Unternehmen haben in den letzten Jahren zwar in Sicherheits-Tools für Data Loss Prevention, Intrusion Detection oder in web-basierte Security-Lösungen investiert, jedoch die Gesamtbudgets für IT-Sicherheit laufend gekürzt. Die Folgen machen sich jetzt bemerkbar - durch den massiven Abbau von Kern-Sicherheitsfunktionen.
Trügerische Sicherheit
Zu diesem Ergebnis kommt der "Global State of Information Security Survey 2012", den die Technologieberatung Pricewaterhouse Coopers (PwC) mit Unterstützung unserer US-Schwesterpublikationen CIO Magazine und CSO Magazine durchführte. Nur noch 41 Prozent der im Rahmen der Studie befragten Firmen geben inzwischen Geld für das Identity Management aus. 2009 waren es noch 48 Prozent. In Konzepte für Business Continuity und Disaster Recovery investierten 2009 noch 53 Prozent der Befragten, aktuell sind es nur mehr 39 Prozent. Ähnlich drastisch fiel der Rückgang im Bereich Privacy Policy aus.
Dennoch fühlen sich aktuell 72 Prozent der für die IT-Sicherheit verantwortlichen Top-Manager mit den bestehenden Prozessen sicher. Die Zahl mag auf den ersten Blick hoch erscheinen. Sie ist aber seit 2006 - damals lag sie bei 84 Prozent - kontinuierlich und deutlich um zwölf Prozent zurückgegangen. Immerhin 51 Prozent der Befragten sind optimistisch und gehen davon aus, dass in den nächsten zwölf Monaten die Budgets für IT-Sicherheit wieder steigen werden.
Cyber-Angriffe immer raffinierter
Gleichzeitig stiegen in den letzten Jahren die Risiken durch immer aggressivere und lange andauernde System-Angriffe stark an. Unternehmen müssen heute auf eine Vielzahl von Attacken vorbereitet sein. Das reicht von andauernden Bedrohungen für ein IT-System bis hin zu plötzlich auftretenden massiven Lecks, die den Zugriff auf vertrauliche Firmendaten erlauben.
Als eine der gefährlichsten Cyberspace-Bedrohungen identifiziert die Studie sogenannte Advanced Persistent Threats (APTs) - ein langfristiges Muster ausgeklügelter Hacker-Angriffe. Waren davon früher vor allem die Öffentliche Hand oder Militäreinrichtungen betroffen, sind APTs inzwischen auch im privaten Sektor ein ernstes Problem.
Doch nur 16 Prozent der Firmen haben Sicherheitsvorkehrungen dagegen getroffen. Mehr als die Hälfte der Organisationen haben keinerlei Kompetenzen zur Abwehr. Dazu zählen Penetrationstests, Technologien für das Identity Management oder ein zentraler Security-Information-Management-Prozess.
Gefahrenquellen: Mobile IT, Social Media und Co.
Nach wie vor sind Mitarbeiter und ehemalige Mitarbeiter die am häufigsten vermutete Quelle bei Sicherheitsverstößen oder Datenklau. Durch die starke Vernetzung von IT-Systemen birgt inzwischen auch die Zusammenarbeit mit angebundenen Geschäftspartnern, Lieferanten und Kunden für Unternehmen nicht zu unterschätzende Risiken.
17 Prozent der befragten Manager sehen derzeit in den Kunden als Netzwerkteilnehmer die Quelle und Ursache für Datenverletzungen (2009: zehn Prozent), 15 Prozent die Partner und Lieferanten (2009: acht Prozent).
Sicherheits-Risiken liegen den Studienautoren zufolge auch in der verstärkten Nutzung mobiler Endgeräte und von Social-Media-Plattformen in Verbindung mit Business-Aufgaben.
Mehr als die Hälfte der Befragten haben dafür noch keine Sicherheits-Strategien implementiert.
Mehr Informationssicherheit durch Cloud Services
Doch es gibt auch Positives zu vermelden. 54 Prozent sind der Ansicht, dass sich durch die Verwendung von Cloud Services die Informationssicherheit verbessert hat. Mittlerweile setzen 40 Prozent der Firmen auf Cloud-Computing-Dienste, meist Software as a Service (SaaS) oder Infrastructure as a Service (IaaS).
Auch können heute 80 Prozent der Studienteilnehmer und mehr Auskunft über die Häufigkeit von Sicherheitsereignissen, den Typ der Sicherheitsverletzung und die Quelle geben. 2007 waren dazu jeweils nur rund die Hälfte in der Lage.
Im Rahmen der Online-Erhebung wurden über 9.600 Vorstände und Direktoren für IT- und Informationssicherheit aus 138 Ländern befragt. 29 Prozent der Befragten kamen aus Nord-Amerika, 26 Prozent aus Europa, 21 Prozent aus Süd-Amerika, 20 Prozent aus Asien und drei Prozent aus dem Mittleren Osten und Südafrika.