ausgegeben wird. Allerdings zeigt ein genauer Blick auch hier eine deutliche Schattenseite, denn überraschenderweise liegt der Anstieg unterhalb des Branchendurchschnitts. Im Vergleich mit den weiteren untersuchten Wirtschaftssektoren nehmen die Banken und Versicherungen hier nur den drittletzten Platz ein.

Aber dafür ist die Berücksichtigung von Sicherheitsaspekten wie in keinem anderen Wirtschaftssektor derart konsequent ein fester Bestandteil aller IT- bzw. Digitalisierungsprojekte. Auch die Positionierung des Top-Managements ist in Fragen der Informationssicherheit nirgendwo so ausgeprägt wie in den Banken und Versicherungen. Allerdings mit der Einschränkung, dass dies ohne ausreichend durchgängige Sensibilisierung der Mitarbeiter durch entsprechende Awareness-Maßnahmen erfolgt.

Die Studie „Aktueller Status der Informationssicherheit aus Sicht der Business Manager“ mit 10 branchenspezifischen Auswertungen kann kostenfrei heruntergeladen werden unter www.carmao.de.