Nur jeder dritte Befragte glaubt laut Umfrage, dass Firmen der eigenen Branche derzeit einen ausreichenden Schutz vor Attacken auf die IT-Sicherheit entwickelt haben.
Größte Hindernisse auf dem Weg zu einer optimalen Absicherung von Systemen und Geschäftsprozessen sind demnach Personal- und Geldmangel. Die Frage nach dem Kosten-Nutzen-Verhältnis von Investitionen ("wieviel Sicherheit ist gut genug?“) spielt ebenfalls eine Rolle bei der Umsetzung von Sicherheitsanforderungen.
IT-Budgets sollen steigen
Allerdings reagieren die Unternehmen nun auf Etat-Engpässe. 34 Prozent wollen die Ausgaben für IT-Sicherheit im kommenden Jahr erhöhen. Eine gleich hohe Zahl ist noch unentschieden. 31 Prozent planen keine Veränderung. Hohe Priorität räumen die Befragten dem Virenschutz, dem Content Filtering und dem Einsatz von Firewalls ein.
Langfristig sehen sie aber auch, dass Fragen der VoIP-Sicherheit, der Authentifizierung und E-Mail-Verschlüsselung, des Identity Managements und von Intrusion Detection and Prevention eine wachsende Bedeutung erlangen.
56 Prozent räumen der Sicherheit für mobile Endgeräte, wie PDAs und Smartphones, eine hohe Priorität ein. Bei mobilen Netzwerken steht die Security für 60 Prozent an oberster Stelle.
PDAs und Smartphones ohne Sicherheitsapplikationen
Drei Viertel der Befragten setzen PDAs oder Smartphones ein. Damit greifen sie auf Unternehmensanwendungen, wie beispielsweise Personal Information Management (PIM), E-Mail, CRM-Applikationen (Customer Relationship Management) oder das Unternehmensnetzwerk zu. Bei zwölf Prozent bringen die Mitarbeiter ihre privaten Geräte mit in die Firma und nutzen sie ohne Rücksicht auf die damit verbundenen Sicherheitsrisiken.
Die werden, wie die Umfrageergebnisse zeigen, noch nicht wirklich ernst genommen. So werden bei den Sicherheitsmechanismen für PDAs und Smartphones die technischen Möglichkeiten längst nicht ausgeschöpft. Nur 28 Prozent der Befragten gaben an, aktiven Virenschutz zu betreiben.
Das ist für Experton jedoch nicht das Hauptproblem, da bislang nur relativ wenige Viren diese Geräte befallen haben. Kritischer sehen die Berater vielmehr, dass selbst einfach zu realisierende Maßnahmen - wie die Authentifizierung mittels Passwort - noch längst nicht Standard sind. Nur etwa jeder zweite Befragte setzt eine Passwort- oder stärkere Authentifizierung ein. Nur 28 Prozent verschlüsseln ihre Daten auf dem Endgerät.
Auch die Umsetzung der Fernüberwachung und das Management der beliebten mobilen Endgeräte liegen noch im Argen. Doch haben die IT-Verantwortlichen künftig stärker deren Datenverschlüsselung im Visier. Zudem wollen sie vermehrt auf Virenschutz und Personal Firewalls zurückgreifen.
Ein ähnliches Bild zeigt sich bei den organisatorischen Aspekten der "Mobile Security“. Obwohl drei Viertel der Befragten PDAs oder Smartphones in das Unternehmensnetzwerk einbinden, hat nur die Hälfte eine "Mobile Security Policy“ realisiert. Die definiert unter anderem Verhaltensregeln für den Umgang mit mobilen Geräten, einschließlich privater Geräte von Mitarbeitern.
Darüber hinaus legt eine Mobile Security Policy Sicherheitsmechanismen fest. Besonders daran hapert es laut Experton bisher. Ein ähnliches Defizit haben die Analysten bei der Klassifizierung von Informationen ausgemacht, die auf mobilen Geräten gespeichert sein können.
Sicherheitsdienstleister gefragt
Der wachsende Sicherheitsbedarf, verbunden mit einem eklatanten Personalmangel, führt zu einer stärkeren Nachfrage nach externen Sicherheitsdienstleistungen. Schwachstellen-Audits sollen bei 44 Prozent der Befragten Klarheit über den Sicherheitsstatus ihrer IT und daraus resultierende Maßnahmen schaffen. Für Sicherheitsberatung und -training haben sich jeweils 31 Prozent entschieden.
Neben den klassischen Beratungs- und Implementierungsleistungen haben sich nach den Beobachtungen von Experton mittlerweile auch Managed Security Services (MSS) etabliert. Obwohl sie ursprünglich eine Domäne spezialisierter Anbieter waren, sollen diese Dienste auf lange Sicht in Deutschland zunehmend Bestandteil von Outsourcing- und Netzwerkdienstleistungen werden.
Nach Meinung der Analysten sollten sich Unternehmen bei ihren Security-Aktivitäten "auf die Etablierung eines gesamtheitlichen Rahmenwerks einschließlich organisatorischer Aspekte und das Management von Dienstleistern konzentrieren".
Externe Dienstleister könnten "selektive Unterstützung bei standardisierten und ressourcenintensiven Aufgaben" einbringen sowie den aktuellen Stand der Sicherheitsmaßnahmen einer kritischen Prüfung unterziehen.
An der Befragung nahmen 32 Unternehmen aus allen Branchen teil.