Bedrohungen für Sicherheit und Datenschutz haben sich stark verändert, seit Deloitte seine internationale Sicherheits-Studie 2006 erstmals veröffentlicht hat. In der neuerlichen Befragung gibt gleichwohl eine große Zahl der Verantwortlichen zu, ihr Unternehmen könne mit den Veränderungen kaum Schritt halten - und das trotz häufig gestiegener Sicherheits-Budgets. Gerade einmal etwas mehr als jeder dritte Sicherheitsbeauftragte ist der Ansicht, sein Unternehmen verfüge über alle notwendigen Mittel, um Gefahren wirksam zu begegnen.
Nur sieben Prozent haben das Gefühl, künftigen Gefahren einen Schritt voraus zu sein. 49 Prozent sehen sich entweder noch auf Augenhöhe mit Bedrohungen oder fallen zurück. Die höheren Ausgaben für die Sicherheit im Unternehmen haben offenbar in vielen Fällen gerade ausgereicht, um die gestiegene Zahl und wachsende Komplexität von Bedrohungen auszugleichen. Jede zweite Organisation widmet weniger als drei Prozent ihres IT-Budgets dem Thema Sicherheit. Und nur fünf Prozent haben ihre Investitionen in Sicherheit um 15 Prozent oder mehr erhöht.
Eine ausgearbeitete Strategie für die IT-Sicherheit gibt es in 54 Prozent der Firmen - zu wenig, wie die Studienautoren finden. Während die Digitalisierung alle Bereiche von Unternehmen erfasst habe, werde die Sicherheit von elektronisch erfassten Informationen viel zu oft stiefmütterlich behandelt.
Denn Informationssicherheit zu schaffen ist aus Sicht der Analysten keine Aufgabe, die die IT-Abteilung allein lösen kann. Traditionell sei dieses Thema meist dort angesiedelt. Doch mittlerweile sei es an der Zeit, dass die Management-Ebene sich damit befasse. Viele Firmen scheinen das noch anders zu sehen. In vier von zehn ist vor allem die IT-Abteilung für die Sicherheit zuständig. 62 Prozent der Befragten sind der Ansicht, Sicherheit sollte eines der Top-Themen in den Führungsetagen sein. Auch dieser Prozentsatz ist den Herausgebern der Studie zu gering. In ihren Augen sollte jeder Technologie-, Medien- oder Telekommunikationsbetrieb das Thema mit Vorrang behandeln. Derzeit wird das Top-Management in 45 Prozent der untersuchten Firmen nur vereinzelt oder überhaupt nicht über Sicherheits-Themen informiert.
Das laut Deloitte mangelnde Bewusstsein für das Thema Sicherheit schlägt sich auch in einer zu geringen finanziellen Ausstattung entsprechender Initiativen nieder. Nur etwas mehr als jeder zweite Befragte gab an, sein Unternehmen widme sich dem Thema ausreichend und stelle auch genug Geld dafür zur Verfügung (55 Prozent). Nur in jedem dritten Betrieb gibt es neben dem IT-Budget einen separaten Geldtopf für Sicherheit. Die Mehrzahl der Firmen unternimmt zudem kaum oder keinerlei Versuche, den Return on investment (ROI) für Sicherheitsausgaben zu messen.
Datenverluste werden verschwiegen
Die meisten Bedrohungen kommen indes von innen. Drei von vier Befragten sehen menschliche Fehler als eine der Hauptursachen dafür an. Die Konsequenzen aus dieser Erkenntnis werden allerdings von vielen nicht gezogen. Während 69 Prozent der Sicherheits-Verantwortlichen überzeugt sind, ihr Unternehmen werde mit Angriffen von außen sehr gut fertig, denken das bei Bedrohungen von innen nur 56 Prozent. Bedienungsfehler in der elektronischen Datenverarbeitung ließen sich mit einer besseren Einweisung der Belegschaft häufig verhindern, ist Deloitte überzeugt. Allerdings haben die Angestellten in 42 Prozent der Unternehmen in den vergangenen zwölf Monaten keinerlei entsprechende Fortbildung erhalten.
Kreditkartennummern, Angaben über das Kaufverhalten oder persönliche Daten - Unternehmen besitzen heute eine große Menge von Informationen über ihre Kunden. Der Missbrauch solcher Daten kann für beide Seiten ernsthafte Folgen haben. Und doch verfolgt jedes dritte Unternehmen den Verlust von Kundendaten nicht (36 Prozent). Eine Bestandsaufnahme der bei ihnen gespeicherten persönlichen Informationen haben noch weniger Firmen jemals gemacht (32 Prozent). Kommt es zu Pannen, hüllen sich viele in Schweigen: Nur die Hälfte der Firmen geben den Verlust von Kundendaten öffentlich bekannt (53 Prozent), und viele von ihnen auch nur dann, wenn eine öffentliche Erklärung gesetzlich vorgeschrieben ist.
DRM umstritten
Das Thema Digital Rights Management (DRM) spaltet die Lager. Zwei Drittel der Befragten sprechen sich hier für eine strukturierte Herangehensweise aus, die übrigen lehnen DRM als Konzept ab. Danach gefragt, ob DRM als Geschäftsstrategie in den kommenden drei Jahren durchführbar und nützlich sein werde, antwortete je die Hälfte mit Ja und Nein. Die Kritiker von DRM argumentieren, es bringe ihrer Organisation und auch den Kunden mehr, in neue Produkte zu investieren, als Zeit und Geld darin zu investieren, digitale Inhalte zu schützen.
Vor wachsenden Herausforderungen sieht die Studie Unternehmen durch die steigende Zahl von Mitarbeitern gestellt, die außerhalb der vier Wände eines Büros arbeiten - ob zuhause oder auch von unterwegs. Daraus, dass immer mehr Daten auf mobilen Geräten außerhalb des Firmengebäudes gespeichert sind, entstehen demnach neue Gefahren. Als Beispiel wird der Diebstahl von Firmen-Laptops genannt, durch den ein Gauner mit einem Handgriff an große Mengen sensibler Daten gelangen kann.
Zuletzt fordern die Verfasser der Deloitte-Studie die Integration von Datensicherheit und physischer Sicherheit - unter letzterer wird unter anderem der Schutz des Firmengeländes verstanden. Bisher behandeln die meisten Organisationen die beiden Sicherheitsthemen getrennt. Zwei Drittel haben zum jetzigen Zeitpunkt nichts oder nur sehr wenig unternommen, um beide Felder zu verbinden. Die Analysten schlagen vor, dass eine Zugangskarte für den Eintritt ins Büro gleichzeitig dazu verwendet werden könnte, um den Zugriff auf Informationen zu regeln. Wenn eine Person sich mit ihren Zugangsdaten an einem Informationssystem anmelden will, könnte demnach automatisch überprüft werden, ob der Betreffende wirklich im Haus ist oder es sich womöglich um einen Unberechtigten handelt. Die Trennung zwischen physischer und Informations-Sicherheit ist der Untersuchung zufolge jedenfalls überholt.
Die Studie ist unter dem Titel "2007 TMT Global Security Survey" erschienen. Deloitte Touche Tohmatsu hat in persönlichen Interviews Sicherheits-Verantwortliche von mehr als 100 Unternehmen aus der Technologie-, Medien und Telekommunikations-Branche befragt. Die Technologiefirmen sind mit 39 Prozent Anteil etwas stärker vertreten. Vertreten sind sowohl Betriebe mit weniger als 500 Beschäftigten als auch Konzerne mit mehr als 100.000 Mitarbeitern. Etwas mehr als die Hälfte der Firmen hat zwischen 5.000 und 50.000 Angestellte. Bei 47 Prozent der Unternehmen liegen die Umsätze zwischen einer und zehn Milliarden US-Dollar. Die Untersuchung wurde zum zweiten Mal nach 2006 durchgeführt.