CIOs unter Stress

Lieber verschuldet als für Sicherheit zuständig

30.01.2012 von Andrea König
Unfall, Entlassung, Scheidung: Für viele IT-Manager wäre ein solcher Vorfall erträglicher als die Verantwortung für Datensicherheit - so eine Websense-Studie.
Mit Sicherheit beschäftigen sich laut Websense-Studie 40 Prozent der CIOs erst seit kurzem.
Foto: mipan - Fotolia.com

Wie zuversichtlich kann ein IT-Manager denn eigentlich sein angesichts des kontinuierlichen Anstiegs Datendiebstähle und hartnäckiger Bedrohungen durch Cyberkriminelle und dem Kontrollverlust durch die schnelle Ausbreitung der Nutzung mobiler Endgeräte? Sicherheitsanbieter Websense hat sich diese Frage gestellt und bei 1.000 IT-Managern aus Großbritannien, den USA, Kanada und Australien nachgefragt.

IT-Sicherheit im Unternehmen bedeutet Stress für die beteiligten IT-Manager. Websense fragte die IT-Experten, welches der folgenden Ereignisse sie für weniger stressvoll halten als die Verantwortung für den Schutz von vertraulichen Daten ihres Arbeitsgebers: Eine nicht unerhebliche Zahl von Umfrageteilnehmern nennt einen mittelschweren Verkehrsunfall (29 Prozent), einen Umzug (27 Prozent) und die Verwaltung persönlicher Schulden (23 Prozent).

Für 19 Prozent der Befragten würde ein neuer Job weniger Stress bedeuten, für 17 Prozent eine Hochzeit und für 14 Prozent die eigene Entlassung. Zwölf Prozent der IT-Manager empfänden sogar eine Scheidung oder Trennung als erholsamer als den Schutz der Unternehmensdaten. Immerhin 28 Prozent der Befragten fanden keine der vorgegebenen Antwortmöglichkeiten erholsamer als die Verantwortung für den Schutz vertraulicher Unternehmensdaten.

Immerhin 80 Prozent der befragten IT-Manager zeigen sich in Bezug auf die Sicherheit ihrer Unternehmens-IT gegenüber modernen Bedrohungen zuversichtlich. 30 Prozent der Umfrageteilnehmer geben an, dass sie ein vollkommenes Vertrauen in die Sicherheit ihres Unternehmens gegenüber moderner Malware haben. Weitere 52 Prozent der IT-Manager antworteten, sie hätten ihr Bestes getan, müssten jedoch die Tatsache hinnehmen, dass es irgendwo irgendwelche Lücken geben könnte. Damit äußern weniger als 20 Prozent der Befragten Bedenken, dass die Richtlinien, Budgets und Ressourcen ihres Unternehmens nicht hinreichend auf eine mögliche IT-basierte Bedrohung ausgerichtet sein könnten.

Doch die Bedrohungen nehmen zu: Laut dem Identity Theft Resource Center ist die Zahl der Datendiebstähle und hartnäckigen Sicherheitsbedrohungen in den vergangenen zwölf bis 18 Monaten so stark angestiegen wie nie zuvor. 60 Prozent der Befragten sind besorgt, dass ihre Unternehmens-IT durch sogenannte Advanced Persistent Threats (APTs) gefährdet werden könnte. Die übrigen waren entweder unbesorgt oder unsicher, ob sie sich vielleicht Sorgen machen sollten. Gleichzeitig räumen 19 Prozent ein, dass sie im Laufe des Jahres bereits Opfer eines solchen Angriffs geworden sind.

Viele CIOs interessieren sich erst jetzt für Datensicherheit

Auch von zahlreichen anderen Sicherheitsbedrohungen berichten die Befragten. Aus einer Liste von zwölf potenziellen Ereignissen meldeten mehr als zwei Drittel der Befragten, dass sie in den vergangenen zwölf Monaten mindestens einen dieser Vorfälle im Unternehmen erlebt haben. In 24 Prozent der Firmen erfolgte ein unerlaubter Zugriff auf die vertraulichen Daten des CEOs beziehungsweise eines anderen Geschäftsführers. In 37 Prozent der Unternehmen gingen Daten von Mitarbeitern verloren.

35 Prozent der IT-Manager gaben an, dass bei ihrem Arbeitgeber Malware oder Viren in das Unternehmensnetzwerk gelangten. In 32 Prozent der Firmen nahmen Mitarbeiter auf ungeschützten mobilen Geräten Unternehmensdaten mit nach Hause. In je einem Fünftel der Unternehmen ereignete sich einer der folgenden Sicherheitsvorfälle: Vertrauliche Kundendaten wurden verloren, vertrauliche Firmeninformationen wurden in einem sozialen Netzwerk veröffentlicht, es wurden Daten von Mitarbeitern gestohlen, oder die Systeme haben eine interne Compliance-Sicherheitsprüfung nicht bestanden. In weiteren 17 Prozent der Fälle haben die Systeme eine Compliance-Sicherheitsprüfung von Dritten nicht bestanden.

Im Unternehmensalltag müssen Firmen ihren Lieferanten und Partnern vertrauliche Daten anvertrauen. Nur 32 Prozent der Befragten gaben an, nur mit Lieferanten zu arbeiten, die eine umfassende Sicherheitsprüfung bestanden haben. Weitere 35 Prozent geben sich mit einer schriftlichen Erklärung des Lieferanten zufrieden. 17 Prozent antworteten auf die Frage nach der Lieferantenprüfung, dass eine solche Prüfung zwar erforderlich sei, Mitarbeiter die Regeln jedoch gelegentlich schon mal umgingen.

Das Thema IT-Sicherheit nimmt in den Unternehmen an Bedeutung zu: 90 Prozent der Befragten geben an, dass Datensicherheit mittlerweile bei Führungskräften auf der Tagesordnung steht, die sich vorher überhaupt nicht um dieses Thema gekümmert haben. Eine Antwort überraschte die Studienautoren: Denn in mehr als 40 Prozent der Unternehmen interessiert sich seit neuestem auch der CIO für Datensicherheit, vorher hat er sich nicht selbst mit dem Thema auseinandergesetzt. Bei 38 beziehungsweise 33 Prozent der Befragten sind inzwischen auch der Geschäftsführer oder Vorstandsvorsitzende in das Thema Datensicherheit involviert, in jedem vierten Unternehmen das Board of Directors.

IT-Manager sorgen sich nicht nur um das Wohl des Unternehmens, denn ihnen ist bewusst, dass bei Sicherheitsbedrohungen auch ihr Stuhl wackelt. Websense hat den Umfrageteilnehmern unterschiedliche Sicherheitsvorfälle vorgelegt. 86 Prozent der IT-Manager glauben, dass mindestens einer dieser Vorfälle zu ihrer Entlassung führen könnte. Als schlimmster Vorfall wurde der Verlust von Daten des CEOs angesehen, dicht gefolgt vom Verlust von Compliance-Daten und der Veröffentlichung vertraulicher Daten in sozialen Netzwerken.

Die Pros und Contras der IT-Security

Sicherheitsanbieter Websense hat 1.000 IT-Manager in Großbritannien, den USA, Kanada und Australien zu aktuellen Bedrohungen der Unternehmenssicherheit und ihrer persönlichen Sicherheit befragen lassen. Die Studie ist unter dem Titel "Die Pros und Contras der IT-Security" veröffentlicht worden. Die aktuelle Auswertung zeigt die Einstellung der IT-Manager gegenüber Unternehmensinformationen und ihre Data Loss Prevention-Strategien.