Mobile IT, Cloud Computing und Social Media verändern die IT-Welt – und machen die Sicherheit an den diversen Endpunkten immer schwachbrüstiger. Smartphones, Tablets und die nie völlig zu kontrollierenden Aktivitäten der Endanwender bereiten den IT- und Security-Profis in den USA deshalb beträchtliche Sorgen, wie eine aktuelle Studie des Ponemon Institute im Auftrag des Anbieters Lumension zeigt. Eine Lehre dabei: Die Unsicherheit liegt keineswegs allein an fehlendem Geld für Security-Lösungen. Vielmehr offenbaren sich in vielen Firmen beträchtliche Defizite in der Zusammenarbeit von IT und Sicherheitsverantwortlichen.
Laut Studie sind es vor allem mobile Endgeräte, Virtualisierungs-Technologien und Cloud Computing, die den IT-Chefs Kopfzerbrechen bereiten. Während von Business-Seite auf eine schnelle Implementierung dieser an sich ja höchst effizienten Technologien gedrängt werde, fehle es an den flankierenden Konzepten und Strategien für die Sicherheit.
Ein Mangel an Collaboration und Ressourcen biete jede Menge Einfallstore für Hacker, die rührig sind wie eh und je. Demgegenüber vertrauen viele Unternehmen nach wie vor veralteten Sicherheitslösungen, die längst keinen adäquaten Schutz mehr bieten.
Zum dritten Mal in Folge stieg in der jährlichen Umfrage unter fast 700 IT- und Security-Praktikern der Anteil derjenigen, die Bedenken wegen der Sicherheit ihrer Netzwerke haben. 66 Prozent sind es aktuell; vor einem Jahr waren es 64 Prozent, 2009 lediglich 59 Prozent.
Verantwortlich für die Sorgen sind laut Ponemon unter anderem drei Problemgebiete: immer mehr verwundbare Endpunkte, unwirksame Strategien in der technologischen Implementierung und organisatorischen Priorisierung von IT-Sicherheit sowie die Unfähigkeit, Mitarbeitern Best Practices nahezubringen.
Sinkendes Bewusstsein für Gefahren klassischer Malware
Ein weiterer Haken an der Sache: Die gewiss berechtigte Aufmerksamkeit für die neuen Sicherheitsrisiken geht offenbar einher mit einem sinkenden Bewusstsein für die Gefahren klassischer Malware. Gegenüber 2010 verdoppelte sich die Zahl der dadurch verursachten Vorfälle beinahe. Laut Studie waren in jüngster Zeit 43 Prozent der Firmen betroffen, vor einem Jahr aber nur 27 Prozent.
„Dennoch werden die Sorgen der IT-Verantwortlichen in diesen Bereichen weniger und die Ausgaben für grundlegende Strategien zur Malware-Prävention sinken“, kommentiert Larry Ponemon, Gründer und Chef des Forschungsinstitutes. „Es findet auch zu wenig Zusammenarbeit mit den Sicherheitsabteilungen statt, um zentralisierte Pläne für die Firmen-Netzwerke zu formulieren.“
Angst vor Mitarbeitern weit verbreitet
Ein Blick auf die detaillierten Zahlen der Studie stimmt nicht fröhlicher, sondern fördert eine Reihe von Fehlentwicklungen zu Tage. Am meisten Sorge bereiten den Befragten etwa die Anwendungen Dritter; aber nicht einmal für jedes vierte Unternehmen ist das Ausbessern und Sanieren bei den auch dafür vorhandenen Security-Systemen eine bevorzugte Strategie der Risikominderung.
Gerade zu sprunghaft stiegen im Vergleich zum Vorjahr die Ängste vor den mit neuen Technologien verbundenen Risiken. 48 Prozent haben Bedenken wegen mobiler Endgeräte und Plattformen (2010: 9 Prozent). Im Zusammenhang mit Cloud Computing verzeichnet die Studie einen fast ebenso rasanten Anstieg von 18 auf 43 Prozent. Zwei Fünftel geben indes zu, keine Sicherheitsstrategie für Daten in der Wolke zu haben.
Der in 72 Prozent der Firmen erwartete Anstieg von Social Networking im eigenen Unternehmen verschärft die Lage weiter. Konstant blieben lediglich die Bedenken wegen nachlässiger Mitarbeiter, die Schaden anrichten könnten. Auf hohem Niveau allerdings: Mehr als zwei Fünftel der Befragten sehen hier auch für 2012 ein großes Risiko.
Zusammenarbeit zwischen IT und Sicherheitsabteilung armselig
Unübersehbar ist ferner, dass in vielen Firmen bei der IT-Sicherheit nicht an einem Strang gezogen wird. Zwei Fünftel der Befragten bezeichnen die Zusammenarbeit zwischen IT und Sicherheitsabteilung als armselig oder nicht vorhanden. Fast die Hälfte sieht hier Verbesserungsmöglichkeiten. Darüber hinaus beklagen 16 Prozent die mangelnde Zusammenarbeit mit der Business-Seite, 13 Prozent das Fehlen einer unternehmensweiten Security-Strategie.
Das Sicherheitsbudget für das kommenden ist aus Sicht jedes dritten US-Unternehmens unzureichend. Nur jeder vierte Befragte geht von einem Anstieg des Budgets aus. Zusätzlichen Stress verursacht bei 85 Prozent der wachsende Einsatz von Mac-Produkten in ihrer Firma.
Welche Technologien Anwender einsetzen wollen
Die Studie arbeitet auch heraus, auf welche Technologien die Unternehmen im kommenden Jahr verstärkt setzen wollen: Mehr als die Hälfte nennt Application Control/Whitelisting und Application Controll Firewall/Gateway. Fast jedes zweite Unternehmen will auf integrierte Suiten für Endpoint Security und Mobile Device Management setzen. 38 Prozent planen einen Ausbau im Bereich Security Event & Incident Management (SIEM).
Nach Ansicht von Patrick J. Clawson, CEO von Lumension, drohen die Firmen angesichts der Studienresultate den Kampf gegen Cyberkriminelle zu verlieren. „Für 2012 ermuntern wir unserer Kunden und die ganze Security-Branche, die Endanwender für die Mithilfe im Kampf gegen besser zu schulen“, so Clawson.
Die Studie „2012 State of the Endpoint“ ist bei Lumension erhältlich.