Rund 3/4 der deutschen Firmen haben bereits Erfahrungen mit Angriffen auf die Unternehmens-IT gemacht. Wahrscheinlich ist auch das restliche Viertel schon mal angegriffen worden – ohne es zu merken. Das ist das Ergebnis der Studie “IT Security – Trends und Anwenderpräferenzen“ des Beratungsunternehmen IDC. Die Multi-Client-Studie wurde von neun Partnern unterstützt. 206 deutsche Unternehmen mit mehr als 100 Mitarbeitern nahmen daran teil.
Die Studie zeigt, dass bereits bei fast der Hälfte der Unternehmen ein Angriff zu Ausfällen der IT-Systeme geführt hat. So kam es zu Produktivitätsverlusten, die in Zeiten des steigenden Wettbewerbs- und Preisdrucks kaum noch hinnehmbar sind. Zudem hatten die Angriffe in vielen Unternehmen personelle und rechtliche Konsequenzen. 20 Prozent erlitten Imageschäden, die meist direkt Auswirkung auf die Geschäftsentwicklung hatten.
Viren, Spam und Trojaner stehen ganz oben auf der Liste der Angriffe, so die Untersuchung. Und Attacken dieser Art nehmen kontinuierlich zu. Das zeigt, wie wichtig Endpoint Security ist. Deshalb legen Unternehmen auch viel Wert auf entsprechende Sicherheitslösungen wie Firewalls, Spamfilter oder Antivirus-Software.
Weniger verbreitet sind Manipulationen, unberechtigte Zugriffe oder Verluste von Informationen. Trotzdem stellen sie natürlich auch ein großes Sicherheitsrisiko für Unternehmen dar. Deshalb sollte ein besonderes Augenmerk auf das Rechte- und Zugriffs-Management gelegt werden.
Aus der Analyse gehen fünf Empfehlungen hervor, mit denen sich Unternehmen vor Attacken schützen können:
Sicherheitskonzept erstellen
1. Ganzheitlicher Ansatz:
Wichtig für den Erfolg von Sicherheitsmaßnahmen ist eine ganzheitliche Sicht. Um ein entsprechendes Konzept zu entwickeln, sollten unbedingt die User mit eingebunden werden. Mit ihnen steht und fällt jedes Sicherheitskonzept. Unternehmen sollten die Anwender daher unbedingt nach ihrer Meinung fragen. Wird das Konzept nicht angenommen, liegt das meist daran, dass zu wenig geschult und aufgeklärt wurde.
2. Mitarbeiter sensibilisieren:
Viele User haben kein Bewusstsein für Sicherheit, schließlich sehen sie die IT nur als ein Mittel zum Zweck an. Aus diesem Grund ist es sehr wichtig, die Anwender zu sensibilisieren. Sie müssen auf die operativen und strategischen Gefahren für das gesamte Unternehmen hingewiesen werden.
3. Sicheres Drucken vorantreiben
Im Sicherheitskonzept muss auch der Printbereich beachtet werden. Viele vergessen, dass auch Drucker und Multifunktionssysteme eine potenzielle Sicherheitslücke in der Unternehmens-IT darstellen. Der Grund: Die Geräte bieten oft nicht nur Funktionen zum Drucken oder Kopieren, sondern mit ihnen empfängt und sendet man auch E-Mails und Faxnachrichten. So können beispielsweise gescannte Daten mit einigen Klicks bequem weitergeleitet werden. Was viele Anwender nicht wissen: Mit dem steigenden Funktionsumfang steigt auch das Sicherheitsrisiko.
4. Virtualisierung und Cloud Computing beachten
In den nächsten Jahren werden Virtualisierung und Cloud Services die IT-Security maßgeblich beeinflussen und verändern, so die Untersuchung. Die Vorteile der Virtualisierung sind klar. Es können Kosten reduziert werden und es ist möglich, die IT flexibler und effizienter einzusetzen. Dennoch gibt es auch Risiken, die nicht ignoriert werden dürfen. Aufgrund der gestiegenen Komplexität der IT-Infrastruktur wird die IT anfälliger, und das Ausfallrisiko steigt. Zudem kann es zu Hypervisorattacken kommen.
IDC zufolge muss bei der Einführung von Virtualisierung das gesamte IT-Security-Management strikter werden. Es ist wichtig, dass Virtualisierung nicht ohne definierte Nutzerrichtlinien und Zugangsberechtigungen angewendet wird. Weiter wird durch Virtualisierung die Komplexität der Datensicherung erhöht. Das betrifft auch Compliance. Außerdem wird die Verwaltung der Sicherheitslücken und der Patch-Versionierung komplizierter. Unternehmen sollten bei der Implementierung von Virtualisierung eindeutig festlegen, wer die Daten besitzt und auf sie zugreifen darf.
Service Level Agreements oft zu lasch
Der wachsende Markt von Cloud Computing stellt besondere Anforderungen an die Sicherheit. In der Analyse wird Unternehmen dazu geraten, eindeutig festgeschriebene Service Level Agreements mit Anbietern zu vereinbaren. Die bisher angebotenen Service Level Agreements gehen oftmals nicht weit genug. Außerdem sollten Unternehmen auch Themen wie Authentifizierung und Zugriffskontrolle beachten.
5. Compliance und Zertifizierung
Laut der Studie erfordert IT-Sicherheit auch organisatorische Maßnahmen wie Unternehmens- und Nutzerrichtlinien sowie Zertifizierungen. Dabei müssen rechtliche Aspekte zwingend eingehalten werden. Das Ergebnis zeigt, dass die Unternehmenspolitik am stärksten von internen Sicherheitsrichtlinien und dem Bundesdatenschutzgesetz beeinflusst ist.
Eine Zertifizierung für geprüfte Sicherheit kann als Qualitätsmerkmal gegenüber Kunden und Geschäftspartnern dienen. Zu den anerkannten Standards gehören die internationale Norm ISO 2700x. Sie spezifiziert die Anforderungen für Herstellung, Einführung, Betrieb, Überwachung, Wartung und Verbesserung eines dokumentierten Informationssicherheits-Managementsystems. Dabei werden die Risiken innerhalb des gesamten Unternehmens berücksichtigt.
Der Untersuchung zufolge ist auch der deutsche IT-Grundschutz ein hilfreicher Standard für IT-Sicherheit. Das BSI unterteilt die Gefahren in organisatorische Mängel, menschliche Fehlhandlungen, technisches Versagen und vorsätzliche Handlungen. Das BSI stellt zahlreiche Werkzeuge zur Verfügung, um ein angemessenes Sicherheitsniveau zu erreichen, Dazu gehören unter anderem der IT-Grundschutz-Katalog, GSTOOL und die BSI-Standards zum Informationssicherheits-Management. Außerdem wird darauf Wert gelegt, dass der IT-Grundschutz immer auf aktuellem Stand ist. So hat das BSI erst kürzlich auf die steigende Virtualisierung reagiert und einen Entwurf für einen weiteren Baustein hierzu vorgelegt.
Mehr Sicherheit für die Zukunft
Auch wenn Unternehmen ein ganzheitliches Security-Konzept haben, gibt es noch andere Schwierigkeiten. Laut der Studie stufen viele Sicherheitsverantwortliche die eigene IT-Security als allenfalls durchschnittlich ein. Nur sehr wenige meinen, dass sie heute schon das Optimum erreicht haben. Positiv ist allerdings, dass die meisten Befragten in den kommenden drei bis fünf Jahren mehr Sicherheit schaffen wollen. Dafür sollte jetzt bereits das entsprechende Budget eingeplant werden.