PwC kritisiert Strategien

Security-Konzepte sind von gestern

28.10.2013 von Werner Kurzlechner
In einer Studie hat PwC herausgefunden, dass Firmen zwar immer mehr in ihre Security investieren, doch allzu häufig ohne zukunftsweisende Strategie.
Die Budgets für IT-Sicherheit sind einer Studie zufolge in diesem Jahr sprunghaft größer geworden. Zurzeit scheint es mehr an Strategie als an Geld zu mangeln.
Foto: Sashkin - Fotolia.com

Am Ende hängt ja meistens alles irgendwie am Geld. Bei der IT-Sicherheit ist das zurzeit allerdings nicht unbedingt so, wie eine großangelegte Studie von PricewaterhouseCoopers (PwC) in Zusammenarbeit mit unseren amerikanischen Schwesterpublikationen CIO und CSO zeigt. Demnach werden zwar die finanziellen Folgen von Security-Vorfällen immer teurer. Allerdings investieren die Firmen jährlich auch immer mehr in ihre IT-Sicherheit. Doch offenbar wirken diese Ausgaben aber bei weitem nicht so, wie sie es sollten.

Es fehlt aktuell also weniger an Geld als an Strategien und ihrer Umsetzung. Die Quintessenz der Analysten lautet entsprechend: Häufig sollen die Herausforderungen der Zukunft mit Mitteln von gestern bewältigt werden – und das klappt naturgemäß nicht.

Unbekannte Daten-Juwelen

„Man kann die heutigen Bedrohungen nicht mit alten Strategien bekämpfen", sagt PwC-Analyst Gary Loveland. „Nötig ist ein neues Modell für die IT-Sicherheit, das von Wissen über Gefahren und Werte sowie Motive und Ziele potenzieller Angreifer getrieben ist." Was das heißen soll, lässt sich anschaulich vor Augen führen. Bisher ist die IT oft geschützt worden, indem man einfach eine hohe und feuerfeste Mauer um sie herum errichtet hat.

Mittlerweile bedarf es besserer Konzepte. Juwelen lässt ja man auch nicht einfach so herumliegen, auch wenn die Haustür verschlossen ist und es womöglich eine Alarmanlage gibt. Nein, man tut den wertvollen Schmuck in den Safe. Das Problem vieler Unternehmen ist derzeit aber noch, dass sie überhaupt nicht wissen, welche ihrer Daten kostbar wie Edelsteine sind und für welche Standardschutz ausreicht.

Sehr klar zeigt die Studie, für die knapp 10.000 Antworten verschiedener C-Level-Manager weltweit ausgewertet wurden, eines auf: Vorbei sind die Zeiten, in denen die IT-Sicherheit vernachlässigt wurde. 4,3 Millionen US-Dollar geben die befragten Unternehmen in diesem Jahr für IT-Security aus. In den vergangenen Jahren lag das Budget ziemlich konstant bei 2,7 Millionen Dollar, nur 2010 etwa niedriger. Der erkennbare Sprung zeigt, dass die Unternehmen auf die verschärfte Bedrohungslage reagieren.

6 Befunde zur IT-Sicherheit
Die IT-Security-Studie von PwC in Zusammenarbeit mit CIO und CSO wartet mit einer Reihe von Befunden auf. Unsere Bildergalerie pickt sechs zentrale Botschaften heraus.
Gefährliche Insider
Die Mehrzahl der Security-Vorfälle wird von eigenen Mitarbeitern oder Ehemaligen verursacht. Der Anteil externer Angreifer ist deutlich geringer.
Wettbewerber gefährlicher als Staat
PRSIM zum Trotz: Staaten sind laut Studie nur für 4 Prozent der Vorfälle verantwortlich. Die größte Gefahr geht immer noch von klassischen Hackern aus, gefolgt von lästigen Konkurrenten.
Risikoherd Mobilität
Wenngleich nicht unbedingt schnell, so bauen die Firmen doch den Schutz ihrer mobilen Flanke aus. Am meisten zugelegt hat in den letzten Monaten die besonders wirksame Authentifizierung auf mobilen Endgeräten.
Angst vor der Konkurrenz
PwC geht davon aus, dass eine Zusammenarbeit auch mit anderen Firmen die Sicherheitslage verbessern könnte. Die Grafik zeigt, woran das in der Praxis scheitert. Es fehlt an Vertrauen gegenüber anderen Firmen - vor allem, wenn sie finanzstärker sind. Außerdem will man Security-Probleme weithin am liebsten totschweigen.
Bessermacher und Durchschnitt
PwC identifiziert in der Studie eine Führungsgruppe, die IT-Sicherheit besser im Griff hat als der Rest. Diese Grafik zeigt, woran sich das konkret festmachen lässt. Alignment, übergreifende Zusammenarbeit und Unterstützung auf Vorstandsebene sind bei den Leader-Firmen überdurchschnittlich ausgeprägt.
10 Tipps von PwC
PwC macht zehn Stellschrauben aus, über die sich zeitgemäß an der Security drehen lässt. Tools zur Verschlüsselung und Entdeckung von Gefahren zählen ebenso dazu wie Mitarbeiterschulung und schriftlich fixierte Richtlinien.

Das zeitigt durchaus Erfolge. So wurden in den vergangenen zwölf Monaten laut Studie im Durchschnitt um ein Viertel mehr Vorfälle entdeckt als in den Vorjahren. Den Befund interpretiert PwC so, dass nicht einfach mehr Bedrohungen vorkommen, sondern dass besser nach ihnen gesucht wird.

So weit, so gut also. Leider ist gleichzeitig die Zahl der Firmen, die über Vorfälle in ihrem Haus überhaupt nicht mehr Bescheid wissen, auf 18 Prozent gestiegen – der Anteil ist doppelt so hoch wie noch 2011. „Das kann an fortgesetzten Investitionen in Security-Produkte liegen, die auf veralteten Modellen basieren", kommentiert PwC.

Vorfälle werden immer teurerer

Immer größer wird auch das Risiko, dass Security-Vorfälle richtig teuer werden. Ein Viertel der Vorfälle verursacht in diesem Jahr laut Studie einen Schaden zwischen 100.000 und einer Million Dollar, vor einem Jahr traf das nur auf ein Fünftel zu. Jeweils 7 Prozent der Vorfälle führen zu Kosten von über einer Millionen Dollar oder sogar über 10 Millionen Dollar. In dieser Kategorie mit besonders großem Schadensvolumen hatte es laut PwC einen krassen Anstieg bereits 2012 gegeben.

Gleichwohl betrifft das Risiko, dass Löcher im IT-Sicherheitsnetz einen immensen Millionenschaden anrichten können, selbstredend nur bestimmte Firmen. Fast die Hälfte der Vorkommnisse in dieser Gewichtsklasse entfallen laut PwC auf die Branchen Erdöl & Gas und Pharma.

Selbstwahrnehmung zu positiv

Auffällig ist bis hierhin, dass die Firmen also mehr Geld für die IT-Sicherheit in die Hand nehmen – mit durchwachsenem Erfolg. Parallel zu den Mehrausgaben ist offenbar auch das Selbstbewusstsein der Unternehmen gestiegen, die Security-Dinge im Griff zu haben. 50 Prozent der Befragten schätzen sich laut Studie als „Vorreiter" ein, die über eine wirksame Strategie verfügen und diese auch proaktiv umsetzen. Ein positives Selbstbild also, um 17 Prozentpunkte stärker verbreitet als im Vorjahr und – dazu gleich – leider trügerisch.

26 Prozent sehen sich selbst als „Strategen", bei denen die Strategie besser ist als ihre Umsetzung, 13 Prozent als „Taktiker", bei denen es sich umgekehrt verhält. 11 Prozent ordnen sich als „Feuerwehrleute" ein, die hinsichtlich Strategie und Umsetzung hinterherhinken, weil sie ständig Brände löschen müssen.

Warum also trügerisch, das Ganze? Nun, weil die selbsternannten Vorreiter zum Teil haarsträubende Ergebnisse einfahren. Im Gesamtdurchschnitt kostet ein Security-Vorfall laut Studie 531 US-Dollar. In Feuerwehrfirmen liegt der Wert erwartungsgemäß deutlich darüber, nämlich bei 658 Dollar. Bei den Vorreitern sind Vorkommnisse aber fast genauso teuer – 635 Dollar im Durchschnitt.

Zum Teil jedenfalls liegen Selbstwahrnehmung und Realität also deutlich auseinander, wie die Studie unterstreicht. Immerhin ein Argument fällt einem zur Entlastung der Vorreiter ein: Vermutlich sind sie häufiger in Branchen mit einem höheren Schadensrisiko tätig, was die Bezugsgröße schnell in die Höhe treiben kann.

4 Faktoren für bessere Sicherheit

Zugleich identifiziert PwC eine Teilgruppe, die 17 Prozent der Befragten umfasst und wirklich signifikant bessere Ergebnisse einfährt als der Rest. Diese „Führungsgruppe" zahlt beispielsweise pro Vorfall tatsächlich nur 421 Dollar. Die Analysten machen vier Kriterien aus, die diese Unternehmen verbindet:

Zum Teil macht sich dies auch in konkreten technologischen Entscheidungen bemerkbar. So zeigt die Studie, dass 88 Prozent der Security-Leader Tools für Malicious Code Detection im Einsatz haben; insgesamt sind das nur 74 Prozent. Vulnerability Scanning setzen 71 Prozent aus der Führungsgruppe ein, aber lediglich 62 Prozent insgesamt. Bei Tools wie Data Loss Prevention oder Mobile Device Malware Detection liegt das Verhältnis bei zwei Drittel zu unter 60 Prozent.

Insgesamt bemängelt PwC, dass neue Technologien wie Cloud Computing oder Mobile Apps in den Firmen oft schon eingesetzt werden, bevor sie gesichert sind. Darüber hinaus monopolisierten viele Verantwortliche in den Firmen ihr Security-Wissen; nach PwC-Einschätzung wäre es wünschenswert, wenn dieses Know-how gebündelt würde und weithin verfügbar wäre.

Die Analysten raten sogar zur Zusammenarbeit mit öffentlichen Institutionen und anderen Firmen, um die Wissensbasis über Bedrohungen zu verbessern. Unabdingbar für den Erfolg ist es laut PwC ferner, dass IT-Sicherheit als wesentliche Komponente der Geschäftsstrategie betrachtet wird und Unterstützung auf Vorstandsebene findet.

Die Studie „The Global State of Information Security Survey 2014" ist bei PwC erhältlich. Es ist die 16. Auflage der Studie.