In die Wolke bewegen sich die Anwender immer mehr. Heraus aus dem Nebel sollten sie sich allerdings dringend in Sachen Sicherheit bewegen, raten die Analysten von Ernst & Young. „Into the Cloud, out of the Fog“ haben die Wirtschaftsprüfungsexperten deshalb ihre brandaktuelle weltweite Studie zur IT-Sicherheit überschrieben. Sie zeigt jede Menge Defizite in den Unternehmen auf, was von Anwenderseite offenbar auch erkannt wird. So planen 59 Prozent der befragten Firmen für 2012 eine deutliche Erhöhung ihres Security-Budgets. Die Quintessenz der Studie allerdings lautet: Das alleine wird nicht reichen.
Cloud Computing, Mobile IT und Social Media sind die Megatrends, die jeweils auf besondere Weise die Anfälligkeit der Unternehmensdaten erhöhen. Klassische Probleme wie Prävention von Datenverlust, Business Continuity Management (BCM) und Risikomanagement haben parallel keineswegs an Brisanz verloren. Mehr Geld für Lösungen ausgeben hilft nach Einschätzung von Ernst & Young bei der Bewältigung dieser Herausforderungen alleine nicht weiter. Zumal Paul van Kessel, Global Leader der IT Risk-Abteilung bei Ernst & Young, eine wachsende Kluft zwischen Business-Anforderungen und dem Beitrag der IT-Sicherheitsexperten für die Unternehmen feststellt. „Wir schlagen vor, zu den Basics zurückzukehren“, schreibt van Kessel in der Studie. „Und eine klare Agenda zur Strategie und Verbesserung der IT-Security festzulegen, die aus dem Nebel herausführt.“
Es braucht demnach tragfähige Konzepte zur Sicherung der Unternehmensdaten, weil Unternehmensgrenzen immer mehr im virtuellen und digitalen Irgendwo verschwimmen. Das strategische Defizit beschreiben die Analysten bereits auf der grundsätzlichen Ebene: 72 Prozent der Befragten sehen sich immer größeren externen Bedrohungen ausgesetzt; 46 Prozent beobachten wachsende Anfälligkeit auch intern. Trotzdem hat laut Studie nur etwa jedes dritte Unternehmen im vergangenen Jahr seine IT-Security-Strategie überprüft.
Konsequenterweise geht die Mehrheit der Befragten davon aus, dass das Sicherheitskonzept nicht mehr die Bedürfnisse des Business erfüllt. Woran liegt das? 17 Prozent erklären sich das Problem mit einem zu geringen Budget; 13 Prozent beklagen einen Mangel an qualifizierten Mitarbeitern; 9 Prozent vermissen die Unterstützung von Vorstand und Geschäftsführung. Ernst & Young empfiehlt vor diesem Hintergrund, IT-Sicherheit anhand klarer strategischer Konzepte zum Thema im Vorstand zu machen, das Thema tagtäglich in den Köpfen der Mitarbeiter zu verankern und Interesse dafür anhand brisanter Angelegenheiten wie Kundendaten oder geistigem Eigentum zu wecken.
Das Grundübel einer oft zu langsamen strategischen Anpassung zeigt die Studie auch anhand der einzelnen Großthemen auf. Tablets als jüngster Träger des Mobility-Booms werden demnächst in 80 Prozent der Firmen im Einsatz sein; 14 Prozent unterstützen die Arbeit mit den Mini-Rechnern schon jetzt. Gleichwohl fehlt es weithin an der nötigen Absicherung. Dass 57 Prozent der Befragten ihre Richtlinien mittlerweile verändert haben und 52 Prozent aktiv das Sicherheitsbewusstsein der Mitarbeiter fördern, wertet Ernst & Young hier als die einzig positiven Befunde.
Mehrheit ohne Cloud-Kontrollen
„Der Einsatz von Security-Techniken und Software im sich schnell verändernden Mobile Computing-Markt ist gleichwohl immer noch niedrig“, lautet das Verdikt der Analysten. So habe nicht einmal die Hälfte der Firmen Verschlüsselungstechnologien an Bord. Genau diese hält Ernst & Young aber neben Governance und Richtlinien für fundamental. Dringend raten die Experten auch dazu, mobile Apps vor ihrer Anwendung gründlich mit Testangriffen auszutesten.
Ein weiteres Wachstumsfeld mit Schädlingsgefahr ist Cloud Computing. 61 Prozent der Befragten nutzen, evaluieren oder planen den Einsatz von Cloud-Services – im vergangenen Jahr waren es lediglich 45 Prozent. Die Risiken für Compliance und Privacy, Informationssicherheit und Datenintegrität, Governance und Risikomanagement, Zuverlässigkeit und Kontinuität, Integration und Interoperabilität sowie auf vertraglichem und rechtlichem Feld scheinen inzwischen zwar weithin bekannt. Immerhin nennen die Befragten Cloud Computing unter insgesamt 16 Angeboten am häufigsten als Bereich mit Bedarf nach einer Budgeterhöhung.
Dennoch sorgt sich Ernst & Young darüber, ob die Dimension des Problems tatsächlich erfasst wurde. „Der Weg in die Wolke ist nicht einfach nur ein weiteres Change-Programm“, heißt es in der Studie. „Es ist nichts anderes als eine komplette Verlagerung von Geschäftsprozessen – inklusive aller damit verbundenen Risiken.“
Die Indizien für diese Bedenken sind offensichtlich: 48 Prozent räumen schwere Probleme in der Implementierung ein; 52 Prozent haben nach eigenen Angaben überhaupt keine spezifischen Sicherheitskontrollen eingebaut. Nur jeweils etwa ein Fünftel hat die gängigsten Instrumente implementiert: stärkere Kontrolle beim Vertragsmanagement, mehr Due Diligence von Service-Anbietern, strengere Identitäts- und Zugangskontrollen und Verschlüsselung.
90 Prozent der Befragten sprechen sich angesichts der bestehenden Unsicherheit für eine Zertifizierung von Cloud-Anbietern aus. Ernst & Young bläut den Anwendern ein, dass in diesem Fall Verifizierung über voreiliges Vertrauen geht. Vor einem Vertragsabschluss sollte klar sein, welche Partei welche Risiken trägt. Transparenz in Backup-Fragen sei ebenfalls unabdingbar.
Probleme mit Risk Management-Tools
Bei Social Media fährt immer noch eine Mehrheit der Firmen einen rigiden Kurs. 53 Prozent gewähren in ihrem Unternehmen gar keinen oder nur eingeschränkten Zugang zu sozialen Netzwerken. Eine andere Antwort zwar als in den beiden anderen Fällen, aber nach Ansicht von Ernst & Young ebenfalls zu kurz gedacht. Denn das Potenzial von Social Media kann auf diesem Weg selbstredend nicht ausgeschöpft werden. „Organisationen könnten darüber nachdenken, die Aktivitäten ihrer Mitarbeiter auf diesen Seiten stärker zu beobachten anstatt den Zugriff einzuschränken“, heißt es in der Studie.
Licht und Schatten wechseln sich auch in den weiteren Security-Segmenten ab. Ganze zwei Drittel der Firmen haben keine Tools zur Vermeidung von Datenverlust im Einsatz; immerhin haben demgegenüber 74 Prozent Richtlinien zur Klassifizierung und Handhabung sensibler Daten aufgestellt. BCM (Business Continuity Management) und Disaster Recovery haben in 36 Prozent der Firmen höchste Ausgabenpriorität, das Stopfen von Datenlecks und Compliance-Monitoring folgen mit 13 und 10 Prozent.
In Sachen Risikomanagement hält ebenfalls eine Mehrheit von 56 Prozent die derzeitige Sicherheitsstrategie für optimierungsbedürftig. Neben den Defiziten der Anwender verursachen hier aber auch die Anbieter virulente Probleme. So beklagen 31 Prozent, dass kürzlich gekaufte Lösungen fehlgeschlagen seien oder die Erwartungen nicht erfüllten. 84 Prozent der Unternehmen sehen beim Risikomanagement akuten Handlungsbedarf.
Für die Studie „Into the Cloud, out of the Fog: Ernst & Young’s 2011 Global Information Security Survey” wurden 1700 Entscheider in 52 Ländern befragt.