Die Wirtschaftskrise bedroht die IT-Sicherheit in Unternehmen unter drei verschiedenen Aspekten. Der "e-Crime Survey 2009" von KPMG listet sie auf: Erstens tragen Entlassene Mitarbeiter empfindliche Daten nach draußen. Zweitens: IT-Security-Ressourcen werden zusammengestrichen und drittens: Nutzer, die von zu Hause aus arbeiten, verzichten auf Sicherheitsmaßnahmen an ihrem PC.
Die Analysten haben nach den aktuell größten internen IT-Sicherheitsgefahren für Unternehmen gefragt. 64 Prozent der Studienteilnehmer nennen Datendiebstahl durch frustrierte Ex-Mitarbeiter. Knapp dahinter rangiert die Befürchtung, dass Ex-Mitarbeiter ihr Wissen um die Schwachpunkte im Firmensystem mitnehmen (62 Prozent). Fast ebenso viele (61 Prozent) sorgen sich, die früheren Kollegen könnten geistiges Eigentum verraten.
Diese Punkte stehen sowohl bei IT-Sicherheitsfachleuten als auch bei allen anderen Teilnehmern ganz oben auf der Liste. KPMG bringt das mit der Krise in Verbindung. These: Insbesondere langjährige Mitarbeiter, die viel für das Unternehmen geleistet haben, fühlen sich bei Entlassung ungerecht behandelt. Damit steigt die Gefahr, dass sie illegal handeln.
Dieser Gedanke leitet zum zweiten Aspekt über: IT-Security-Ressourcen werden zusammengestrichen. Wer IT-Personal abbaut, stellt "Super-User" aus, wie KPMG schreibt. Menschen also, die besonders viel Wissen und Know how mitnehmen.
Schutz bietet nur ein verlässliches Identity- und Access-Management, und das für sämtliche Geräte und Netze. Ironischerweise wird eben das wiederum in Krisenzeiten vernachlässigt.
Punkt drei bei den aktuellen Gefahren bilden Nutzer, die von zu Hause aus arbeiten. Damit sind nicht nur Unternehmensmitarbeiter im Home Office gemeint, sondern beispielsweise auch Kunden, die von ihrem PC aus Zugang zu bestimmten System-Bereichen haben oder Menschen, die Online-Banking nutzen.
Die Autoren der Studie betonen, dass die beteiligten Unternehmen wenig Einfluss darauf haben, ob diese Nutzer ihre Rechner schützen. Insbesondere für Banken ist das eine sensible Frage.
Cyber-Kriminelle rüsten auf
Fast jeder zweite Studienteilnehmer (45 Prozent) aus der Finanzbranche beobachtet denn auch, dass Attacken auf Kunden zunehmen. 49 Prozent erklären, dass diese Angriffe immer geschickter werden. Jeder Dritte berichtet, dass Cyber-Kriminelle öfter als früher versuchen, sich illegal über Kunden-Accounts einzuloggen.
Unabhängig von der Branche wollten die Studienautoren wissen, über welche Kanäle Unternehmen attackiert werden. Wie 40 Prozent der Befragten erklären, steigt die Zahl der Attacken auf das Netzwerk. 36 Prozent nennen zusätzlich Web Gateways. Für beide Punkte gilt: Auch hier berichten die Studienteilnehmer von immer fachkundigerem Vorgehen. KPMG spricht von einem "Wettrüsten".
Ein weiteres Ergebnis der Studie: Netzwerke sind vor allem durch Trojaner, Rootkits und Spyware bedroht. Es folgen Würmer und Viren. In Sachen IT-Infrastruktur nennen die Befragten in erster Linie folgende Schwachstellen: Anwendungen, die per Web gehostet werden, mobile Endgeräte und Verbindungspunkte zum Internet. Es folgen Mitarbeiter, die von zu Hause aus arbeiten, und Zugänge von Vertragspartnern oder Lieferanten.
Es überrascht denn auch kaum, dass 39 Prozent der Studienteilnehmer erklären, sie hielten ihr Unternehmen für nicht ausreichend gegen Malware geschützt. Von den befragten IT-Sicherheitsfachleuten sagt das sogar jeder Zweite.
Zuwenig Budget für IT-Sicherheit
Einig sind sich die Befragten beim Geld. 62 Prozent aller Studienteilnehmer und 61 Prozent der IT-Security-Spezialisten erklären, ihr Unternehmen stelle nicht genug finanzielle und zeitliche Ressourcen für die Sicherheit bereit.
Dabei vertrauen die Befragten nur bedingt auf den Gesetzgeber. Sie glauben eher, dass Störfälle in anderen Unternehmen die eigene Führungsriege dazu bringt, den Geldbeutel für die IT-Security zu öffnen. Erst an zweiter Stelle steht Compliance. Als dritter Treiber gilt die Angst, Medien könnten über Datenpannen berichten und so den Ruf des Hauses ruinieren.
KPMG hat für den "e-Crime Survey 2009" 307 Entscheider aus international tätigen Unternehmen befragt. Der überwiegende Teil von ihnen (78 Prozent) stammt aus Europa.