Troja ist fast überall: Sieben von zehn deutschen Unternehmen erklären in einer Umfrage des Frankfurter Marktforschers IDC, Angriffe auf die IT zu erleben. Am häufigsten sind Viren und Würmer, Trojaner und Spyware. Nach den Worten von Director Research Lynn-Kristin Thorenz sollten Entscheider den Blick mehr nach innen richten: "Der Nutzer muss stärker in den Mittelpunkt", sagt sie.
Thorenz beobachtet, dass IT-Security immer komplexer wird. Bisher gehe es um Datensicherung, Firewalls und Spam-Filter - künftig hätten Unternehmen mit Verschlüsselung, Web Application Testing und biometrische Verfahren zu tun, so die Analystin. Während sich IT-Sicherheits-Chefs heute um Wartung/Support, Beratung und Schulungen kümmerten, beschäftigten sie sich morgen mit Managed Security Services. Was den Endanwender betrifft, verschiebe sich der Fokus von Compliance Monitoring zu Awareness-Kampagnen.
Die scheinen auch nötig. Auf die Frage nach den größten internen Hemmfaktoren für IT-Security nennen die Umfrageteilnehmer zunächst fehlendes Bewusstsein bei den Mitarbeitern. Auf einer Skala von Eins (sehr wichtig) bis fünf (unwichtig) erreicht dieser Punkt einen Wert von 2,3. Es folgen Budgetprobleme und die Komplexität des Themas (jeweils 2,5) sowie fehlende personelle Ressourcen (2,6) und fehlendes internes Know-how (2,7).
Nur knapp jeder vierte Befragte (24 Prozent) erklärt, in seinem Unternehmen gebe es ein ganzheitliches IT-Sicherheitskonzept, das auch umgesetzt werde. Ganzheitlich bedeutet: Soft- und Hardware sowie Services werden ebenso einbezogen wie die Mitarbeiter und physische Sicherheitsfragen, sofern die IT betroffen ist. 30 Prozent haben zwar ebenfalls ein solches Konzept, sehen aber Probleme bei der Akzeptanz durch die Belegschaft. Die anderen Befragten verfügen über mehr oder weniger lückenhafte Konzepte.
Der Blick in die Zukunft ist optimistisch: Obwohl derzeit nur dreizehn Prozent der Studienteilnehmer ihre IT-Security für "sehr gut" halten, glauben 40 Prozent, das in drei bis fünf Jahren sagen zu können. Aktuell geben sich 41 Prozent ein "durchschnittlich", 34 Prozent gestehen sich ein "gut" zu.
Zu den Folgen von Angriffen auf die Unternehmens-IT: Rund jeder Zweite (48 Prozent) hat mindestens einmal Produktivitätsverluste erlitten. 39 Prozent mussten personelle Konsequenzen ziehen, 23 Prozent rechtliche. 22 Prozent verzeichneten Image-Schäden. 17 Prozent erlitten direkte monetäre Verluste nach Datenmissbrauch durch Dritte, 16 Prozent verloren Kunden oder Aufträge.
Das bleibt offenbar nicht ohne Wirkung: Jeder Dritte erwartet, dass sein Sicherheitsbudget in den kommenden zwei Jahren um bis zu zehn Prozent steigen wird. Jeder Vierte glaubt sogar, dass der Etat um bis zu fünfzig Prozent wächst.
Der IT-Chef initiiert, der Vorstand entscheidet
Ein weiteres Ergebnis der Studie: Die letzte Entscheidung über IT-Sicherheitsinvestitionen trifft in 63 Prozent der Unternehmen der Vorstand beziehungsweise die Geschäftsführung. Der IT-Leiter ist es in 17 Prozent der Fälle, der IT-Sicherheits-Chef nur in vier Prozent. Dabei geht die Initiative meist vom IT-Leiter (50 Prozent) oder IT-Sicherheits-Chef (49 Prozent) aus. In immerhin 37 Prozent der Fälle initiieren Systemadministratoren solche Investitionen. Die finale Entscheidung treffen sie aber äußerst selten (zwei Prozent).
Wichtigstes Kriterium bei der Wahl eines Anbieters von Sicherheitsprodukten ist die Zuverlässigkeit. Außerdem legen Entscheider Wert auf Benutzerfreundlichkeit und Zukunftssicherheit der Technologie. Erst danach gucken sie auf den Preis.
Anders bei der Wahl des Anbieters von Sicherheits-Services: Hier gibt der Preis den Ausschlag. Außerdem zählen Projekterfahrung, Branchen-Know-how und die Frage, ob der Anbieter mit einer Gesamtlösung dienen kann.
IT-Sicherheit als eines der europäischen Top-Themen
Die Ergebnisse basieren auf der Studie "IT-Security in Deutschland 2010", für die IDC 206 Entscheider befragt hat. Hintergrund der Studie ist eine Analyse der IT-Prioritäten in Westeuropa 2010, an der 733 Entscheider teilgenommen hatten. Sie nannten die Verbesserung von IT Sicherheit als zweite Priorität nach der Steigerung von IT-Service Levels und Qualität.