ThyssenKrupp will in den nächsten fünf bis acht Jahren pro Jahr einen dreistelligen Millionenbetrag in die IT investieren. Die Post wollte für 750 Millionen Euro ihre IT modernisieren, allerdings sind die Kosten explodiert und das Projekt an vielen Problemen hängen geblieben. An den investierten Summen kann es kaum liegen – was läuft schief?
Solche Probleme hängen eben damit zusammen, dass es auf der Spitzenebene in Unternehmen viel zu wenig Know-How in Sachen IT gibt. Projekte werden in die zweite, dritte, vierte Führungsebene verlagert, die ihrerseits externe Dienstleister beauftragen. Dabei werden dann nicht selten Budgets in schwindelerregende Höhen getrieben. Der Return on Investment – ob sich das Ganze also lohnt – wird aber nur in ganz wenigen Fällen berechnet und nachweisbar erbracht.
“Datenklau 2015” - Die Ergebnisse im Überblick
Für die Studie “Datenklau 2015” hat die Prüfungs- und Beratungsgesellschaft Ernst & Young Geschäftsführer sowie Führungskräfte aus IT-Sicherheit und Datenschutz von 450 deutschen Unternehmen befragt. Die Befragung wurde im Mai / Juni 2015 vom Marktforschungsinstitut Valid Research durchgeführt.
Quelle: Ernst & Young - Datenklau 2015
Jedes fünfte Unternehmen mit mehr als einer Milliarde Euro Umsatz hat in den vergangenen drei Jahren einen Angriff auf die eigenen Daten bemerkt, zeigt die EY-Studie. 18 Prozent der Betroffenen registrierten sogar mehrere Attacken. Mittlere (ab 50 Millionen Euro Umsatz) und kleinen Unternehmen (bis zu 50 Millionen Euro Umsatz) erlebten seltener Angriffe: 16 beziehungsweise zehn Prozent haben Hinweise auf Spionage oder Datenklau entdeckt.
Nicht nur die Größe entscheidet, wer ins Visier der Hacker gerät. Unternehmen der Energie- (17 Prozent ) und der Finanzbranche (16 Prozent) werden am häufigsten Opfer von Spionage und Datenklau. In der Industrie wurden 15 Prozent der Unternehmen bereits zum Opfer.
In den meisten Fällen (48 Prozent) ließ sich der Täter nicht zuordnen. In 18 Prozent der Fälle konnten laut EY Hackergruppen als Täter identifiziert werden. In 15 Prozent war es ein konkurrierendes ausländisches Unternehmen.
Die größte Gefahr geht aus Sicht der Manager von China aus: “46 Prozent nennen das Land als Region mit dem höchsten Risikopotenzial, dahinter folgen Russland (33 Prozent) und die USA (31 Prozent)”, wertet Ernst & Young aus.
Hinter den Angriffen vermuten die Manager in erster Linie den Versuch an Wettbewerbsvorteile oder finanzielle Vorteile (je 29 Prozent) zu gelangen. Reputationsschädigung (8 Prozent), Racheaktion (6 Prozent) und die Störung des Geschäftsbetriebs (3 Prozent) werden deutlich seltener hinter den Attacken vermutet.
In drei von vier Fällen (74 Prozent) handelte es sich bei den Attacken um Hackerangriffe auf die EDV-Systeme, in 21 Prozent wurden IT-Systeme vorsätzlich lahmgelegt. Deutlich seltener wurden Kunden- oder Arbeitnehmerdaten abgegriffen (elf Prozent), Mitarbeiter abgeworben oder Datenklau durch eigene Mitarbeiter begangen (jeweils zehn Prozent).
Sind die eigenen Ressourcen von Unternehmen so schlecht?
Eigene Ressourcen sind teilweise kaum noch vorhanden. Das sieht man am Beispiel von Fluggesellschaften wie der Lufthansa. Von Anfang an wird deren mobile Plattform von einem externen Dienstleister entwickelt und betrieben. Dieser bestimmt weitgehend, welche mobilen Dienste realisiert werden – weil dort Kompetenz aufgebaut wurde, im Unternehmen selbst dagegen nicht. Wenn Externe einem Unternehmen sagen, was es machen soll, halte ich das im Sinne einer strategischen Produkt- und Dienstleistungsentwicklung für problematisch. Das gilt insbesondere, wenn der Dienstleister auch für die Konkurrenz arbeitet. Noch schwieriger wird es für Unternehmen, die ihre eigenen Kompetenzen wieder aufbauen wollen. Insourcing ist häufig sehr teuer und zeitaufwendig, aber daran denken viele gar nicht, wenn sie IT-Leistungen outsourcen.
Der neueste Schrei ist Cloud Computing. Kann das die Probleme vieler Unternehmen lösen?
Darauf hoffen viele Manager – dabei bringt eine Cloud-Lösung alleine nicht viel. So wie es in vielen Firmen heute gemacht wird bedeutet Cloud Computing für die meisten Geschäftsanwendungen bloß, dass Sie mit fremden statt mit eigenen Servern arbeiten. Damit werden Ihre digitalen Dienste aber keinen Deut besser. Wenn Sie die Potenziale der verteilten Datenverarbeitung in der Cloud ausschöpfen wollen, müssen Sie auch Ihre Daten und Anwendungen anpassen. Das setzt voraus, dass sie diese nicht einfach auf fremde Server rüberschieben, sondern sie grundlegend überarbeiten.