Dieses Jahr geht es mit den Budgets für IT-Sicherheit wieder leicht aufwärts. 36 Prozent der Befragten in einer Deloitte-Studie haben dieses Jahr bis zu zehn Prozent mehr Geld als 2009. Jeder Zehnte verbucht sogar eine Erhöhung von mehr als zehn Prozent. Nach wie vor gibt es zwar CIOs, deren Sicherheits-Etat geschrumpft ist. Ihr Anteil sank aber von 32 Prozent im Vorjahr auf jetzt 23 Prozent.
Für die "2010 TMT Global Security Study" befragte das Beratungsunternehmen Deloitte mit Hauptsitz in den USA weltweit 146 Vertreter von unterschiedlich großen Firmen aus Technologie-Medien- und Telekommunikationsbranche. Firmen aus diesen drei Bereichen hätten zu den ersten gehört, die die Folgen der Krise zu spüren bekamen. Nun setze bei ihnen auch der Aufschwung zuerst ein.
Knappes Budget Hauptgrund für Sicherheitsmängel
Foto: Deloitte
Allerdings zu einem Zeitpunkt, da die Wirtschaftskrise teils tiefe Schneisen in die IT-Sicherheitslandschaft geschlagen hat: Mehr als die Hälfte der Befragten laufen Bedrohungen nach eigener Einschätzung hinterher. Nur jeder Dritte meint, er habe alles derzeit Nötige für die Datensicherheit getan – nur halb so viele wie bei der Umfrage ein Jahr zuvor.
Hauptgrund für unzureichende Datensicherheit ist ein zu niedriges Budget. Zu schaffen macht den Befragten außerdem, dass Angreifer immer ausgefeiltere Methoden einsetzen.
Identitäts-Management hat Vorrang
Zu den wichtigsten Projekten bei den Befragten gehört dieses Jahr, die Zugangsrechte zu überprüfen. Im Vorjahr stand dieses Thema auf der Liste der wichtigsten Vorhaben noch auf dem siebten Rang. Jeder dritte Teilnehmer der Umfrage gab an, zu großzügige Zugangsrechte seien der wichtigste Kritikpunkt, der bei internen oder externen Audits aufgefallen sei.
Die Verfasser des Studienberichts meinen, Identitäts- und Zugangs-Management werde auch deshalb als so wichtig eingeschätzt, weil durch die Wirtschaftskrise Firmenübernahmen bevorstünden. Viele strauchelnde Unternehmen stünden als potenzielle Übernahmekandidaten bereit. Und gerade nach Aufkäufen oder Abtrennung von Unternehmensteilen stehe die Neuvergabe von Zugangsrechten an.
Mehr als die Hälfte der für die Studie untersuchten Firmen wurde im vergangenen Jahr mindestens einmal Opfer von Angriffen mit bösartiger Software von außerhalb des Unternehmens. Fast genau so viele wurden mindestens einmal von innen angegriffen. Trotzdem schätzen die Befragten die eigenen Mitarbeiter im Vergleich mit Gefahren von außen als weniger gefährlich ein. 34 Prozent bezeichnen sich als gewappnet gegen interne Attacken - fünf Prozentpunkte mehr als im Vorjahr.
Sicherheits-Trainings - aber nicht für Führungskräfte
Foto: Deloitte
Sechs von zehn Technologie-, Medien- und Telekommunikationsfirmen lassen ihren Mitarbeitern ein IT-Sicherheits-Training angedeihen. Die Angestellten lernen darin, wie sie verdächtige Vorgänge identifizieren und was sie wem melden müssen. Solche Trainings sind in anderen Branchen mit 54 Prozent etwas weniger verbreitet. Allerdings: Führungskräfte nehmen in den meisten untersuchten Firmen an solchen Schulungen nicht teil.
Als unzureichend beurteilen die Studienautoren die IT-Sicherheit der befragten Unternehmen im Umgang mit Dritten. Hier dominiert das Prinzip Vertrauen statt Kontrolle. 72 Prozent vertrauen im Großen und Ganzen darauf, dass Third Parties, mit denen sie Kontakt haben, ausreichende Sicherheitsvorkehrungen treffen. 44 Prozent sagten, sie seien über die Sicherheits-Standards ihrer Partner im Bilde. Doch nur 22 Prozent haben sie tatsächlich getestet.
Mehr Sicherheitsberichte für CEOs
Abgesehen von diesem Befund und von der Klage über zu wenig Budget hat IT-Sicherheit in den untersuchten Firmen einen guten Stand. Das Thema werde nicht nur innerhalb der IT-Abteilung wahrgenommen. So berichten 18 Prozent der Sicherheitsverantwortlichen nicht dem IT-Chef sondern direkt dem CEO. Größer geworden ist der Anteil derer, die sich dem COO gegenüber verantworten müssen.
Verglichen mit dem Vorjahr berichten die Zuständigen häufiger an ihre Vorgesetzten. So bekommen 22 Prozent der CEOs in den untersuchten Unternehmen jeden Monat einen Sicherheitsbericht vorgelegt. Im Vorjahr waren es 20 Prozent.