Studie von Ernst & Young

Firmen fehlen formale Sicherheitskonzepte

18.12.2012 von Werner Kurzlechner
Cloud Computing und Mobile IT verschärfen vielerorts die IT-Security-Lage. Laut Ernst & Young nehmen Unternehmen weltweit einen Zuwachs an Bedrohungen wahr.

Die Insel der Glückseligen existiert, auch wenn sie klein ist. 16 Prozent der von Ernst & Young in einer internationalen Studie befragten Führungskräfte geben an, dass die IT-Sicherheit vollauf den Anforderungen ihres Unternehmens genügt. Ebenfalls 16 Prozent sagen, dass die Zahl der Angriffe auf ihr IT-Netz zurückgegangen sei. Die Mehrzahl der Unternehmen indes kämpft weiter den Kampf gegen immer größer erscheinende Windmühlen, viele geben dabei für ihre modernen Lanzen – sprich Security-Lösungen – immer mehr Geld aus.

Business Continuity und Disaster Recovery sind aktuell die Top-Prioritäten.
Foto: Ernst & Young

Liest man dann noch, dass 51 Prozent der Befragten den Klassiker Business Continuity und Disaster Recovery als Top-Priorität nennen, gewinnt man beinahe den Eindruck, dass sich wenig bewegt in der Security-Welt. Die Wirtschaftsprüfer wählten indes einen Titel für ihre Studie unter 1836 CIOs, CISOs, CFOs und CEOs aus 64 Ländern, der das Gegenteil nahelegt: „Reinventing Information Security“.

In der Tat scheint es ein doppeltes Momentum zu geben: einerseits den ewigen Kampf mit ständig verbesserten Waffen zwischen Firmen auf der einen sowie Hackern und ihrer Malware auf der anderen Seite, andererseits die neuen Technologien wie Cloud Computing, Mobile IT und Social Media, die hin zu fundamentalen Veränderungen treiben.

Hinter Business Continuity und Disaster Recovery nennen jeweils 29 Prozent die Transformation der IT-Sicherheit sowie Technologien zur Prävention von Datenverlust als Top-Prioritäten. Insbesondere die häufige Nennung eines fundamentalen Redesigns deutet daraufhin, dass alte Schwerter unscharf geworden sind. Mehr als ein Fünftel zählen die Implementierung von Sicherheitsstandards zu den Top-Prioritäten.

So haben sich die Prioritäten im Vergleich zum Vorjahr entwickelt.
Foto: Ernst & Young

„Die Angriffe auf die Informationssicherheit der Unternehmen sind in den vergangenen Jahren deutlich häufiger und differenzierter geworden“, kommentiert Olaf Riedel, Partner bei Ernst & Young. Die Schnelligkeit und Komplexität des wirtschaftlichen und technologischen Wandels bewirkten, dass die meisten Unternehmen in der Informationssicherung zurückfallen. „Zwar haben die Unternehmen weltweit ihre Informationssicherheit deutlich verbessert, um sich dem veränderten Risiko stellen zu können, aber ihre Bemühungen reichen nicht aus.“

Weniger Attacken von Mitarbeitern

Im Vergleich zum Vorjahr berichten 59 Prozent von einem gleichen Niveau an Security-Vorfällen, 31 Prozent hingegen von einem Anstieg. Mehrheitlich verlaufen diese Vorfälle eher glimpflich. Bei einem Drittel waren es weniger als fünf Stück im Jahresverlauf, bei einem weiteren Fünftel fünf bis zehn. Der finanzielle Schaden lag in 60 Prozent der Fälle unter 200.000 Euro.

Besonders stark steigt die Zahl von Bedrohungen, die von externen Angreifern ausgeht: Vier von zehn Unternehmen melden einen Anstieg solcher Attacken. Leicht steigend ist auch die Zahl der IT-Sicherheitsvorfälle, die aus Unachtsamkeit von eigenen Mitarbeitern verursacht wird. Immerhin ist die Zahl der bösartigen Attacken eigener Mitarbeiter rückläufig.

Auf die Bedrohungslage reagieren die Firmen häufig mit steigenden Ausgaben für die IT-Sicherheit. 43 Prozent haben diese im vergangenen Jahr erhöht, nur fünf Prozent haben weniger ausgegeben. 51 Prozent wollen ihr IT-Security-Budget im kommenden Jahr erhöhen, einen Rückgang erwarten nur fünf Prozent.

Als Risikofaktor, dessen Bedrohungspotenzial am meisten gestiegen ist, nennen 59 Prozent unwissende oder unachtsame Mitarbeiter. Es folgen Cyberattacken auf das Finanz- und Rechnungswesen mit 56 Prozent, veraltete Sicherheits-Kontrollen und -Architekturen mit 47 Prozent und Cyber-Attacken mit dem Ziel einer Störung der Abläufe mit 52 Prozent.

Zu wenig Geld - das ist immer noch die größte Hürde im Kampf gegen Sicherheitslücken.
Foto: Ernst & Young

Während Malware hier noch auf 48 Prozent kommt, sind die Werte für Spionage, Phishing, Spam und interne Attacken vergleichsweise niedrig. Von fast zwei Fünfteln der Befragten werden allerdings die Verwundbarkeiten durch mobile Endgeräte und Apps sowie Cloud Computing genannt.

Forderung nach Cloud-Zertifizierung

Im Bereich Mobile IT befinden sich 35 Prozent der Befragten noch in einer Phase des beschränkten Einsatzes und der Evaluierung von Tablets. Sicherheitstechnisch reagieren 52 Prozent mit Anpassung von Richtlinien auf die neuen Risiken, jeweils zwei Fünftel mit Verschlüsselungstechnologien und gesteigerten Aktivitäten zur Bewusstseinsbildung.

Während 2010 lediglich 30 Prozent der Unternehmen Cloud-Computing-Services in Anspruch genommen haben, sind es in diesem Jahr laut Ernst & Young bereits 59 Prozent, die Clouds nutzen oder deren Einsatz planen – Tendenz weiter schnell steigend.

Fast 80 Prozent der Anwender sprechen sich für eine externe Zertifizierung der Service-Provider aus. 70 Prozent wissen nach eigenen Angaben, wo ihre Daten geografisch lagern. Allerdings erhalten nur 30 Prozent diese Information von ihrem Cloud-Anbieter proaktiv.

Soziale Netzwerke sind mittlerweile in vielen Unternehmen ein fester Bestandteil der Kommunikation – allerdings fehlt 38 Prozent der befragten Firmen ein koordinierter Ansatz, um soziale Online-Medien effektiv zu nutzen.

„Die wohl bedeutendste Entwicklung seit 2006 ist der Wandel in der Wahrnehmung von Informationssicherheit“, sagt Riedel. „Wurde es vor einigen Jahren noch als reine IT-Aufgabe gesehen, verstehen die Unternehmen heute, dass die Sicherung ihrer Daten und Informationen eine strategische Notwendigkeit ist.“

4 Tipps von Ernst & Young

Aktuell integrieren bereits 42 Prozent der Teilnehmer der Ernst & Young-Studie Datensicherheit in ihre Unternehmensstrategie. Zudem nehmen die Unternehmen regulatorische Richtlinien ernster als noch vor wenigen Jahren: Gegenwärtig sind 80 Prozent der Befragten davon überzeugt, dass es sich in hohem Maße positiv auf ihre Informationssicherheit auswirkt, wenn sie gesetzliche Regelungen einhalten.

In einigen besonders kritischen Bereichen der Informationssicherheit schaffen es die Unternehmen laut Studie aber nicht mehr, mit den immer neuen Herausforderungen Schritt zu halten. Die Standards haben sich in vergangenen Jahren hier kaum gebessert. 63 Prozent der Firmen haben kein formales Sicherheitskonzept und planen auch zukünftig nicht, ein solches Konzept zu verankern. Nur knapp 40 Prozent der Unternehmen orientieren sich an der eigenen Risikoerwartung, wenn sie ihre Strategie zur Informationssicherheit entwerfen.

In lediglich knapp der Hälfte der Firmen ist Datensicherheit regelmäßig Thema in den Meetings der Führungsebene. Auch bei der Schulung ihrer Mitarbeiter haben viele Unternehmen noch erheblichen Nachholbedarf: In 43 Prozent der Firmen erschwert der Mangel an geschulten Mitarbeitern ein effektives Informationssicherheitsmanagement.

„Firmen können schon mit vier wirkungsvollen Schritten ihre Datensicherheit optimieren und so Wettbewerbsvorteile erlangen“, so Riedel. Die Tipp der Wirtschaftsprüfer:

  1. Die Sicherheits- in die Unternehmensstrategie integrieren.

  2. Einen fundamentaler Neustart bezüglich der Entwicklung einer Strategie wagen und nicht nur auf bisherigen Lösungen aufbauen.

  3. Die gesamte Organisation in das Management der Informationssicherheit einbeziehen.

  4. Die Chancen und Risiken neuer Technologien intensiv prüfen, um den maximalen Nutzen daraus zu ziehen.