Eines stellen die Analysten gleich klar: Sie sind Fans von Instant Messaging. Schnelles Kommunizieren mit Kunden, schneller Datenaustausch mit externen Dienstleistern – es geht nicht mehr ohne. Welche Risiken IM birgt, hat sich allerdings in den Köpfen von CIOs noch nicht durchgesetzt.
In Fragen der IT-Sicherheit, so eine aktuelle Studie, konzentrieren sich viele CIOs zu stark auf unerwünschte Eindringlinge von außen wie Spam, Viren und andere Malware. Die Schwierigkeiten sind bekannt: Das Personal muss wieder und wieder im Umgang mit Mails geschult werden, Firewalls und Tools müssen regelmäßig aktualisiert werden. Aber niemand bezweifelt die Relevanz dieser Schutzmaßnahmen.
Anders sieht es aus, wenn nach Sicherheitslösungen für den Datenausgang gefragt wird.
Naivität beim Instant Messaging
In fast drei Vierteln der Unternehmen (73 Prozent) ist Instant Messaging an der Tagesordnung – aber nur sieben Prozent der Studienteilnehmer betrachten IM als geschäftskritisch. Diese Diskrepanz wird an einem anderen Ergebnis noch deutlicher: 72 Prozent der Befragten halten das externe Abfangen vertraulicher Geschäftsdaten für eine mittlere bis große Bedrohung – aber nur 25 Prozent verschlüsseln ihre ausgehenden Mitteilungen.
Wenigstens das dürfte sich bald ändern: 25 Prozent der Studienteilnehmer wollen binnen Jahresfrist Software für die Datenverschlüsselung kaufen. Aber nur 16 Prozent planen das Implementieren von integrierten Inbound/Outbound-Sicherheitslösungen.
Ein weiteres Ergebnis der Untersuchung: Die Themen Compliance und Sicherheit wachsen zusammen, sprich: Langsam setzt sich der Gedanke durch, dass Gesetzesvorgaben nicht nur Zeit und Nerven kosten, sondern auch Nutzen bringen. So erklären fast sechs von zehn Befragten (57 Prozent), Compliance sei Bestandteil der Security-Strategie.
Viren sieht man, Compliance-Vertöße nicht
Gleichzeitig können 55 Prozent das finanzielle Risiko bei Compliance-Verstößen nicht beziffern. Dazu die Analysten: "Schäden, die Spam und Viren verursachen, sind eben auf den ersten Blick sichtbar." Einbußen durch Gesetzesverstöße oder Datenverluste seien dagegen viel schwerer zu kalkulieren – wer aber deswegen nicht genau hinguckt, dürfte sich früher oder später ein Eigentor schießen.
Die Analysten sprechen vier konkrete Empfehlungen rund um die Messaging Security aus:
-
Klare Sicherheitsregeln festlegen und alle Mitarbeiter (nicht nur das IT-Team!) darin schulen,
-
Risiken quantifizieren: Ein abteilungsübergreifendes Team, in das zumindest Vertreter aus IT, Finanzen und Human Ressources gehören, errechnet die ungefähren Verluste durch Compliance- oder Sicherheitsverfehlungen. Das erleichtert nicht nur das Festlegen von Prioritäten bei der Risiko-Abwehr, sondern auch die Argumentation für den Kauf neuer Technologien,
-
das bestehende Sicherheits-Netz auf Lücken durchforsten und
-
Lösungen auswählen, um die Sicherheitsmaßnahmen permanent zu aktualisieren und am Laufen zu halten.
Aberdeen hat für die Studie "2006 Messaging Security" mit 116 Unternehmen gesprochen.