An der Bürotür steht Chief Information Security Officer – und hinterm Schreibtisch hockt ein schwer pubertierender Teenager mit mürrischem Gesicht. Mit diesem launigen Bild umschreiben die Analysten von PricewaterhouseCoopers (PwC) den durchschnittlichen IT-Sicherheitsverantwortlichen.
Die Auswertung der knapp 8000 befragten Unternehmen in der Studie „The global state of information security 2006“ bringt ein uneinheitliches Bild der IT-Security-Praxis hervor. Dennoch lassen sich in der noch immer jungen Disziplin übergreifende Trends ausmachen. Und zumindest eines ist klar: Über zu wenig Geld können sich CISOs kaum beklagen. Hatte der Anteil vom IT-Budget, der in die Sicherheit fließt, 2003 noch elf Prozent betragen, liegt er jetzt bei 17 Prozent. Knapp die Hälfte der Befragten rechnet auch weiterhin mit steigenden Etats, jeder Fünfte sogar im zweistelligen Bereich. Damit wachsen die Budgets für diesen Teilaspekt schneller als die Etats für die IT allgemein. Übrigens bekommen IT-Sicherheitsverantwortliche im Zuge dessen auch immer mehr finanzielle Autonomie übertragen – für die Autoren der Studie ein Zeichen dafür, dass IT-Security langsam in ihrer strategischen Bedeutung begriffen wird.
IT-Sicherheit ohne C-Faktor
Das allerdings soll nicht darüber hinwegtäuschen, dass immer noch 64 Prozent der Unternehmen für die Sicherheit ihrer Informationstechnologie keine Position auf der C-Ebene, sprich: keinen CSO oder CISO, eingerichtet haben. Die Autoren der Studie wollten wissen, welcher Stellenwert der IT-Sicherheit zukommt und womit sich die Verantwortlichen hauptsächlich beschäftigen. Das Ergebnis halten sie für schwach: Nur jeder fünfte Befragte gibt an, die IT-Security auf die Geschäftsziele des Unternehmens abzustimmen.
Deutlich mehr Befragte als im Vorjahr haben nach eigenen Angaben Vertrauen in ihre Sicherheitsmaßnahmen. Kommentar der Analysten: „In den vergangenen zwölf Monaten war wohl kein Wurm oder Virus im Haus.“ Möglicherweise erklärt das hohe Sicherheitsgefühl den Wechsel auf der Prioritätenliste: Aktuell gelten Data Backup, Network Firewalls und Application Firewalls als die drei wichtigsten Punkte. Im Vorjahr las sich das ganz anders: Disaster Recovery (beziehungsweise Business Continuity), Sicherheitstrainings für die Belegschaft und Data Backup hatten ganz oben gestanden. Und während 2005 gleich dahinter das Ziel kam, eine übergreifende Informationssicherheits-Strategie zu etablieren, taucht dieser Punkt in der jetzigen Liste überhaupt nicht mehr auf. Sind Routinearbeiten wichtiger als strategische Planung? Nur 37 Prozent der Befragten geben an, ihr Haus habe eine umfassende ITSecurity-Strategie. Also haben fast zwei Drittel keine.
Selber schuld, denkt Jason Spaltro, Executive Director of Information Security bei Sony Pictures Entertainment. Seine Erfahrung: IT-Sicherheitsexperten gerieren sich wie Computerfreaks aus einer anderen Welt. Sie schotten sich ab. Sie sprechen in unverständlichen Kürzeln. Wenn keiner eine Brücke zu den Betriebswirten in der Geschäftsführung baut, klafft eine Lücke.
Jeder Dritte ein SOX-Verweigerer
Spaltros These von den misanthropischen Nerds mag provokativ sein, ein anderes Studienergebnis scheint sie zu untermauern: Die Angaben zum Thema Compliance sind fast schon kriminell. Obwohl rechtliche Regelwerke zur Informationssicherheit Sanktionen bis hin zu Haftstrafen festschreiben, ignorieren sie immer mehr Verantwortliche. Beispiel Data Protection Act, Großbritannien: 2005 gaben 24 Prozent der Befragten an, sie wüssten, dass sie diese Vorgaben beachten müssen, tun es aber nicht. In diesem Jahr sind es sieben Prozent mehr. Was die EU-weite Datenschutzrichtlinie (European Union Data Privacy Directive) betrifft, so wird sie von fast jedem Zweiten (45 Prozent) ignoriert. Immerhin scheint sich Sarbanes-Oxley Respekt zu verschaffen, hier ist ein gegenteiliger Trend zu verzeichnen. Die Rate der Ignoranten fiel. Um drei Prozent. Jetzt gibt es also nur noch 35 Prozent SOX-Verweigerer. An dieser Stelle kratzen sich die Analysten am Kopf. In ihrer Studie fragen sie: „Soll das ein Zeichen jugendlichen Protestes sein?“
Immerhin gibt es nicht an allen Fronten schlechte Nachrichten. Die Gesichter der Analysten dürften sich aufgehellt haben, als sie zu den Banken kamen. Wie im Vorjahr schneiden Unternehmen aus dem Finanzsektor am besten ab. So haben 73 Prozent der Firmen einen CSO oder CISO eingesetzt, im Durchschnitt aller Befragten sind es nur 43. Besonders schlecht aufgestellt zeigt sich der Bildungssektor mit 19 Prozent. Und während 80 Prozent der Banken, Versicherungen oder Finanzdienstleister ihre Sicherheitsbudgets auf die Geschäftsziele abstimmen, sind es im Schnitt 68 Prozent, im Bildungssektor nur 55.
Resultat: Fast jede zweite Bank (49 Prozent) behauptet von sich, keinen Ausfall aufgrund von Attacken verzeichnet zu haben. Das nehmen im Schnitt aller Befragten nur 32 Prozent für sich in Anspruch und nur 26 Prozent aus dem Schlusslicht Bildungssektor.
Inder als Erpressungsopfer
Sicherheit in der Informationstechnologie – das ist nicht nur ein Thema für zu Hause. Vor dem Hintergrund von Offshoring haben sich die Analysten in Indien umgeschaut. Und zeichnen ein scharfes Bild von der dortigen Datenunsicherheit. Ein paar Details: Während 57 Prozent aller Unternehmen im globalen Durchschnitt Spyware und Spam-Detection-Tools einsetzen (USA: 65 Prozent), sind es auf dem Subkontinent nur 39 Prozent. 58 Prozent aller Betriebe weltweit schützen ihre Netzwerke mit Security Tools (USA: 68 Prozent), unter den indischen Firmen nur 42 Prozent. Logische Konsequenz: IP-Diebstähle haben weltweit zwölf Prozent aller Firmen zu beklagen (USA: acht), aber 20 Prozent der Inder. Erpressungen kommen weltweit bei fünf Prozent der Unternehmen vor. In den USA bei zwei Prozent. Indien sprengt diese Statistik mit satten 15 Prozent.
Die Analysten geben zu bedenken, dass diese Mängel bekannt seien. „Offenbar“, schreiben sie, „ist es einfacher, wegzuschauen, statt die Probleme anzugehen.“ Die Autoren der Studie wissen aber auch von positiven Ergebnissen zu berichten. Stichwort physische und virtuelle Sicherheit: Eines der auffallendsten Resultate der Befragung ist das wachsende Zusammenspiel von physischer und virtueller Sicherheit. Hatten 2003 erst 29 Prozent der Befragten angegeben, diese Dimensionen zu integrieren, sind es jetzt 75 Prozent. Einen entsprechenden Peak gibt es bei den Verantwortlichkeiten: Dass Sicherheitschef und Information Security Officer an denselben Executive Manager berichten, das gab es vor drei Jahren erst in elf Prozent der Unternehmen. Heute sind es 40 Prozent.
Die Kamera ist ein IT-Thema
Wichtig ist das Zusammenrücken dieser Bereiche etwa bei verschwundenen Laptops. Die Analysten setzen voraus, dass die Verantwortlichen für physische und digitale Sicherheit gemeinsame Notfallpläne entwickeln können. Jason Spaltro fügt an: „In der heutigen Umgebung IP-basierter leittechnischer Geräte, Kameras und anderer Sicherheitssensoren entwickelt sich der physische Aspekt sowieso immer mehr zum IT-Thema.“
Als Fazit stellen die Analysten den IT-Sicherheitsfachleuten kein gutes Zeugnis aus. Den Grund dafür sehen sie darin, dass IT-Sicherheit nach wie vor als Kostenfaktor gilt und nicht als Beitrag zum Unternehmenserfolg. Genau das kann sie aber sein: Betriebe, die sicherheitstechnisch gut aufgestellt sind, fallen nachweislich weniger Attacken zum Opfer und sparen erhebliche Summen ein. Wird IT-Security als Teil des Geschäftsplans begriffen, erhöht sie die Wertschöpfung.
Die Analysten wollen ihre zum Teil recht deutlichen Worte denn auch nicht als Schelte verstanden wissen. Sie schreiben: „Wir hoffen, dass die Studie die Argumentation für einen strategischen Ansatz in der Informationssicherheit unterstützt. Und Strategie – vorausschauend denken, Handlungen und ihre Konsequenzen bedenken – ist natürlich ein Zeichen von Reife.“ Dann sitzt auch irgendwann kein schlecht gelaunter Teenager mehr im Zimmer des CISOs.
Die „The global state of information security“-Studie wurde zum vierten Mal durchgeführt. Sie geht auf die Initiative der Magazine CIO und CSO zurück und ist die größte Analyse der IT-Sicherheit. Der Marktforscher PricewaterhouseCoopers (PwC) hat mit 7.791 ITSicherheitsverantwortlichen aus unterschiedlichsten
Branchen in 50 Ländern gesprochen.