Unter dem Schlagwort "Security 3.0" mahnen die Analysten einen veränderten Umgang mit Bedrohungen an. Entscheidend sind demnach Sicherheitsvorkehrungen, die in Anwendungen integriert und anpassungsfähig an neue Gefährdungen sind. Bislang hinkten die meisten Firmen allerdings in der Mehrzahl der Fälle den Cyber-Kriminellen hinterher. Auf jede neu erkannte Bedrohung werde in der Regel mit einer Insellösung reagiert, um die Verwundbarkeit der eigenen IT an einem bestimmten Punkt zu verringern.
Die Gartner-Analysten vergleichen den von ihnen geforderten Ansatz mit einem Schachspiel. Indem sie möglichst viele mögliche Züge des Angreifers im Voraus bedenken, sollen die für die IT-Sicherheit Verantwortlichen den Angriffswinkel des Gegners einengen und sich auf längere Auseinandersetzungen einstellen. Das Sicherheitsbedrohungen vollkommen unvorhersehbar seien, ist laut Gartner nichts weiter als ein Mythos.
An vier Punkten raten die Analysten IT-Verantwortlichen anzusetzen. Zum einen mahnen sie eine strenge Zugangskontrolle von Netzwerken an. Wichtig ist ferner ein striktes Management der Nutzer-Identitäten. Außerdem müssen potenzielle Schwachstellen eines Systems entdeckt werden - möglichst, bevor es zu Angriffen kommt. Zuletzt müssen - vor allem an Schwachstellen - Instrumente bereitgestellt werden, um Eindringlinge abzuwehren.
Um künftige Bedrohungen rechtzeitig zu erkennen, sei meist nicht einmal mehr Geld notwendig, als die meisten Firmen schon jetzt für die IT-Sicherheit ausgeben. In zwei von drei Unternehmen seien sowohl Personal als auch das Budget dafür ausreichend. Entscheidend sei aber der richtige Einsatz der Sicherheits-Ressourcen.
Gartner hat ermittelt, dass Firmen im Durchschnitt fünf Prozent ihres IT-Budgets für die Sicherheit ausgeben. Wenn zu diesem Betrag auch die Ausgaben für Disaster Recovery hinzugezählt werden, erhöht sich der Anteil auf bis zu zwölf Prozent. Die Ausgaben für die IT-Sicherheit wachsen indes nach Beobachtungen der Analysten seit Jahren zweimal so schnell wie die gesamten Ausgaben für die Informationstechnologie.
Höheres Sicherheitsbudget keine Lösung
Indem sie einen größeren Anteil ihres IT-Budgets auf Sicherheitsthemen konzentrieren, wiegen sich allerdings viele Unternehmen in trügerischer Sicherheit. Denn die Firmen, die am meisten für IT-Security ausgeben, sind nicht automatisch die, die sich am sichersten fühlen dürfen. Die Marktbeobachter konnten hier nur einen sehr geringen Zusammenhang feststellen.
Dass sich die Bedrohungsszenarien künftig verschärfen könnten, schließen die Beobachter von Gartner nicht aus. Entwicklungen wie das Web 2.0 führten zu einer "Consumerization" - die Nutzer mischen sich immer mehr in die IT ein. Sie stellen einen immer größeren Anteil der Inhalte und erlangen so auch zunehmend Kontrolle. Diese Einflussmöglichkeiten der User zu sperren, habe keinen Sinn. Vielmehr gelte es, im Sinne von "Security 3.0" mögliche Gefahren durch den Einfluss der Nutzer vorab zu identifizieren.
Den Bericht von Gartner trägt den Titel "Security, Risk and Compliance Scenario: Fighting New Threats, Enabling New Business". Eingeflossen sind darin Ergebnisse aus mehreren Untersuchungen der Analysten.