Der Einsatz moderner ITK-Technologien verändert die Geschäftsmodelle von Unternehmen. Dadurch entstehen auch neue Schwachstellen, die die IT-Sicherheit bedrohen.
Firmen werden anfälliger für Angriffe durch Cyberkriminelle, auch der Datenklau durch eigene Mitarbeiter nimmt zu. Zu diesen Kernergebnissen kommt der in Großbritannien durchgeführte und vom Beratungsunternehmen PricewaterhouseCoopers (PwC) herausgegebene Information Security Breaches Survey 2010.
Sicherheitsvorfälle bei 92 Prozent
Demnach gab es 2009 in 92 Prozent der Großunternehmen einen Sicherheitsvorfall und im Schnitt 45 Sicherheitsverletzungen pro Firma. Der finanzielle Schaden lag zwischen 280.000 und 690.000 Pfund Sterling.
Zum Vergleich. Die PwC-Vorgängerstudie von 2008 registrierte bei 72 Prozent der Firmen ein Sicherheitsleck und im Schnitt 15 Sicherheitsverletzungen. Auch die damit verbundenen finanziellen Verluste waren deutlich geringer. Sie lagen zwischen 90.000 und 170.000 Pfund.
Inzwischen geraten immer mehr mittelständische Firmen in das Visier von Internet-Kriminellen. Während 2008 "nur" 45 Prozent einen Vorfall meldeten, waren es im Vorjahr mit 83 Prozent nahezu doppelt so viele. Die Zahl der Sicherheitsverletzungen stieg im selben Vergleichszeitraum von sechs auf 14.
Hacker- und DoS-Angriffe dominieren
Die im Rahmen der Studie befragten Unternehmen sind vorwiegend Opfer von Hacker- und Denial-of Service-Attacken (DoS). Diese haben sich im Vergleich zur Vorgängerstudie mehr als verdoppelt, teilweise sogar verdreifacht.
62 Prozent (2008: 21 Prozent) der Befragten hatten sich 2009 einen Virus oder bösartigen Code eingefangen. 61 Prozent (2008: 31 Prozent) registrierten eine Attacke auf ihre Netzwerke. 25 Prozent (2008: 11 Prozent) waren Opfer eines DoS-Angriffs.
60 Prozent der Sicherheitsprobleme verursachen jedoch immer noch die eigenen Mitarbeiter, etwa durch falsche Systemnutzung oder unbeabsichtigte Datenverluste.
Sicherheitsrisiko SaaS und Facebook
Hauptgrund für die gestiegene Anzahl der Probleme mit der IT-Sicherheit ist ein geschäftliches Umfeld, das sich durch die Vernetzung mittels Internet-Technologien und einen elektronischen Datenaustausch schnell wandelt. Rund ein Drittel gab an, dass die Nutzung sozialer Netzwerke, wie etwa Facebook oder Linkedin, wichtig für die Geschäftstätigkeit ist. Allerdings überwachen nur 19 Prozent der Befragten Inhalte, die ihre Mitarbeiter auf Social-Networking-Plattformen posten.
Viele Betriebe lagern zudem Geschäfts- und IT-Prozesse an externe Dienstleister aus und beziehen Anwendungen in Form von Software as a Service (SaaS). 34 Prozent betrachten sich sogar als extrem abhängig von ihren externen Dienstleistern. Technischer "Standard" sind in Unternehmen inzwischen Server-Virtualisierung, die Nutzung drahtloser Netzwerke oder VoIP (Voice over IP).
Integrierte Sicherheitskonzepte
Aufgrund dieser hohen Technologie-Abhängigkeit müssen bisherige Sicherheitskontrollen überdacht und angepasst werden. Statt isolierter Maßnahmen braucht es integrierte Konzepte, die Menschen, Technologien und Prozesse gleichermaßen einschließen.
Zudem verlangen immer mehr Geschäftspartner Sicherheits-Zertifikate und Nachweise, zudem müssen die Firmen bei der IT-Sicherheit gesetzliche Vorgaben und Gesetze erfüllen. 90 Prozent der Firmen haben inzwischen formale und dokumentierte IT-Sicherheitsrichtlinien eingeführt. Knapp 70 Prozent haben ein nach ISO 27001 zertifiziertes System für das Management der Informationssicherheit implementiert. In mehr als der Hälfte der Firmen erhalten Mitarbeiter regelmäßig Weiterbildungen zur IT-Sicherheit.
Doch das alles kostet Geld. Immerhin die Hälfte der Firmen hat 2009 mehr in die IT-Sicherheit investiert als im Vorjahr. In diesem Jahr wollen sie die Ausgaben noch einmal steigern. Darüber hinaus erhält das Thema IT-Sicherheit inzwischen auch auf Managementebene immer mehr an Bedeutung.
Mehr als 1.000 Sicherheitsverantwortliche befragt
Für die Untersuchung befragte PwC im Auftrag von Infosecurity Europe und dem Event-Organisator Reed mehr als 1.000 IT-Sicherheitsverantwortliche in britischen Unternehmen unterschiedlicher Größe. 45 Prozent der Befragten beschäftigten mehr als 500 Mitarbeiter, der Rest weniger. Ein Viertel der Organisationen ist dem öffentlichen Sektor zuzurechnen, ebenso viele kommen aus dem Technologie- und TK-Bereich. 16 Prozent stammen aus der Finanzdienstleistungsbranche.