Wer seine IT-Sicherheitsprobleme in den Griff bekommen will, muss Geld in die Hand nehmen. Auch der Bericht zur weltweiten IT-Security, den Accenture jetzt in Zusammenarbeit mit dem Ponemom Institute vorgelegt hat, betont die Notwendigkeit von Investitionen. Genauso räumt die Studie allerdings mit der Vorstellung auf, dass höhere Ausgaben umso mehr Sicherheit bringen. Das Gegenteil ist der Fall: Erfolgreiche Unternehmen geben oft weniger Geld aus als der Durchschnitt, sie investieren aber gezielter.
Knapp 2000 Entscheider – sowohl aus der IT als auch aus dem Business – hat Accenture befragen lassen. Herausgekommen sind die nicht mehr unbedingt neuen Ergebnisse strategischer Defizite in vielen Firmen und wachsender Bedrohungen durch Trends wie Mobile IT oder Cloud Computing. Aus der Fülle des Materials filtert die Studie indes gut 200 Firmen heraus, die erkennbar besser abschneiden als der Rest. Vor allen Dingen gehen diese Unternehmen die Probleme mit einem klaren Plan an.
Viel Geld bringt nicht viel Sicherheit
Doppelt so hoch wie im übrigen Feld ist in diesen Firmen die Wahrscheinlichkeit, ein angemessenes Budget zum Erreichen von Security-Zielen zur Verfügung zu haben. Knausern ist also in jedem Fall ein schlechter Ansatz. Blindes Kleckern aber ebenfalls. „Das bedeutet aber nicht unbedingt, dass sie mehr für Sicherheit ausgeben“, heißt es in der Studie. Prozentual gäben die Klassenbesten häufig sogar einen geringeren Anteil ihres IT-Budgets für Sicherheit aus. Indem sie die Security-Aufgabe aber als Cost- oder Revenue-Center strukturiert hätten, falle es ihnen leichter, die Ausgaben nachzuprüfen und intelligent zu verteilen.
Die Studie hebt weitere Merkmale der erfolgreichen Unternehmen hervor: Auf einer Skala von 1 bis 10 bewerten diese Firmen ihren Sicherheitsansatz mit 8,11 Punkten im Durchschnitt; der Rest kommt im Mittel nur auf 4,99. Sie packen die Aufgabe proaktiv an, verfügen über eine wirksame Strategie, vertrauen stärker auf analytische Methoden als auf ihre Bauchgefühl, verzahnen ihre Security-Strategie mit ihren geschäftlichen Strategien und koordinieren ihre Operationen mit anderen Business-Feldern.
Als schlimmste Bedrohungsart nennen 38 Prozent den Klau von Daten; 30 Prozent fürchten einen Systemzusammenbruch. Attacken gegen kritische Infrastrukturen führen 18 Prozent an, Angst vor Compliance-Verstößen 14 Prozent. Dennoch lautet einer der zentralen Kritikpunkte von Accenture, dass viele Firmen einen Großteil ihrer Security-Aktivitäten auf Compliance-Fragen verwenden und deshalb nicht wachsam genug gegenüber anderen und neuen Gefahren seien.
Was die Komplexität erhöht
Die IT-Innovationen unserer Zeit sind erwartungsgemäß aus Sicht der Unternehmen allesamt zugleich Gefahrenherde. Wiederum auf der Skala von 1 bis 10 erhält Cloud Computing einen Punktwert von 7,79 auf die Frage, inwieweit sich dadurch neue Bedrohungen ergäben. Mobile Endgeräte wie Smartphones und Tablets kommen auf 7,53 Punkte, Social Media auf 7,22.
Als Faktor, der die Komplexität der Security-Organisation erhöht hat, nennt jeweils ein Fünftel Mobile IT und Cloud Computing. Dahinter folgt mit 14 Prozent mit der Konsumerisierung der IT ein Trend, der die innovativen Technologien bündelt.
Ein Viertel der Befragten gibt an, ihr Unternehmen verfüge nicht über eine Security-Strategie. 17 Prozent überprüfen die Strategie jährlich, weitere 17 Prozent bei Bedarf. Der Rest tut das höchstens alle zwei Jahre.
KPIs nur wenig genutzt
Die Effektivität der Sicherheitsorganisation messen 4 Prozent überhaupt nicht, 31 Prozent vertrauen informellen Prozessen respektive ihrem Bauchgefühl. Nur ein Fünftel verwendet Key Performance-Indikatoren. Auch bei Bestimmung ihres Risikoprofils setzen lediglich 16 Prozent auf formelle Analyse und Bewertung. Zwei Drittel definieren ihr Profil überhaupt nicht oder nur informell.
Als konkreten Schritt zur Security-Optimierung setzen viele Unternehmen auf Homogenität. 31 Prozent geben an, weniger Lösungen verschiedener Anbieter einzusetzen. 20 Prozent lagern ihre nicht als essentiell erachteten Sicherheits-Aktivitäten aus. 13 Prozent wollen künftig verstärkt Plattform-basierte Tools statt punktueller Lösungen einsetzen.
Intrusion Detection nicht effektiv
Als vielversprechendsten technologischen Ansatz nennen 24 Prozent das Monitoring interner Attacken. Ein Fünftel hält große Stücke auf Technologien, die Einblicke in Netzwerk und Traffic geben. Häufiger erwähnt wurden außerdem vereinfachtes Reporting von Bedrohungen, das Entschärfen interner Gefährdungen und die Endpoint-Sicherung insbesondere von mobilen Endgeräten.
Auf einer Skala von 1 bis 10 wurden Security Information & Event Management (SIEM, 7,4 Punkte im Durchschnitt) und Network/Traffic Intelligence (7,31) als besonders wirksame Technologien eingestuft. Gute Bewertungen gab es zudem für Anti-Virus/Anti-Malware und Endpoint Security. Relativ schlecht weg kamen Identitäts- und Zugangs-Management sowie Intrusion Detection & Prevention.
Die Studie „Traditional Approaches To Information Security Are No Longer Sufficient“ ist bei Accenture erhältlich.