CH-Unternehmen: Lieber Lösegeld zahlen als in Security investieren?

Laut der internationalen Studie "Risk:Value" würden 23 Prozent der dafür befragten Schweizer Unternehmen im Fall einer Ransomware-Attacke lieber Lösegeld bezahlen, als stärker in die Informationssicherheit zu investieren. Dies, weil sie glauben, dass dieses Vorgehen sie insgesamt weniger kostet. Viele Security-Experten dürften darüber den Kopf schütteln, denn natürlich schafft jedes Unternehmen, das in so einem Fall Geld zahlt, einen "Markt" für die Cyberkriminellen, den diese gerne bearbeiten. Immerhin ist der Anteil der helvetischen Unternehmen mit dieser Haltung etwas geringer, als im internationalen Schnitt: International würden gemäss der Studie sogar ein Drittel aller Unternehmen auf Zahlungsforderungen eingehen.
 
Die Studie wurde von Vanson Bourne im Auftrag von NTT Security durchgeführt. Insgesamt wurden dafür global 1800 Unternehmen befragt. Als Security-Dienstleister ist NTT Security natürlich nicht ganz unvoreingenommen bei der Interpretation der Resultate. So investieren die befragten Schweizer Unternehmen laut der Studie im Schnitt 15 Prozent des IT-Budgets in Informationssicherheit – NTT Security findet dies klar zuwenig. Immerhin befinden sich die Schweizer Firmen damit leicht über dem internationalen Schnitt. Dieser liegt bei 14,32 Prozent und hat, obwohl so viele davon reden, dass Security immer wichtiger wird, im Vergleich zu 2017 (14,58 Prozent) leicht nachgelassen.
 
Ein weiteres Ergebnis freut NTT Security dagegen und könnte auch für andere Schweizer Security-Dienstleister interessant sein: Managed Security Services scheinen gegenwärtig bei potentiellen Kunden auf recht hohes Interesse zu stossen. Etwa zwei Drittel der befragten Schweizer Unternehmen würden sich entweder aktiv mit MSS-Lösungen auseinandersetzen planen mindestens, dies "zeitnah" zu tun, so NTT Security.
 
Allerdings ist das mit Absichtserklärungen in Umfragen manchmal so seine Sache, denn wenn jemand sagt, man plane etwas zu tun, heisst das noch lange nicht, dass es auch tatsächlich getan wird. Ein schönes Beispiel dafür findet man auch in der Risk:Value-Studie. So haben bei der letzten Durchführung der Befragung vor einem Jahr 42 Prozent der hiesigen Unternehmen angegeben, dass sie einen Incident-Response-Plan hätten. Weitere 21 sagten, dass sie daran seien, einen solchen Plan zu implementieren und weitere 21 Prozent sagten, dass sie die Umsetzung entsprechender Massnahmen in naher Zukunft in Angriff nehmen würden.
 
Und wie hoch ist der Anteil der Unternehmen, die einen Incident-Response-Plan in Kraft gesetzt haben, nun ein Jahr später? Er liegt immer noch bei genau 42 Prozent. (hjm)