Das IT-Sicherheits-Paradox: Warum Unternehmen zu wenig in IT-Sicherheit investieren

Mit der zunehmenden Digitalisierung von Wirtschaft und Gesellschaft gehen auch immer größere IT-Sicherheitsrisiken einher. So werden mehr und mehr Unternehmen, nicht zuletzt kleine und mittelständische, Opfer von Sicherheitsvorfällen. Bitkom schätzt beispielsweise, dass durch IT-Sicherheitsvorfälle allein deutschen Firmen im letzten Jahr ein Schaden von 55 Milliarden Euro entstanden ist. Und es handelt sich dabei natürlich nur um die Spitze des Eisbergs. Viele Sicherheitsvorfälle werden gar nicht erst bekannt gemacht, entweder weil es den Unternehmen schlicht peinlich ist oder auch, weil sie einen Imageschaden befürchten. Darüber hinaus wissen die Unternehmen in vielen Fällen noch nicht einmal selbst, ob sie Opfer eines Sicherheitsvorfall wurden – frei nach dem Motto: Entweder der Feind ist schon drin oder du hast es noch nicht bemerkt.
Das Ziel dieses Kurzbeitrags besteht darin zu analysieren, ob Entscheidungsträgern in Unternehmen bestehende IT-Sicherheitsrisiken bewusst sind. Auf den ersten Blick erstaunt die Frage vielleicht etwas, weil es eine Vielzahl von Studien gibt, die besagen, dass IT-Sicherheit von vielen Entscheidern als das wichtigste Thema im Rahmen der digitalen Agenda angesehen wird (siehe z.B. Bitcom). Diese angebliche Priorisierung steht jedoch im Widerspruch zu einigen Expertengesprächen, die wir mit Führungskräften durchgeführt haben und die von vielen unterlassenen Investitionen in IT-Sicherheitslösungen berichteten. Daher haben wir uns entschieden, die Frage nach der Bedeutung des Themas IT-Sicherheit mit Hilfe einer etwas größer angelegten Studie zu untersuchen. Grundlage unserer Studie, die in Zusammenarbeit mit der Lünendonk GmbH durchgeführt wurde, ist eine Befragung von 103 Entscheidungsträgern, überwiegend CIOs und IT-Leitern. Dabei ist es natürlich naheliegend, diese Entscheider nicht direkt zu fragen, ob IT-Sicherheit ein wichtiges Thema ist. Die Antwort wäre klar und die Ergebnisse langweilig. Daher haben wir die Entscheider gebeten, einerseits zu bewerten, wie gut ihr eigenes Unternehmen auf Herausforderungen im Bereich IT-Sicherheit vorbereitet ist und einzuschätzen, ob das Gleiche für andere Unternehmen gilt. Die Antworten auf diese beiden Fragen sind in der folgenden Abbildung dargestellt.

Abbildung 1: Einschätzung der eigenen Vorbereitung auf IT-sicherheitsrelevante Herausforderungen im Vergleich zu konkurrierenden Unternehmen (von +2 sehr gut vorbereitet bis -2 gar nicht vorbereitet)

Die Ergebnisse zeigen, dass die Befragten der Meinung sind, dass ihr eigenes Unternehmen deutlich besser auf Herausforderungen im Bereich IT-Sicherheit vorbereitet ist als andere konkurrierende Unternehmen. Um es deutlich zu machen: Natürlich kann es in bestimmten Fällen sein, dass ein Unternehmen besser vorbereitet ist als andere Unternehmen, aber dass dies für alle Unternehmen gilt, ist nicht möglich. Die Ergebnisse sind auf Basis eines T-Tests statistisch signifikant. In der Psychologie spricht man in diesem Fall auch von einem sogenannten unrealistischen Optimismus. Dieser besagt, dass Menschen dazu tendieren, ihr eigenes Risiko im Vergleich zu anderen verzerrt wahrzunehmen und zu unterschätzen.
Überträgt man diese Ergebnisse aus der psychologischen Forschung auf unser Beispiel, bedeutet dies, dass die Unternehmen ihr eigenes IT-Sicherheitsrisiko systematisch unterschätzen. Eine Vermutung ist, dass sich Unternehmen hinsichtlich ihrer Investitionen in IT-Sicherheit ähnlich verhalten wie es Endnutzer bei der Preisgabe von persönlichen Informationen tun. Man spricht hier auch vom sogenannten Privacy-Paradox, das vereinfacht ausgedrückt bedeutet, dass viele Leute zwar behaupten, dass ihnen ihre Privatsphäre sehr wichtig sei, tatsächlich aber andere Werte höher bewerten und sich unvorsichtig verhalten. So geben die Nutzer Informationen preis und bereuen dies später nicht selten. Dabei gehen sie häufig (unrealistisch optimistisch) davon aus, dass ihnen schon nichts passieren wird. In der Wissenschaft spricht man hier von einem Intention-Behavior-Gap. Ein ähnliches Verhalten scheint es in Unternehmen zu geben: Kaum jemand würde behaupten, dass IT-Sicherheit für Unternehmen kein relevantes Thema wäre. Dennoch werden wichtige Investitionen in IT-Sicherheit aufgrund eines unrealistischen Optimismus nicht getätigt oder verschoben. Auch hier scheint die Maxime zu gelten, die sich auch bei Endnutzern beobachten lässt: „Uns wird schon nichts passieren.“ Dieses IT-Sicherheits-Paradox ist aus zwei Gründen hochproblematisch. Zum einen wird im Extremfall auf diese Weise die Existenz des gesamten Unternehmens aufs Spiel gesetzt. Zum anderen können unterlassene Investitionen in die eigene IT-Sicherheit die gesamte Wirtschaft und Gesellschaft gefährden. Was für die Digitalisierung der Wirtschaft als solche gilt, gilt auch für den Bereich IT-Sicherheit – der manchmal auch als die „ugly sister of digitalization“ bezeichnet wird – sie muss Chefsache werden.

Literaturverzeichnis
Bazerman, Max H., Ann E. Tenbrunsel, and Kimberly Wade-Benzoni. „Negotiating with yourself and losing: Making decisions with competing internal preferences.“ Academy of Management Review 23.2 (1998): 225-241.
Sheeran, Paschal. „Intention—behavior relations: A conceptual and empirical review.“ European review of social psychology 12.1 (2002): 1-36.
Sonnenschein, Rabea, André Loske, and Peter Buxmann. „Which IT Security Investments Will Pay Off for Suppliers? Using the Kano Model to Determine Customers‘ Willingness to Pay.“ 49th Hawaii International Conference on (2016).
Weinstein, Neil D., and William M. Klein. „Unrealistic optimism: Present and future.“ Journal of Social and Clinical Psychology 15.1 (1996): 1-8.