The Global State of Information Security 2008
Unsicheres Deutschland
Technik allein nützt nichts
Weil ein großer Teil des Geldes aus der IT stammt, reagieren Firmen auf Probleme häufig mit technischen Maßnahmen: 55 Prozent verschlüsseln heute ihre Datenbanken, 50 Prozent ihre Laptops. Auch Firewalls für individuelle Applikationen werden immer beliebter: Ihre Nutzung stieg von 62 auf 67 Prozent.
Fehlen jedoch praktikable Prozesse, nützt die beste Technik nichts. Technologie sollte Bestandteil eines
umfassenden Planes zur Informationssicherheit sein, fordert etwa Dennis Devlin, CISO der US-amerikanischen Brandeis Universität. Anstatt seinen Mitarbeitern den Namen des neuesten E-Mail-Virus zu verkünden, trainiert er sie lieber nachhaltig. Etwa darauf, keine unbekannten URLs anzuklicken, verdächtige Anhänge nicht zu öffnen und ihnen das Risiko bewusst zu machen, online sensible persönliche Daten weiterzugeben.
Diese Arbeitsweise scheint sich zum Trend zu entwickeln. Im vergangenen Jahr boten erst 42 Prozent der Unternehmen ihren Angestellten Sicherheitstrainings an. In diesem Jahr kletterte dieser Wert auf 54 Prozent. Trotzdem besteht Nachholbedarf: Nur 41 Prozent der befragten Firmen verpflichten Arbeitnehmer dazu, sich über die internen Datenschutzrichtlinien zu informieren. Der Anteil stieg im Vergleich zum Vorjahr zwar um vier Prozent, ist aber immer noch sehr niedrig.
Ein Vorzeigeprojekt plant etwa CISO Tim Stanley von Continental Airlines. Er möchte jeden einzelnen Datensatz im Unternehmen den drei Kategorien Besitzer, geschäftlicher Nutzen und Höhe des Risikos zuordnen. Das macht ihn zum Vorreiter. Denn nur wenige Unternehmen nehmen ähnlich detaillierte Klassifizierungen vor. Zwar bestimmen 68 Prozent zumindest regelmäßig den Risikofaktor von Daten, den unternehmerischen Wert halten nur 24 Prozent von ihnen fest - ein Fehler, denn die ideale Sicherheitsstrategie ergibt sich aus einer Kombination der zwei Werte.
Schutz endet an der Firmenmauer
Die Studienergebnisse belegen auch, dass Regularien die Sicherheitsverantwortlichen in Bewegung bringen. 44 Prozent der Befragten gaben an, dass sie sich bei neuen Vorschriften und Gesetzen um Compliance bemühen. Im Vorjahr taten dies nur 40 Prozent.