Hackerone: Digitale Sicherheit im Unternehmen klappt nicht immer wie gewollt

Der Hackerone Report The Corporate Security Trap zeigt, dass zwischen den Zielen digitaler Sicherheit und deren Implementierung bei Banken, Versicherern und sonstigen Unternehmen teilweise große Gegensätze bestehen. Zudem geraten zunehmend die Security-Praktiken der Zulieferer und Dienstleister in den Fokus. Im Laufe der Studie wurden Sicherheitsexperten aus Deutschland, Frankreich, den USA und dem Vereinigten Königreich befragt.

Gute 63 % (Deutschland 55 %) der Sicherheitsexperten gaben an, dass bewährte Praktiken in Sachen Cybersicherheit bei der Auswahl eines Dienstleisters genauso wichtig seien wie die Kosten. Darüber hinaus gaben 62 % der Sicherheitsverantwortlichen an, dass sie im Falle einer Datenpanne bei einem Lieferanten ihren Anbieter wechseln würden – für Deutschland lag der Wert bei 58 %.

Intern zeigt sich eine zunehmende Diskrepanz zwischen der Unternehmenskultur und der tatsächlichen Bewältigung von Sicherheitsproblemen im eigenen Unternehmen. Trotz einer verstärkten Fokussierung auf das Thema Sicherheit geben mehr als die Hälfte (57 % international, Deutschland 53 %) der Befragten an, dass es ihnen schwerfällt, eine Sicherheitskultur in ihrem Unternehmen zu etablieren. Ferner bestätigen 53 % (hierzulande 52 %), dass sie infolge eines Sicherheitsverstoßes Kunden verloren haben.

Auch was die Modernisierung und die Einführung neuer Cybersicherheitspraktiken anbelangt, äußern sich viele Befragte zurückhaltend: 67 % der Unternehmen bestätigen, dass sie lieber Software-Schwachstellen in Kauf nehmen, als mit White-Hat-Hackern zu arbeiten – in Deutschland teilen diese Ansicht allerdings nur 54 %.

Security by Obscurity

64 % der Unternehmen (55 % in Deutschland) gaben an, eine Kultur der Sicherheit durch Verschwiegenheit über die eigenen Security-Maßnahmen („Security by Obscurity“) zu pflegen, und 38 % – hierzulande sogar 44 % – sprechen daher nicht offen über ihre Cybersicherheitspraktiken. Darüber hinaus gaben zwei von drei Befragten (65 %) der Sicherheitsexperten zu, dass in ihrem Unternehmen die Prämisse gilt, dass Sicherheit ein Innovationshemmnis darstelle – bei deutschen Unternehmen war dies lediglich bei 49 % der Fall.

Sicherheit kann über den Erfolg oder Misserfolg bei der Anbahnung neuer Geschäfte entscheiden. Transparenz und Zusammenarbeit in der Cybersicherheit stellen einen Wettbewerbsvorteil dar und kein Innovationshemmnis. Wir appellieren Unternehmen dazu, ihr Fundament und ihre Kultur um den Aspekt der Transparenz zu ergänzen.”

Marten Mickos, CEO von HackerOne

Um mögliche Probleme zu adressieren, hat Hackerone (Website) einen Appell veröffentlicht, in dem das Unternehmen Organisationen auf der ganzen Welt dazu aufrufen will, ihren Umgang mit Cybersecurity zu überdenken und sich für mehr Transparenz in dieser Hinsicht stark zu machen.

Zu den Forderungen zählen:

• Förderung branchenweiter Transparenz, um Vertrauen aufzubauen und Informationen auszutauschen
• Förderung einer Kultur der branchenweiten Zusammenarbeit, die alle Unternehmen in die Lage versetzt, bei der Verringerung von Cyberrisiken das Heft in die Hand zu nehmen
• Förderung von Innovationen, indem Entwicklungsteams dazu angehalten werden, sichere Produkte zu entwickeln und diese schneller auf den Markt zu bringen
• das eigene Unternehmen und die Zulieferer zur Einhaltung bewährter Praktiken zu verpflichten, um Sicherheit zu einem Unterscheidungsmerkmal werden zu lassen

Zur Methodik der Studie

Im Rahmen der von Hackerone in Auftrag gegebenen Studie „The Corporate Security Trap: Shifting Security Culture From Secrecy To Transparency“ wurden 800 Cybersecurity-Verantwortliche aus Deutschland, Frankreich, den Vereinigten Staaten und dem Vereinigten Königreich befragt.

Den Report können Sie hier kostenlos einsehen.ft