Mit einer gross angelegten Befragung hat das amerikanische CIO-Magazin zusammen mit PricewaterhouseCoopers den weltweiten Stand der IT-Security unter die Lupe genommen. An der Befragung im März und April dieses Jahres haben Sicherheitsverantwortliche aus mehr als 8200 Unternehmen in 62 Ländern teilgenommen. Deutlicher Trend: Die zunehmende Bedeutung der IT-Sicherheit wird weltweit realisiert; das zeigt sich in Budgets, personellen Maßnahmen und verbesserter strategischer Planung.
Mehr Verteidiger, mehr Angreifer
Aber es gibt nicht nur Grund zum Optimismus. Die Zahl der Sicherheitsvorfälle hat im Vergleich zur letztjährigen Untersuchung nicht abgenommen; wirklich umfassende Strategien und Policies sind immer noch nicht die Regel. Lediglich große Unternehmen mit mehr als einer Milliarde Dollar Umsatz verfügen in der Mehrzahl (59 Prozent) über eine umfassende, ständig angepasste Sicherheitsstrategie. Bei kleineren Unternehmen bis 100 Millionen Dollar Umsatz kann nur jedes dritte damit aufwarten. Im internationalen Vergleich schneidet Deutschland nicht schlecht ab: Während sich weltweit 37 Prozent der Unternehmen auf eine umfassende Sicherheitsstrategie stützen können, sind es hierzulande 43 Prozent. Trotzdem: Die Zahlen zeigen, dass die Motivation für Security-Investitionen in den meisten Fällen nach wie vor reaktiv ist. Sie dienen weniger dem Ausbau unternehmensweiter Sicherheitslösungen als vielmehr der Gefahrenabwehr und der Erfüllung gesetzlicher Vorgaben (Compliance).
Die Budgets für IT-Sicherheit steigen dieses Jahr in Deutschland. Zwar sollen sich bei der Hälfte der Unternehmen die Ausgaben dafür im Vergleich zum Vorjahr nicht verändern. Aber immerhin 35 Prozent der Unternehmen wollen mehr Geld in die IT-Sicherheit investieren. Fünf Prozent der Befragten planen geringere Ausgaben als voriges Jahr, während zwölf Prozent noch nicht wussten, wie sich ihr Budget entwickeln wird.
Die zunehmende Sensibilität für IT-Sicherheit drückt sich nicht nur in Zahlen aus. Der Vergleich mit der Vorjahresbefragung zeigt auch personelle Verbesserungen: Immer mehr Unternehmen haben die Position eines CSO oder CISO geschaffen. In Deutschland beschäftigen 27 Prozent (weltweit 20) der Unternehmen einen CSO und 22 Prozent (weltweit 20) einen CISO als Vollzeit-Sicherheitsexperten. Und auch intern hat der Sicherheitsverantwortliche inzwischen einen besseren Stand. 65 Prozent der deutschen IT-Sicherheitsverantwortlichen berichten inzwischen direkt an den Vorstand. Im letzten Jahr lag diese Zahl noch bei 40 Prozent.
Viren und Würmer haben sich unterdessen zu einer regelrechten Plage entwickelt: 66 Prozent der deutschen Unternehmen hatten in den letzten zwölf Monaten mit solchem "malicious code" zu tun. An zweiter Stelle steht das unautorisierte Eindringen in die Systeme, das 27 Prozent der Unternehmen (weltweit 25) aus eigener Erfahrung kennen. 13 Prozent der deutschen Unternehmen (weltweit 21) sahen sich im letzten Jahr einer Denial-of-Service-Attacke ausgesetzt. Von den in jüngster Zeit zunehmenden Phishing-Attacken sind deutsche Unternehmen noch weit weniger betroffen als der internationale Durchschnitt. Während weltweit 14 Prozent der Firmen in den letzten zwölf Monaten damit zu kämpfen hatten, melden in Deutschland nur sieben Prozent Vorfälle durch Phishing.
Verantwortlich für Sicherheitsvorfälle sind in den allermeisten Fällen Hacker. Nach Einschätzung der Unternehmen sind sie für 61 Prozent aller sicherheitsrelevanten Ereignisse verantwortlich. An zweiter Stelle stehen die eigenen Angestellten, die 31 Prozent der deutschen Unternehmen (weltweit 33) im Verdacht haben, gefolgt von ehemaligen Angestellten, denen zwölf Prozent der Vorfälle (weltweit 20 ) angelastet werden. Kunden sind nur vier Prozent der Unternehmen (weltweit elf) Sicherheitsvorfälle verantwortlich, Lieferanten und Partner gelten bei sechs Prozent (weltweit acht) als Verursacher von Sicherheitsproblemen.
Für Angriffe gibt es viele Ursachen
Die Angriffsmethoden sind höchst unterschiedlich. 75 Prozent der Unternehmen hatten in den letzten zwölf Monaten mit E-Mail-Viren oder Würmern zu tun, 24 Prozent verzeichneten Vorfälle, bei denen bekannte Sicherheitslücken des Betriebssystems oder von Applikationen (13 Prozent) ausgenutzt wurden. Aber es bedarf nicht immer technischen Know-hows: Auch erratene Passwörter (elf Prozent), die unbefugte Nutzung gültiger User-Accounts (13 Prozent) oder das "Social Engineering" (acht Prozent) waren Ursache von Sicherheitsverletzungen.
Die Auswirkungen reichten vom Produktivitätsverlust durch ganz oder teilweise lahmgelegte Netzwerke (Deutschland 59 Prozent, weltweit 67 Prozent) über den zeitweisen Ausfall von E-Mail-Servern oder Applikationen (Deutschland 40 Prozent, weltweit 54 Prozent) bis zur Beschädigung oder dem Verlust interner Daten, den 55 Prozent (weltweit 46) der Unternehmen im zurückliegenden Jahr erlebt haben. 75 Prozent der deutschen Unternehmen (weltweit 71) gaben an, durch Sicherheitsvorfälle finanziellen Schaden erlitten zu haben, und erstaunliche 87 Prozent (weltweit 64) glauben, dass ihnen durch Sicherheitsverletzungen ein Image-Schaden entstanden sei. Acht Prozent der deutschen Unternehmen (weltweit 18) führen sogar sinkende Aktienkurse auf Sicherheitsvorfälle zurück.