PwC kritisiert Strategien

Security-Konzepte sind von gestern

28. Oktober 2013
Werner Kurzlechner lebt als freier Journalist in Berlin und stellt regelmäßig Rechtsurteile vor, die Einfluss auf die tägliche Arbeit von Finanzentscheidern nehmen. Als Wirtschaftshistoriker ist er auch für Fachmagazine und Tageszeitungen jenseits der IT-Welt tätig.
In einer Studie hat PwC herausgefunden, dass Firmen zwar immer mehr in ihre Security investieren, doch allzu häufig ohne zukunftsweisende Strategie.
Die Budgets für IT-Sicherheit sind einer Studie zufolge in diesem Jahr sprunghaft größer geworden. Zurzeit scheint es mehr an Strategie als an Geld zu mangeln.
Die Budgets für IT-Sicherheit sind einer Studie zufolge in diesem Jahr sprunghaft größer geworden. Zurzeit scheint es mehr an Strategie als an Geld zu mangeln.
Foto: Sashkin - Fotolia.com

Am Ende hängt ja meistens alles irgendwie am Geld. Bei der IT-Sicherheit ist das zurzeit allerdings nicht unbedingt so, wie eine großangelegte Studie von PricewaterhouseCoopers (PwC) in Zusammenarbeit mit unseren amerikanischen Schwesterpublikationen CIO und CSO zeigt. Demnach werden zwar die finanziellen Folgen von Security-Vorfällen immer teurer. Allerdings investieren die Firmen jährlich auch immer mehr in ihre IT-Sicherheit. Doch offenbar wirken diese Ausgaben aber bei weitem nicht so, wie sie es sollten.

Es fehlt aktuell also weniger an Geld als an StrategienStrategien und ihrer Umsetzung. Die Quintessenz der Analysten lautet entsprechend: Häufig sollen die Herausforderungen der Zukunft mit Mitteln von gestern bewältigt werden – und das klappt naturgemäß nicht. Alles zu Strategien auf CIO.de

Unbekannte Daten-Juwelen

„Man kann die heutigen Bedrohungen nicht mit alten Strategien bekämpfen", sagt PwC-Analyst Gary Loveland. „Nötig ist ein neues Modell für die IT-Sicherheit, das von Wissen über Gefahren und Werte sowie Motive und Ziele potenzieller Angreifer getrieben ist." Was das heißen soll, lässt sich anschaulich vor Augen führen. Bisher ist die IT oft geschützt worden, indem man einfach eine hohe und feuerfeste Mauer um sie herum errichtet hat.

Mittlerweile bedarf es besserer Konzepte. Juwelen lässt ja man auch nicht einfach so herumliegen, auch wenn die Haustür verschlossen ist und es womöglich eine Alarmanlage gibt. Nein, man tut den wertvollen Schmuck in den Safe. Das Problem vieler Unternehmen ist derzeit aber noch, dass sie überhaupt nicht wissen, welche ihrer Daten kostbar wie Edelsteine sind und für welche Standardschutz ausreicht.

Sehr klar zeigt die Studie, für die knapp 10.000 Antworten verschiedener C-Level-Manager weltweit ausgewertet wurden, eines auf: Vorbei sind die Zeiten, in denen die IT-Sicherheit vernachlässigt wurde. 4,3 Millionen US-Dollar geben die befragten Unternehmen in diesem Jahr für IT-Security aus. In den vergangenen Jahren lag das Budget ziemlich konstant bei 2,7 Millionen Dollar, nur 2010 etwa niedriger. Der erkennbare Sprung zeigt, dass die Unternehmen auf die verschärfte Bedrohungslage reagieren.

Das zeitigt durchaus Erfolge. So wurden in den vergangenen zwölf Monaten laut Studie im Durchschnitt um ein Viertel mehr Vorfälle entdeckt als in den Vorjahren. Den Befund interpretiert PwC so, dass nicht einfach mehr Bedrohungen vorkommen, sondern dass besser nach ihnen gesucht wird.

So weit, so gut also. Leider ist gleichzeitig die Zahl der Firmen, die über Vorfälle in ihrem Haus überhaupt nicht mehr Bescheid wissen, auf 18 Prozent gestiegen – der Anteil ist doppelt so hoch wie noch 2011. „Das kann an fortgesetzten Investitionen in Security-Produkte liegen, die auf veralteten Modellen basieren", kommentiert PwC.

Vorfälle werden immer teurerer

Immer größer wird auch das Risiko, dass Security-Vorfälle richtig teuer werden. Ein Viertel der Vorfälle verursacht in diesem Jahr laut Studie einen Schaden zwischen 100.000 und einer Million Dollar, vor einem Jahr traf das nur auf ein Fünftel zu. Jeweils 7 Prozent der Vorfälle führen zu Kosten von über einer Millionen Dollar oder sogar über 10 Millionen Dollar. In dieser Kategorie mit besonders großem Schadensvolumen hatte es laut PwC einen krassen Anstieg bereits 2012 gegeben.

Gleichwohl betrifft das Risiko, dass Löcher im IT-Sicherheitsnetz einen immensen Millionenschaden anrichten können, selbstredend nur bestimmte Firmen. Fast die Hälfte der Vorkommnisse in dieser Gewichtsklasse entfallen laut PwC auf die Branchen Erdöl & Gas und Pharma.

Selbstwahrnehmung zu positiv

Auffällig ist bis hierhin, dass die Firmen also mehr Geld für die IT-Sicherheit in die Hand nehmen – mit durchwachsenem Erfolg. Parallel zu den Mehrausgaben ist offenbar auch das Selbstbewusstsein der Unternehmen gestiegen, die Security-Dinge im Griff zu haben. 50 Prozent der Befragten schätzen sich laut Studie als „Vorreiter" ein, die über eine wirksame Strategie verfügen und diese auch proaktiv umsetzen. Ein positives Selbstbild also, um 17 Prozentpunkte stärker verbreitet als im Vorjahr und – dazu gleich – leider trügerisch.

26 Prozent sehen sich selbst als „Strategen", bei denen die Strategie besser ist als ihre Umsetzung, 13 Prozent als „Taktiker", bei denen es sich umgekehrt verhält. 11 Prozent ordnen sich als „Feuerwehrleute" ein, die hinsichtlich Strategie und Umsetzung hinterherhinken, weil sie ständig Brände löschen müssen.

Warum also trügerisch, das Ganze? Nun, weil die selbsternannten Vorreiter zum Teil haarsträubende Ergebnisse einfahren. Im Gesamtdurchschnitt kostet ein Security-Vorfall laut Studie 531 US-Dollar. In Feuerwehrfirmen liegt der Wert erwartungsgemäß deutlich darüber, nämlich bei 658 Dollar. Bei den Vorreitern sind Vorkommnisse aber fast genauso teuer – 635 Dollar im Durchschnitt.

Zum Teil jedenfalls liegen Selbstwahrnehmung und Realität also deutlich auseinander, wie die Studie unterstreicht. Immerhin ein Argument fällt einem zur Entlastung der Vorreiter ein: Vermutlich sind sie häufiger in Branchen mit einem höheren Schadensrisiko tätig, was die Bezugsgröße schnell in die Höhe treiben kann.

4 Faktoren für bessere Sicherheit

Zugleich identifiziert PwC eine Teilgruppe, die 17 Prozent der Befragten umfasst und wirklich signifikant bessere Ergebnisse einfährt als der Rest. Diese „Führungsgruppe" zahlt beispielsweise pro Vorfall tatsächlich nur 421 Dollar. Die Analysten machen vier Kriterien aus, die diese Unternehmen verbindet:

  • Erstens haben sie allesamt eine umfassende IT-Sicherheitsstrategie.

  • Zweitens ist jeweils ein Chief Information Security Officer (CISO) im Einsatz, der beispielsweise an den CEO oder CFO direkt berichtet.

  • Drittens wird die Effektivität der Sicherheitsmaßnahmen gemessen und überprüft.

  • Viertens verstehen die führenden Firmen genau, welche Vorfälle in den vergangenen Monaten in ihrem Haus stattgefunden haben.

Zum Teil macht sich dies auch in konkreten technologischen Entscheidungen bemerkbar. So zeigt die Studie, dass 88 Prozent der Security-Leader ToolsTools für Malicious Code Detection im Einsatz haben; insgesamt sind das nur 74 Prozent. Vulnerability Scanning setzen 71 Prozent aus der Führungsgruppe ein, aber lediglich 62 Prozent insgesamt. Bei Tools wie Data Loss Prevention oder Mobile Device MalwareMalware Detection liegt das Verhältnis bei zwei Drittel zu unter 60 Prozent. Alles zu Malware auf CIO.de Alles zu Tools auf CIO.de

Insgesamt bemängelt PwC, dass neue Technologien wie Cloud ComputingCloud Computing oder Mobile Apps in den Firmen oft schon eingesetzt werden, bevor sie gesichert sind. Darüber hinaus monopolisierten viele Verantwortliche in den Firmen ihr Security-Wissen; nach PwC-Einschätzung wäre es wünschenswert, wenn dieses Know-how gebündelt würde und weithin verfügbar wäre. Alles zu Cloud Computing auf CIO.de

Die Analysten raten sogar zur Zusammenarbeit mit öffentlichen Institutionen und anderen Firmen, um die Wissensbasis über Bedrohungen zu verbessern. Unabdingbar für den Erfolg ist es laut PwC ferner, dass IT-Sicherheit als wesentliche Komponente der Geschäftsstrategie betrachtet wird und Unterstützung auf Vorstandsebene findet.

Die Studie „The Global State of Information SecuritySecurity Survey 2014" ist bei PwC erhältlich. Es ist die 16. Auflage der Studie. Alles zu Security auf CIO.de