Unternehmenskunden erhöhen Budgets für Sicherheitsmaßnahmen

Die über 200 IT- und Security-Fachleute und Unternehmenschefs, die in der Studie "IT-Security in Deutschland 2011" von IDC befragt wurden, sind sich einig: Die Unternehmenssicherheit rangiert wie in den letzten Jahren ganz weit vorne in der Liste der IT-Prioriäten. Das bedeutet, es wird auch Geld dafür ausgegeben: Über 70 Prozent der Befragten gaben an, dass ihre Ausgaben für IT-Sicherheit in den nächsten beiden Jahren steigen werden. Gute Nachrichten also auch für Systemhäuser, deren Fokus darauf liegt, bei ihren Kunden Sicherheitslösungen zu implementieren. Sie müssen sich aber genau auf die aktuellen Risikopotenziale einstellen: Ihre Kunden brauchen griffige Konzepte und Lösungen, um den diversen Gefährdungen, die durch Programmier-, Konzeptions- und Konfigurationsfehler sowie durch menschliches Fehlverhalten entstehen, in den Griff zu bekommen.

Aus neuen Konstellationen erwachsen neue Bedrohungen

IT-Technologien und ihr Einsatz in den Unternehmen wandeln sich rasant. Daraus entwickeln sich ebenso rapide neue Angriffsszenarien, die an die Sicherheitsexperten hohe Anforderungen stellen. Die Abwehr neuer Bedrohungen nehmen fast die Hälfte der Befragten (42 Prozent) als große Gefährdung war. "Es gehen beispielsweise zunehmend Bereiche wie Produktion und Steuerung ins Netz und sind damit den gleichen Bedrohunen ausgesetzt wie bislang obligatorische Firmennetzwerke", führt der Leiter der Studie, Matthias Zacher, Senior Consultant bei IDC, aus. "Allerdings muss es sich nicht unbedingt immer um neue Technik handeln: Auch wenn Unternehmen fusionieren und verschiedene und heterogene IT-Systeme integriert werden, entstehen unversehens Schwachstellen."

Die noch unausgereifte Sicherheit der Cloud halten ebenfalls 42 Prozent der Studienteilnehmer für ein Risiko, 39 Prozent bewerten den bald flächendeckenden Einsatz mobiler Endgeräte wie Smartphones, Tablet PCs und Notebooks als riskant. (Grafik 2) und elf Prozent haben Bedenken, was den Einsatz von Social Media im Unternehmen angeht. "Das Sicherheitskonzept analog Burg, die von einer Firewall von draußen abgeschirmt wird, funktioniert nicht mehr", betont Andreas Seum, Vice President Global Professional Services & Solutions Converged Networks and Security bei Siemens Enterprise Communications. "Es existieren vielfältige, oft zufällige und ungerichtete Außenbeziehungen beispielsweise via Social Media, bei der der Kommunikationspartner nicht bekannt ist. Datenquellen und Anwendungen sind nicht lokalisierbar. Die Grenzen zwischen Infrastruktur und Anwendungen zerfließen."

Darling iPhone, Notebook und Tablet sprengen Security-Konstrukte

Ein monumentales Sicherheitsproblem, für das es augenblicklich aber keine Lösung gebe, identifiziert Sascha Pfeiffer, Principal Security Consultant bei Sophos in dem geradezu fahrlässigen Einsatz ein und derselben mobilen Geräten im privaten als auch im Business-Einsatz. "Es ist indiskutabel, wenn Mitarbeiter auf Privatgeräten Firmendaten nutzen – ohne Policies, ohne Absicherung. Aber es ist derzeit Realität", erklärt Pfeiffer. "Dazu sind die Unternehmen in dem Dilemma: Gerade die jungen und motivierten Mitarbeiter, die sie als Arbeitgeber wollen, möchten ihre eigenen Geräte nutzen, ihre eigenen Apps, ihr Facebook, ihr Xing. Wenn wir es ihnen verbieten, sind zerstören wir innovatives Potenzial." Dazu gesellt sich noch der rechtliche Aspekt, denn inwieweit ein Arbeitgeber regulatorisch auf einem privaten Gerät überhaupt einschreiten kann. Konzeptlos reagierten auch die Sicherheitsabteilungen in den Unternehmen. "Bewährte Policies, die von Fachleuten über lange Zeit hin ausgearbeitet und optimiert worden sind, werden durch den Einsatz von mobilen Consumer-Betriebssystemen wie Android oder iOS einfach ausgehebelt. Es gibt für die neuen Umgebungen derzeit noch keine neuen Regeln und das ist ziemlich katastrophal für die Sicherheit", meint Pfeiffer.

Bild 1 von 9

IDC-Security-Studie 2011 (9 Bilder)

Unternehmen sind "gefühlt sicher"

Dennoch fühlen sich gemäß der Studie 81 Prozent der Befragten heute absolut (21) oder in hohem Maße (60) geschützt gegen Angriffe von außen, 67 Prozent sind der Meinung, dass sie auch für die innere Sicherheit alles nötige getan haben (Grafik 3). Doch wie sieht es morgen aus?

Mehr Infos

Methodik

Befragt wurden IT- und Sicherheits-Verantwortlichen sowie Geschäftsführer von 202 Unternehmen von 100 bis 5.000 Mitarbeiter in Deutschland. Sie gaben Auskunft, welche Maßnahmen und Technologien sie zur zur Sicherstellung der Verfügbarkeit, Sicherheit und Integrität von Daten verwenden, welche Investitionen sie dafür aufwenden und wie Konzepten und Lösungen umgesetzt werden. Die befragten Unternehmen stammten aus unterschiedlichsten Branchen, darunter Financial Services, Öffentliche Hand oder auch Transport. IT-Anbieter waren von der Befragung ausgeschlossen.

Technik, Kommunikation und auch die sozialen Einflüsse auf die Unternehmen sind einem stetem Wandel unterworfen. "Faktisch müssten demnach auch die Sicherheitsregeln eines Unternehmens kontinuierlich überprüft und weiter entwickelt werden", fordert der unabhängige Sicherheitsberater Hartmut Goebel, Goebel Consult. "Doch die Realität sieht anders aus. Es werden zwar komplexe Sicherheitsmaßnahmen aufgestellt, doch die dümpeln dann oft vor sich hin ohne sie auf die realen Anforderungen aktuell anzupassen." Goebel sieht es deshalb auch als eine der Aufgaben von Beratern und Systemhäusern, für ihre Kunden diese Weiterentwicklung zu übernehmen. "Denn wir kennen die Situation in verschiedenen Unternehmen, haben ein breiteres Erfahrungsspektrum und müssen das Rad nicht jedesmal neu erfinden." (gs)