Der Anteil der Sicherheitsausgaben am gesamten IT-Budget von Unternehmen steigt. Von 2007 auf 2008 wuchs das Kuchenstück von 7,2 auf 11,7 Prozent. Für dieses Jahr sagen IT-Entscheider in Nordamerika und Europa einen weiteren Anstieg auf 12,6 Prozent voraus.
Das ist ein Ergebnis der Befragung "The State Of Enterprise IT Security 2008 To 2009", die das Marktforschungs-Unternehmen Forrester durchgeführt hat. Teilgenommen haben an der Online-Untersuchung 942 IT-Entscheider nordamerikanischer und europäischer Firmen mit mehr als 1.000 Mitarbeitern aus verschiedenen Branchen. 30 Prozent der Befragten arbeiten bei europäischen Firmen, davon jeder dritte in einem deutschen Unternehmen. Am stärksten vertreten waren mit einem Anteil von fast einem Viertel produzierende Betriebe.
Größer wird der Teil des Budgets für IT-Sicherheit, den die Verantwortlichen für neue Sicherheits-Initiativen ausgeben. Er steigt von 17,7 auf 18,5 Prozent. Größter Posten bleiben die Personalkosten, die mehr als ein Drittel ausmachen. Ansonsten fließt das Geld für die Informationssicherheit zu einem Viertel in Upgrades, 20 Prozent werden für Outsourcing und Beratung verwendet.
Bei jedem dritten Befragten interessiert sich mittlerweile eine Instanz außerhalb der IT-Abteilung direkt für Sicherheitsbelange. 34 Prozent gaben an, sie berichteten an die Geschäftsleitung, ein weiteres Fünftel an andere Führungskräfte aus dem Business.
Die Zuständigkeiten der Sicherheitsleute aus den IT-Abteilungen sind am stärksten konzentriert auf den Schutz der Infrastruktur, Zugangsverwaltung und die Abwehr von Bedrohungen. Doch auch für physische Sicherheit und sogennante Third-Party-Security, also etwa Sicherheitskontrollen für Geschäftspartner, sind mehr als die Hälfte von ihnen die in erster Linie Verantwortlichen.
Datensicherheit steht an erster Stelle
Wie Sicherheit in den Unternehmen definiert wird, hat sich nach Beobachtung von Forrester in den letzten Jahren deutlich verändert. Die Datenbestände zu schützen ist heute mit 90 Prozent Nennungen für die meisten wichtig oder sogar sehr wichtig. Dahinter folgt die Sicherheit von Anwendungen mit 86 Prozent Nennungen und die Sicherstellung des Betriebs in Notfällen mit 84 Prozent. Bedrohungs-Management und die Befolgung rechtlicher Vorgaben (Compliance) spielen dagegen eine geringere Rolle.
Obwohl die IT-Sicherheit zunehmend mit den Geschäftszielen in Einklang zu bringen versucht wird, fürchten viele Sicherheits-Verantwortliche um die nötige Aufmerksamkeit für ihr Tun. Mehr als zwei Drittel fürchten, dass innerhalb der kommenden zwölf Monate andere Dinge im Unternehmen Vorrang vor Sicherheits-Initiativen haben werden. Das Alltagsgeschäft frisst zudem nach Meinung vieler zu viel Zeit, und sechs von zehn Befragten beschweren sich, sie hätten zu wenig Geld und Personal zur Verfügung.
Managed Services sollen Geld sparen
Viele IT-Entscheider setzen bei Sicherheit mittlerweile auf Managed Services. Ihre Hauptgründe dafür sind die Notwendigkeit spezieller Kenntnisse für bestimmte Aufgaben und der Versuch, damit Geld zu sparen. Am häufigsten bauen die Umfrageteilnehmer derzeit beim Filtern von E-Mails und Netzinhalten auf Managed Services. Am stärksten zunehmen wird die Erbringung von Sicherheitsleistungen durch spezialisierte Anbieter innerhalb des Jahres bei der Untersuchung von Schwachstellen.
Auf Disaster-Recovery setzen die Firmen laut der Forrester-Umfrage derzeit zu stark. Zu kurz kommt deshalb nach Ansicht der IT-Verantwortlichen das Business Continuity Management (BCM). Jeder dritte findet zudem, sein BCM-Programm sei unterfinanziert. Beklagt wird von einem Viertel auch, der Umfang und die Zuständigkeiten beim BCM seien unzureichend bestimmt.
Das Zugangs- und Identitäts-Management folgt mittlerweile vor allem Sicherheitsbelangen. Noch vor einigen Jahren war das Motiv dafür häufiger das Befolgen von Gesetzen. Das Hauptproblem bei Lösungen für die Zugangsverwaltung: Sie sind zu teuer, und auch ihre Implementierung kostet zu viel. Auch die Komplexität macht den Sicherheitschefs zu schaffen. Neue Technologie für die Zugangskontrolle wollen binnen der kommenden zwölf Monate 15 bis 21 Prozent der Firmen einführen, am häufigsten Lösungen für ein Single-Sign-On (SSO).
Mehr Verschlüsselung und Passwortschutz bei Desktops, Festplatten und Dateien
Bei den Clients verschiebt sich das Sicherheits-Interesse von möglichen Bedrohungen zur Bewahrung der vorhandenen Daten. Jeder fünfte plant innerhalb der kommenden zwölf Monate Verschlüsselung oder Passwortschutz von Desktops, Festplatten und Dateien.
Zusehends erkennt das Management offenbar die Sicherheit einzelner Anwendungen als Risikofeld, wie die Befragung aufdeckt. Die Investitionen in die Applikations-Sicherheit werden aufgestockt. Besonders häufig sind neue Anwendungs-Firewalls oder Werkzeuge zum Testen von Applikationen geplant.
Fast alle Firmen sehen es derzeit als ernste Herausforderung an, die Datensicherheit zu gewährleisten. Größte Schwierigkeiten dabei sind die Kosten und die Rechtfertigung entsprechender Vorhaben gegenüber der Geschäftsführung, mehr als ein Drittel hat auch Schwierigkeiten mit der Komplexität oder internen Vorgaben. Die am weitesten verbreiteten Instrumente für den Datenschutz sind Mail-Verschlüsselung und der Schutz gespeicherter Daten. Die meisten Initiativen auf diesem Feld innerhalb des nächsten Jahres werden das Schließen von Datenlecks betreffen.
Kollegen, Medien und Firmenveranstaltungen sind für die Sicherheits-Entscheider die Haupt-Informationsquelle vor Kaufentscheidungen. Unter den digitalen Medien sind es die Webseiten von Anbietern, Branchenverbänden oder Experten, auf denen sich die IT-Manager vorwiegend kundig machen. Mails oder elektronische Rundschreiben gelten dagegen als unwichtigste Informationsquelle.
Bei kleinen und mittelständischen Firmen sieht die Sicherheitslage teilweise anders aus als bei größeren Unternehmen. Forrester hat auch Betriebe mit weniger als 1.000 Angestellten befragt und die Ergebnisse unter dem Titel "The State Of SMB IT Security: 2008 To 2009" veröffentlicht. Befragt wurden dafür 1.206 Führungskräfte aus US- und europäischen Firmen.
Budgets für IT-Security steigen wieder
Bei den kleineren Firmen waren die Budgets für IT-Sicherheit 2008 geringer als im Jahr davor, dafür planen auch sie jetzt wieder eine Aufstockung, auf im Durchschnitt 10,1 Prozent - gegenüber 9,1 Prozent im Jahr 2008. Der Schutz der Datenbestände steht wie in den großen Firmen an erster Stelle auf der Agenda der Verantwortlichen für die IT-Sicherheit.
Sie plagt auch in den kleinen Unternehmen die Tatsache, dass andere Angelegenheiten als wichtiger angesehen werden als Sicherheits-Vorhaben. Auf Managed Services setzen die Befragten aus den mittelständischen Firmen und Kleinbetrieben ebenfalls, mit ähnlichen Motiven wie ihre Kollegen von den Großunternehmen: Bedarf an speziellen Kenntnissen und die Absicht, Kosten zu senken.
BCM muss hinter Disaster Recovery zurückstehen
Als Sorgenkind erweist sich das Business Continuity Management. 45 Prozent haben dafür kein ausgewiesenes Konzept, die anderen klagen häufig darüber, dass BCM hinter der Disaster Recovery zurückstehen muss. Geht es darum, Inhalte zu filtern, blockieren die Sicherheits-Beauftragten kleiner Firmen meistens einzelne Dienste, am häufigsten Instant Messaging, aber auch Peer-to-peer-Netzwerke oder Internettelefonie.
Während große Firmen meist eine ganze Reihe von Lösungen für die Anwendungssicherheit am Laufen haben, beschränken sich kleine Betrieb auf ein oder zwei Programme. Beim Versuch, Datenbestände zu schützen, sehen sich die Verantwortlichen am häufigsten dem Problem gegenüber, dafür notwendige Projekte zu finanzieren und der Führungsebene schmackhaft zu machen.
Ihre Sicherheitslösungen beziehen die Mittelständler meist aus einer Vielzahl von Quellen - von ihrem Netzwerk-Dienstleister ebenso wie von ausgewiesenen Sicherheitsfirmen, Managed Services-Anbietern oder auch direkt von Herstellern.
Entscheider informieren sich vor allem bei Kollegen
Das Gespräch mit anderen Sicherheits-Experten ist für die Verantwortlichen von Firmen mit weniger als 1.000 Angestellten die wichtigste Quelle, um sich auf dem neuesten Stand zu halten. Die Weiterbildung über digitale Medien spielt für sie eine weitaus geringere Rolle als für ihre Kollegen aus Großunternehmen.