Mehr Unternehmen als je zuvor werden Opfer von Sicherheits-Verstößen - durch Angriffe von außen oder Vergehen von innen. Nur noch 25 Prozent der IKT-Unternehmen, die das Beratungshaus Deloitte für seine "2011 TMT Global Security Study" befragen ließ, beklagten keinen einzigen IT Security-Vorfall in den zurückliegenden 12 Monaten. Ein drastischer Absturz - denn im Jahr zuvor waren es noch 38 Prozent.
Demgegenüber steht aber ein gleichbleibendes Niveau an Aufmerksamkeit - und Ausgaben - für die Belange der IT Sicherheit. "Das ist nicht genug", sagt Deloitte. "Es ist kaum eine Übertreibung, wenn man Information Security als Frage von Leben und Tod behandelt." Da reiche es nicht, den von Gesetz und Compliance-Regeln geforderten Standards hinterherzueifern, wie es ein knappes Drittel in diesem Jahr oben auf die Security-Agenda gesetzt hatte. Wer sich auf dem Markt durchsetzen wolle, für den könnten diese Regeln bloß Mindeststandards sein.
Budgets stehen Sicherheit im Weg
Deloitte warnt deswegen: "In einer Welt, in der die Bedeutung der IT wächst, die Sicherheits-Bedrohungen aber noch schneller zunehmen, halten viele IKT-Unternehmen nicht Schritt mit der öffentlichen Forderung [nach verschärfter Sicherheit, Anm. d. Red.]". Knappe Ressourcen (und Budgets) legen den Sicherheits-Verantwortlichen die größten Steine in den Weg, klagen etwas über die Hälfte der Studienteilnehmer, die Deloitte in 25 Ländern interviewen ließ.
Ein bedeutender Gefahren-Faktor sind zudem Partner-Unternehmen, die auf das Haus-Netz zugreifen können - etwa im Rahmen eines Outsourcing-Projektes. Die Mehrheit, 60 Prozent der untersuchten IKT-Unternehmen, sieht in diesen Mitspielern eine mittlere bis große Bedrohung für die IT-Sicherheit. Trotzdem behält nur ein knappes Drittel regelmäßig im Auge, wie gut die Partner ihre Sicherheit im Griff haben. 40 Prozent haben zumindest schon einmal die Leistungsfähigkeit und Steuerung der Security beim Partner sowie ihr Zusammenspiel mit wieder anderen Unternehmen identifiziert.
Die meisten Security-Verantwortlichen wie der CISO kümmern sich darum, dass die Firmendaten geheim bleiben (76 Prozent). Risiko Management fällt bei 56 Prozent in ihren Aufgabenbereich, dahinter folgt die Planung für den Katastrophenfall (51 Prozent). Um mit den Herausforderungen fertig zu werden, greifen gut zwei Drittel auf ein Security Operations Center zurück (SOC). Damit überwachen sie den Datenfluss (48 Prozent) oder nutzen Logging- und Archivier-Funktionen (41 Prozent).
Smartphones und Tablets größte Sicherheitsbedrohung 2012
So kommen sie auch den Mitarbeitern auf die Schliche, die Löcher in die Security-Architektur aufreißen. Schludrigkeit und Fehler der Kollegen stellen für einen von fünf Befragten ein hohes Risiko dar, etwas weniger (17 Prozent) im bewussten Missbrauch von IT Systemen und Informationen durch die eigenen Mitarbeiter eine ernste Bedrohung.
Social Media und der zunehmende Einsatz von mobilen Spielzeugen wie iPads und Smartphones im Unternehmen gehören zu den wundesten Punkten, für die die eigenen Leute verantwortlich sind. Nur 24 Prozent der Unternehmen allerdings gehen Social Media Security gezielt mit Training und internen Regeln an. Und ganze 41 Prozent beginnen erst, sich mit diesem Risikofaktor zu befassen.
Mobile Devices sind für die meisten Unternehmen längst Realität. Die meisten, 48 Prozent, lassen bisher nur hauseigene Geräte zu, 43 Prozent allerdings stellen sie bereit und lassen ebenso private iPhones oder Tablets zu - Stichwort BYOD. Das Thema Mobile nimmt an Bedeutung noch zu. Im kommenden Jahr nimmt Mobile die führende Rolle unter den Security-Bedrohungen ein, meinen 34-Prozent der Befragten. Es folgen Sicherheitsprobleme mit Partnerunternehmen (25) und schludrige Kollegen (20).
Die komplette Deloitte-Studie ist unter diesem Link abrufbar.